testperson

Hi, ist zwar aus August (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472), ist mir allerdings bis jetzt "durchgegangen" und wurde grade im heise Security RSS Feed nochmal veröffentlicht: https://www.heise.de/news/Zerologon-Luecke-in-Windows-Server-US-Regierung-hat-vier-Tage-Zeit-zum-Patchen-4906597.html Nach dem Patchen: https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc Gruß Jan

OT: Und dann entdeckst du das im ExchangeSetup.log:

Damals, als die Anlage (wesentlich) mehr Wert war als das Auto und der Spritverbrauch nach dem Dämmen stieg.

Hi, das "funktioniert". Einrichtung / Verwaltung muss dann aber AFAIK per PowerShell / WMI erfolgen. Ebenfalls kannst du ohne Domain AFAIK nur RDS Device CALs nutzen. Gruß Jan

"Glücksspiel".. Puh.. Irgendwie jein. ;) Aber man kann sein Glück - glaube ich - ganz gut beeinflussen: Vor dem Update Virenschutz entsorgen / komplett deaktivieren / bzw. (generell) prüfen, ob die Ausnahmen alle noch passen / Bei 3rd Party AV "Get-WindowsFeature | where { $_.Name -match "Windows-Defender-Feature|Windows-Defender" } | Uninstall-WindowsFeature" Die Windows Server halbwegs aktuell haben (Wir waren hier teilweise auf August / September Patchday) Voraussetzungen prüfen / installieren Vor dem Update den Exchange durchbooten (Ggfs. vorab Schema erweitern (lassen)) "setup.exe /m:Upgrade /IAcceptExchangeServerLicenseTerms" Nach dem Update durchbooten Bei CU17 "durfte" ich bei einer Hand voll unserer In-House Kunden unterstützen. Selbst ziemlich "verwahrloste" Exchange Server mit (ur)alt CUs und damit teils unsupporteten .Net Installationen ließen sich problemlos aktualisieren.

Hatte Microsoft "früher" nicht mal darauf hingewiesen, sofern die Updates eine Schemaerweiterung mitbringen? Ansonsten sind meine Schäfchen diesmal recht früh im Trockenen: Bei einem Kunden hat sich das Setup mit "Ein Watson Abbild wird erstellt" beim Prüfen der Voraussetzungen verabschiedet: Reboot -> Setup erneut gestartet -> Ok. (Hier hab ich allerdings auch den Reboot vor dem Update "ausgelassen".) Bei einem Kunden gab es Probleme beim ClientAccess mit der Backend Website: Reboot -> Setup erneut gestartet -> Ok. Bei einem Kunden wurden die Dienste während dem Update bei den Postfachrollen vor dem Start nicht auf "Automatisch" umkonfiguriert, womit das Setup abgebrochen ist. Geholfen hat ein wenig PowerShell, womit die Dienste "händisch" angepasst wurden. Die restlichen ca. 60 Updates waren friedlich

Hi, ist das ein Windows 10 Enterprise oder EDU? Bei Multi-App brauchst du Enterprise oder EDU. Falls die passende Version eingesetzt wird, funktioniert es mit der Global Profile Beispiel XML aus den MS Docs: https://docs.microsoft.com/en-us/windows/configuration/lock-down-windows-10-to-specific-apps <?xml version="1.0" encoding="utf-8" ?> <AssignedAccessConfiguration xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:v2="https://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v3="https://schemas.microsoft.com/AssignedAccess/2020/config" > <Profiles> <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"> <AllAppsList> <AllowedApps> <App AppUserModelId="Microsoft.Microsoft3DViewer_8wekyb3d8bbwe!Microsoft.Microsoft3DViewer" v2:AutoLaunch="true" v2:AutoLaunchArguments="123"/> <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" /> <App AppUserModelId="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" /> <App DesktopAppPath="%SystemRoot%\system32\notepad.exe" /> </AllowedApps> </AllAppsList> <StartLayout> <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="https://schemas.microsoft.com/Start/2014/LayoutModification"> <LayoutOptions StartTileGroupCellWidth="6" /> <DefaultLayoutOverride> <StartLayoutCollection> <defaultlayout:StartLayout GroupCellWidth="6"> <start:Group Name="Life at a glance"> <start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="microsoft.windowscommunicationsapps_8wekyb3d8bbwe!microsoft.windowsLive.calendar" /> <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsStore_8wekyb3d8bbwe!App" /> <!-- A link file is required for desktop applications to show on start layout, the link file can be placed under "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs" if the link file is shared for all users or "%AppData%\Microsoft\Windows\Start Menu\Programs" if the link file is for the specific user only see document https://docs.microsoft.com/windows/configuration/start-layout-xml-desktop --> <!-- for inbox desktop applications, a link file might already exist and can be used directly --> <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Accessories\paint.lnk" /> <!-- for 3rd party desktop application, place the link file under appropriate folder --> <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%AppData%\Microsoft\Windows\Start Menu\Programs\MyLOB.lnk" /> </start:Group> </defaultlayout:StartLayout> </StartLayoutCollection> </DefaultLayoutOverride> </LayoutModificationTemplate> ]]> </StartLayout> <Taskbar ShowTaskbar="true"/> </Profile> </Profiles> <Configs> <v3:GlobalProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> </Configs> </AssignedAccessConfiguration> Beim Überfliegen deiner XML fällt mir auf, dass beim MS Beispiel, kein Account in der Config angegeben wird. Du allerdings Service nutzt. Das Global Profile gilt nach der Beschreibung für jeden User an diesem Device. Gruß Jan

