wznutzer

Die Threads habe ich gesehen. Ich habe einen neuen eröffnet, weil ich glaubte, dass das nicht passt. Der Key ExcludeExplicitO365Endpoint verändert bei mir nichts. UPN ist gleich der Mailadresse, hat sich aber auch nicht ausgewirkt. Der Thread gleich hier drunter behandelt doch Exchange Online. Verstehe ich das falsch?

Guten Tag, irgendwo fehlt mir hier ein Stück Wissen und finde es nicht. Seit den Februar Updates frägt Outlook 2016 oder auch O365 beim Erstellen eines neuen Profils nach dem Passwort. Es muss nichts mit den Updates zu tun haben, aber da ist es halt aufgefallen. An manchen Clients poppt auch hin und wieder mal der Passwortprompt auf. Die User klicken den Dialog ohne Eingabe einfach weg und im Outlook unten rechts wo normal das [Verbunden mit...] steht auf [erneut verbinden] und es geht wieder. lokaler Exchange 2016, alle Updates inkl. CUs Outlook 2016 oder Outlook O365, alle Updates Wird ein Profil neu erstellt erscheint eine Passwortabfrage. Trägt man das Passwort ein, lässt sich das Profil erstellen. Als Authentifizierung bei Autodiscover ist Windows-Authentifizierung aktiv, als Anbieter Negotiate und NTLM. Negotiate an erster Stelle. Die Anmeldung erfolgt mit dom\Nutzer. Ich habe auch schon einen AD-Suffix angelegt und die User mit user@dom.de angemeldet, keinen Unterschied. Wenn ich in der cmd whoami eingebe, wird unabhängig von der Anmeldung immer dom\Nutzer angezeigt. Die Keys ExcludeExplicitO365Endpoint + ExcludeHttpsRootDomain habe ich probiert, ohne Erfolg. Viele User haben gar keine Probleme, lösche ich von einem dieser unproblematischen User das Profil, muss auch da bei der Erstellung das Passwort eingegeben werden. Die Domäne ist noch eine dom.local. Die Email-Domain ist im DNS (inkl. autodiscover.dom.de) eingerichtet und hat lange problemlos funktioniert. Zertifikat ist natürlich auch ein gekauftes installiert das gültig ist. Könnt ihr mich in die richtige Richtung schubsen?

Guten Morgen, evtl. habe ich das falsche Forum gewählt. Es soll hier nicht um technische Fragen gehen und auch nicht um die Strategie. Da bin ich meiner Meinung nach gut aufgestellt. Mir geht es um die Dokumentation. Wie muss das Backup und das Testen der Wiederherstellung dokumentiert werden um z. B. als Administrator oder auch als Geschäftsführer seinen rechtlichen Pflichen nachzukommen? Es geht nicht darum sich in irgendeiner Art davon zu stehlen, sondern möglichst alles richtig zu machen. Ich erzähle einfach mal wie ich das mache um sozusagen an der Kritik zu lernen. Das Backup ist in allen Einzelheiten dokumentiert. Zu den Einzelheiten zählen: Quelle, Ziel, Art des Backups (voll oder differentiell), welche Daten, Aufbewahrungsdauer, welcher User hat Zugriff, mit welchem User wird das Backup erstellt, Rotation der Medien, Backupintervall. Außerdem gibt es zu jeder Angabe eine Bemerkung warum das genau so gemacht wird. Bei der täglichen Kontrolle wird der Kontrolleur und der Zeitpunkt dokumentiert. Außerdem werden die Daten in unregelmäßigen Intervallen wiederhergestellt und getestet ob die Daten korrekt sind. Da wird der Zeitpunkt, die Daten und der Tester dokumentiert. Die Dokumentation ist so gestaltet, dass ein fachkundiger Dritter alles wiederherstellen könnte. Natürlich muss das jemand sein, der Ahnung hat. Also keine Bilderbuch-Schritt-für-Schritt-Anleitung. Da das aber alles die meiste Zeit in, sagen wir, Personalunion durch mich geschieht, ist zwar alles dokumentiert aber es findet keine Kontrolle durch eine weitere Person statt. Nun ist es so, dass der Geschäftsführer ja nicht selber IT-Experte sein muss. Er muss aber trotzdem sicherstellen, dass die delegierte Arbeit getan wird. Die Idee ist nun folgende: Man dokumentiert was der Geschäftsführer prüfen muss. Der GF prüft also nicht das Backup selber, sondern das Protokoll der Prüfung und protokolliert das dann selber. Wenn z. B. festgelegt wird, dass in einem bestimmten Zeitraum die Wiederherstellung geprüft werden muss, prüft der GF anhand dem Protkoll ob das gemacht wurde und wirkt darauf hin, dass es gemacht wird. Natürlich geht das Szenario von verantwortungsvollen beteiligten Personen aus. Mir ist schon klar, dass man auch etwas protokollieren kann ohne es gemacht zu haben. Darum geht es nicht. Das wäre dann ja vorsätzliches betrügen. Ich bin auf eure Kritik gespannt.

