Ebenezer

Ich habe davon gesprochen, dass es m.E. für kleine Unternehmen zu teuer ist und nicht, dass es nichts kosten darf. Auch bin ich ein Freund davon so viel wie möglich mit Boardmitteln zu lösen. Remote Desktop Services sind toll aber in diesem Fall keine Option. SRP funktioniert grundsätzlich, ein paar Management Features wären ganz nett - im Wesentlichen will ich nur nicht auf ein "totes Pferd" setzen. Hier wird Microsoft wohl keine Ressourcen mehr in Korrekturen geschweige denn Verbesserungen investieren und wer weiß wann der "böse Monopolist" SRP ganz abschaltet ... :=)

ja, da freut sich dann aber nur Microsoft ... SA ist, zumal wenn man nur EINE Funktion wie Applocker braucht, im SMB-Bereich m.E. zu teuer!

Hallo, ich habe in zwei Umgebungen via SRP das Whitelisting mit Boardmitteln realisiert. Erlaubt sind nur Anwendungen in den Standardpfaden, es gib ein paar Pfad-Ausnahmen (z.B. c:\DATEV) und Hash-Ausnahmen (TeamViewer) die Nutzer haben natürlich keine lokalen Adminrechte. Nun ist ja der Nachfolger von SRP Applocker welcher aber clientseitig die Enterprise Edition voraussetzt. Deshalb suche ich nach einer Application Whitelist Software. Im Netz bin auf zwei Anwendungen gestoßen: 1. Application Control von Ivanti (ehemals AppSense Application Manager) 2. Application Control von McAfee Kennt Jemand diese oder andere Lösungen? Ich suche eher etwas für den SMB-Bereich - also bis ca. 50 Arbeitsplätze. Danke! Nico

Hallo, wir haben an einem Standort zwei getrennte Domains mit jeweils einem DC (DC-ALT=SBS2008 und DC-NEU=Server 2016). Die Clients sind alle noch in der alten Domain und sollen nun nach und nach in die Neue. Auf dem alten läuft noch der DHCP mit primären DNS auf DC-ALT. Ich muss mich an jedem Client mindestens noch 1x an der alten Domain anmelden können um Dinge aus den Benutzerprofilen zu kopieren. Gibt es einen Weg, ohne den primären DNS-Server zu ändern, die Clients in die neue Domain aufzunehmen? Ich habs schon mit Sekundären DNS probiert und hab eine weitere Zone auf dem alten DC mit dem Namen der neuen Domain angelegt und auch den NS-Eintrag angepasst ... ein Domain Join ist aber nicht möglich. Danke! Nico

Es lag an einer zu Windows 10 inkompatiblen Trend Micro Version. Installiert war WorryFree SP3 und es fehlte der Patch1: https://success.trendmicro.com/solution/1116123-worry-free-business-security-wfbs-9-0-sp3-patch-1-multi-language-is-now-released

Danke, ja der saubere Neustart funktioniert. Dann werde ich mal per trial and error den Schwarzen Peter suchen ...

Hallo, wir haben hier 5x Lenovo T540p mit Windows 10 Pro die sich nur noch im Safe Mode bedienen lassen. Versucht man einen normalen Start dann erscheint der Desktop aber man kann nichts auswählen ... der blaue Kreis dreht sich und nach 10-15 Minuten erscheint irgendwann "Die Anwendung reagiert nicht" ... über den Safe Mode haben wir das zeitlich korrelierende MS Update KB3150513 entfernt ... brachte aber auch keine Besserung ... allen Geräten ist außerdem gemein, dass ein Virenscanner von Trend Micro im Einsatz ist und die Garantie gerade abgelaufen ist ... ich mach jetzt mal einen Offline Virencheck ... hat sonst noch Jemand eine Idee oder ähnliche Probleme seit ein paar Tagen? Danke Nico

Hallo, danke für Eure Anregungen. Der Exchange auf dem SBS hat noch SP2... per Power Shell passierte auch nichts ... warum ein SQL-Server auf einem SBS für grundlegende Probleme verantwortlich sein soll ist mir schleierhaft (Sharepoint, WSUS, SBS Monitoring) ... ich habe jetzt Split-DNS mit einem Zertifikat von Start-SSL eingerichtet, somit konnte ich das eigentliche Problem umgehen. Habe jetzt nur gesehen, das Chrome und Firerox Start-SSL nicht mehr vertrauen...

Hi, ich habe auf mehreren SBS 2011 Servern das Problem, dass ich über die Exchange Verwaltungskonsole weder einen neuen CSR erstellen noch ein abgelaufenes (vorhandenes) Zertifikat verlängern kann. Der Assistent beendet sich einfach nicht. Beiden Server ist gemeint, dass sie auch DATEV SQL-Server sind - entsprechend habe ich das hier gefunden: https://www.datev-community.de/message/21967#21967 (in meinem Fall ist das Sicherheitspaket dort jedoch nicht installiert). Hat Jemand eine Idee? Wird dieser Vorgang im Hintergrund irgendwo automatisch protokolliert? Danke! Nico

NT-Autorität\Selbst fehlte tatsächlich unter Senden-Als ... vielen Dank für den wertvollen Hinweis! Nico

aha, danke. Habe gerade gesehen, dass bei den Hinweisen von CU 14 folgendes steht: It's not necessary to install any Exchange Server 2013 Cumulative Updates or Service Packs released prior to Cumulative Update 14 before you install Cumulative Update 14 Dann ist doch eigentlich alles klar, oder?

