Anubis2k

Jou, vielen lieben Dank für die Infos, ich kläre das morgen mal ab und wünsche einen entspannten Sonntag Abend

Diese fragende Behauptung, ist zu inflationär... Die Antwort darauf wäre "ja" und "nein" Nachtrag: Wie bereits angedeutet, hier wird für uns unterschieden... Interne oder externe Nutzung. Falls es so rüber kam, dass ich dieses behauptet habe... Nein, dass war so nicht gemeint Ich habe halt über andere Anlaufstellen erfahren, dass man wohl Intune nutzen müsse und das wäre doof. Wenn "Conditional Access" dass ist, was wir benötigen um Regeln festlegen zu können wo 2FA benötigt wird und wo nicht und wir dafür entsprechende E3 oder E5 Lizenzen haben müssen, alle anderen mit reiner E1 Lizenz da in die Röhre schauen, wird es doof.

Vollkommen korrekt... wer von Unterwegs (ob nun Home Office, Hot Spot etc.) auf Outlook zugreifen will, soll und muss 2FA nutzen. ABER wir als IT (und wir als Unternehmen) müssen dem Arbeitnehmer die Möglichkeit geben, dass er innerhalb der Firma (die eigene WAN IP) einfach via Username + Passwort eine Anmeldung durchführen kann. Wie gesagt, hier kann man sich darüber streiten ob das Sinn macht oder nicht, will ich aber nicht. Mitarbeiter ist in der Firma = 1FA Mitarbeiter ist unterwegs = 2FA Nicht mehr, nicht weniger. Und wenn sich (so wie ich es erfahren hatte) so etwas nur dann realisieren lässt, wenn man Intune verwendet, wäre das ja schon wieder für Microsoft eine Gelddruckmaschine, weil man halt neben Outlook auch noch weitere Lizenzen benötigt. Ich werde aber morgen mal mit meinem Kollegen sprechen, es könnte halt schwierig werden, da unsere Leute aus dem Vertrieb, OWA auf der Citrix Umgebung verwenden und dafür nur eine E1 Lizenz haben.

Alles klar, vielen Dank schon mal für die Information. Dann werde ich mich mal mit meinem Kollegen austauschen (der verwaltet unsere Microsoft Lizenzen). Wenn ich mich nicht irre, haben einige Kolleginnen und Kollegen nur eine E1 Lizenz, damit sie auf Outlook zugreifen können. Dass sind dann auch die Leute, die Outlook nur über den Browser abrufen und auf Citrix Systemen unterwegs sind. Aber damit habe ich schon mal einen Ansatz

Hallo zusammen, nach längerer Zeit, hätte ich da mal wieder eine Frage, abseits der Dienstleister etc., mit denen ich sonst so verkehre und mir Tipps hole. Wir haben bei uns in der Entra ID / Azure ID / O365 Welt, eine zwei Faktor Authentifizierung aktiviert. Noch nicht für alle, aber sehr sehr viele haben das schon. Gibt es eine Möglichkeit, dass wir 2FA für alle User aktivieren können, ABER wenn ein User in sein Outlook Web Access rein möchte und von unserer Firma aus (WAN mit IP X) darauf zugreifen möchte, kein 2FA benötigt? Hier kann man sich über Sinnhaftigkeit streiten oder nicht, dieses ist aber nicht Sinn meiner Frage und nicht erwünscht. Mir geht es nur darum, kann ich 2FA aktivieren und wenn man von unserem Firmennetz auf OWA zugreift, soll ganz normal Login mit Kennwort möglich sein. Liegt auch daran, dass es Leute gibt die einfach keine 2FA App bei sich auf dem Handy haben möchten. Denen wollen wir die Möglichkeit bieten "du kannst von hier aus darauf zugreifen, möchtest du von zuhause oder unterwegs zugreifen, nur mit 2FA" :) Und wenn das machbar ist, muss ich dafür dann Intune verwenden, oder geht das auch anders? Bisher habe ich nämlich einen Artikel gesehen, da wird erwähnt, dass man Intune nutzen müsse. Gruß, Dominik

Ich installiere den EDGE mal auf der Testumgebung, hole mir die Zugangsdaten vom Kollegen wo es Probleme gibt und teste ob die Benachrichtigungen via EDGE zuverlässiger sind. So hätte man schon mal einen groben Ansatz, woher es kommen könnte. Es ist ja auch nicht auszuschließen, dass man in der Vergangenheit mithilfe von GPOs schon mal was "kaputt" gemacht hat und nun vereinzelt die Probleme auftreten.

