dormi98

Danke werde ich kommende Woche testen und gebe dann Bescheid

Nein, OS ist bei beiden Windows 10 auf dem letzten Stand. 

vor 3 Stunden schrieb NorbertFe:

War vorher schon die Extended Protection konfiguriert?

Nein. 
Ich wusste nicht, dass die mit CU14 automatisch aktiviert wird. Danke wieder was gelernt. 

Testweise EP im IIS ausgeschalten - funktioniert sofort. 

Fragt sich nur noch was an den beiden Clients nicht passt. 

Hallo zusammen!

Ich habe bei 2 Clients (von ca. 60) nach der Installation des CU14 am Exchange 2019 Server ein Problem. Könnte also sein, dass es auch ein Zufall ist und garnichts mit dem Update zu tun hat. 

Auf beiden Clients ist es nicht mehr möglich Outlook mit dem Exchange Server zu verbinden. Im bestehenden Outlook Profil, welches jeweils vorhanden war, fragt Outlook ständig nach dem Passwort. Eine Eingabe des PW bringt nichts. (die Passwörter sind definitv korrekt - Anmeldung über OWA geht ja)

Die beiden Clients sind dabei komplett unterschiedlich:

Einer ist in der Domäne und hatte Outlook 2010 drauf - habe ich mittlerweile auf 2021 erhöht. 

Der andere ist ein privates Gerät mit Outlook 365.

Folgendendes habe ich bereits versucht:

Registry keys ExcludeExplicitO365EndPoint und ExcludeHttpsRootDomain gesettzt (waren schon vorher vorhanden)

Neues Outlook Profil anlegen (bereits das Anlegen des neuen Profils klappt nicht, weil auch hier bei der Anmeldung das PW Loop kommt)

Neues Benutzerprofil (anderer Benutzer) auf den betroffenen Geräten angelegt. - Problem bleibt

Die betroffenen Benutzer auf einem anderen PC anmelden lassen, Outlook Profil eingerichtet - klappt.

..es dürfte also an den Geräten liegen. 

Dass man ein Outlook Profil ab und zu mal neu anlegen muss ist ja nichts neues. Das es nur mit einem neuen Benutzerprofil geht, hatte ich auch schon. Aber das selbst das nichts hilft..

Die Frage ist, warum schlägt die Authentifizierung fehl? Verbindet sich Outlook bei den beiden Geräten nicht zum richtigen Server?

Welche debugging Möglichkeiten habe ich?

Am 19.2.2024 um 15:53 schrieb zahni:

Nicht getestet: https://www.opencve.io/welcome

habe mich mal angemeldet. Bietet genau das wonach ichgesucht habe. Man kann Hersteller oder einzelne Produkte abonieren. 

Perfekt. 

Danke Zahni

Hallo zusammen!

Kennt jemand von euch eine Seite wo man sich registrieren kann und dann immer sofort ein E-Mail bekommt, wenn zu einem bestimmten Produkt (Windows, div Hersteller,..) ein CVE erscheint. 

Idealerweise so, dass man ein Profil erstellen kann und festlegen kann zu welchen Sachen man Infos bekommt. 

Danke

Das hat richtig lang gedauert, aber ich habe tatsächlich die Ursache gefunden.

Das Problem war garnicht der Exchange Server. 

Es wurde ein Smarthost zum Versenden der E-Mails verwendet. Der hat die Out of Office Nachrichten nicht weitergeleitet. Keine Ahnung warum. und wie er das erkannt hat. 

Von da her war NorbertFe mal wieder richtig. Nur das ich bei Relay nur an interene Software oder Geräte gedacht hab, nicht aber an den Smarthost vom Provider. 

Hallo zusammen!

Ausgangslage:

1 lokales AD mit 2 verschiedenen Benuter OUs (OU A und OU B) 

beide OUs werden per Azure AD Sync nach Microsoft 365 synchronisiert. 