Falscher Thread

Also CU4 (SP1) kriegt man noch + das aktuelle CU - 2 ... dies lässt doch dann nur den Schluss zu, dass man insofern man < CU4 ist zunächst auf CU4 geht (gehen sollte) und dann auf das Neueste CU. Aber dazu muss es doch bei einem Produkt wie Exchange eine offizielle Aussagen / ein offizielles Dokument geben ...

Was ist damit? https://www.microsoft.com/en-us/download/details.aspx?id=41994 Danke!

Hallo, der Betreff spricht ja wohl schon für sich ... ist ein kleines AD (1 Standort) mit nur einem Exchange Server. Inspiriert durch die anderen aktuellen Threads stelle ich mir die Frage, wie man den Exchange Server überhaupt noch aktualisieren kann. Gilt überhaupt noch die Regel, dass man nur einen (oder waren es zwei ?) CUs überspringen darf? Danke, Nico

Jetzt hab ich mir Deinen zweiten Link angesehen und ich konnte auf diesem Weg, ich habe das bisher immer über Neues-Exchange Zertifikat -> einreichen bei CertSRV -> Anforderung abschließen gemacht, tatsächlich ein neues Zertifikat erstellen und den Exchange-Diensten zuweisen. Warum der übliche Weg nach wie vor nicht funktioniert ist mir jetzt erst mal egal. Danke nochmals!

Hallo Jan, ja ich habe das Zertifikat nach der Umstellung auf SHA256 noch mal erfolglos erneuert ... über Split-DNS habe ich auch schon nachgedacht ... da ich über Exchange ja auch kein CSR mehr erstellen kann bleibt nur der Weg den CSR mit einem anderen Tool zu machen und dann zu importieren, oder? Dann per Gruppenrichtlinie die Outlookprofile umstellen und fertig? Danke, Nico

Ich komme nicht weiter. Ich haben nun über die SBS-Konsole nach Netzwerkfehlern gesucht und es wurde auch ein Problem mit dem selbst erstellten Zertifikat erkannt. Wenn man probiert den Fehler zu beheben erscheint: Das selbst ausgebene Zertifikat wird erneut ausgeben ... doch es passiert nichts ... in der Datei fncw.log steht: [19932] 161129.163111.1979: CoreNet: --- Start fixing certificate error CERT_SELFCERT_INVALID [19932] 161129.163111.1989: CoreNet: SBS apps website name is Sites [19932] 161129.163111.2049: CoreNet: Look for cert in My [19932] 161129.163111.2049: CoreNet: Subject: SITES [19932] 161129.163111.2049: CoreNet: Timespan 30.00:00:00 [19932] 161129.163111.2049: CoreNet: Opening Store [19932] 161129.163111.2069: CoreNet: Finding cert from collection of 12 [19932] 161129.163111.2099: CoreNet: Getting root cert [19932] 161129.163111.2159: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA [19932] 161129.163111.2259: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA [19932] 161129.163111.2299: CoreNet: Converting to bytes [19932] 161129.163111.2299: CoreNet: certcoll.Count: 6 [19932] 161129.163111.2299: CoreNet: Cert Subject: CN=KANZLEI-FS01-CA [19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it. [19932] 161129.163111.2299: CoreNet: Cert Subject: CN=FS01.KANZLEI.LOCAL [19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it. [19932] 161129.163111.2299: CoreNet: Cert Subject: OU=DATEVSERVICECERT3928442FA48B42579EB7D0A2E3DA4C1E_V001, CN=FS01 [19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it. [19932] 161129.163111.2299: CoreNet: Cert Subject: CN=WMSVC-WIN-VFAGIFB99J0 [19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it. [19932] 161129.163111.2309: CoreNet: Cert Subject: CN=KANZLEI-FS01-CA [19932] 161129.163111.2309: CoreNet: Cert subject is not a match, skipping it. [19932] 161129.163111.2309: CoreNet: Cert Subject: CN=KANZLEI-FS01-CA [19932] 161129.163111.2309: CoreNet: Cert subject is not a match, skipping it. [19932] 161129.163111.2309: CoreNet: Closing Store [19932] 161129.163111.2319: CoreNet: Restart certificate service to apply the current CA settings [19932] 161129.163111.6230: CoreNet: Getting root cert [19932] 161129.163111.6290: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA [19932] 161129.163111.6310: CoreNet: Retry after server was unavailable [19932] 161129.163121.6320: CoreNet: Getting root cert [19932] 161129.163121.6370: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA [19932] 161129.163121.6460: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA [19932] 161129.163121.6490: CoreNet: Converting to bytes [19932] 161129.163121.6500: CoreNet: Create leaf cert for SBS apps website Sites [19932] 161129.163121.6550: CoreNet: CommonName: Sites [19932] 161129.163121.6570: CoreNet: CN to validate: CN=Sites, [19932] 161129.163121.6570: CoreNet: Returning CN of CN=Sites, [19932] 161129.163121.6570: CoreNet: sCommonName: CN=Sites, [19932] 161129.163121.6620: CoreNet: Creating Request [19932] 161129.163121.6630: CoreNet: CA Name is: kanzlei-FS01-CA [19932] 161129.163121.6630: CoreNet: CA Name: kanzlei-FS01-CA Kann es sein, dass er das root cert nicht findet? Er guckt in MyCert, findet dort 12 Zertifikate und vergleicht nun das "cert subject" und hier geht was schief. Ich habe ein paar mal der Zertifizierungsstellen Zertifikat erneuert, kann dass das Problem sein? Deshalb existieren unter MyCert überhaupt so viele Zertifikate. Kann ich die CA notfalls de- und neuinstallieren? Bin für jeden Hinweis dankbar!

