RalphT

Ja das Thema ist bekannt. Derzeit noch mit einem POP-Abholer. Das soll aber mit dem Update geändert werden. Ja das stimmt. Reverse DNS ist auch nicht eingerichtet, da ja die Mail bei IONOS landen. Feste-IP ist vorhanden. Ich habe zu dieser Smarthostlösung keine Idee. Was müsste ich den ändern, damit ich das noch so nutzen könnte?

Moin, ich habe einen Exchange 2016 CU23, der seine externen Mails über einen Smarthost zu IONOS versendet. Gestern bekam ich folgende Mail (siehe Anhang) Ich habe für die Authentifizierung für den Smarthost bei IONOS eine extra Mailadresse, nur für diesen Sendeconnector angelegt. Derzeit habe ich jetzt keine Idee, wie ich weiterhin den Smarthost von IONOS nutzen könnte. Gibt es ab dem Stichtag eine Möglichkeit das weiter so zu nutzen? Falls nicht, dann war meine Idee, ich nutze einen Sendeconnector, der direkt in der Internet sendet. Ich habe das mal eben schnell probehalber durchgeführt. Die externe Mail kam auch sofort beim Empfänger an. Was mich allerdings stutzig macht, ist ein Blick in die LOGs: 2023-11-30T06:07:53.335Z,Internet-Send,08DBE65BD4EA1B65,1,,212.227.15.41:25,*,,attempting to connect 2023-11-30T06:07:54.364Z,Internet-Send,08DBE65BD4EA1B65,2,,212.227.15.41:25,*,,"Failed to connect. Winsock error code: 10061, Win32 error code: 10061, Destination domain: externe-person.de, Error Message: Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte 212.227.15.41:25." 2023-11-30T06:07:54.378Z,Internet-Send,08DBE65BD4EA1B66,0,,217.72.192.67:25,*,SendRoutingHeaders,Set Session Permissions Hier werden noch weitere Server von IONOS ausprobiert, mit dem gleichen Ergebnis. Jetzt frage ich mich, wieso kam die Mail, aber dazu diese Fehlermeldungen? Ich habe derzeit zwei Sendeconnectoren, wobei nur einer aktiviert ist. Wenn ich den anderen nutzen möchte, muss ich nach dem Deaktivieren/Aktivieren den Transportdienst neu starten?

Gut, dann warte ich.

Moin, ich habe bei einem Exchange 2016 in einer universalen Verteilergruppe Mitglieder entfernt/hinzugefügt. Allerdigs dauert es einige Zeit, bis die Änderung am Nutzer ankommt. Kann man das per PS oder anders beschleunigen?

Na gut, dann lege ich das Thema mal zu den Akten.

Hatte ich auch schon gelesen - Leider. Ist dann eben nur eine kleine Hürde für den Angreifer.

Moin, ich wollte gerne in unserer Umgebung das Ausführen fremder PS-Scripte unterbinden. Dazu habe ich ein GPO mit der Ausführungsrichtinie für die Scripte mit "AllSigned" erstellt. Danach zeigte sich in der Ereignisanzeige vom Exchange 2016 folgende Fehlermeldung: Einstellungen: Fehler beim Laden der Formatdatendatei: Microsoft.Exchange.Management.PowerShell.E2010, , C:\Program Files\Microsoft\Exchange Server\V15\bin\Exchange.format.ps1xml: Die Datei wurde wegen folgender Validierungsausnahme übersprungen: Fehler bei der AuthorizationManager-Überprüfung.. Details: ExceptionClass=RuntimeException ErrorCategory=NotSpecified ErrorId=ErrorsUpdatingFormats ErrorMessage=Fehler beim Laden der Formatdatendatei: Microsoft.Exchange.Management.PowerShell.E2010, , C:\Program Files\Microsoft\Exchange Server\V15\bin\Exchange.format.ps1xml: Die Datei wurde wegen folgender Validierungsausnahme übersprungen: Fehler bei der AuthorizationManager-Überprüfung.. Dann habe ich mir die Eigenschaften der Datei "Exchange.format.ps1xml" anzeigen lassen. Diese, wie viele andere PS-Scripte sind alle digital signiert. Das Zertifikat ist von Microsoft ausgestellt, jedoch ist der Gültigkeitszeitraum überschritten. Da jedoch auch ein Zeitstempel dort vorhanden ist, bin ich der Meinung, dass alle diese Scripte noch ausgeführt werden sollten. Ich könnte jetzt die Scripte mit der hauseigenen PKI neu signieren. Nur das wolllte ich erst einmal nicht machen, da es bei den vielen Scripten sehr aufwändig ist. Eigentlich könnte ich doch die vorhandene Signierung nutzen? Meine Frage ist jetzt, was kann man da machen? Sollte ich für den Exchange Server eine Ausnahme erstellen, sodass dieser Server von der GPO nicht betroffen ist? Das wäre natürlich etwas unsicherer.