Das hab ich auch nur so als Idee in den Raum geworfen. Wenn ihr sagt "ne, Benachrichtigungen kann man nicht ausschalten", ist das eben so. Ich weiß nur, dass man sie aktiv einschalten muss (siehe Anhang), denn wenn man die Cookies vom Browser löscht und sich neu anmeldet, ist das Teil nämlich ausgeschaltet. Warum etwas installieren was mittlerweile wie Chrome ist, aber Edge heißt, wenn man doch das original nehmen kann und dank ADM und ADMX schön konfigurieren kann? :) Und korrekt, alle in den Außenstellen, bekommen nur eine kleine E1 Lizenz, somit ist eine Installation vom Office Paket nicht drin und wenn ich mich nicht irre, teilte man mir mit dass die Installation von Office, mehr Ressourcen auf den Citrix Systemen weg schluckt als es der Browser mit geöffnetem OWA macht. Aber sollten wir selbst keine adäquate Lösung für das "Problem" finden, werden wir mal horchen ob einer unserer Dienstleister sich damit auskennt und weiß wie man das beheben kann, wenn wir dieses nicht in den Griff bekommen.

Das mit den 10 Minuten kann auch nur ein Zufall sein, denn bei zwei anderen Kollegen wiederum klappt es sofort. E-Mail kommt rein, kannst drei Sekunden zählen, zack, Meldung ist da. Profil neu machen war ja auch ein guter Ansatz (Holzhammer halt), aber brachte bei der Person (und drei weiteren) leider keinen Erfolg :( Aber wir geben nicht auf und zwischenzeitlich, habe ich sogar gehört, dass andere Kolleginnen und Kollegen die einen normalen PC (oder Notebook) sowie der Outlook Anwendung installiert haben, auch keine Meldungen bekommen. Eventuell hat hier auch jemand etwas bei der Migration zu Exchange Online verhauen.

Hallo und schönen guten Morgen, unsere Server sind "Windows Server 2019", ich hatte vorhin mit einem Kollegen gesprochen ob er sich für einen Test opfern könnte, wo das Problem besteht. Wir haben ihn abgemeldet, den Profilordner umbenannt (als Backup), neu angemeldet (dann gab es ein neues / sauberes Profil). Als nächstes haben wir Chrome geöffnet, sind auf outlook.com gegangen, haben rechts oben über das Zahnrad die Benachrichtigungen wieder aktiviert und da wir über die GPO die Benachrichtigungen aktiviert haben, kam nach 1 oder 2 Sekunden die Meldung "Erfolgreich, Dies ist der Ort an dem Benachrichtigungen auf Ihrem Desktop angezeigt werden", was ja erst einmal korrekt ist. Dann haben wir ein paar Test E-Mails hin gesendet und es kam nichts. Nach ein paar weiteren Tests, kamen die Benachrichtigungen der ersten E-Mails mit einem Verzug von grob 5 - 10 Minuten. Ich vermute aber mal, hätten wir diese E-Mails schon als "gelesen" markiert, wäre da gar nichts mehr gekommen :( Gruß, Dominik Nachtrag: Ich hatte die Tage auch schon im Internet geguckt, ob es eventuell ein bestimmter Port ist, der für Push Infos benutzt wird, aber es scheint normal über HTTP/HTTPS zu laufen.