In welchen Logs soll ich gucken? Ich habe den Assistenten über Nacht stehen lassen und jetzt steht da: Beim ausführen von Daten für einen Remotebefehl ist folgender Fehler aufgetreten: der WinRM -Client kann den Vorgang innerhalb der angegebenen Zeit nicht abschließen ...

Hi, auf einem SBS 2011 sind das CA-Zertifikat und Exchange Zertifikat abgelaufen. Ich habe zunächst das CA-Zertifikat via mmc erneuert und anschließend die CA auf SHA2 umgestellt: certutil -setreg ca\csp\CNGHashAlgorithm SHA256. Das abgelaufene Exchange Zertifikat kann ich nicht erneuern, deshalb wollte ich ein neues erstellen. Leider wird der Assistent nicht fertig (der Balken wandert lustig hin und her). Per Powershell geht es auch nicht. Wenn ich https://servername/certsrv oder https://servername/owa eingebe, dann wird ein Zertifikatsfehler angezeigt aber die Schaltfläche fortsetzen (IE11) fehlt. Ich habe den Server neugestartet (ohne Veränderung) und anschließend wollte ich die CA wieder zurückstellen: certutil -setreg ca\csp\CNGHashAlgorithm SHA1. Leider ändert das gar nichts. Jetzt weiß ich nicht mehr weiter. Hat das eine (certutil) überhaupt etwas mit dem anderen (Zertifikat lässt sich nicht mehr anfordern)? Danke! Nico

Ich habe schon einen eigenen Connector für den Client konfiguriert, Port ist 25, darüber senden auch die Outlook Clients, Patchstand ist alt (8.3 Build 83.6), Firewall und Virenscanner kann man m.E. aufgrund der Fehlermeldung ausschließen, die Absenderadresse habe ich aus dem Exchange-Objekt kopiert ... sie stimmt. Das gleiche mache bei uns mit Exchange 2010 ohne Probleme ... Danke!

Hallo, ich verbinde mich erfolgreich mit Thunderbird per IMAP mit Exchange 2007, kann jedoch keine E-Mails versenden. Hier ein Auszug aus der recv.log: SMTPSubmit SMTPAcceptAnyRecipient BypassAntiSpam AcceptRoutingHeaders,Set Session Permissions Int-Domain\TestUser,authenticated 235 2.7.0 Authentication successful, MAIL FROM:<testuser@ext-domain.de> BODY=8BITMIME SIZE=926, receiving message 550 5.7.1 Client does not have permissions to send as this sender, QUIT Wieso verbietet Exchange, dass der authentifizierte Nutzer mit seiner Hauptadresse senden darf? Danke! Nico

Hallo, beim Ausführen eines VBS-Skripts kommt es zu folgendem Fehler: ActiveX-Komponenten kann kein Objekt erstellen: ASPFormat.Format Code: 800A01AD In der Zeile mit dem Fehler steht folgender Befehl: Set objDLL = CreateObject("ASPFormat.Format") Dieses Skript wird erfolgreich auf diversen Windows 7 PCs in einer Domäne ausgeführt. Nun habe ich einen neuen Windows 7 PC installiert und hier kommt es zu dem o.a. Fehler. Ich habe mir schon die IE-Sicherheitseinstellungen angesehen, die Benutzerkontensteuerung ausgeschaltet, es als Administrator probiert und mit Procmon versucht zu verstehen woran es scheitert. Aber alles bisher vergebens. Danke im Voraus + Grüße, Nico

Danke, das war die Lösung!

Danke. Ich habe schon mehrere GPPs probiert, die werden alle ignoriert. Du meinst also GPMC via RSAT vom 8.1 Client aufrufen und die Policy neu erstellen?