Danke dir für Info. Ich hatte mir das schon fast gedacht, nur erklären konnte ich mir es nicht.

Moin, ich habe mal eine Frage zur Passworteingabe bei Outlook mit Exchange. Ich habe Exchange 2016 und Office 2016. Wenn auf einem Client das Outlook das erste Mal eingrichtet wird, findet Autodiscover sofort die Einstellungen und Outlook funktioniert. Wenn der Nutzer das nächste Mal sein Outlook startet, dann fragt Outlook nach dem Passwort. Das ist aber nicht immer so. Wenn aber z.B. in der AD eingestellt wird, dass der Nutzer bei der nächsten Anmeldung sein Passwort ändern muss, dann erscheint das Fenster mit dem Passwort. Das passiert auch, wenn das Windows-Passwort kurz vor dem Ablauf ist. Der Nutzer meldet sich mit dem alten Passwort an, möchte es aber noch nicht ändern. Dann verlangt Outlook nach einem Passwort. In diesem Fall kann man das noch alte, gültige Passwort eingeben, was Outlook aber nicht akzeptiert. Der Nutzer muss erst sein Passwort ändern, dann ist auch bei Outlook Ruhe. Ansonsten erscheint nie das Passwortfenster. Autodiscover läuft fehlerfrei. Ist das normal?

Ja, das dachte ich mir schon. Aber jetzt haste mich neugierig gemacht. Ich habe gerade beobachtet, dass so mancher gerne zum Feierabend sein Gerät nicht herunterfährt, sondern einfach nur den Bildschim sperrt. Wie würde sich denn dieser Fehler im Betrieb bemerkbar machen? Würde z.B. der Zugriff auf Laufwerke fehlen? Oder ist das eher ein stiller Fehler?

Moin, ja das Problem hatte ich schon mal, dass das Netzwerk auf öffentlich stand. Meine Idee war ja am Anfang, dass der Client nicht mit dem DC kommunizieren konnte. Aber selbst wenn der Client keinen Kontakt zum DC hätte, dürfte doch diese Meldung nicht erscheinen. Wenn ich das richtig verstanden habe, dann meckert der Client nur, wenn sein Computerpasswort nicht mit dem hinterlegten Computerpasswort auf dem DC übereinstimmt. Hat er keine Verbindung, kann er auch keinen Unterscheid feststellen - oder? Auch diese GPO hatte ich Anfangs vergessen. Die ist aber jetzt vorhanden. Eigentlich hast du Recht. Aber da die ganzen Jahre der Fehler nie aufkam, hatte ich Anfangs schon Bedenken, dass ich bei der Neuinstallation einen Fehler gemacht habe.

Hallo Nils, danke für Info. Ja, das könnte vielleicht so gewesen sein. Bei einem Client war zum besagten Zeitpunkt sehr viel rot in der Ereignisanzeige. Da habe ich jetzt auch nicht weiter geforscht. Der andere Client hatte kaum rote Einträge oder Warnungen die mir verdächtig vorkamen. Hier standen z.B. diese Meldung: Beim Starten der Sitzung "Microsoft.Windows.Remediation" ist der folgende Fehler aufgetreten: 0xC0000035. Der Dienst Gruppenrichtlinienclient konnte nach dem Empfang eines Preshutdown-Steuerelements nicht richtig heruntergefahren werden. Vielleicht war das der Grund. Ich werde das mal weiter im Auge behalten. Derzeit sind es hier ca. 50 Clients und viele Server und bei 2 Geräten ist das bislang aufgetreten.

