testperson

Bei dem AV auf dem Exchange wurden die empfohlenen Ausschlüsse gesetzt (https://docs.microsoft.com/en-us/exchange/antispam-and-antimalware/windows-antivirus-software?view=exchserver-2016)? Wenn der AV nicht der Defender ist, hast du den Defender noch installiert (Remove-WindowsFeature "Windows-Defender-Features")? (Generell bin ich der Meinung, dass ein AV auf dem Exchange mehr "schadet" wie hilft.)

Ich würde vorsichtig behaupten, dass das nichts mit dem Exchange Update zu tun hatte. Das wollte zumindest keinen Reboot, habe halt "vorsichtshalber" nur durchgebootet. Ich hatte ebenfalls noch einen anderen Server gebootet, wo gar nichts installiert wurde. Der hatte auch recht lange mit "Windows wird vorbereitet" zu kämpfen. Als Gemeinsamkeit hätten die beiden Systeme nur den Juni Patchday, der letzten Freitag/Samstag durchgeführt wurde.

Die "Spielwiese" ist durch. Bis jetzt ist mir nur aufgefallen, dass es im Setup keinen "Schritt 2 von 17" gibt, dafür aber zweimal "Schritt 1 von 17" . Ansonsten hat der Server grade eine gute Stunde mit "Windows wird vorbereitet" verbracht, obwohl keine Windows Updates installiert wurden...

Also die "Neuerungen" hauen mich noch nicht vom Hocker: 4559435 Introduce an OrganizationConfig flag to enable or disable recipient read session in Exchange Server 2016 4559446 Changes to Outlook on the web blocked file extensions and MIME types in Exchange Server 2016 Mit etwas Wohlwollen: 4547707 Enable piping for Restore-RecoverableItems in Exchange Server 2019 and 2016 Und von den "Issues" ist mir glaube ich noch keiner über den Weg gelaufen. Mal schauen, ob (m)ein Testsystem heute noch dran glauben muss.

Hi, soeben wurde das Exchange 2019 CU6 sowie das Exchange 2016 CU17 veröffentlicht: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-june-2020-quarterly-exchange-updates/ba-p/1458993 Exchange 2019 CU6: https://support.microsoft.com/en-us/help/4556415/cumulative-update-6-for-exchange-server-2019 Exchange 2016 CU17: https://support.microsoft.com/en-us/help/4556414/cumulative-update-17-for-exchange-server-2016 Viel Erfolg beim Patchen! Gruß Jan

Die Mailkette kann ja auch schon vor der Zielorganisation (teilweise und/oder ggfs. unbewusst) außerhalb der Hände beider Beteiligter liegen. Es ist ja leider nicht so unüblich, dass man Mails bei Hostern (Strato, 1und1, Host Europe und Co.) einliefert und es ab da "abenteuerlich" weitergeht. Hier und da finden sich dann evtl. noch "Backup MX" von Providern. Natürlich läuft dann E-Mail-technisch bei der Zielorganisation vermutlich was nicht richtig. Da hilft dann aber eben auch kein Mailgateway, welches auf dem ersten Hop mit "sicheren Ciphern" und vertrauenswürdigen Zertifikaten TLS erzwingt.

Ähm, das ist so vermutlich nicht korrekt. Du solltest vermutlich Autodiscover korrekt einrichten und die entsprechende(n) URL(s) mit ins Zertifikat aufnehmen.

Genau darauf zielt @Dukels Einwand doch ab. Du bist dir doch niemals sicher, ob du tatsächlich in den richtigen/finalen Briefkasten eingeworfen hast. Es können ja noch einige Briefkästen auf dem Weg zum Ziel kommen.

Die Bindings sehen irgendwie nicht nach "Default" aus.

Hi, du hast im April das Zertifikat am Exchange erneuert und jetzt hast du das Problem? D.h. bis gestern gab es noch kein Problem und heute meldet der Browser das Zertifikat sei abgelaufen? Prüfe mal, ob die Zeit am Exchange Server und/oder den zugreifenden Clients korrekt ist. Ansonsten: Ist das ein vertrauenswürdiges Zertifikat einer internen / externen CA? Ist das ein self-signed Zertifikat? Der Browser zeigt dir tatsächlich das neue bzw. richtige Zertifikat, welches auch tatsächlich gültig ist? Der Exchange ist auf einem aktuellen CU (16 oder 15)? Gruß Jan

Hi, losgelöst vom Backup würde ich den Host immer in die Domäne aufnehmen, sofern eine Domäne vorhanden ist. Gruß Jan

