testperson

Hi, wenn ich dich richtig verstehe, ist das so korrekt (Understanding AppLocker allow and deny actions on rules - Windows Security | Microsoft Learn): Gruß Jan

Hi, dann lag ich richtig. Pack die Erstellung des $Userobjekt in dein foreach. Gruß Jan

Hi, ich vermute, du erstellt einmalig dein Userobjekt und änderst dieses immer wieder mit neuen Daten aus der CSV. Dann ist das AFAIK by Design. Du wirst ja vermutlich die importierte CSV Datei per foreach-Schleife durchlaufen und so der Userliste deine Userobjekte hinzufügen. _Vermutlich_ erstellst du _vor_ der Schleife das Userobjekt und nicht _in_ der Schleife: # Vermutlich so / "falsch" $Inhalt = Import-Csv .... $Userliste = ... $Userobjekt = New-Object -TypeName User foreach($i in $Inhalt){ $Userobjekt.Vorname = $i.Vorname ... $Userliste.Add($UserObject) } # Sollte vermutlich zu deinen Erwartungen führen: $Inhalt = Import-Csv .... $Userliste = ... foreach($i in $Inhalt){ $Userobjekt = New-Object -TypeName User $Userobjekt.Vorname = $i.Vorname ... $Userliste.Add($UserObject) } Gruß Jan

Hi, du kannst im DNS doch einfach verschiedene Hostnamen (A-Records) mit der gleichen IP Adresse haben. Der Port hat ja am Ende nichts mit dem Hostnamen / FQDN / dem SSL Zertifikat zu tun. Am sinnvollsten dürfte es aber sein, einen Loadbalancer / Revers-Proxy "vor den Containern" bereitzustellen, der die Verbindung proxied und anhand des DNS Namens dann zur passenden Anwendung "routet". So kannst du die Services auch alle per https / 443 ansprechen und musst an den Clients die Ports nicht verbiegen. Gruß Jan

Hi, in meinen Augen ist das Ansichtssache und dürfte recht stark am Projektantrag hängen. In der Praxis erlebe ich tatsächlich häufig VPN Lösungen, die weit weg von "komplex" sind. Die sind dann aber i.d.R. auch eher weit weg von "sicher". Wenn es um Road Warrior geht, ist ja alleine schon die Entscheidungsfindung für "IPSec", "OpenVPN", "SSL VPN", "L2TP", "SSTP" oder Wireguard ein abendfüllendes Programm. Ebenso die Überlegung Linux Server oder fertige Firewall/Router/VPN Appliance (kostenlos / kommerziell) dauert seine Zeit in einem Abschlussprojekt. Ich würde behaupten, dass man mit einem der Punkte die 40 Stunden bereits sprengen kann und bis hier her ist noch gar nichts konfiguriert. Wenn man sich jetzt noch Gedanken um das Thema "Firewalling" im VPN macht, könnte das - je nach Anforderung - für ein weiteres Projekt reichen und weitere Komplexität mitbringen. (Eine Idee von mir in Richtung deines VPN Themas: "legacy VPN" vs. ZTNA bzw. "Zero Trust Network Access". Allerdings sicherlich sehr sportlich, dass in diesem Monat noch Projektantrag-fähig zu bekommen.) Gruß Jan

Hi, du wirst allerdings nirgendwo mehr die alten Zwischen CUs finden. Entweder direkt auf .Net 4.8, aktuelle VC Redist und dann CU23 + neuestes SU oder evtl. einen neuen Windows Server mit neuem und aktuell gepatchtem Exchange 2016 aufsetzen und dann migrieren. Gruß Jan

Dann schmeiß den Prozessmonitor an und prüfe, wo die Verzögerungen auftreten: Prozessmonitor - Sysinternals | Microsoft Learn

Ich teste das derzeit mit der neuesten Build vom Windows Server 2025. Erstelle mir aber auch gerade eine ISO für Win 11, um damit zu testen. Aus der ISO erstelle ich mit Convert-WindowsImage (GitHub - x0nn/Convert-WindowsImage: Creates a Windows VM for Hyper-V from a Windows-ISO) eine VHDX woraus dann die neue VM erstellt wird. Ausgeführt wird das von einem Hyper-V Host in einer PS Session in die VM. Direkt in einer administrativen Kommandozeile in der VM funktioniert es allerdings auch nicht. Ich muss tatsächlich einmal auf "Check for updates" klicken oder warten bis der Server automatisch die Suche angestoßen hat und ich in der GUI auf "Install" klicken kann. Das Script oben, PSWindowsUpdate, ABC Update suchen, laden und installieren zwar die Updates, hilft aber auch nicht für die "Install-Language".

Danke für die Antwort. Das Script hilft hier leider nicht. Ich habe gerade testweise das PowerShell Modul installiert und mir die Konfiguration vor dem Klick auf "Check for updates" angesehen und danach: # Vorher: ServiceID IsManaged IsDefault Name --------- --------- --------- ---- 8b24b027-1dee-babb-9a95-3517dfb9c552 False False DCat Flighting Prod 855e8a7c-ecb4-4ca3-b045-1dfa50104289 False False Windows Store (DCat Prod) 9482f4b4-e343-43b6-b170-9a65bc822c77 False True Windows Update #Nachher: ServiceID IsManaged IsDefault Name --------- --------- --------- ---- 7971f918-a847-4430-9279-4a52d1efe18d False True Microsoft Update 8b24b027-1dee-babb-9a95-3517dfb9c552 False False DCat Flighting Prod 855e8a7c-ecb4-4ca3-b045-1dfa50104289 False False Windows Store (DCat Prod) 9482f4b4-e343-43b6-b170-9a65bc822c77 False False Windows Update Clever wie ich bin, habe ich vorher natürlich keinen Snapshot gemacht und werde die VM dann mal neu deployen..