Moin, ich habe hier eine neue AD-Umgebung vor ca. 40 Tagen aufgebaut. 3 Server 2019 als Domaincontroller, einer an einem anderen Standort. Clients alle Windows 10. Nun hatte ich schon die folgende Fehlermeldung an 2 versch. Clients: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden Ich habe die Rechner einfach nur neu geatartet, ohne etwas zu machen. In beiden Fällen funktionierte es danach. Jetzt ist natürlich die Frage, wo das Problem liegen könnte. Folgende Dinge habe ich überprüft: Uhrzeit. Auf allen DCs und auf den Clients stimmt die Zeit auf die Sekunde. Auf allen DCs habe ich dcdiag und repadmin /showrepl ausgeführt. Alles ok. Auf den DCs zeigt die Ereignisanzeige keine Fehler an. Die beiden betroffenen Clients sind/waren eigentlich immer in Benutzung. Es wurde auch nichts aus einem Image hergestellt. Meine Vermutung ist, dass nach dem zweiten Neustart der Client erfolgreich sein Computerkennwort erfolgreich ändern konnte. An welcher Stelle könnte man denn mal nachsehen, ob es ein Problem gibt?

Moin, ich habe bei ein paar Nutzern ein gemeinsames Teampostfach unter Exchange 2016 (Vollrechte unter Postfachstellvertretung) eingerichtet. Die Signatur habe ich im Exchange unter Haftungsausschluss realisiert. Die Werte dazu kommen aus der AD. Jetzt möchte ich ganz gerne, wenn ein Nutzer eine Mail über das Teampostfach sendet, dass auch die richtige Signatur vom Besitzer des Teampostfaches angehangen wird. Dort wird aber derzeit keine Signatur angehangen. Gibt es dafür überhaupt eine Möglichkeit das mit Bordmitteln zu lösen? Oder brauche ich dafür eine Drittanbieterlösung? Nachtrag: Ach sorry, das funktioniert doch. Ich war nur etwas zu ungeduldig. Ich hatte den Besitzer vom Teampostfach in die Gruppe hinzugefügt. Das wirkte wohl nicht sofort.

Ich habe mir mal einige Stellenanzeigen angesehen. Fast alle Firmen suchen Administratoren mit Cloud Erfahrung. Das passt natürlich auch zum Angebot der meisten Lehrgänge. Es sieht so aus, dass doch viele Firmen in die Cloud umgezogen sind.

Dann hattest du mich falsch verstanden. Ich wollte damit nur sagen, dass online Schulungen für mich nichts sind. Davon abgesehen, war der Kurs kostenpflichtig. Ich durfte diesen Kurs nur für eine Stunden besuchen. Mir ging es damals auch nicht um den Inhalt, sondern nur, wie sind online-Kurse. Ich kannte das damals noch nicht.

Diese Art der Weiterbildung hatten wir vor ein paar Jahren auch mal hier. War zwar nichts für Admins, ging mehr um Datenbanken. Aber diese Art kam gut an. Es wurde das unterrichtet, was man auch hier braucht. Die Kosten sind auch überschaubar. aber wie du schon geschrieben hattest, da müssen schon ein paar Leute zusammenkommen. In meinen Augen derzeit für Firmen die beste Lösung. Ich hatte mal vor ein paar Jahren so einen Schnupperkurs für Server 2012 geschenkt bekommen. Dieser Schnupperkurs ging ca. 1 Stunde. Für mich ist das überhaupt nichts. Das Ganze war für mich total anstrengend. Mal eben dazwischenquatschen geht nicht. Selbst wenn die Internetverbindung top ist, hat man immer mal kleine Aussetzer oder Delays. Vielleicht bin ich da zu konservativ, da liebe ich den old-school Klassenraum. Ist einfach ein besseres Miteinander.

Konkrete Antworten suche ich nicht. Mir ist das beim Surfen nur aufgefallen. Ich hatte mal vo ca. 8 Jahren nach Kursen gesucht. Da waren noch genug Angbote in dieser (alten) Richtung. Daher denke ich, dass es auch in dieser Richtung einen Wandel gab.

Moin, ich habe mal gerade nach Lehrgänge z.B. für Server 2019, Exchange oder auch Win 10 gesucht. Ich gebe zu ich habe jetzt nicht intensiv gesucht. Mir ist aber aufgefallen, dass die Angebote der Schulen/Firmen dort sehr stark 365-lastig sind. Man findet eigentlich nur noch Lehrgänge für diesem Bereich. Ich suche jetzt keinen Lehrgang, sondern habe nur mal so danach gesucht. Frage: Ist jetzt eigentlich nur noch für diese Richtung Bedarf? Werden demnächst keine Admins mehr gebraucht, die sich mit den physischen Servern vor Ort auskennen müssen?

