testperson

Hi, der erste Teil dieses Beitrags ist irgendwie "wirr". Da wird von Benutzer zu Computer und zurück gewechselt. Der zweite Part, ist im Endeffekt genau das, was hier auch der Tenor ist: Kann man machen, muss man nicht bzw. hat unvorteilhafte/unschöne Einschränkungen. Nein, aufgrund der Nachteile. ;) Als Ansatz: Installiere doch "einfach" auf dem Blech Hyper-V und nutze die Möglichkeit, dass du mit der Lizenz berechtigt bist zwei VMs (1x DC / 1x RDS) zu betreiben. Die Alternative von zahni (https://www.mcseboard.de/topic/218704-windows-terminalserver-2019-ohne-ad/?do=findComment&comment=1407308) wäre auch eine Überlegung. Dabei würde ich aber dann auf ein Client OS, also Windows 10, zurückgreifen. Evtl. gibts "die Anwendung" ja auch als Cloudlösung. Gruß Jan

Hi, gestern Abend hat Microsoft im MSRC Blog ein "To-Do" veröffentlicht: https://msrc-blog.microsoft.com/2020/10/29/attacks-exploiting-netlogon-vulnerability-cve-2020-1472/ Der Im ersten Post verlinkte KB (https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc) wurde ebenfalls mit dem "To-Do" geupdated. Gruß Jan

Das wäre meine Vermutung gewesen.

Hi, findet sich etwas im Eventlog auf dem Exchange? Wie wird Active-Sync veröffentlicht? Der Exchange, das OS und der Client sind aktuell gepatched? Gruß Jan

Hi, wurde die WSUS Website im IIS evtl. auf die alte IP Adresse gebunden und noch nicht auf die neue geändert? Gruß Jan

IIS Crypto erstellt AFAIK vorher ein Backup und die anderen Werte kannst du dir vorher in der Registry angucken (und sichern) bzw. falls benötigt nachher mit "0" setzen. Wenn es nach dieser Maßnahme zu Problemen kommt, liegt das i.d.R. an "veralteten" Clients, die mit den "SChannel Best Practices" nicht klar kommen. Diese Clients lassen sich dann meistens aber auch entsprechend mit IIS Crypto "gradeziehen" bzw. müssen dort eben die passenden SSL/TLS Protokolle samt Ciphern forciert werden. Was läuft denn auf den betroffenen Server. Evtl. hat das auch gar keine Auswirkung auf den Server Workload an sich.

Dann tippe ich auf: https://www.mcseboard.de/topic/218927-windows-server-2012-r2-update-probleme/?do=findComment&comment=1409523

Hi, ich würde auf einen Proxy und ggfs. falsche/fehlende Ausnahmen tippen. Auf welchem OS läuft der WSUS? Was passiert wenn du "https://<WSUS FQDN>:<SSL Port>/selfupdate/wuident.cab" aufrufst? Ansonsten zu "80244022" und "0x801901F7" # for hex 0x80244022 / decimal -2145107934 WU_E_PT_HTTP_STATUS_SERVICE_UNAVAIL wuerror.h # Same as HTTP status 503 - the service is temporarily # overloaded. # for hex 0x80244022 / decimal -2145107934 BG_E_HTTP_ERROR_503 bitsmsg.h HTTP_E_STATUS_SERVICE_UNAVAIL winerror.h # Service unavailable (503). Und zu "0x8024500c" # for hex 0x8024500c / decimal -2145103860 WU_E_REDIRECTOR_CONNECT_POLICY wuerror.h # Connections to the redirector server are disallowed by # managed policy. Gruß Jan

Hi, wurde mir grade von einem Kollegen mitgeteilt: https://www.microsoft.com/en-us/microsoft-365/blog/2020/09/08/3-deals-meeting-calling-experiences-microsoft-teams/ Bzw.: Viel Spaß Jan

Das sollte meines Erachtens genau nicht notwendig sein, da die Ordnerumleitung eine Benutzereinstellung ist. Das solltest du evtl. mit Sunnys Methode einmal verifizieren. Da würde ich nur eine eigene TestOU für den Client und eine eigene TestOU für den User erstellen und entsprechend testen.

