xrated2

Der WSUS Server ist an einem anderen Standort. Deswegen macht es keinen Sinn das sich die Clients von dort die Updates holen. Ich habe jetzt aktuell die Option "DisableWindowsUpdateAccess" entfernt aber die Zielversion in der GPO angegeben. Ich habe in WSUS eh immer nur die Funktionupgrades selber gesteuert. Dualscan (Keine Richtlinien für Updaterückstell..) ist auch deaktiviert. Windows-Komponenten/Windows UpdateAusblenden Richtlinie Einstellung Kommentar Clientseitige Zielzuordnung aktivieren Aktiviert Zielgruppenname für diesen Computer K5-PC Richtlinie Einstellung Kommentar Internen Pfad für den Microsoft Updatedienst angeben Aktiviert Interner Updatedienst zum Ermitteln von Updates: http://k5aux.ad.xxx.com:8530 Intranetserver für die Statistik: http://k5aux.ad.xxx.com:8530 Alternativen Downloadserver festlegen: (Beispiel: https://IntranetUpd01) Dateien ohne URL in den Metadaten herunterladen, wenn ein alternativer Downloadserver festgelegt ist Deaktiviert Erzwingen Sie nicht das Anheften von TLS-Zertifikaten für den Windows Update-Client, um Updates zu erkennen. Wählen Sie das Proxy Verhalten für den Windows Update-Client zum Ermitteln von Updates aus: Richtlinie Einstellung Kommentar Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird Aktiviert Suchhäufigkeit für automatische Updates Aktiviert In folgenden Abständen (Stunden) nach Updates suchen: 1 Windows-Komponenten/Windows Update/Windows Update für UnternehmenAusblenden Richtlinie Einstellung Kommentar Zielversion des Funktionsupdates auswählen Aktiviert Für welche Windows-Produktversion möchten Sie Funktionsupdates erhalten? Beispiel: Windows 10 Windows 10 Zielversion für Funktionsupdates 22H2 Windows-Komponenten/Windows Update/Windows Update für UnternehmenAusblenden Richtlinie Einstellung Kommentar Beim Empfang von Qualitätsupdates auswählen Aktiviert Anzahl der Tage, die der Empfang eines Qualitätsupdates nach der Freigabe zurückgestellt werden soll: 30 Qualitätsupdates aussetzen ab (Beispiel für das Format jjjj-mm-tt: 2016-10-30) Richtlinie Einstellung Kommentar Zeitpunkt für den Erhalt von Vorabversionen und Funktionsupdates auswählen Aktiviert Wie viele Tage nach dem Erstellen eines Funktionsupdates möchten Sie die Aktualisierung zurückstellen, bevor Sie für das Gerät angeboten wird? 30 Vorabversionen oder Funktionsupdates aussetzen ab: (Beispiel für das Format jjjj-mm-tt: 2016-10-30) Windows-Komponenten/ÜbermittlungsoptimierungAusblenden Richtlinie Einstellung Kommentar Downloadmodus Aktiviert Downloadmodus: LAN (1)

Nachdem jetzt die Pakete über WPP wieder funktionieren (die Pakete werden ja über WSUS installiert) ist mir aufgefallen das Windows 10 und 11 keine MS Updates von WSUS bekommen. Fehler im Eventlog: 0x8024002e Im WSUS ist eingestellt das sich die Clients von MS direkt runterladen sollen, dass hat bisher auch so funktioniert. Wsus ist mit Port 8530 http eingestellt. Wenn ich diese Option https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.InternetCommunicationManagement::RemoveWindowsUpdate_ICM&Language=de-de DisableWindowsUpdateAccess auf 0 stelle dann funktionieren die Updates wieder aber dann ist WSUS ja komplett ausgehebelt oder?

Ja irgendwie muss es so gewesen sein. Aber auf dem Server hatte WPP be revise auch schon gemeckert das es ungültig ist. Vielleicht war das schon länger so. Und der Client hat wohl einfach nur nach Ablauf des Zertifikats nichts mehr installiert.

WPP hatte ich schon vor einiger Zeit aktualisiert, da scheint ja nichts mehr neues zu kommen. Merkwürdig ist eben das die Pakete ja schon seit einiger Zeit ungültig waren aber sich erst durch den Zertifikatwechsel nicht mehr installieren ließen.

Ach ist das mit "resign" gemeint, hatte ich ganz übersehen. Da dachte ich eher das heisst soviel wie Paket "kündigen". Aber was ist denn da die Ursache?