Moin, ich habe mal eine Frage, wie ich das am besten lösen kann. Ich habe hier ein paar wenige Smartphones, die ich über das WLAN an das Netz anbinden möchte. Die Smartphones verbinden sich mit dem WLAN und authentifizieren sich am NPS-Server. Dort ist eine Richtlinie hinterlegt, die einmal die AD-Gruppe vom Nutzer, die SSID und die MAC-Adresse vom Smartphone überprüft. Die Smartphones benötigen das ROOT-Zertifkat und ein WLAN-User-Zertifikat. Auf dem NPS-Server ist EAP-TLS eingestellt. Den wenigen Smartphonenutzern würde ich die beiden Zertifikate per Mail zukommen lassen. Das WLAN-Zertifikat muss ich den Nutzern mit einem privaten Schlüssel zustellen lassen. Nun wollte ich ganz gerne, dass der WLAN-Zugriff nicht nicht an Dritte weitergegeben werden kann. Das Zertifikat kann man weitergeben. Um sich am WLAN anzumelden, benötigt man ja auch seinen Loginnamen aus der AD. Das ist ja auch kein großes Geheimnis. Derzeit habe ich nur eine Idee. Ich habe im NPS-Server unter Bedingungen die Anrufer-ID mit den erlaubten MAC-Adressen hinzugefügt. Das funktioniert auch. Der Aufwand hält sich hier auch in Grenzen, da es nur wenige Smartphones sind. Kann man das noch irgendwie anders lösen? Ich dachte auch mal daran, die MAC-Adressen als Nutzer in der AD zu hinterlegen und diese als zusätzliche Gruppe im NPS-Server zu hinterlegen. Aber ich wüsste jetzt nicht wie man im NPS zwei Gruppen hinterlegt, die als UND-Verknüpfung fungieren. Also es muss die AD-Gruppe-Nutzer UND die AD-Gruppe-MAC stimmen, dann würde der NPS den Zugang erlauben. Oder gibt es noch eine ganz andere Möglichkeit? Ich möchte halt nur verhindern, dass der WLAN-Zugang weitergegeben werden kann. Das Ganze soll natürlich auch einigermaßen praktisch durchführbar sein.

Eigentlich interessiert mich das alles nicht. Mir persönlich ist das wurscht, ob da anonymisierte Daten übern Ozean gehen oder nicht. Ich habe hier nur gefragt, da mir hier der Datenschützer auf den Zeiger geht. Ich denke mal nicht, dass da die Gehaltsdaten der Mitarbeiter übertragen werden.

Ja. So hatte ich das bislang auch immer verstanden. Also dann doch die Enterprise-Version installieren. Nach diesem Text, war ich etwas verunsichert.

Wenn ich also die Pro habe und diese beiden Dienste deaktiviere, dann ist zu 100% Ruhe?

Moin, ich habe gerade diesen Beitrag gelesen und bin mir jetzt nicht zu 100% sicher, ob ich das richtig verstanden habe. https://www.gruppenrichtlinien.de/artikel/windows-10-telemetrie-und-diagnosedaten-richtig-abschalten Er schreibt ja, dass ab der Version 20H2 die Abschaltung zu 100% funktioniert. Die 20H2 gibt es ja in der Version Pro und Enterprise. Ich zitiere mal den zweiten Absatz: Gilt das jetzt auch für die Pro-Version? Mich verwirrt der Satz im ersten Absatz: Danke für eure Antworten.

Wegen der aktuellen Situation. Das Video auf der Seite kannte ich noch nicht. Ja klar, das ist ja schon eine Waffe, was da verwendet werden kann. Ich hatte mich ja in den Foren auch schon umgesehen, was andere so machen. Das geht von der Reparatur und über das Neuaufsetzen vom Exchange. Manche vertrauen darauf, dass sie so firm sind, dass man wohl alles gefunden hat. Andere vertrauen auf die Tools die es dafür gibt. Und andere sagen sich, wer weiß, was da alles passiert ist, ich setzte den Exchange neu auf. Aber ich habe noch nicht davon gelesen, dass einer die AD neu aufsetzt. Wie der Frank ja auch auf seiner Seite geschrieben hat. Es ist ein Restrisiko. Ich habe auch noch nichts gelesen, dass einer definitiv Änderungen im AD gefunden hatte.