Es liegt daran dass der Monitor am Remote-PC schlafen geht. Das wirkt sich auch aus wenn der Monitor gar nicht eingeschaltet ist. An der Maus wackeln oder alle Einstellungen auf Volldampf hilft hier. An der Maus wackeln ist natürlich nicht praktikabel, Remote und so.

Guten Abend, derzeit bin ich auf der Suche nach der Ursache für folgendes Problem: Windows 10 1909 (alle Updates) bauen per VPN eine Verbindung auf. Über diese VPN-Verbindung wird auf einen W2K12R2 RDSH zugegriffen. Diese Verbindung ist, würde ich sagen, pfeilschnell. Das fühlt sich so an, als ob man direkt am PC sitzt. Die gleichen Windows 10 1909 PCs bauen nun aber auch Verbindungen zu anderen Windows 10 (teilweise 1809 oder schon 1909) auf. Diese RDP-Verbindungen haben bei der Tastatus-/Mauseingabe spürbare Latenzen, nach ein paar Stunden hängt dann die ganze RDP-Verbindung und muss erneut aufgebaut werden. An der VPN-Verbindung scheint es nicht zu liegen, weil gleichzeitig auf dem W2K12R2 RDSH pfeilschnell und ohne Hänger gearbeitet werden kann. An TCP oder UDP scheint es nicht zu liegen, da gibt es keinen Unterschied. Farbtiefe, Drucker usw. ist bereits alles reduziert oder deaktiviert. Hat jemand von euch eine Ahnung was eine RDP-Verbindung auf einem Windows 10 Enterprise (1809 / 1909) als Ziel ausbremsen kann? Vielen Dank und bleibt gesund.

Danke. Funktioniert. Die Aussage, dass man sich nicht auf einem DC zum User anlegen usw. anmelden sollte, höre ich nicht zum ersten Mal. Ich kenne nur keinen guten Grund warum, was nicht bedeutet, dass es keine Gründe gibt. Die Adminworkstation muss ja ohnehin vertrauenswürdig sein und RDP-Verbindungen lassen sich auf bestimmte IPs beschränken wenn das nicht komplett offen sein soll.

Doch, per RDP auf einem DC. Aber sollte ich den Grund nicht herausfinden, wären die Remotetools natürlich eine Alternative.

Guten Abend, weil ich im Moment Probleme mit dem Autodiscover habe, ist mir bei der Analyse aufgefallen, dass im Snap-In: [Active Directory Standorte und Dienste] ich unter Ansicht nicht die Option [Dienstknoten einblenden] anwählen kann. Auf dem zweiten DC geht es. Jetzt ist es nicht so, dass ich das ständig anwähle, aber ich würde behaupten, dass das schon mal da war. Weiß zufällig jemand einen Grund, warum der Punkt [Dienstknoten einblenden] nicht da sein sollte? Danke und Grüße

Ich probier das jetzt einfach mal aus. Danke

Hi, danke für den Tipp. Du hast Recht, das würde gehen. Aber so wie ich das sehe muss ich die Funktion dann von einer Webseite aufrufen die wieder auf einem IIS oder Apache liegt. Dann kann ich aber gleich wieder deren Standardfunktionen verwenden. Die Funktion per Postman direkt aufrufen ist ja auch nicht wirklich praktikabel. Ich bemühe mich ein Azure-Freund zu werden, aber MS macht es einem nicht leicht. FTP ablösen, geht nicht, mach halt eine VM mit einen FTP-Server drauf. Einfachen Download bereitstellen, geht auch nicht. Email-Server migrieren, Port 25 ausgehend gesperrt. Support kontaktieren, Tagelange Warterei. Vielleicht ist Azure einfach nicht für Firmen < 1.000 Arbeitsplätze gedacht.

