testperson

Das erste Upgrade in einer (nicht wirklich repräsentativen) Testumgebung ist unfallfrei durch gelaufen.

Ich hätte nicht erst noch die Windows Updates startet sollen.. Die (erste) Theorie für's In-Place Upgrade von 2019 auf SE (in kleinen Umgebungen): # https://www.microsoft.com/en-us/download/details.aspx?id=108244 # https://download.microsoft.com/download/ad9b1e53-f28e-4a82-987d-6c88803795b2/ExchangeServerSE-x64.iso $ExchSEUri = "https://download.microsoft.com/download/ad9b1e53-f28e-4a82-987d-6c88803795b2/ExchangeServerSE-x64.iso" if(-not(Test-Path -Path "C:\_install\ExchSERTM" -PathType Leaf)){ New-Item -Path "C:\_install\ExchSERTM" ` -ItemType Directory ` -Confirm:$false ` -Force } Start-BitsTransfer -Source $ExchSEUri ` -Destination "C:\_install\ExchSERTM\ExchangeServerSE-x64.iso" Unblock-File -Path "C:\_install\ExchSERTM\ExchangeServerSE-x64.iso" $mdi = Mount-DiskImage -ImagePath "C:\_install\ExchSERTM\ExchangeServerSE-x64.iso" ` -StorageType ISO ` -Access ReadOnly ` -PassThru $DVD = $mdi | Get-Volume $EXSetup = -join( $DVD.DriveLetter, ":\Setup.exe" ) $ExUpgrade = "/Mode:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF" $procSetup = Start-Process -FilePath $EXSetup ` -ArgumentList $ExUpgrade ` -NoNewWindow ` -PassThru ` -Wait Dismount-DiskImage -InputObject $mdi

Hi, spontane Idee, einmal für alle Drucker die Treiberisolierung aktivieren. Evtl. ist es nur ein Treiberproblem, das ohne Treiberisolierung halt den gesamten Dienst killt. Gruß Jan

Hi, i.d.R. funktioniert das sehr problemlos. Wenn es eine VM und der einzige DC ist, mach nen Snapshot. Ansonsten kann ein vorheriges Backup nie schaden. ;) Gruß Jan

Hi, du könntest testweise für ein paar Stunden im Admin Center den MAPI Zugriff abschalten und im Anschluss wieder aktivieren. Ansonsten hilft bei vielen kuriosen Dingen auch bei Exchange online ein Mailbox Move (New-MoveRequest (ExchangePowerShell) | Microsoft Learn). (Auch wenn Microsoft das nicht "möchte".): Gruß Jan

"User hinzufügen, entfernen" wäre doch per AD Gruppe(n) regelbar, oder bin ich an der falschen Stelle? Mit den OUs könnte so gemacht werden oder auch mit einer leeren AD Gruppe, die in den lokalen Administratoren der beteiligten Server ist und bei Bedarf packst du "dich" da rein. Aber hier dürfte es auch noch weitere Wege geben. BTW.: Damit die Credentials nicht "auf dem Gateway" oder woanders liegen -> Protected Users / Restricted Admin Mode: NLA + RDP SSO + RDGW + Restricted Admin Mode + Protected Users group = True | Secure Identity

Hi, eine Frage wäre, wie oft "administrierst" du tatsächlich Dinge in der Farm und was wäre das? (Im laufenden Betrieb stört sich die Bereitstellung ja nicht daran, wenn der / die User (theoretisch) gar keine Rechte auf den Systemen haben.) Gruß Jan

Hi, sind das alles VMs auf dem gleichen Host / im gleichen Cluster oder sind das komplett verschiedene (Kunden) Systeme / Umgebungen? Gruß Jan

Hi, Groundhog day: CITRIX | Support ;) NetScaler ADC and NetScaler Gateway contain the vulnerability mentioned below: CVE-ID Description Pre-conditions CWE CVSSv4 CVE-2025-6543 Memory overflow vulnerability leading to unintended control flow and Denial of Service NetScaler must be configured as Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) OR AAA virtual server CWE-119 - Improper Restriction of Operations within the Bounds of a Memory Buffer CVSS v4.0 Base Score: 9.2 (CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L) Happy patching :) Jan

Moin, es gab am 20.06. Scans vom CERT-Bund, die leider ein "false-positive" beinhalten. Sollte hier jemand landen bzw. Infos von Providern bekommen, dass ein Schwachstellenscan noch eine Anfälligkeit für "CVE-2025-5777" liefert, obwohl man bereits vor dem 20.06 gepatched hat: Der Scan liefert auch die korrekte und gepatchte Version: "asn","ip","timestamp","port","version","cve" "-","-","2025-06-20 10:40:04","443","13.1-58.32","cve-2025-5777" HTH Jan