Die Benutzer der OU A liegen alle auf einem internen Exchange 2016

Die Benutzer der OU B haben ihre Mailboxen in Microsoft 365.

Der Mailflow wurde mit einem Connector ermöglicht. Hybridstellung ist nicht aktiviert. Auch im Azure AD Sync Tool ist diese nicht aktiviert. 

Kalendersharing, gemeinsamer Zugriff auf shared Mailboxen oder ähnliches geht natürlich aktuell nicht. 

Daher soll nun die Hybridstellung aktiviert werden. 

Kann hier einfach der Hypbrid Assistent ausgeführt werden und im AD Sync Tool das Hackerl für Hybird aktiviert werden (in welcher Reihenfolge?) oder sind in diesem Fall (es sind ja bereits User mit Mailboxen in Microsoft 365 vorhanden), noch weitere Schritte (vorab) notwendig?

Nicht dass ich mir die Benutzer oder Postfächer kille oder verdopple oder sonst was zerbrösl.

Danke schon mal für eure Inputs

Selbst wenn das irgendwie möglich sein sollte. 

Ein Benutzer könnte immer noch das erhaltene E-Mail öffnen, den Text kopieren und in ein neues E-Mail einfügen. 

Hallo zusammen!

Ausgangslage:

Outlook 2021 mit 2 Exchange Konten. Davon eines davon Hosted Exchange (Mailbox A), das andere Microsoft 365 (Mailbox B). Über das Microsoft 365 Konto sind noch div. shared Mailboxen in Outlook eingebunden.  

Normalerweise ist es ja so, dass Outlook, wenn man im Posteingang einer shared Mailbox steht und dann auf "neues E-Mail" klickt, als Absenderadresse (Von Feld) die Adresse der shared Mailbox verwendet. 

Genau das passiert hier aber nicht. Es wird die E-Mail Adresse von Mailbox B als Absenderadresse verwendet. 

Natürlich kann der Benutzer das manuell umstellen. Aber die Gefahr, dass das vergessen wird ist hoch und dann gehen die Antworten an die persönliche Adresse und nicht wie gewünscht an die shared Mailbox. 

Kennt jemand das Problem?

Gibt es da eine Registry Key über den dieses Verhalten gesteuert werden kann?

Danke schon mal 

Gerald

Nein, der hat nicht mal einen Spamfilter. 

Viellicht noch von Bedeutung:

2 Domains werden direkt per SMTP zugestellt, Eine Domain per POP3 Connector. 

Hallo wieder einmal!

Es geht um einen Exchange 2016  (Build 15.1.2507.23)

Es werden keine externen Out of Office Nachrichten generiert. Intern passt alles. 

Es spielt dabei keine Rolle ob out of office über Outlook oder OWA eingetragen wird. 

Folgendes wurde bereits kontrolliert:

• Kontrolle ob wirklich auch eingestellt wurde, dass auch externe out of office Nachrichten erhalten sollen. 
• get-mailbox username | Get-MailboxAutoReplyConfiguration - sieht so aus wie es soll
• Get-RemoteDomain | fl DomainName,AllowedOOFType,AutoReplyEnabled - liefert: 

DomainName       : *
AllowedOOFType   : External
AutoReplyEnabled : True

get-serverhealth liefert bei folgenden Punkten ein unhealthy:

• Transport.ServerCertMismatch.Monitor
• RestDeepTestMonitor
• NetworkAdapterRssMonitor

Woran könnte das noch scheitern?

Danke schon mal vorab. 

So, ich konnte das Problem lösen

Es sollte tatsächlich so sein, dass USB Datenträger wenn der Wert auf "Nicht konfiguriert" gestellt ist, nicht verschlüsselt werden müssen.

Nachdem es aber so ist habe bin ich über eine längere Suche auf den Registy Key gestoßen, der Verantorlich ist:

HKLM\System\CurrentControlSet\Policies\Microsoft\FVE

hier den Wert RDVDenyWriteAccess anlegen und Wert auf 0 setzen. 