(https://www.messageconcept.com/en/solutions/message-routing/multi-tenancy/) Ich kenne das Tool allerdings nur "aus der Theorie". Für die Praxis gibts ja die einmonatige Testversion. :)

Multi-Tenant / Hosting, sofern es sich hier darum handeln sollte. Für mich deutet "unterschiedliche Kunden" darauf hin. Ansonsten könnte es anstelle "Verschlüsselung" am Gateway, je nachdem auch noch für eine Archivierung nötig sein "so zu routen". Natürlich kann man das auch anders lösen. Aber dafür müsste man dann die konkreten Anforderungen kennen (und nicht nur die vermeintliche Lösung ). Bei einem Verschlüsselungsgateway würde ich aber auch davon ausgehen, dass die Mail ans Gateway geht, verschlüsselt wird, entschlüsselt wird und wieder im Exchange landet. Es sei denn Kunde A nutzt den "Verschlüsselungsservice" und Kunde B nicht.

Hi, mit Boardmitteln AFAIK nein. Ggfs. könnte das der "Address Book Policy Routing Agent". Ansonsten ist das aber mit 3rd-Party machbar. Bspw.: https://www.messageconcept.com/en/products/exsbr/ Gruß Jan

Hi, theoretisch (und nicht rechtsverbindlich ;)) benötigst du doch "nur" ein qualifiziertes Zertifikat (https://www.bundesnetzagentur.de/cln_132/EVD/DE/Verbraucher/Vertrauensdienste/Signatur/Signatur-start.html) auf einer "Signaturkarte" (Smartcard) und eine "Sichere Signaturerstellungseinheit" (Smartcard Lesegerät mit entsprechenden Eigenschaften). Die Software die das Dokument dann signiert ist doch zweitrangig(?). Gruß Jan

Hi, Err_6.4.5.exe 80072EFE # for hex 0x80072efe / decimal -2147012866 WININET_E_CONNECTION_ABORTED winerror.h # The connection with the server was terminated abnormally # 1 matches found for "80072EFE" ich vermute es liegt daran, dass deine Windows Server 2012 R2 kein TLS 1.2 mit Windows Update spricht. Daher einmal IIS Crypto für Server- und Client-Protokolle in Best Practice: https://www.nartac.com/Products/IISCrypto/ "reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727 /V SchUseStrongCrypto /T REG_DWORD /D 1" "reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1" "reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727 /V SystemDefaultTlsVersions /T REG_DWORD /D 1" "reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SystemDefaultTlsVersions /T REG_DWORD /D 1" durchboote Bzw. in detaillierter: https://docs.microsoft.com/en-us/mem/configmgr/core/plan-design/security/enable-tls-1-2-client Gruß Jan

Hier noch ein kurzes (Zwischen?)-Fazit: Update Policy Override default / Update Policy Override "Automatic silent updates only" Wenn die automatische Edge Routine Updates findet, werden diese am WSUS vorbei bezogen (allerdings reported) Wenn der WU Client ein Update "schneller" findet kommt es vom WSUS (Benutzer dürfen nicht selber updaten) "Updates disabled" Die Edge Routine ist deaktiviert Updates kommen per WU Client ausschließlich vom WSUS Warum das zuerst mit "Updates disabled" bei mir nicht funktioniert hat, kann ich nicht wirklich sagen aber hinnehmen?! :)

Der letzte Hyper-V Host bootet grade durch. Die Gans ist auch vor wenigen Minuten vom Grill und die Semmelknödel jeden Moment fertig... Alles nach Plan. Da auch Windows Updates dabei waren, steht jetzt allerdings fest, dass das Hyper-V 2016 Cluster doch noch auf 2019 geupgraded wird.. Jetzt fehlen nur noch die Gen 9 Hosts bzw. das VMware Cluster.. Aber jetzt erstmal schönes Wochenende!