Hi, an dieser Stelle sollte dir bewusst sein, dass im Fall der Fälle so ein Windows Server Backup vom Active-Directory das einzige vom Hersteller selbst supportete Backup ist. Im "worstesten Case" kann dir das WSB bzw. der dann benötigte Support vom Hersteller durchaus den Allerwertesten retten. Und für umsonst kostenlos würde ich das definitiv mitnehmen. Ebenfalls nützt dir das beste AD Backup nichts, wenn der Restore nie getestet und dokumentiert wurde. Damit man nicht "andauernd" ans Backup muss, wäre auch der AD Papierkorb noch ein guter Ansatz (aber kein Backup-Ersatz): https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100- Gruß Jan

Ich glaube hier gibt es ein Missverständnis und so wie du es beschreibst (und ich es verstehe), ist die Gruppe unnötig. Schau dir die letzte Antwort von daabm nochmal an (https://www.mcseboard.de/topic/218188-nochmal-gpo/?do=findComment&comment=1402352) weitere Informationen dazu finden sich hier: https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gpod/4b293f38-2e0b-48e6-9df6-ec3fd8c48512 Deine (Sicherheits- / Verteiler-) Gruppen im Active-Directory haben direkt erstmal nichts mit Gruppenrichtlinien zu tun. Das findet sich in Sunnys letzter Antwort (https://www.mcseboard.de/topic/218188-nochmal-gpo/?do=findComment&comment=1402372) (und den o.g. Links ebenfalls) wieder. Sei mir nicht böse, allerdings klingt das für mich nach der ein und anderen fehlenden Grundlage im Bereich Gruppenrichtlinien (und Active-Directory). Ist aber jetzt auch schon genau vier Jahre her: https://docs.microsoft.com/de-de/archive/blogs/askds/deploying-group-policy-security-update-ms16-072-kb3163622

Hi, ich habe das Gefühl, hier sollte (zumindest für die Theorie) nochmal vorne angefangen werden: Was hast du denn am Ende mit diesem GPO vor? Bestimmte PCs sollen die Computerkonfiguration aus dem GPO anwenden? Deshalb sind die Computer in der Gruppe? Bestimmte User sollen die Benutzerkonfiguration aus dem GPO an diesen bestimmten PCs angewendet bekommen? Deshalb sind die User in der Gruppe? So wie ich das hier heraus lese sind entweder die Computerkonten (ggfs. auch die Benutzerkonten) in der Gruppe nicht notwendig bzw. brauchst du die Gruppe dann evtl. gar nicht oder die authentifizierten Benutzer in der Sicherheitsfilterung falsch. Dass dein Ergebnis im Moment korrekt ist, wird an der noch(?) passenden OU-Struktur liegen. Ich möchte aber auch nicht ausschließen, dass ich hier irgendwo etwas falsch interpretiere. :) Gruß Jan

Dann schau doch mal an deinem Test-PC nach, ob der PC auch tatsächlich in der Gruppe ist: "gpresult /R /SCOPE COMPUTER"

Hi, kam heute morgen als Knowledge Center Alarm bzw. im Citrix RSS Feed: https://support.citrix.com/article/CTX275460 Ggfs. interessiert (und/oder betrifft) es den ein oder anderen hier. Gruß Jan

Hi, wo ist denn das GPO verlinkt? Befinden sich in der/den entsprechenden OUs nur Benutzerobjekte oder auch Computerobjekte? Daraus würde ich schließen, dass sich in der OU, wo du das GPO verlinkt hast, nur Benutzerobjekte befinden. Gruß Jan

Hi, Microsoft hat auf die Community / Feedback gehört und ermöglicht in der Build 19636 Nested Virtualization mit AMD Prozessoren: https://techcommunity.microsoft.com/t5/virtualization/amd-nested-virtualization-support/ba-p/1434841 Yay - Endlich kann ich in meinem "AMD HyperV Lab" virtuelle HyperV Cluster bereitstellen . Vielleicht geht es ja dann jetzt mit dem aktuell noch zweiten Uservoice-Platz weiter: https://windowsserver.uservoice.com/forums/295047-general-feedback/filters/top Viele Grüße Jan

Es ist irgendwie falsch, erst kaufen und dann fragen. Zumal du hier sicherlich einen Teil der Hardwarekosten besser in Lizenzen gesteckt hättest. In meinen Augen und ohne weitere Details würde ich sagen, passt das Sizing hier absolut nicht. Auch wenn du in dieser Umgebung ggfs. AD, Fileserver, Printserver und Postgree SQL (mit deutlich weniger RAM) auf einem Blech Bare-Metal betreiben könntest, spricht der RDS dagegen. Du willst auf einem Domain-Controller keine arbeitenden User.* Microsoft hat(te?) der RDS Rolle auf einem DC nicht umsonst den Riegel vorgeschoben. * So gesehen sollte man auf einem Domain-Controller gar keine interaktiven Anmeldungen wollen außer man administriert tatsächlich den Domain-Controller. Die "tägliche" Arbeit würde im Idealfall von einer (administrativen) Workstation mit den Remoteverwaltungstools aus getätigt.

