testperson

Hi, die Frage wäre "Warum?". Wieso hat der Router dann nicht einfach ein weiteres Interface im weiteren Subnet und routet?. Gruß Jan

Hi, Schritt 1 wäre in beiden Fällen wohl in den nächsten 8 Tagen auf Exchange Server SE (oder Exchange online) zu wechseln und zu prüfen, ob das Problem dann noch besteht. Gruß Jan

Hi, eine Alternative zum Lesen : Get-ADDomain | fl Name,DomainMode Get-ADForest | fl Name,ForestMode Gruß Jan

Hi, ich würde noch Wazuh als Open Source SIEM / XDR in den Raum werfen. Gruß Jan

Zum Thema Fileshares (und anderen Dingen) evtl.: Kein RDP oder File Share mehr nach letzten Windows Update (LSA(LsaSrv) Event ID 6167) - Microsoft Q&A

Moin, schau ggfs. einmal hier (auch wenn das Problem meiner Meinung nach nicht Windows Server 2025 als DC ist, sondern die vermutliche Missachtung aller Dinge, die mit RC4 zusammenhängen): Windows Server 2025 als DC: Finger weg, bei gemischten Umgebungen (RC4-Problem)Borns IT- und Windows-Blog HTH Jan

Hi, unter diesen Umständen würde ich mir derzeit die Frage gar nicht stellen. Der Exchange hängt ja scheinbar (direkt) am Internet und Mitte Oktober ist es mit dem Support vorbei. Evtl. sollte man hier über eine Migration zu Exchange Server SE (oder in Exchange online) nachdenken und in diesem Step direkt nach Best Practices vorgehen, die sich im Falle von ExO von alleine erledigen: Split DNS öffentliches Zertifikat Falls es nichts "kosten" darf -> Let's Encrypt oder ähnlich Generell würde ich beim Vorfinden eines solchen Exchanges einen Fahrplan in Richtung Split DNS + öffentliches Zertifikat aufstellen bzw. dankend ablehnen. (Zusätzlich wäre zu beleuchten, ob der Exchange wirklich direkt und ohne Web Application Firewall im Internet hängen muss, sofern er dies denn derzeit tut.) Gruß Jan

Hi, der Windows Server Essentials ist Domain Controller und gleichzeitig Hyper-V? Oder ist die Hyper-V Rolle "auf der Hardware" installiert und der Essentials läuft bereits als VM unter Hyper-V? Losgelöst davon ist das meiner Meinung nach eine echt bescheidene Idee, den Essentials als Hyper-V Host zu nutzen und den Essentials dann als VM zu betreiben. Für die zweite RDS VM wirst du am Ende so oder so eine Windows Server Standard (samt CALs) benötigen und kannst daher auch gleich auf den Essentials verzichten. Gruß Jan

Seit ~Oktober 2022 gibt es da keien Einschränkung mehr: Requirements to use AppLocker | Microsoft Learn

Dafür müsste man halt erstmal wissen, was denn da wie und warum mit den PFs gemacht wird.

Hi, im anderen Thread kam ja schon die "indirekte Frage" auf, warum werden die PFs überhaupt benötigt? Was bildet der Kunde da in den PFs ab, dass diese benötigt werden? Gruß Jan

Hi, ich _vermute_ du hast nicht genug Geduld. ;) Zusätzlich - falls du es nicht schon machst - solltest du Gruppen berechtigen und nicht direkt den/die User. Gruß Jan

Hi jetzt noch mit Batch anfangen. *SCNR* Die Frage wäre halt, ob es _wirklich_ Batch sein muss. Ansonsten würde ich in Richtung PowerShell gucken. $Ordner = "menue" if($Ordner -eq "menue"){ Write-Host "JA" } else{ Write-Host "NO" } Gruß Jan

Ich meine mich an DAN Software (von Medifox?) zu erinnern, die Software für Pflege entwickeln. Da hatte damals ein größerer Pflegeverbund "DAN Touch"(?) im Einsatz, was per Schloss / USB Token die Notebooks bzw. Tablets der Pflegekräfte entsperrt / gesperrt bzw. an- / abgemeldet hat. Vielleicht ist DAN ja im Einsatz oder die eingesetzte Software bietet auch so eine Möglichkeit.