Das ließ sich einfach per Powershell Script auf alle Windows 11 Rechner verteilen. 

Das mag ja sein, aber wir sprechen hier von 10 Usern - da ist ein eigenes Mailgateway schon etwas, naja groß. 
 

Keine anderern Möglichkeiten?

Hallo zusammen!

Ein Geschäftspartner verwendet ein E-Mail Gateway zur E-Mail Verschlüsselung. Allerdings verwenden Sie ein einziges Domain Zertifikat zur Verschlüsselung.

Wir selbst haben S/MIME Zertifikate pro Benutzer.

Wir können verschlüsselte E-Mails von dem Partner erhalten (natürlich nachdem man ein E-Mail mit seinem Zertifikat gesendet hat) - das E-Mail Gateway versteht also S/MIME Zertifikate.

Das Problem ist aber, dass ich es nicht schaffe Outlook bei zu bringen, das Zertifikat für alle Kontakte der Domain xy.com zum Verschlüsseln zu verwenden.

Natürlich kann ich das Domain Zertifikat zu den einzelnen Kontakten hinzufügen, aber auch dann lässt Outlook Zertifikat nicht zu, da ja die E-Mail Adresse im Zertifikat nicht übereinstimmt (ist ja ein Domain Zertifikat)

Kann man Outlook irgendwie beibringen das Zertifikat zu akzeptieren und die Nachricht mit dem öffentlichen Schlüssel zu verschlüsseln? Oder gibt es eine anderen Mailclient, der nicht prüft ob die E-Mail Adresse im Zertifikat stimmt.

Oder könnte ich vielleicht irgendwie den öffentlichen Teil des S/MIME Zertifikats für die jeweiligen Benutzer des Partners bei mir selbst erstellen? Den public key habe ich ja, ich bräuchte also nur ein Zertifikat mit der richtigen E-Mail Adresse und dem öffentlichen Schlüssel - kann man das irgendwie erzeugen?

Der Partner selbst geht übrigens davon aus, dass jeder ein eigenes Mailgateway hat, wo das Domain Zertifikat eingespielt wird.

Danke für eure Inputs

Eine Ressource benötigt keine Lizenz, daher ist auch eine Anmeldung nicht möglich.

Du könntest das Ressourcenpostfach in ein normales Postfach konvertieren und ihm eine Lizenz zuweisen. Exchange online genügt. 

Dann gibt es auch ein Credential und eine Anmeldung ist möglich.

Die Geräte sind Azure AD only.

Ich verwende wie gesagt das gleiche Bitlocker Profil für Windows 10 und Windows 11 

in Intune zu finden unter: Endpunktsicherheit - Datenträgerverschlüsselung  (oder muss man das noch wo einstellen?)

Es sieht so aus: 

Wenn ich das richtig aus deinen Links lese sollte doch bei "nicht konfiguriert" der Schreibzugriff auf unverschlüsselte Wechseldatenträger möglich sein. 

Muss ich eine Custom OMA-URI anlgen?

Hallo zusammen!

Ich verwalte per Intune for Education ca 200 Schülernotebooks. 

Die bisherigen Jahrgänge wurden mit Windows10 Geräten ausgeliefert. 

Der aktuell ausgelieferte Jahrgang hat Windows 11 Geräte bekommen. 

Auf allen ist Bitlocker aktiviert und die Festplatte verschlüsselt. Das soll auch so bleiben. 

Was USB Laufwerke betrifft verhalten sich Windows 10 und Windows 11 allerdings unterschiedlich. 

Während unter Windows 10 USB-Sticks einfach zu verwenden sind, kommt unter Windows 11 beim Anschließen die Frage ob man den USB-Stick per Bitlocker verschlüsseln möchte. Verneint man das wird der USB-Stick nur read-only gemountet. Klickt man auf Laufwerk verschlüsseln, kommt die Meldung: "Die Gruppenrichtlinieneinstellungen für Bitlocker-Startoptionen stehen im Konflikt und können nicht angewendet werden."