Hallo zusammen, ich bin mir nicht sicher, in welcher Ecke des Forums ich hier besser aufgehoben bin, da ich auch noch nicht eingrenzen kann, woher das Problem kommt, worum es geht. Wir haben vor einiger Zeit auf Exchange Online umgestellt (sind auch noch dabei) und aus Performance- und Lizenzgründen können die Kolleginnen und Kollegen in den Außenstellen in ihren Citrix-Umgebungen Outlook nur über outlook.com ausführen. Hier kann man jetzt Push Nachrichten aktivieren, was bei mir und einem anderen Kollegen wunderbar funktioniert. Wir haben die Gruppenrichtlinien für Chrome so eingerichtet, dass die Benachrichtigungen für die benötigten Webseiten funktionieren, die Regeln sind auch aktiv, aber bei diversen anderen Kolleginnen und Kollegen kommen diese Push Nachrichten mit einer Verzögerung von 5 - 10 Minuten. Bis dahin haben die Leute schon im Chrome-Tab gesehen, dass eine neue Mail da ist, haben sie als gelesen markiert, eventuell sogar bearbeitet und gehen dann davon aus, dass unten rechts gar keine Push-Meldungen kommen. Eine Frage wäre, kennt jemand so ein Verhalten und woher könnte es kommen? Die Leute können die Benachrichtigungen für Chrome in den Anzeigeeinstellungen an- und ausschalten, es gibt eine Anleitung, wie das geht und (wie gesagt) in Chrome haben wir die Einstellungen über GPO fest eingestellt und damit funktioniert es bei uns auch (zwei Leute aus der IT), aber bei einigen funktioniert es super spät und damit (bei den anderen) dann gar nicht. Ich habe so ein bisschen den Verdacht, dass Chrome merkt, dass es eine Mail gibt, diese sofort im Tab (innerhalb von Chrome) anzeigt, dann eine Push Info an Windows rausgibt und Windows eventuell nicht weiß, in welcher Remote Session das angezeigt werden soll und bis das der Fall ist, vergehen zig Minuten. Habt ihr eventuell einen Tipp oder Ansatz für mich, kennt ihr dieses Verhalten auch und wenn ja, wie habt ihr das gelöst? Vielen Dank schon mal für die Tipps und Ideen. Gruß, Dominik p.s. Ich hatte auch schon das große Google Orakel gefragt, bin aber auf keine hilfreichen Ergebnisse gekommen, weil ich ja nicht wirklich weiß nach was ich nun suchen soll.

Moin, DNS Technisch kenne ich es auch so dass er so etwas wie eine Art Round-Robin macht und nimmt was er bekommt. Da sind wir mal drauf gekommen, weil ich bei mir zuhause aufgrund von Hardware, Virtualisierung etc. zwei Pi-Hole eingesetzt habe und dann jemand sagte das sie identisch konfiguriert sein sollten, nicht dass immer eine der Fragen schief geht weil Windows sich einfach einen aussucht. ABER der Tipp mit dem "Forward" ist gut... sehr gut sogar! Ich glaube die sollte ich noch mal prüfen. Wir haben zwar noch mal zu zweit und zu dritt geschaut, aber ich glaube DEN TEIL haben wir nicht berücksichtigt. Nachtrag: Also das Forwarding war auf einem der DCs nicht drin, dass haben wir korrigiert. Was uns aber eingefallen war, auch interne DNS Auflösung hatte nicht geklappt! Und das hätte theoretisch klappen müssen.