Hallo, ich würde gerne Downloads bei Azure hosten. Es handelt sich um Dateien von ca 1,5GB bis ca. 8 GB Größe. Die Dateien müssen nicht sonderlich geschützt werden, aber sollen auch nicht für den anonymen Zugriff freigegeben werden. Bisher wurde einfach die Basic-Authentifizierung des IIS oder wenn es ein Apache war mit einer .htaccess gemacht. Der User soll eine Url anklicken einen Benutzernamen und Passwort eingeben und dann die Datei herunterladen können. Azure Blob Storage sollte dafür wie gemacht sein, oder auch nicht. Anonym geht, will ich aber nicht. Ein SAS (Shared Access Key) per URL will ich auch nicht, weil der Link öffentlich klickbar auf einer Homepage sein soll und nur derjenige der die Zugangsdaten hat das auch herunterladen können soll. Die Authentifizierung per Azure AD ist an der Stelle auch zu kompliziert. Ist es wirklich so, dass das mit Azure-Storage nicht geht? Muss man tatsächlich deswegen eine VM mit dem IIS anlegen oder eine WebApp bauen? Ist Azure-Storage (Blob) einfach nicht dafür gemacht? Grüße

Hallo, 2FA für das VPN ist bereits aktiv. Dem VPN vertraue ich schon und in diesem Fall auch den Usern. Mit ging es tatsächlich nur darum, den PC der in einem fremden Netz ist möglichst gut genug abzusichern. Antivirus habe ich vergessen zu listen, ist aber auch aktiv und meldet an eine zentrale Stelle. In diesem Fall bin ich mal weiterhin zufrieden mit meiner Konfiguration. Danke und Grüße

Guten Morgen, Zugriffe von extern sichert man idealerweise per VPN ab. Darum soll es aber nicht gehen. Der PC mit dem eine VPN-Verbindung aufgebaut werden soll muss aber zuerst mal in einem Netzwerk mit Internetverbindung sein. Diese Netze sind von mir ja überhaupt nicht zu kontrollieren (Zug, Flughafen, Hotel oder beim Nutzer daheim). Ich weiß ja z. B. nicht ob die Clients in den Netzen isoliert werden. Bisher mache ich das immer wie folgt beschrieben, aber man muss sich ja immer wieder fragen ob das was man tut noch richtig ist. User haben keine Adminrechte Firewall ist mit dem öffentlichen Profil an Netzwerkerkennung ist aus Datei- und Druckerfreigabe ist aus Freigabe des öffentlichen Ordners ist deaktiviert Updates werden immer sofort installiert. Zum Installationszeitpunkt sind die PCs natürlich vor der Installation ohne Updates in einem unbekannten Netz. RDP sowie Unterstützung ist aus Gilt das noch immer als ausreichender Standard? Ich kenne Installationen in denen der externe Zugriff "nur" über das Mobilfunknetz möglich ist. Die Geräte bauen eine direkte Verbindung auf und können, vom Provider so geregelt, auch nur das. Sozusagen eine persönliche VPN-Verbindung per Mobilfunk. Das meine ich aber nicht. Danke für die Meinungen

Desinfect vom Heise-Verlag

Guten Abend, darf ich fragen warum die SSDs in dem Bericht (Blog) erneuert und nicht gelöscht wurden? Hatte es wirtschaftliche (löschen ist teurer als 20 € für eine 120 GB SSD) oder einen technischen Grund? Wie hat es Emotet geschafft sich lateral im Netz auszubreiten? Wenn das herausgefunden wurde, würde mich das brennend interessieren. Manchmal sind das ja wirklich blöde Sachen, wie bei Heise, dass sich ein Domänenadmin lokal anmeldet. Warum wurden keine Backups wiederhergestellt? Lt. Bericht wurden auch Server bereinigt. Das bedeutet, man hätte das Backup auf eine Infektion prüfen können. Wenn man bereinigt weiß man ja auf was man achten muss. Vielen Dank für den Erfahrungsaustausch, falls das Ausplaudern OK ist. Grüße wznutzer P.S. Seid ihr bundesweit tätig?

OK. Damit ich das richtig verstehe. Wenn ich die User nicht doppelt pflegen will benötige ich einen lokalen Exchange zur Verwaltung auf dem aber keine Postfächer liegen und somit auch keine CALs notwendig sind. Das Business Premium Abo ist somit möglich. Vielen Dank

OK, vielen Dank. Das ist ja besch..... Das heißt, man muss die User doppelt pflegen und wenn ich das nicht will einen lokalen Exchange hinstellen, was mich dann zwingt ein Office E3 oder Business Pro Abo abzuschließen oder Exchange CALs separat zu kaufen.

Bist du dir sicher? Ich kann doch AD Connect auch ohne Exchange nutzen und/oder nur mit Office 365. In der Doku finde ich keinen Hinweis darauf.

Also die Variante Vorabauthentifizierung gegen das AD. Das ist gut zu wissen, weil es im Netz die Behauptung gibt, dass das nicht gehen würde, weil der Nutzer nicht aus der Verbindung "herausgelesen" werden kann. Für Sophos und KEMP wird das jedenfalls behauptet. Also lohnt sich eine Recherche in diese Richtung. Darf ich fragen mit welchen Firewalls du das schon gemacht hat?