Hi, pauschal kann man hier wenig zu sagen. Da müsste man schon dein Konzept kennen. Bei Server "die nicht oft durchgestartet werden dürfen", wäre die Frage, was machen die System? Die könnte man ggfs. auf Applikationsebene verfügbar halten und außerhalb der Kernarbeitszeiten dann sicherlich nacheinander versetzt durchbooten. Die Probleme mit Windows-Updates müsste man sich ansehen. Probleme mit dem Betriebssystem sind mir schon länger nach Updates nicht mehr vorgekommen. Hier und da evtl. bei Windows 10 Funktionsupdates in Kombination durch 3rd Party Virenscanner o.ä. Auf Applikationsebene gibt es, meiner Meinung nach, hingegen hier und da tatsächlich mal "Verschlimmbesserungen" durch Updates. Dabei werden aber oft eben auch sicherheitsrelevante Dinge gepatched, die halt u.U. (ungewollte) Einschränkungen mit sich bringen. Ich habe (vielleicht zum Glück) wenig mit den neuen (und alten) Menüs / Einstellungen zu tun. Da wo ich es evtl. am Rand habe, ersetze ich das "Geklicke" durch PowerShell bzw. Scripting und/oder passende Gruppenrichtlinien auf ein Minimum. Damals™ war eh alles besser, ohne dieses Internet, Ransomware und Co. Schließlich waren ja auch früher die Gummistiefel noch aus Holz und Freibier gab's für fünf Mark . Gruß Jan P.S.: Ich verstehe dich (glaube ich). Mich hat die letzten zwei Tage erneut die "neue" Dateitypzuordnung wahnsinnig gemacht...

Hi, pauschal sind die Fragen schwierig zu beantworten. Ist der Server bereits vorhanden oder in dieser Ausstattung geplant? Ich würde, sofern die eingesetzte Software "Virtualisierungs-Support" hat, auf Virtualisierung setzen. In deinem Fall könnte man, je nach tatsächlichen Gegebenheiten, mit einer zur Core-Anzahl passenden Windows Server Standard Lizenz und somit zwei Windows Server VMs auskommen. Empfehlen würde ich, ohne weitere Infos, allerdings zwei Windows Server Standard Lizenzen, damit du vier Windows Server VMs nutzen kannst. Evtl. wäre es für dich hilfreich, sich über den "Worst-Case" in Form des (Disaster-) Recovery bzw. Backup an die tatsächlichen Anforderungen zu nähern. Gruß Jan

Wenn du so weitermachen möchtest, solltest du dir auch noch "Select-Object" (und Expressions) ansehen. Da du scheinbar nur den SamAccountName brauchst, kannst du auf "-Properties *" verzichten, um nicht unnötig "viel" abzufragen. Ggfs. könntest du dir noch überlegen, ob es überhaupt eine CSV braucht bzw. ob nicht alles direkt im Script erledigt werden kann. Ebenfalls könntest du alles in eine ForEach Schleife packen und dir erst das benötigte in PS zusammenbauen und dann exportieren oder weiterverarbeiten. Der dürfte AFAIK nur helfen, wenn das Profil im AD-Objekt konfiguriert ist. Wenn die Profile per GPO kommen, ist dort nichts zu finden.

Hi, hier wäre der Code zum Generieren und/oder Einlesen des CSVs ganz interessant. Ansonsten solltest du vermutlich mit "-join" weiterkommen. -join((Get-ADUser $env:USERNAME).SamAccountName, ".v2") Gruß Jan

Hi, na sicher, der Hersteller: https://docs.microsoft.com/en-us/powershell/module/addsadministration/new-adgroup?view=win10-ps Gruß Jan

Hi, dann werden 100 User CALs oder 100 Device CALs benötigt. Wenn du möchtest, kannst du auch noch "mischen", ob das in deinem Fall Sinn macht lässt so erstmal sich nicht sagen. Gruß Jan