Hallo zusammen, unsere Mühlen im Unternehmen mahlen relativ langsam, aber ich hätte mal zwei kleine Fragen... das eine ist eine Verständnis Frage, bei dem anderen Thema geht es eher um eure Erfahrungen und Tipps :) Frage 1, Kollege und ich haben in den letzten Wochen unsere DCs auf Windows Server 2019 aktualisiert. Nun haben wir in der vergangenen Woche unseren primären DC01 aktualisiert, und als wir diesen kurzzeitig aus geschaltet hatten, war überall das Internet weg. Verständlich, unser DC01 ist der bevorzugte DNS. Aber, hätte nicht der in den Clients hinterlegte alternative DNS (unser DC02) einspringen müssen? DC01, bevorzugter DNS = IP von DC02, alternativer DNS = 127.0.0.1 DC02, bevorzugter DNS = IP von DC01, alternativer DNS = 127.0.0.1 Clients, bevorzugter DNS = IP von DC01, alternativer DNS = IP von DC02 Frage 2, hierbei handelt es sich wohl eher um ein Philosophisches Thema... Bezeichnungen von Sicherheitsgruppen für Freigaben auf einem Fileserver. Aus historischer Sicht haben wir in der AD eine OU "Freigabegruppen" und darin sind alle Sicherheitsgruppen. Wenn man jetzt auf dem File Server folgenden Verzeichnispfad hat, - \\server\global\Standort\Einkauf\Ordner01\Unterordner01 - \\server\global\Standort\Verkauf\Ordner01\Unterordner01 - \\server\global\Standort\Sonstige\Ordner01\Unterordner01 die Kollegen aus dem First Level Bereich haben es die letzten Jahre immer wie folgt gemacht, - Sicherheitsgruppe, Name = Global_Standort_Einkauf_Ordner01_Unterordner01_RO - Sicherheitsgruppe, Name = Global_Standort_Einkauf_Ordner01_Unterordner01_RW dank den Kolleginnen und Kollegen kann so eine Struktur (leider) noch tiefer gehen und dementsprechend werden die Namen länger und viel spannender ist die Berechtigung wie sie vergeben werden. ---- Unterordner01 (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Ändern" Berechtigung) --- Ordner01 (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Leserechte", nur dieser Ordner) -- Einkauf (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Leserechte", nur dieser Ordner) - Standort (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Leserechte", nur dieser Ordner) Als ich die Kolleginnen und Kollegen fragte ob es da keinen eleganteren Weg gibt, hatte keiner eine Idee und dadurch das es immer so gemacht wurde, hat man das auch so weiter geführt. Gibt es hier ein "Best Practice" wie man so etwas am sinnvollsten oder elegantesten löst? Die Struktur ganz flach halten ist keine Lösung, auch wenn wir die IT sind und es vorschreiben könnten, muss hier ein gesunder Mittelweg gefunden werden, denn nur weil wir etwas vorschreiben muss es nicht sein das wir Recht bekommen. Wenn mehrere 100 Mitarbeiter der Geschäftsführung sagen dass das nicht passt, wird man uns schon sagen wo der Hase lang läuft ;) Eventuell arbeitet man hier in der AD auch mit OUs anstelle von super langen Gruppen Namen und bei den Berechtigungen selbst am Fileserver macht man das auch irgendwie anders. So... ich hätte mich gerne kürzer gefasst um es einfacher zu machen, aber ich habe versucht diverse Infos zu geben und hoffe das es da eventuell ein paar Ideen oder Ansätze gibt. Gruß, Dominik

Moin, einmal ein Feedback an euch bezüglich der Rückmeldung von der Telekom und dem Unify Portal. Ich hatte gefragt ob man dieses auch via LDAP an unserer AD anbinden und hier hatte man mir gesagt, dass dieses nicht möglich sei aber es ist möglich eine Anbindung via ADFS zu realisieren. Ist schade, denn wir haben diverse Komponenten via LDAP angebunden was auch super zuverlässig funktioniert, aber eventuell liegt das an individuellen Anpassungen unsres Systems. Ich habe das zum Schluss gegenüber der Telekom nicht weiter hinterfragt, da das ganze Konstrukt ein wenig "Schatten IT" bei uns ist. Hier sind zwei Hardware Systeme (redundant) mit ESXi und diversen VMs als Bausteinen für Telefonie, Contact Center etc. Bezüglich des Tipps, dass man eher ein öffentliches Zertifikat und nicht eins via PKI ausgesellt nehmen sollte hätte ich mal eine kleine Frage. Ich selbst hatte für S/MIME meine Zertifikate damals bei PSW-Group organisiert, weil die eine große Auswahl (auch SSL Zertifikate für Webseiten etc.) und auch mit längerer Laufzeit haben. Wenn ich nun nächste Woche mit meinem Kollegen rede, ihm sage dass wir dieses über ein öffentliches Zertifikat realsieren würden, gibt es da eine preferenz bezüglich des Anbieters und Laufzeit, oder wäre PSW Group schon OK? Ich frage nur, weil man ja zwecks Laufzeit von Zertifikaten hier und da ein wenig vorsichtiger ist, da ja Apple auch schon angefangen hat, Zertifikate mit langer Laufzeit als "nicht vertrauenswürdig" abzustempeln.

