testperson

Frei nach dem "Motto" meiner Mutter: Egal, Hauptsache macht Doll im' Kopp. Wenn ich allerdings die Wahl habe: Kölsch (zur Not tuts auch ein Grevensteiner oder Pülleken bzw. generell ein Helles). Laut würde ich mich auf Vodka beschränken und Zitrone und Soda (oder auch das leise Wasser) zurückkommen. Da halte ich mich an die Empfehlung vom Arzt: Ein(e) Glas (Stange) (Früh Kölsch Stange XXL 3 Liter Glas) ist vollkommen Ok. (Das wäre auch was für die Dauernörgler bzgl. der Größe beim Kölsch.)

Mir fehlt da nach der Woche zum Wochenende Schnaps (laut) und Bier (leise) im Kühlschrank. 🙃

Hi, "wie immer", falls die VM nicht die exotischste Anwendung bereitstellt: Neue VM installieren und Workload migrieren als Option? Falls die Anwendung(en) / Rolle(n) auf dem Server das unterstützen, ggfs. die VM einmal exportieren, importieren und Netzwerk disconnecten und dann per Sysprep generalisieren. Im Anschluss dann nochmal versuchen das Update zu installieren. Ansonsten könntest du auch bei Sysnative vorbeischauen und dort einen Thread eröffnen: https://www.sysnative.com/forums/forums/windows-update.88/ (Ich habe deren Service allerdings noch nie genutzt und es gehört wohl ein wenig Vertrauen dazu, deren Fixe einzuspielen. Aber auch das könnte man ggfs. in einem Klon der original VM zumindest testen.) HTH Jan

Hi, da wäre die Frage, wer ist denn der aktuelle FSMO Inhaber und ist der tatsächlich erreichbar? Was findest du denn in den Eventlogs des/der Domain Controller? Gruß Jan

Evtl. hast du ja Glück und es gibt auch für die Lenovo Tiny eine WMI BIOS Schnittstelle bzw. irgendetwas, um das automatisiert auszulösen: kbl_deploy_01.pdf

Ich schätze mich an der Stelle einmal glücklich, dass ich es noch nicht mit Lenovo (M720q tiny) zu tun hatte. Danke für das Updaten hier und die ganzen Informationen. 👍

Hattest du Probleme mit der Mitigation oder liegen auf dem Server eh keine Mailboxen mehr bzw. macht der keinen Client Access mehr?

Dafür haben Sie auf dem Exchange Blog doch (mittlerweile) die Info "NOTE: Our partners in documentation publishing notified us of an issue that is causing documentation on learn.microsoft.com domain to not show latest documentation version. The issue is being worked on." geschaltet. Da die Mitigation scheinbar die bessere Lösung ist, ist es hier noch nirgends ausgerollt. Zumindest lese ich das so, wenn man die Mitigation im Anschluss eh noch aktiv lassen soll. Wird dann (vermutlich) am Sonntag 222x passieren. (Da sind allerdings Exchange SE Management Tools only / Hybrid Management Exchange only inkludiert. ;))

Hi, die Exchange Juni Updates sind da: Released: June 2026 Exchange Server Security Updates | Microsoft Community Hub Die CVE-2026-42897 Mitigations werden nicht rückgängig gemacht und müssten "von Hand" entfernt werden. Es wird allerdings empfohlen die Mitigations nicht zu entfernen nach der Installation. HTH Jan

Hi, "anders betrachtet" (falls möglich): Deaktiviert den Dienst per GPO auf allen Servern, wo er "eh nicht" benötigt wird, dann weißt du ja auch, wo er läuft und wo nicht. :) Eine andere Frage wäre, was möchtest du denn mit dem Ergebnis machen bzw. was willst du ganz am Ende erreichen? Evtl. wäre es auch eine Option, eine Aufgabe (per GPO) auf die Systeme zu bringen, die dann lokal abfragen. Gruß Jan