Dafür muss aber Autodiscover sauber funktionieren. Zeroconfig übernimmt an der Stelle ja "nur", dass der Benutzer im ersten Screenshot seine E-Mail-Adresse nicht eintippen muss und diese aus dem AD kommt. Steht ja im Endeffekt auch so in den von dir verlinkten Artikel: Hier scheint ein Autodiscover vom Domain Provider oder Guesssmart bzw. wie es heißt reinzufunken und eben von irgendwo die Info zu bekommen, dass es sich um IMAP dreht.

Hi, mir ist bei einem Kunden die Event Id 6167 aus der Quelle "LSA (LsaSrv)" im Eventlog recht hartnäckig um die Ohren geflogen. Eine kurze Google Suche hatte dann diesen Beitrag hervorgezaubert. Gruß Jan

Hi, den Anmeldevorgang auf den lokalen Client "auslagern" und per SSOn auf den Terminalserver verbinden? Evtl. findet sich auch was aus der Richtung "Transformer" aus dem Citrix WEM oder man versucht das mit Bordmitteln / Kiosk nachzuahmen. Gruß Jan

Hi, ich würde darauf tippen, dass es genügt Autodiscover sauber zu konfigurieren und zusätzlich ggfs. per GPO am Client einzuschränken: GPS: AutoErmittlung deaktivieren Gruß Jan

Das kannst du so argumentieren und handhaben. Wie viel Arbeit ist es aber, das "kurz" in ein GPO zu packen und auf alle Systeme auszurollen? Lohnt es da "groß zu diskutieren" bzw. Energie in die Abwägung zu stecken?

Hi, oder auch: Kein RDP oder File Share mehr nach letzten Windows Update (LSA(LsaSrv) Event ID 6167) - Microsoft Q&A Es findet sich zum September Patchday unter Server 2025 / Win 11 24H2 recht viel in diese Richtung. Gruß Jan

An der Stelle könnte man darüber nachdenken, an den Hyper-V Hosts - losgelöst ob Domain / Workgroup - per Windows Firewall eine Deny In- / Outbound Regel zu erstellen, die eben die IP Range(s) der Workloads / restlichen Systeme abdeckt. Auf den restlichen Systemen wird das Ruleset dann einfach "umgekehrt" implementiert. Zwischen Hyper-V Hosts und Veeam Server bzw. ggfs. zwischen Veema Server und Workloads müsstest du dann etwas granularer rangehen. Bzw. auch wenn die Hosts in der Domain sind.

Hi, ich würde - losgelöst von Workgroup / Domain - ASAP "Gründe" beseitigen. Die Frage wäre, ob man den Admin Approval Mode nicht generell auch für den Built-In Admin aktiviert (User Account Control Admin Approval Mode for the Built-in Administrator account - Windows 10 | Microsoft Learn). Gruß Jan

Du hast ja auch eine "New-DynamicDistributionGroup" erstellt und keine "Get-DistributionGroupMember". Siehe: View members of a dynamic distribution group | Microsoft Learn

OT: Einfach zwei, drei Mal am Tag laufen lassen Update-MgGroup -GroupId <Id> -MembershipRuleProcessingState Paused Start-Sleep -Seconds 5 Update-MgGroup -GroupId <Id> -MembershipRuleProcessingState On (Bei dynamischen Gruppen für Autopilot Geräte bzw. fürs Deployment Profil kann ich mal noch nicht über langsame Updates der Mitglieder klagen.)

Dann wirst du mit nem RecipientFilter auf "EmailAddresses" filtern müssen, sofern das machbar ist oder eben meinen Ansatz wählen. Wo klemmt es denn bei deinem bisherigen Ansatz?