Hi, du kannst den Snapshot auch vor dem Löschen exportieren: https://docs.microsoft.com/en-us/powershell/module/hyper-v/export-vmsnapshot?view=win10-ps Gruß Jan

Hi, Domänen Administratoren haben nichts auf Client PCs verloren. Ebenso sind diese nicht für die Installation von Software nötig. I.d.R. administriert man mit diesen nur die Domain Controller. Wie soll der User Software installieren, wenn er sich nicht anmelden darf? Das könnte man mit LAPS oder AdmPwd.E (sofern ein Domain Account gebraucht wird) angehen. Je nachdem wie bei euch Software eingeführt wird, wäre wohl eine entsprechende Software Deployment Lösung die beste Wahl. Gruß Jan

Hi, das solltest du direkt korrigieren und nur den (bzw. im Optimalfall die) DNS der Domäne, also den DC in deinem Fall, eintragen. Gruß Jan

Hi, korrekt. Gruß Jan

Hi, auch wenn es dir nicht direkt weiterhilft: Ich würde auf eine andere (brauchbare) Anti-Spam Lösung wechseln. Die Built-In Anti-Spam Funktionen sind nicht das Wahre. Gruß Jan

Hi, der Exchange Team Blog hat grade die Updates angekündigt: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-september-2020-quarterly-exchange-updates/ba-p/1649072 Die Links zu den KB Artikeln sind noch nicht erreichbar. :( Exchange 2019 CU7: https://support.microsoft.com/en-us/help/4571787/cumulative-update-7-for-exchange-server-2019 Exchange 2016 CU18: https://support.microsoft.com/en-us/help/4571788/cumulative-update-18-for-exchange-server-2016 Viel Spaß beim Patchen Jan

Dann guck dir Zabbix an

OT: Immer an das Gute glauben bzw. ist es nicht mal wirklich weit hergeholt: Windows 7 ESU

Hi, ist neben dem HP Controller auch ein iLO Board im Server? Das kann doch von Hause aus schon E-Mail-Benachrichtigungen, oder? Gruß Jan

Hi, je nachdem könnte man dein Wunschszenario einfach "Exchange-Cache-Modus" nennen. Gruß Jan

Hi, zum Hintergrund: Gestern wurden weitere Netscaler Gateways von Kunden geupgraded bzw. wurde "Adaptive Transport / EDT / DTLS" aktiviert. Heute grüßt - mal wieder das Murmeltier - und wir kriegen einen Überblick über die Vodafone Anschlüsse der Mitarbeiter unserer Kunden, da hier anscheinend "irgendwas" mit udp 443 passiert (https://forum.vodafone.de/t5/Störungsmeldungen-Internet-TV/EasyBox-804-keine-Verbindung-über-UDP-443/td-p/2200988). Kennt das jemand und hat hier (seitens Vodafone) eine Lösung bzw. eine Stelle an die man sich wenden kann? Tickets der Anschlussinhaber scheinen ins Leere zu laufen, sofern sich der Inhaber (nach dem Würgaround) überhaupt darum kümmert.. Der Würgaround besteht derzeit darin, an den externen Arbeitsplätzen udp 443 zu den Gateways zu blocken bzw. der Workspace App "Adaptive Transport" per Policy / Registry zu verbieten. Gruß Jan

Naja, da bin ich bei @Nobbyaushb. PSTs (auf Netzwerksahres) von (mehreren geöffnet?) ist einfach Murks. Da kann man die Daten in den PSTs / die PSTs eigentlich auch gleich Löschen. Dann weiß man wenigstens, dass die Daten weg sind. ;)

Hi, das ist (nur) eine Empfehlung (https://docs.microsoft.com/en-us/exchange/plan-and-deploy/system-requirements?view=exchserver-2019): Ich würde davon ausgehen, dass der Exchange Server 2019 nicht wirklich mehr Ressourcen braucht wie dein Exchange 2013 bzw. wie der evtl. 2016er brauchen würde. Für "unsere" Umgebungen finde ich auch nur "Nice to have Features": https://docs.microsoft.com/en-us/exchange/new-features/new-features?view=exchserver-2019 Gruß Jan

Hi, du könntest dir die ein oder andere E-Mail-Archivierungslösung wie bspw. Mailstore ansehen und deine Archiv-PSTs dort "reinpumpen". Zusätzlich könntest du dann dort auch die "restlichen" Postfächer in Mailstore bzw. der Lösung archivieren. Gruß Jan

Hi, läuft auf den DCs ein Virenschutz (oder andere 3rd Party Software) der (die) evtl. auch "das Netzwerk" schützt? Hast du im Fehlerfall mal (plain) LDAP oder "StartTLS LDAP" über Port 389 getestet? Ein weiterer Test könnte LDAPs über den Global Catalog (3289) sein. Gruß Jan

Hi, Wenn es eine Domain gibt -> HyperV Host(s) in die Domäne aufnehmen und Live Migration machen Wenn es keine Domain gibt -> Ggfs. auf Applikationsbasis migrieren oder (Export und) Import (oder ggfs. per (HyperV) Replikation oder ggfs. Backup und Restore) Gruß Jan

Hi, evtl. bist du schneller (und ggfs. günstiger) wenn du direkt auf ein entsprechendes Exchange DB Recovery Tool (z.B. Quest RME) zurückgreifst. Gruß Jan

Da es eine Testumgebung ist, kannst du einmal _alles_ entsorgen: https://www.alitajran.com/how-to-remove-exchange-from-active-directory/