Hi, zu 1) Das könnte auch ein Thema für eine Cyberversicherung sein. Gruß Jan

Nein. Viel Erfolg.

Hi, du hast den Lösungsansatz doch schon selber gefunden: boote den RDSH "notfalls" jede Nacht durch. Gruß Jan

Hi, hat jemand eine Idee, wie ich per Script eine Windows Update Suche starten kann? Mit "wuauclt" und "UsoClient" funktioniert es leider nicht. Klicke ich händisch auf "Updates suchen" oder warte ab, bis WU von alleine getriggert hat, funktioniert das CMDlet direkt. Hintergrund ist, dass ohne vorherige Suche(?) das CMDlet Install-Language die Sprache anscheinend nicht laden kann. Auf das PowerShell Modul "PSWindowsUpdate" würde ich - wenn möglich - gerne verzichten. Danke und Gruß Jan

Was mich hier generell daran verwirrt: Hyper-V so grob aus 2008 Pre-Windows 2000 Compatible Access Aber auch damit werde ich leben können. ;)

Ja, mit den o.g. Ausnahmen läuft er. ;) "Kerberos only" konnte der Cluster nach einem Shutdown nur per Powershell gestartet werden. Die Failover Cluster MMC scheint noch etwas an NTLM zu hängen, würde mich aber auch nicht wundern. Auf meiner Agenda steht derzeit noch ein Test, wie sich alles mit dem Windows Admin Center verhält. Beide Clusterknoten haben auch problemlos das In-Place Upgrade über Windows Update mitgemacht. BTW.: Auf frisch installierten Systemen mit der Build 26063 ist Copilot überall "aktiv".

Die Shared Nothing Livemigration von einem Managementserver / -client funktioniert nicht mehr: Move-VM : Virtual machine migration operation failed at migration source. Failed to establish a connection with host ... : No credentials are available in the security package (0x8009030E) ... (Komplette Fehlermeldung findet sich hier: Why Hyper-V Live Migrations Fail with 0x8009030E - Microsoft Community Hub) In der Umgebung gibt es mehrere Hyper-V Hosts, die nicht im Cluster sind. Wie das mit der "normalen" Livemigration im Cluster aussieht, teste ich "die Tage".

Hätte ich mich doch nur dafür entschieden, anstatt heute den Tag damit zu verbringen Dinge über TGGAU (Token-Groups-Global-and-Universal) und die "Windows Authorization Access Group" zu lernen... Bzw. welche Auswirkungen es auf die Live Migration hat, wenn man die "Authenticated Users" aus der "Pre-Windows 2000 Compatible Access" Gruppe entfernt.

Hi, warum keine moderne Cloudlö... ;) vielleicht ist ja ein M365 Plan vorhanden, der Intune inkludiert bzw. wäre Intune ein Ansatz anstelle des WSUS. Gruß Jan

Hi, erstelle notfalls einfach drei Host Zones. Also je eine Zone mit dem kompletten FQDN "Server1.firmendomain.de", "Server2.firmendomain.de", "Server3.firmendomain.de" und lege dort einen A Record nur mit IP Adresse und ohne Namen an. Bzw. per dnscmd: dnscmd . /zoneadd Server1.firmendomain.de /dsprimary dnscmd . /recordadd Server1.firmendomain.de . A 172.29.x.x Gruß Jan

Moin Da in der Diskussion einmal Teamviewer angesprochen wurde: Teamviewer: Sicherheitslücke im Client ermöglicht Rechteausweitung | heise online VG Jan

Hi, ist auf den beiden Clients irgendwas aktiv (Virenscanner) / vorgeschaltet, was SSL aufbricht bzw. dem Client ein anderes Zertifikat unterjubelt? Gruß Jan

Ich würde hier nach dem Sinn fragen. Für mich würde hier nur folgendes Sinn machen: Alle externen User (Home Office, Roadwarrior, ...) müssen sich per MFA authentifizieren Alle User (extern und intern) müssen sich per MFA authentifizieren (Aber, ja es ist ebenfalls möglich, User aus der MFA auszuklammern bzw. nicht "enrollte" User zugreifen zu lassen. Sinn macht das für mich aber nicht.) Wenn es nur um MFA für RDS geht, wäre eine weitere Frage, wie melden sich die User am PC an und worauf könnten die User vom PC theoretisch (und praktisch) zugreifen?

Hi, DUO ist generell echt gut. Ich kann dir aber nur raten, nimm einen Paid Plan, der sich mit $3 pro User - in meinen Augen - mehr als im Rahmen hält. Im Free Plan ist kein Active Directory Sync enthalten. Zusätzlich wäre im Konzept ein "Break the Glass Admin" hilfreich. :) Ansonsten: Eset Secure Authentication Server RCDevs OpenOTP Server ManageEngine AD Self Service Plus Gruß Jan

Im Moment gibt es da für mich wichtigere "Baustellen". Ich würde dich aber glatt im Hinterkopf behalten. ;)

Da muss jetzt aber erstmal noch ne Menge - zumindest vermutlich für 30 Tage - Wasser den Rhein runter fließen bis der Worst Case mich "motiviert". Es gibt im Moment genug andere Schauplätze.. Fürs Erste habe ich Vollzugriff erteilt, Install-ADServiceAccount und Vollzugriff entfernt. ;)