testperson

Wenn ihr nur einen Terminalserver habt auf dem alle User arbeiten und die Anzahl der Drucker "überschaubar" ist, würde ich die Drucker auf dem Terminalserver installieren (und nicht freigeben).

vor 18 Stunden schrieb AlexWenok:

was aber von Microsoft nicht begrüsst wird, wesewegen, ist der Domain Controller die Rolle übernahm.

Das wird von Microsoft vermutlich noch weniger begrüßt ;).

Hi,

das wichtigste wäre die Terminalserver aktuell zu patchen und die aktuellsten Druckertreiber zu nutzen. Zu diesem Problem gibt es hier einiges zu lesen: https://www.mcseboard.de/topic/199355-2012-r2-rds-extreme-druckerprobleme/

Wie viele Terminalserver sind im Einsatz? Was nahezu immer hilft (aber eigentlich keine zufriedenstellende Lösung ist), die Drucker nicht in die User Session verbinden sondern auf den Terminalservern installieren.

Gruß

Jan

Oha, ich Depp  Demnächst auch alles lesen und verstehen. Das betrifft nur "EV-Zertifikate" und sowohl wir, wie scheinbar auch die DKB, nutzen Domain- bzw. Organization-Validated Zertifikate.

Hi,

nach https://www.heise.de/news/Jetzt-handeln-DigiCert-erklaert-zehntausende-TLS-Zertifikate-fuer-ungueltig-4840972.html?wt_mc=rss.red.security.security.atom.beitrag.beitrag sollten gestern 20 Uhr verschiedene Intermediates von Digicert revoked werden. In den Kommentaren bei heise.de habe ich als Beispiel die DKB gefunden (und muss nicht drauf eingehen, dass bei "uns" verschlafen wurde, zu erneuern), die noch ohne Zertifikatswarnung aufgerufen werden kann. Die Sperrlisten wurden jedenfalls gestern aktualisiert.

Ist das jetzt ein Grund weshalb es https://www.michael-wessel.de/blog/2020/04/27/lets-talk-about-it-warum-pki-ein-krankes-konzept-ist/ gibt?

Gruß

Jan

Hi,

hast du nach dem Update durchgebootet? Laufen alle Dienste? Gab es irgendwelche Besonderheiten beim Update oder lief das komplett problemfrei durch?

Sind das die einzigen Fehler im Eventlog oder finden sich in administrativen Ereignissen weitere?

Mir sind zuletzt eine Hand voll Exchange Server begegnet wo - losgelost von einem Update - keine Zertifikate mehr ans Backend gebunden waren. Da gab es dann auch entsprechende Serverfehler.

Je nachdem wie lange du schon nicht mehr weiter weißt, wäre ggfs. ein Restore eine Idee. Danach würde ich dann direkt auf CU17 updaten.

Gruß

Jan

vor 17 Minuten schrieb NorbertFe:

Interessant, dass die Fehler lt. release notes aber schon in der 13.0-58.30 behoben sind, die aber schon irgendwann im Juni veröffentlicht wurde. :)

Die 12.1-57.18 ist auch nicht betroffen und im 12.1er Release die aktuellste Firmware aus Juni.

Hi,

vor 6 Minuten schrieb magicpeter:

Meine Frage kann ich ohne Probleme den virtualisierten DC in die Domain / ActivDirectoryeinfügen.

ein DC, ob virtualisiert oder physikalisch, ist irgendwie zwangsweise immer Mitglied der Domain.

vor 7 Minuten schrieb magicpeter:

Ich habe mal gehört das das mit einem Windows 2012 R2 Essential nicht gehen würde da nur ein DC aktiv sein darf.

Der Essentials muss lediglich die FSMO Rollen halten, die sich dann beim Herunterstufen i.d.R. automatisch einen neuen Inhaber suchen.

Gruß

Jan

Hi,

wie filtert denn der Kaspersky? Ggfs. kommt die Mail ja gar nicht bis ins Exchange SMTP Log.

Exchange meldet AFAIK auch kein "452 4.3.1 Insufficient system storage".

Gruß

Jan

Hi,

ich habs noch nie benutzt aber laut Website sollte Transend das können: https://www.transend.com/scenario/imap-microsoft-exchange-2013/

Gruß

Jan

Hi,

ich würde Software nicht per GPO verteilen. Ich würde da auf WSUS und WPP oder eben direkt eine Softwareverteilungslösung setzen.