Ja, davon hab ich gehört... ich wollte mich da aus Hannover auch noch bei jemandem melden, aber da man bei mir die Themen umgeworfen hat, wird es aktuell aufgeschoben. Aber in Hannover wohnen Leute die keine langen Wege zur Arbeit haben wollen und auch direkt dort irgendwo wohnen. Für mich wäre das nichts, darum wohne ich außerhalb von Hannover... WEIT außerhalb von Hannover

Moin, sorry für die späte Rückmeldung, ich war Mittwoch und Donnerstag bei uns in Hannover auf einer Messe unterwegs und da ist das Antworten hier auf das Topic leider etwas unter gegangen. Aber vielen Dank für die Ansätze und Tipps! Wenn die Aussage von einem meiner Kollegen (der länger im Unternehmen ist als ich) korrekt ist, sind diverse Bausteine der Systeme auf uns abgestimmt, daher gucke ich noch mal in die Doku die wir von der Telekom bekommen haben und frage sie mal ob sich das Portal auch direkt am AD (z.B. LDAP) anbinden lassen würde. Zumindest weiß ich, dass ja auch andere Systeme die bei uns eingesetzt werden, mit dem AD sprechen. Zumal das eine oder andere System auch web basiert ist, vielleicht kann unsere Lösung dieses ebenfalls und man hat uns dieses noch gar nicht mitgeteilt. Eventuell ist das aber auch aufgrund von "Schatten IT" gar nicht so einfach realisierbar und darum die Brücke über ADFS. Montag werde ich mal unsere Leute bei der Telekom ansprechen ob es da einen genaueren Grund gibt das so zu lösen, oder ob man nicht eventuell eine LDAP Anbindung einrichten könnte. Sobald ich dazu mehr Informationen habe, gebe ich ein Feedback! Aber der Gedanke ist gut und würde das ganze eventuell vereinfachen. Vielleicht ist das so ein "Wald vor lauter Bäumen" ding, dass man hier nur das eine betrachtet und der Rest außer Acht blieb. Gruß, Dominik

Es handelt sich um eine Unify Anlage die von der Telekom verwaltet wird, aber in unseren Gebäuden stehen und auch nur intern im LAN erreichbar ist. Die Grundbausteine sind zwei ESXi im HA Verbund (je Gebäude einer) und darauf befinden sich die Bausteine, die von der Telekom für uns bereitgestellt werden. Auf einem der Systeme ist das OpenScape Contact Center hinterlegt, wo sich unsere Kolleginnen und Kollegen anmelden. Darüber steuern sie dann ob sie aktiv sind um Gespräche entgegen zu nehmen, sehen den Status der anderen Leute ob diese in Gesprächen sind und haben einige andere Funktionen. In einem der Dokumentationen die wir von der Telekom bekommen haben um SSO aktiv zu bringen, wird vorausgesetzt dein ein funktionierender ADFS vorhanden ist.

Bis es Probleme mit dem KMS gibt.

Kann ich dennoch das System installieren.

Meta Frage... worauf möchtest du hinaus?? Wann hab ich einen installiert... bei uns in der Firma? Vor ein paar Tagen... bei mir im privaten Bereich, ist schon länger her.

Ja, in einer kleinen Testumgebung werde ich das auch mal ausprobieren. Hab zuhause nen Proxmox und wenn ich mich nicht irre, gab es mal so Lizenz Schlüssel für Serversysteme die eine maximale Laufzeit von 14 Tagen haben (oder so), damit kann ich das definitiv hier bei mir nachbauen und testen, bevor ich etwas zerschieße. Meine Aussage sollte also nicht darauf hinauszielen, dass ich jetzt loslege und einfach mal unsere AD mit neuen Techniken beschieße und am Ende geht nichts mehr. Gruß, Dominik