Bei WPP ist nach vielen Jahren das Zertifikat abgelaufen. Habe also ein neues erstellt innerhalb WPP und es via GPO mit der bekannten Methode an die Clients verteilt. Zwischendurch am Server das alte Zertifikat gelöscht und später wieder importiert (von einem Client) als es nicht mehr ging, weiß nicht ob das der Fehler war. Kann ich mir aber nicht vorstellen. Privater Schlüssel scheint laut certlm noch da zu sein. Das seltsame ist das die meisten Pakete nicht mehr funktionieren, neuere d.h. von diesem und letzten Jahr anscheinend schon. Die Frage ist, was da passiert ist? Scheint schon mit dem ablauf des alten Zertifikates zu tun haben. Wenn man in WPP beim betroffenen Paket auf revise geht "verfication of file signature failed" beim .cab file. Die Clients bringen den Fehler "einige Dateien sind nicht signiert" 800B0109 Cab File von WPP: Wenn ich auf dem Server das entsprechende .cab File von WPP raussuche steht bei Signatur: Ein erforderliche Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. Als Signaturzeitpunkt steht: Nicht verfügbar Unter Signaturliste steht: WPP Self-Signed sha1 Nicht verfügbar WPP Self-Signed sha256 Nicht verfügbar In dem Zertifikat selber steht sha512 Lösung: Signieren des cab files mit dem neuen Zertifikat. Als erstes habe ich dann in certlm für User erneut das neue Zertifikat inkl. private key importiert, sonst findet es signtool nicht. Man könnte aber auch das pfx mit signtool direkt angeben. Der Befehl lautet dann signtool sign /v /fd sha1 /tr http://timestamp.digicert.com /td sha1 /n "WPP Self-Signed" cabfile signtool sign /v /as /fd sha256 /tr http://timestamp.digicert.com /td sha256 /n "WPP Self-Signed" cabfile

Es ist O365. Dann werde ich wohl alle Adressen als Verteilerlisten neu anlegen müssen.

Frag mich nicht was die da veranstalten. Zu den Regeln habe ich nichts über Variablen gefunden d.h. zumindest %%To%% geht schon mal nicht https://learn.microsoft.com/en-us/exchange/policy-and-compliance/mail-flow-rules/actions?view=exchserver-2019

lässt sich das auch nur auf bestimmte Adressen einschränken? Es geht um ein Postfach mit ca. 300x Alias

Wenn es die Empfängeradresse anzeigt an die ursprünglich gesendet wurde, anzeigt wäre schon damit geholfen. Weiß der Geier warum es in Outlook nicht möglich ist, die Formel [SearchFromEmail] aber nicht [SearchToEmail] als Spalte hinzuzufügen.

Leider funktionert das Addin nicht bei freigegebenen Postfächern.

Über IMAP wird die eMail Adresse auch angezeigt, nur in Outlook eben nicht. Ich schaue mal ob dieses Plugin reicht.

Hallo Wenn man ein Postfach mit mehreren Alias Adressen hat, dann wird von Outlook nur der Name und nicht die eMail Adresse als Empfänger angezeigt. Gibt es eine Möglichkeit das in Outlook anzuzeigen ohne Verteilergruppen zu benützen? Ich habe darauf basierend getestet: https://www.vboffice.net/en/developers/display-recipients-email-addresses/ Private WithEvents m_Inbox As Outlook.Items Private Sub Application_Startup() Dim Session As Outlook.NameSpace Set Session = Application.Session Set m_Inbox = Session.GetDefaultFolder(olFolderInbox).Items End Sub Private Sub m_Inbox_ItemAdd(ByVal Item As Object) AddAddresses Item, False End Sub Private Sub AddAddresses(Item As Object, ByVal IsSentMail As Boolean) Dim Recipients As Outlook.Recipients Dim R As Outlook.Recipient Dim UserProps As Outlook.UserProperties Dim Prop As Outlook.UserProperty Dim Adr As String Dim FieldName As String FieldName = "RecipientAddress" Set Recipients = Item.Recipients For Each R In Recipients Adr = Adr & R.Address & "; " Next 'If Len(Adr) Then ' Adr = Left$(Adr, Len(Adr) - 2) 'End If If Len(Adr) Then Set UserProps = Item.UserProperties Set Prop = UserProps.Find(FieldName, True) If Prop Is Nothing Then Set Prop = UserProps.Add(FieldName, olKeywords, True) End If Prop.Value = Adr Item.Save End If End Sub aber alles was ich da erhalten habe war eine LDAP Adresse von Exchange: /o=ExchangeLabs/ou=Exchange Administrative Group .... die nicht die Mail Adresse enthält sondern nur einen CN vom Postfach. Dagegen die From Adresse lässt sich recht einfach mit der Formel [SearchFromEmail] als Spalte anzeigen, nicht aber die Empfängeradresse. Geht das nur durch Auswertung vom Header?

in anderen Foren ist es üblich alte Threads weiter zu führen um nicht die Suchergebnisse vollzumüllen. Ich will von Teamviewer weg und Remotehilfe scheint von den Features auszureichen bis auf die Sache mit UAC.