Moin, eigentlich ist das recht entspannt. Registry Key (oder GPO (Group Policy Objects (GPO) method of Secure Boot for Windows devices with IT-managed updates - Microsoft Support)) auf die Clients bringen, ggfs. den Task starten oder (bis zum nächsten Reboot) warten. reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" Manually reboot the system when the AvailableUpdates becomes 0x4100 Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" Anschließend ggfs. in der Registry prüfen, ob das Update erfolgreich war bzw. im Eventlog (System -> Quelle "TPM-WMI" (Secure Boot DB and DBX variable update events - Microsoft Support)) schauen, was passiert. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot AvailableUpdates # Sollte den Wert 0x4000 haben Option 1) Alles nimmt seinen Lauf und funktioniert ( <- sehr wahrscheinlich) Option 2) Secure Boot ist deaktiviert (und man sollte prüfen warum; Ggfs. aktivieren, sofern möglich bzw. dürfte das Gerät dann auch schon im austauschwürdigen Alter sein.) Option 3) Es wird ein BIOS/Firmware Update benötigt ( <- eher unwahrscheinlich) - Es gibt eins -> Updaten - Es gibt keins -> Das Gerät dürfte (weit) aus dem Support sein und sich in einem austauschwürdigen Alter befinden (oder man hat vielleicht recht günstig "in China" geschoppt) HTH Jan

Nach dem vNext ist RTM und RTM ist ja quasi wieder vor dem vNext ;) Die nächste Server (und auch Client) Insider Build diesen Monat bringt Neues zum Thema IAKerb und LocalKDC: Reducing NTLM Dependency: IAKerb and LocalKDC in Windows Insider Preview

Hi, wie sieht generell die Autodiscover Konfiguration aus? Wenn dort explizit "IMAP Anmeldeinformationen" gefordert werden, klingt das nach einem Autodiscover / Autoconfig Service beim/vom Domain Provider. Gruß Jan

Hier sind jetzt auch ein paar Infos im Azure Arc Blog: Simplified access to Hotpatching enabled by Azure Arc for Windows Server 2025 | Microsoft Community Hub

Das Huppala wurde doch mit "KI Unterstützung" gefunden. Da wird es wohl auch per "KI (Unterstützung)" gefixed werden können.

Und hier schon einmal ein paar Spekulationen zum nächsten Exchange Server Patchday: PWN2OWN 2026 - 0-Day Exchange

Der Update Manager wird weiterhin die ca. 5€ / Monat / Server kosten. Wird aber nicht zwingend für Hotpatch benötigt.

Moin, ich schaue mir gerade nach und nach die Aufzeichnungen vom Windows Server Summit 2026 (Windows Server Summit 2026 - Microsoft Event) an. In einer Session (Feedback time! Windows Server 2025 and vNext - Windows Server Summit) wurde kostenloses Hotpatching für (Azure Arc enabled) Windows Server 2025 angekündigt. Gruß & happy hotpatching Jan

Hi, bspw. per "STRG" + "ALT" + "ENDE" kannst du das Kennwort in der Sitzung ändern. Alternativ auch im RD Web, sofern genutzt und aktiviert. HTH Jan

Hi, gerade auf dem Exchange Blog gelesen: https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498 Gruß Jan

Kurz nach dem Blog Beitrag zum Mai Update ist ein weiterer Artikel online gegangen: Update Your Exchange SE Hybrid On-premises Rich Coexistence to Graph | Microsoft Community Hub Da wird dann auf Deploy dedicated Exchange hybrid app | Microsoft Learn verwiesen, wo dann drin steht, dass "Graph API" erst mit dem Mai 2026 HU möglich ist. Wenn die dedicated Hybrid App da ist, sollte der Abschnitt ab Deploy dedicated Exchange hybrid app | Microsoft Learn "genügen".

Moin, für Exchange SE gibt es im Mai ein HU: Released: May 2026 Exchange Server Hotfix Update | Microsoft Community Hub Für Exchange 2016/2019 ESU Kunden gibt es nichts. HTH Jan

(So ein Mailbox Export per eDiscovery über Purview ist aber auch wieder ein Abenteuer für sich mit einer eher "ungewöhnlichen PST" als Ergebnis. Ein Export per Outlook ist je nach Postfach-Größe ein ähnlicher Spaß. Falls es aber eine externe Mailarchivierung oder ein Backup gibt, wären das noch Ansätze zusammen mit dem Löschen der Mailbox.)

Hi, die E-Mail-Adressen außer den onmicrosoft.com löschen oder per Transportregel ablehnen. Gruß Jan

Hi, was dürfen die "Authenticated Users" denn mit dem GPO machen? Vermutlich musst du die "Authentifizierten Benutzer" aus der Filterung löschen. Wenn dann die Computerkonten durch die Testgruppe das GPO lesen dürfen und bspw. die Gruppe "Domain Users" noch lesen/übernehmen darf, sollte es klappen. (Falls ich das richtig verstehe. ) Gruß Jan