Alles klar, weiß ich Bescheid... hätte ja sein können, dass es doch mehr Sinn macht Was diese Aussage angeht, kommt mir vertraut vor. Bei meinem ehemaligen Arbeitgeber hatten wir keine Dev oder Staging Ebene und bei uns bezüglich der AD gibt es auch nur die produktiv genutzte Domäne. Darum bin ich bei uns im Unternehmen (wo ich jetzt bin) noch etwas vorsichtiger. Wenn ich beim alten Arbeitgeber (klein Unternehmen aus unter 10 Personen) was kaputt gemacht habe, war ich alleine dafür verantwortlich und hab es gerade gebogen Ich hab auch (leider) oft festgestellt, es wird immer nur eines zu 100% "gut" gepflegt. Was dann dazu führte, dass die Testumgebung nicht mehr auf dem Stand der Live-Umgebung ist und wenn sie gleich sind, hab ich oft erlebt das Dinge die in der Testumgebung funktioniert haben, in der Live-Umgebung nicht funktionieren. Gruß, Dominik

Moin und schon mal vielen Dank für die Rückmeldungen Bezüglich des Dienstes (unser Webinterface der Telefonanlage) ist ausschließlich intern erreichbar und nicht von extern. Somit könnte man die PKI verwenden, unter der Voraussetzung dass es natürlich auch mit anderen Browsern klappt. Wenn es bezüglich der Kompatibilität zu anderen Browsern schon Probleme gibt, macht es eventuell doch Sinn unser gekauftes Wildcard Zertifikat zu verwenden und den DNS Eintrag umzubiegen. An sich ist der Anwendungsfall wie in dem Artikel von Nils, den ich im ersten Post verlinkt habe. Wir wollen einen Anmeldeprozess wie in der dritten Grafik durchführen. Benutzer meldet sich morgens am PC (Notebook etc.) an, geht auf das Mitarbeiterportal unserer Unify Anlage und dort wird via SSO ein Login durchgeführt und der Mitarbeiter kann loslegen Vermutlich gehen die meisten Leute auch ganz andere Wege und versuchen es dann weg zu lassen. Was am Ende ebenfalls ein Grund ist, wieso ADFS nicht so super gut dokumentiert ist, wie du auf deiner Seite geschrieben hattest. Würden es mehrere Leute verwenden, gäbe es mit Sicherheit mehr Dokumentationen dazu Gruß, Dominik

Ja, so habe ich die Aussage von Nils in seinen Grundlagen aus 2014 auch verstanden und hatte die Hoffnung, dass sich so etwas nach X Jahren schon mal "verbessert" hat Zu der Frage wie oft bei Lets Encrypt irgend welche CA's auslaufen, keine Ahnung... damals gab es ja so etwas die StartSSL, dann gibt es ja Symantec, GlobalSign und wie sie alle heißen, die gibt es ja auch schon diverse Jahre und müssen auch mal ihre CA's aktualisieren. Aber wenn man grob 6 Monate vorher das PKI verlängert bevor es ausläuft, ist das ja noch alles im grünen Bereich. Mir ging nur erst einmal die Pumpe als der gute Herr diese Andeutung gemacht hatte. Eventuell hab ich das auch falsch interpretiert. Vom Verständnis her habe ich es so aufgenommen, dass SSO nur dann funktioniert wenn ein valides SSL Zertifikat vorhanden ist und dieses würde dann über unsere PKI validiert werden. Und so kam ich dann zu dem Gedanken mit dem Browser, ob man ein validiertes Zertifikat denn auch nur im IE gangbar bekommt. Ich würde aber morgen auf der Arbeit noch mal die Schritte bezüglich des ADFS durch gehen, damit ich genauere Fragen habe. Aber ich bedanke mich schon mal für deine Anteilname