Hi, das OneDrive Setup liegt in C:\Windows\(system32|SysWow64)\OneDriveSetup.exe. Die Installation im Autostart liegt ausschließlich in der Registry vom Default User (C:\Users\Default\NTUSER.DAT) und müsste dort entfernt werden. Falls du auch die OneDriveSetup.exe löschen willst, musst du diese erst in Besitz nehmen. Beim Copilot meinst du das AppxPackage "Microsoft.Copilot" Get-AppxPackage -Name Microsoft.Copilot Das sollte sich mit Get-AppxPackage -Name Microsoft.Copilot | Remove-AppxPackage -AllUsers loswerden lassen. Gruß Jan

Moin, danke! Allerdings ist bei der "Fehler" doch schon vorher passiert, oder? Bzw. benötigt der Angreifer da doch (theoretisch) gar kein Veeam mehr für eine erfolgreiche Kompromittierung? Gruß Jan

Die Schäfchen sind im Trockenen. Bis jetzt scheint alles unfallfrei auf die aktuelle 13.1 58.32 geupgraded worden zu sein.

Hi, da sollte wohl flott gepatched werden: https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420&articleTitle=NetScaler_ADC_and_NetScaler_Gateway_Security_Bulletin_for_CVE_2025_5349_and_CVE_2025_5777 CVE ID Description Pre-conditions CWE CVSSv4 CVE-2025-5349 Improper access control on the NetScaler Management Interface Access to NSIP, Cluster Management IP or local GSLB Site IP CWE-284: Improper Access Control CVSS v4.0 Base Score: 8.7 (CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L) CVE-2025-5777 Insufficient input validation leading to memory overread NetScaler must be configured as Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) OR AAA virtual server CWE-125: Out-of-bounds Read CVSS v4.0 Base Score: 9.3 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L) HTH Jan

Man könnte da bei einem der Hersteller in der Kategorie "Mini Server" zuschlagen, eine weitere Server 2025 Standard Lizenz buchen und auf diesem System dann einmal den Backupserver virtualisieren und einen zweiten Domain Controller. Evtl. macht es je nach Backuplösung dann auch Sinn, die Backuplösung auf dem Blech selber zu betreiben.

Hi, handelt es sich denn um einen Printserver oder Terminalserver bzw. muss der Server / irgendwas auf dem Server überhaupt drucken? Gruß Jan

Hi, bin heute über den Blogbeitrag gestolpert: Announcing comprehensive sovereign solutions empowering European organizations - The Official Microsoft Blog Wird das jetzt eine Microsoft Cloud Deutschland by T-Systems Delos Cloud? Generell klingen die "Möglichkeiten" als _könnten_ sie tatsächlich was werden. Gruß Jan

Da mag ich das Terra Cloud Backup ganz gerne. Da besteht dann die Möglichkeit, den Restore in IaaS VMs in deren Cloud zu machen. Alternativ besteht auch die Option, dort einen neuen Server zu ordern, der direkt mit dem Backup betankt wird. (Wobei es da natürlich weiterhin vom eingetretenen Desaster abhängt, ob und was ansonsten noch zu tun ist.)

Hi, bei den "Anforderungen": Ja, geht beides. Kannst du mit Hyper-V oder auch Proxmox machen. Ggfs. bietet sich auch eine IaaS Lösung für die paar VMs an oder die Hersteller der eingesetzten Software haben evtl. Cloudlösungen im Angebot. Anstatt LTO würde ich mir ein passendes Cloudbackup ansehen. Gruß Jan

Hi, möglicherweise: Mapped drive is disconnected - Windows Client | Microsoft Learn Es gibt da auch noch einen Key für die Clientseite, den ich gerade aber nicht finde. Ansonsten wären Energiespareinstellungen generell oder auf der NIC noch ein Punkt. Gruß Jan

Hi, was soll die selbst entwickelte .exe-Datei denn überhaupt machen? Wie verhält sich das Programm denn, wenn du es zum Test bspw. per PowerShell und "Invoke-Command" remote auf einem anderen PC ausführst? Gruß Jan

Aha, der Hinweis auf den Fix findet sich im KB5058499 (May 28, 2025—KB5058499 (OS Build 26100.4202) Preview - Microsoft Support) zum Preview Update für Win 11 24H2: Bei einem ersten Test funktioniert es sogar noch.

Hi, beste Voraussetzungen sich mit PowerShell auseinanderzusetzen und das Script neu in PowerShell umzusetzen. Viele Grüße Jan

Aaaand it's fixed: Windows Server 2025 known issues and notifications | Microsoft Learn (Warum auch immer es hier unter KB5060842 nicht gelistet wird...)

Sobald die erste Windows Server 2025 Lizenz da ist, lässt sich ja auch der Host auf Server 2025 upgraden oder mit Server 2025 neu aufsetzen, sofern die Hardware für Windows Server 2025 freigegeben ist.