Ist schon alt aber ich frage mich ob man heute sowas noch so verwenden sollte. Dieser abgedunkelte Bildschirm macht doch eigentlich nur Sinn wenn der User entsprechende (Admin)Rechte am PC hat oder? b***d wäre natürlich wenn ein nicht erlaubtes Script das Adminpwd hätte. Vom Funktionsumfang täte die Remotehilfe voll reichen sofern man UAC abändert.

Bis jetzt reicht der einzelne User mit einer O365 Lizenz für die Vorgaben. Ich habe die User in Azure als externen User erstellt. Wichtig ist das man dort User statt Gast auswählt. Als Gast könnte man zwar Sharepoint benutzen aber nichts verwalten. Wenn der User die Einladung annimmt sieht man das ExternalAzureAD dabei steht (ist wohl ein B2B User, der dann keine neue Lizenz benötigt). Dann kann man mit dem zweiten Sharepoint ganz normal arbeiten und auch Adminrechte zuweisen.

Ich habe jetzt einen Admin User in dem zweiten Tenant angelegt und schaue grade nach Testlizenzen für O365 Basic. Vielleicht reicht das ja schon das der Sharepoint in dem zweiten Tenant erscheint.

Der wird aber auch nicht zusätzliche Settings reinzaubern können ;) Ist der Bedarf so selten nach einer zweiter Sharepoint URL? Was ich bis jetzt so gefunden habe über Multi Tentant Umgebungen, da bezieht sich MS auf 1 Million User https://learn.microsoft.com/de-de/microsoft-365/education/deploy/design-multi-tenant-architecture

Einen zweiten Tenant habe ich ja angelegt in Azure bzw. Entra ID, ich sehe auch das die User dort als Gast hinterlegt werden. Aber Dienste wie Sharepoint, Teams sind damit halt nicht verbunden. Kann mir auch nicht vorstellen das da plötzlich ein Sharepoint auftaucht sobald man einen User eine neue Lizenz zuweist. Eine Websitesammlung bringt denke ich nichts, da gehts ja nur darum mehrere Sites innerhalb einer Site zur Verfügung zu stellen. Momentan ist das so gedacht das jeder Kunde eine eigene Site erhalten soll auf die er zugreifen darf. Und für jede dieser Sites sind verschiedene Mitarbeiter zuständig (also so quasi die halbe Firma, mal der, mal der). Die Rechtevergabe in Sharepoint ist auch höchst unflexibel. Sobald man externes teilen global erlaubt, dürfen die Besitzer der jeweiligen Sites machen was sie wollen mit der einzelnen Site.

Bräuchten dann nur diejenigen Premium die darauf zugreifen? Das könnte allerdings recht teuer werden. Interessant wäre auch wo man denn diesen Sharepoint überhaupt anlegt, unter dem zweiten neu erzeugten Tenant in Azure ist nämlich kein Sharepoint abrufbar unter der gewohnten URL.

Das sind ja auch nur einzelne Sites im Verbund. Der Chef will aber eine eigene URL und getrennte Systeme.

Der Chef hat Angst das Daten vermischt werden und er hat wo anders gesehen das das mit einem zweiten Sharepoint gelöst wurde. Es soll eindeutig getrennt sein. Auf dem jetzigen Sharepoint soll gar kein Gast zugreifen dürfen.

Hallo es wird ein zweiter Sharepoint benötigt weil Daten extern geteilt werden soll und es soll eine klare Trennung geben (nur mit einzelnen Sites reicht nicht). Bis jetzt habe ich nur rausgefunden das man dazu einen zweiten Tenant benötigt. Den kann man ja in EntraID anlegen, aber Sharepoint gibt im Rahmen vom Business Standard Abo wohl nur einen? Wie funktioniert das? Ein komplett neues Account und alle User neu anzulegen bringt ja auch nichts.

2 geht nicht weil es fremde Zielempfänger sind und war da nicht noch was das da nur bestimmte definierte IP Adressen senden dürfen? 3 hab ich auch schon probiert und ist in unserer Umgebung auch komplex weil ein anderer Mailserver vorgeschaltet ist, dass muss ich auch noch abändern. Ohne Security Defaults habe ich jetzt bei jedem User einzeln MFA aktiviert wo nötig. Auch keine schöne Lösung da Conditional Access aus Lizenzgründen nicht zur Verfügung steht.

Ja da steht aber auch nirgends das man die Azure Security Defaults deaktivieren muss das es geht. Habe endlos Zeit vergeudet bis ich das entdeckt habe. Aber dann funktioniert es. Ich muss mir jetzt erstmal einen Test Tenant machen, nochmal ohne trifftigen Grund schalte ich die nicht wieder an. Hatte heute 5 Leute die sich nicht mehr einloggen konnten wegen MFA.