Ich habe zwar versucht in Intune unter Endpunktsicherheit - Datenträgerverschlüsselung  ein Bitlocker Profil anzulegen, aber für Wechseldatenträger ist die Richtlinie ohnehin nicht konfiguriert. 

Was muss ich einstellen, damit USB-Sticks unverschlüsselt verwendet werden können. Idealerweise überhaupt ohne der Nachfrage ob verschlüsselt werden soll. 

Danke schon mal im Voraus. 

Korrigiert und funktioniert!
 

Vielen Dank an cj_berlin

Problem gelöst - Thread closed

Stimmt aufpassen muss man da natürlich schon. 

Ich nutze die Möglichkeit bei einigen kleinen Umgebungen (unter 20 User). Mit entsprechender Dokumentation geht das ohne Probleme. Und wenn man doch mal was falsch macht sieht man in der Microsoft 365 Konsole, dass es ein Problem gibt. 

Sieht aus meiner Sicht gut aus:

Get-DynamicDistributionGroup "_Verteiler Alle" | fl

RunspaceId                             : 138ded59-8783-4520-90a1-494caf382380
RecipientContainer                     : domain.com/Gruppen/Verteilergruppen
RecipientFilter                        : ((((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUser')))
                                         -and (-not(Name -like 'SystemMailbox{*')) -and (-not(Name -like 'CAS_{*'))
                                         -and (-not(RecipientTypeDetailsValue -eq 'MailboxPlan')) -and
                                         (-not(RecipientTypeDetailsValue -eq 'DiscoveryMailbox')) -and
                                         (-not(RecipientTypeDetailsValue -eq 'PublicFolderMailbox')) -and
                                         (-not(RecipientTypeDetailsValue -eq 'ArbitrationMailbox')) -and
                                         (-not(RecipientTypeDetailsValue -eq 'AuditLogMailbox')) -and
                                         (-not(RecipientTypeDetailsValue -eq 'AuxAuditLogMailbox')) -and
                                         (-not(RecipientTypeDetailsValue -eq 'SupervisoryReviewPolicyMailbox')))

Oder müsste beim RecipientContainer der Gruppenname stehen?

Hallo zusammen!

Exchange 2019. 

Problembeschreibung:

E-Mail von intern an eine dynamische Verteilergruppe wird nicht zugestellt. Der Absender erhält keinen NDR

$list = Get-DynamicDistributionGroup "Verteiler GruppeXY"
get-recipient -RecipientPreviewFilter $list.recipientfilter

liefert korrekt alle Empfänger

Das Message Trace sieht so aus (nur die Teile die mir komisch vorkommen):

RunspaceId              : d81bca83-ce21-4127-8bec-6d806f26f826
Timestamp               : 02.10.2022 20:15:04
ClientIp                :
ClientHostname          : Exchange1
ServerIp                :
ServerHostname          :
SourceContext           : CatHandleFail
ConnectorId             :
Source                  : AGENT
EventId                 : AGENTINFO
InternalMessageId       : 11201274707973
MessageId               : <1bf49330bee54822b9faaacb609353b5@domain.com>
NetworkMessageId        : b2782313-5eaf-44c1-6d23-08daa4a2071f
Recipients              : {group1@domain.com}
RecipientStatus         : {}
TotalBytes              : 1250803
RecipientCount          : 1
RelatedRecipientAddress :
Reference               :
MessageSubject          : SVI September
Sender                  : user1@domain.com
ReturnPath              : user1@domain.com
Directionality          : Originating
TenantId                :
OriginalClientIp        : XX.XX.XX.XX
MessageInfo             :
MessageLatency          :
MessageLatencyType      : None
EventData               : {[AMA, SUM|v=0|action=|error=|atch=1], [AMA, EV|engine=M|v=0|sig=1.375.1391.0|name=|file=],
                          [CompCost, |AMA=0], [DeliveryPriority, Normal]...}
TransportTrafficType    : Email
SchemaVersion           : 15.02.1118.007