Hallo zusammen, der Typ mit den Fragen ist wieder da Eigentlich wollte ich ja in diesem Jahr mit unseren Fileservern beginnen, es kamen aber zwei andere Dinge hinzu die meinen Kollegen wichtiger waren. Ein Thema ist ADFS... die Grundlagen zu ADFS habe ich mir einmal durchgelesen, daher verstehe ich nun auch wieso mein Kollege möchte dass ich einmal schaue ob ich ADFS für unsere Domäne aktivieren kann, damit unsere Kolleginnen und Kollegen das Webinterface für unsere Telefonanlage via SSO nutzen können. Soweit so gut... Ein Root-PKI, Issuing-PKI existiert und soweit ich das über andere Seiten korrekt verstanden habe, ist das auch eine Grundvoraussetzung. Also habe ich vor ein paar Wochen einen unserer Dienstleister dazu angesprochen, der mir dann gezeigt hatte wie ich mir Zertifikate über unsere PKI für die Systeme ausstellen kann. Bei der Aktivierung des ADFS Dienstes blieben wir dann aber stehen, da wusste der gute Herr dann selbst nicht mehr 100% weiter und traute sich auch nicht. Stehen geblieben waren wir bei dem Punkt dass wir über die PowerShell "Add-KdsRootKey" ausführen müssen, wobei er noch sagte der CMD "Add-KdsRootKey -EffectiveImmediately" wäre wohl sinnvoller wegen der effektiven Zeit, doch bevor ich dieses mache, solle ich doch bitte erst einmal schauen dass unsere Backups funktionieren um die AD nicht kaputt zu machen. Was natürlich die Skepsis noch etwas erhöht hatte. Interessant war noch, über die PKI haben wir für das Webinterface unseres PRTG ein Zertifikat erstellt. Ich wunderte mich dann, dass der Browser noch immer sagt "nicht zu vertrauen" und der Herr sagte mir, dass das ganze NUR im IE funktioniert. Firefox und Chrome gehen nicht, weil sie nicht zu Windows gehören und EDGE würde auch nicht gehen, weil er nicht so in Windows verankert wäre wie ein IE und somit würde es auch nur im IE gehen. Daher hätte ich ein / zwei Fragen an die Profis die das schon ein paar mal gemacht haben... a.) Ist es so komplex / schwer einen ADFS Dienst in eine Domäne einzubringen?? b.) Funktioniert das Vertrauen von SSL Zertifikaten (signiert durch die eigene PKI) nur im IE und keinem anderen Browser?? Der Punkt ist ja der, das Webinterface unserer Telefonanlage (so eine Art Callcenter System von Unify) wird bei uns bei einigen im Chrome aufgerufen, bei anderen wiederum im Firefox. Gibt es vielleicht auch eine einfache "step by step" Anleitung zum einrichten eines ADFS, die ihr empfehlen könnt wo ich mir die Schritte auch mal anschauen kann?! Eventuell ist es ja doch einfacher als ich es mir gerade vorstelle und der gute Herr unseres Dienstleisters hat es etwas schwieriger gemacht als es eigentlich ist. Gruß, Dominik p.s. Auch als der Ansatz kam "das Root-PKI gilt ja noch X Jahre, wenn das ausläuft, sollte man lieber Urlaub nehmen bevor man DAS neu machen muss", eventuell war das versteckte Ironie die ich nicht verstand, hab mir das aber erst einmal gemerkt. Aber auch das kann doch nicht SO ein Akt sein, oder doch? Wenn ich so an die großen CA wie Lets Encrypt denke, muss bei denen ja immer Katastrophentag sein wenn deren CA auslaufen.

Hallo zusammen, erst einmal frohe Weihnachten und das ganze Zeug was man so sagt und wünscht Thema "Zuordnung PDF" hab ich eben gerade etwas herausgefunden... sobald ich mit meinem "ACDSee Photo Studio Ultimate 2022" in einen Ordner gehe wo ein PDF drin ist, wird die Zuordnung auf den EDGE umgestellt. Wie sagte mal ein älterer Herr... klingt zwar komisch, ist aber so. Es ist sogar replizierbar, immer wenn ich Foxit PDF Editor als Standard auswähle, ist erst einmal alles wieder so wie gewünscht. Sobald ich ACDSee öffne ist auch noch alles OK, aber wenn ich einen Ordner öffne wo ein PDF Dokument drin ist, wird es umgestellt. Ich werde mal den Support auf das Thema ansprechen! Die gute Nachricht (in meinem Fall) ist, dass es also NICHT von Windows / Microsoft kommt, was ja schon mal nahe liegen kann, da Microsoft ja gerne deren eigenen Produkte präferieren möchte Gruß, Dominik Nachtrag: Lustigerweise hatte ACDSee eine PDF Zuordnung. Diese habe ich entfernt und nun könnte es ruhig sein. Ich beobachte und gebe Feedback, sollte wieder was passieren.