Guten Morgen, derzeit verwende ich um Mails von extern zu lesen/schreiben die Mail-App von Windows 10. Diese kann über Active-Sync eine Verbindung zum Exchange herstellen. Nun ist der Wunsch das "normale" Outlook zu verwenden. Das ist auch kein Problem, aber das soll nur ausgewählten Benutzern erlaubt werden. Da alle nicht extern berechtigten Nutzer ebenfalls gültige Zugangsdaten haben, könnte jeder der nicht komplett auf den Kopf gefallen ist seine Mails extern abrufen. Das soll nicht sein. Wie kann ich den Zugriff auf /mapi für bestimmte User einschränken? Vorabauthentifizierung an der WAF für MAPIoverHTTP. Bei owa geht es, soll aber nicht verwendet werden (User sind unzufrieden damit). Meine Recherche ist noch nicht fertig. Hat das jemand von euch so am Laufen? Option MapiBlockOutlookExternalConnectivity pro Postfach setzen. Scheint genau dafür zu sein. Es wird aber sehr oft dieser Artikel (https://ingogegenwarth.wordpress.com/2017/01/23/why-using-mapiblockoutlookexternalconnectivity-is-a-bad-idea/) verlinkt und empfohlen das nicht zu machen. Wie macht Ihr das? Danke und Grüße

Es gibt kein Problem im Sinn von: Was muss ich machen, dass X funktioniert. Ich suchte nach einer Doku in der genau beschrieben ist, welche URL für was zuständig ist. Wenn sowas nicht beschrieben ist, muss man es probieren oder auf Erfahrungen anderer (machen wir hier) zurückgreifen, oder einfach alles (wie fast alle Tutorial das tun) freischalten. Grüße und schönen Wochenanfang

Ja, im Großen und Ganzen schon. Aber wenn ich nur /mapi freigebe geht z. B. die out of Office Einstellung nicht. Man muss dazu noch /ews freigeben. Da habe ich eben nach einer Übersicht gesucht was alles für welche Funktion notwendig ist.

Hallo, ich finde bei MS keine Doku in der die Exchange-URLs den Diensten zugeordnet werden. Hat jemand von euch einen Link mit einer Übersicht? Konkret geht es mir drum nur jene URLs freizugeben die auch tatsächlich benötigt werden. Bei Active Sync muss z. B. nur /Microsoft-Server-ActiveSync freigegeben werden. Was ist für Outlook Anywhere (MapiOverHTTP) nötig? Ich meine diese hier: /ecp /ews /Microsoft-Server-ActiveSync /oab /owa /rpc /mapi / /autodiscover Vielen Dank schonmal

Danke. Habe die Funktion dann falsch interpretiert.

Guten Morgen, ich soll meinen lokalen Exchange zu O365 migrieren. Microsoft hat das, meine ich, ziemlich gut beschrieben. Für zwei Dinge konnte ich aber noch keine Doku finden. Migrationsart Ich habe "nur" 100 Postfächer und es soll später auch keinen lokalen Exchange mehr geben. Deswegen habe ich mich für die Übernahmemigration (cut over) entschieden. Microsoft sagt bis 2000 Posfächer, empfiehlt aber in der Doku es nicht für mehr als 150 zu machen. Es funktionert wie Outlook-Anywhere. Soweit so gut. Nun finde ich auf folgende Frage keine Antwort: Kann der Task zur Übernahme mehrfach gestartet werden? Hintergrund: Ich starte die Migration. Das kann, ebenfalls lt. Doku, schon mehrere Tage gehen. So lange zeigt mein MX noch auf die "alte" Umgebung. Postfach 1 wird synchronisiert, nach dem Sync gehen aber wieder Emails in Postfach 1 ein. Wenn der Sync fertig ist stelle ich den MX zu O365 um. Nun müssen die zwischenzeitlich im alten System eingelieferten Emails auch noch nach O365. Es ist aber nicht dokumentiert, dass der Task mehrfach gestartet werden kann. Wenn ja, ist die Sache klar. MX umstellen ein paar mal TTL vorbeigehen lassen und dann nochmals den Sync-Task starten, fertig. Aber geht das? AD-Sync (AD Connect) Ich will Pass-through authentication (PTA) mit Seamless Single Sign On (SSO) nutzen. Mir gefällt, dass die Passwörter lokal liegen und die Nutzer sich trotzdem nur einmal anmelden müssen. Es ist aber eindeutig dokumentiert, dass die Übernahmemigration von O365 fehlschlägt wenn die Nutzer schon vorhanden sind oder erst gar nicht beginnt wenn DirSync aktiv ist. Kann der AD-Sync (PTA mit SSO) nach der Migration aktiviert werden und die dann vorhandenen User aktualisiert bzw. dauerhaft aktuell gehalten werden? Danke und Grüße