RunspaceId              : d81bca83-ce21-4127-8bec-6d806f26f826
Timestamp               : 02.10.2022 20:15:04
ClientIp                :
ClientHostname          : Exchange1
ServerIp                :
ServerHostname          :
SourceContext           :
ConnectorId             :
Source                  : ROUTING
EventId                 : DROP
InternalMessageId       : 11201274707973
MessageId               : <1bf49330bee54822b9faaacb609353b5@domain.com>
NetworkMessageId        : b2782313-5eaf-44c1-6d23-08daa4a2071f
Recipients              : {group1@domain.com}
RecipientStatus         : {[{LED=250 2.1.5 RESOLVER.GRP.Expanded; distribution list
                          expanded};{MSG=};{FQDN=};{IP=};{LRT=}]}
TotalBytes              : 1250803
RecipientCount          : 1
RelatedRecipientAddress :
Reference               :
MessageSubject          : SVI September
Sender                  : user1@domain.com
ReturnPath              : user1@domain.com
Directionality          : Originating
TenantId                :
OriginalClientIp        :
MessageInfo             :
MessageLatency          :
MessageLatencyType      : None
EventData               : {[DeliveryPriority, Normal], [AccountForest, exchnge1.domain.com]}
TransportTrafficType    : Email
SchemaVersion           : 15.02.1118.007

kennt jemand das Problem?

besten Dank im Voraus. 

Aus meiner Sicht ist die einfachste Lösung einfach im lokalen AD im Attribut Editor das Feld Proxy-Addresses zu verwenden. 

Diese werden übertragen und Exchange Online verwendet die Adressen.

Alle E-Mail Adressen die ein Benutzer haben soll einfach so eintragen:

smtp:jemand@domain.de

für die Antwortadresse so

SMTP:jemand@domain.de

How the proxyAddresses attribute is populated in Azure AD - Active Directory | Microsoft Learn

Danke schon mal für eure Inputs. 

Nein, das Netzwerkprofil steht auf Privat bzw. auf Domäne

Ich habe auch versucht eigene Regeln für die Ports 135, 139 und 445 anzulegen. (je eine für TCP und UDP) - auch das hilft nichts. 

Habe auch einen Portscan gemacht. 

Ist die Firewall an zeigt der Portscanner nur 135 als offen an. 

mit ausgeschaltener Firewall sind es 135, 139 und 445.

ob die oben erwähnten zusätzlichen Regeln dabei aktiv sind oder nicht ändert dabei nichts. 

Ich werde nun noch eine weitere Testinstallation machen und vor dem Domain-join kontrollieren ob das Problem da auch schon auftritt. 

Statt der Ordnerumleitung für Desktop, Dokumente, Bilder,.. verwende ich manchmal die Arbeitsordner. 

Funktionieren meiner Meinung nach viel besser als Offlinedateien. 

Hallo wieder einmal!

Habe gerade 2 Server 2022 in Betrieb genommen. 

Beide sind frisch installiert, abgesehen von Namen ändern, in Domäne aufnehmen und Updates installieren wurde nichts gemacht. 

Beide zeigen das gleiche Verhalten:

Sie sind über \\Servername oder \\ipadresse vom Netzwerk aus nicht erreichbar. 

Erst wenn man die Windows Firewall deaktiviert geht es. 

Alle Datei und Ordnerfreigabe Regeln sind aktiviert. Es genügt nicht einmal "Alle eingehenden Verbindungen für die es keine Regel gibt" auf Annehmen zu stellen. 

Kennt jemand dieses Verhalten? Was ist zu tun?