Hi, danke für die Antwort. Alles andere (Windows / Office / SQL / Exchange) wird von den Clients angefordert. Ich habe jetzt testweise die o.g. Policy auf "Automatic silent updates only: Updates are applied only when they're found by the periodic update check." konfiguriert. Beim ersten Test wurde eine ältere 86er Stable Build auf die neuste am WSUS freigegeben gepatched. Wenn ich mir als User den Versionsstand ansehe, kann ich auch nicht selber updaten. Dann muss ich jetzt mal abwarten, ob so ausschließlich die Updates vom WSUS gezogen werden oder ob hier die Edge eigene Routine dazwischen funken kann. Gruß Jan

Wie wäre es mit: Wie sind die virtuellen Verzeichnisse konfiguriert? Nutzt du ein selbstsigniertes Zertifikat, eins der SBS CA oder eines einer kommerziellen CA? Was ist als Server (Name? IP?) im Telefon eingetragen?

Hi, ich verzweifle seit ein paar Tagen daran den Edge (Chromium) per WSUS zu patchen. Auf den Clients (ausschließlich RDSHs bzw. Citrix VDAs Server) ist der Edge installiert und soll über den WSUS gepatched werden. Der Edge kommt im WSUS an allerdings werden die Updates von meinen Clients nicht angefordert. Bisherige Recherchen haben ergeben, dass per GPO die "UpdateDefault" (https://docs.microsoft.com/en-us/deployedge/microsoft-edge-update-policies#updatedefault) aktiviert und Updates deaktiviert werden sollen, damit die Updates vom WSUS bezogen werden. Hilft bei mir leider nicht bzw. habe ich auch einmal alle möglichen Einstellungen ohne Erfolg getestet. Was mache ich falsch? Vielen Dank Jan

Scheinbar ist heute Firmware-Wochenende. Bei uns bekommen grade die HPE G10 Server die neue SPP. Ebenfalls viel Erfolg!

Hi, wie ist denn der SBS bzw. der Exchange konfiguriert (insb. die Antworten auf die Fragen von tesso) und was ist in der letzten Zeit passiert, was dieses Problem verursacht haben könnte? Damit man dir helfen kann, brauchts halt ein paar Infos. Ansonsten gibt es sicherlich Leute in deiner Gegend, die sich so einen SBS / Exchange (vor Ort) gegen Bares ansehen. Mit denen könnte man dann sicherlich auch einen Plan in Richtung unterstützte Server- und Exchange-Versionen besprechen. Gruß Jan

Ich vermute, du weißt es eh schon und es ist sicherlich auch schon im Script eingebaut. Aber was ergibt denn ein Logging in deinem Script? Notfalls, wie du sicher weißt und bereits verwendest, einfach mal per Start-Transcript (und Stop-Transcript).

Auch wenn du grade am Testen bist: Read-Write für Domänencomputer / Everyone ist ein absolutes No-Go bei Pfaden die ein (unbeaufsichtigtes) Script bereitstellen / ausführen.

Hi, wo liegt denn das PowerShell Script und hat der Computer Account überhaupt Zugriff auf das Script? Generell würde ich bei diesem Vorhaben das Script (samt benötigter Dateien) auf den ausführenden Rechner in einen "gehärteten Pfad" kopieren das Script dann lokal ausführen Script und Daten würde ich - bevorzugt - per geplantem Task auf die PCs verteilen. Den Task wiederum würde ich per GPO auf die PCs bringen. Das Script kann dann wiederum per Task oder "notfalls" auch als Shutdown Script gestartet werden. Tasks per GPO in Verbindung mit Item Level Targeting sollte das auch "selbstaufräumend" hinbekommen. Ansonsten würde ich hier aber auch in Richtung Softwareverteilung schauen oder zumindest einmal auf WSUS + WPP. Wenn man einmal Software (per PoSh) ausrollt, kommt man schnell auf den Geschmack und die Grenzen der eigenen Scripte. Da macht eine SW-Verteilung durchaus mehr Sinn. Gruß Jan P.S.: Frickeln? Ich mache bei uns die Citrix Virtual Apps and Desktop Rollouts/Updates sowie Verteilung/Updates der Workspace App per PoSh. P.P.S.: Ja, du hast Recht. Das ist aber ein sehr gut funktionierende Not- / Übergangslösung...