Ansonsten könnte dir hier der (erweiterte) Ruhezustand (PowerCfg.exe /h Off) oder ein zu schneller Bootvorgang (https://www.gruppenrichtlinien.de/artikel/ssd-zu-schnell-synchroner-startvorgang-nicht-moeglich/) dazwischen funken.

Gruß

Jan

Hi,

bevor ich mich über "die zwei Klicks" aufregen würde, würde ich mich bzgl. 

vor 1 Stunde schrieb Doraymefayzo:

Bei uns läuft die Softwareverteilung über Gruppenrichtlinien.

aufregen.

Ansonsten bau dir dein eigenes "Frontend" bspw. per PowerShell.

Gruß

Jan

Hi,

bring den Usern bei, sich mit der E-Mail-Adresse bzw. dem UPN anzumelden ;). Alternativ SSON aktivieren?

Kannst du nicht die RDP Datei speichern und einfach bei Benutzer nur "<Domain>\" eingeben? Ich meine, dass hätten wir "früher" so gemacht.

Gruß

Jan

Hi,

kam grade aus dem Citrix Knowledge Center Alarm bzw. über die RSS Feeds: https://support.citrix.com/article/CTX276688

Im Citrix Blog wird auf die, sich größtenteils im Management befindlichen, Schwachstellen eingegangen: https://www.citrix.com/blogs/2020/07/07/citrix-provides-context-on-security-bulletin-ctx276688/

Gruß

Jan

Ist denn "mail.<deine Domain>.<tld>" überhaupt (einer) der MX Record(s)?

Was ergibt denn

nslookup -querytype=MX <deine Domain.tld>

und wohin zeigt dieser A-Record?

Hi,

wie kommen denn die Mails zum Exchange?

Was findet sich in den SMTP Logs auf deiner und ggfs. der absendenden Seite?

Gruß

Jan

Hi,

damit die User ihr Outlook zumindest "ohne Zutun" auf kriegen, könntest du noch versuchen, das Profil bei Anmeldung aus der Registry und dem User-Profil zu löschen sowie https://gpsearch.azurewebsites.net/#6228 zu setzen. Zusätzlich ggfs. noch den Cache-Mode (aktivieren/)deaktivieren: https://gpsearch.azurewebsites.net/#6201

Gruß

Jan

Hi,

das dürfte am einfachsten mit HTTP-Redirect gehen: https://docs.microsoft.com/en-us/iis/configuration/system.webserver/httpredirect/

Sollte aber auch mit dem URL Rewrite Module machbar sein.

Gruß

Jan

Ein Ansatz könnte sein, dem VPN User am Gateway per Firewall alles andere zu verbieten.

Hi,

hier wäre die Frage, was du bereits an CALs hast.

• Für den Zugriff auf die Windows Server brauchst du, sofern noch nicht vorhanden, entsprechende Windows Server Device- und/oder User-CALs
• Für den Zugriff auf die Remote Desktop Dienste brauchst du entsprechende Windows Server RDS Device- und/oder User-CALs

vor 17 Minuten schrieb msdtp:

Ferne trage ic das für die gesamte Farm ein oder muss ich das splitten?

Das wird auf dem Remote Desktop Lizenzserver einmalig für die Farm eingetragen.

vor 17 Minuten schrieb msdtp:

Ist dass das richtige Paket?

Könnte sein. Generell kommt mir der Preis auf den ersten Blick für 50 RDS User oder Device CALs sehr günstig vor.

vor 17 Minuten schrieb msdtp:

Brauche ich die User CALS denn?

Wenn Benutzer auf die Farm zugreifen sollen, ja.

Gruß

Jan

Hi,

ggfs. könntet ihr dann auch noch den Erwerb einer weiteren Standard Lizenz durchspielen, um den Domain Controller vom Exchange (oder umgekehrt) zu befreien. Die dann "freie VM" kriegt man im Notfall sicher auch "beschäftigt".

Gruß

Jan

Dazu müsste die Software erstmal direkt mit einem Mailserver per SMTP sprechen (können). Ansonsten musst du eben auf diesem Server entsprechende Outlook Profile erstellen die mit dem Postfix sprechen.

Wie die Postfix Konfiguration dann aussehen muss kann ich dir nicht sagen.

vor 9 Minuten schrieb sd2019:

Die verschicken via SMTP von der Software aus auf verschiedenen Clients. Die Mails werden also an Outlook übergeben.

Das schließt sich in meinen Augen aus.

• Versand per SMTP wäre die direkte Kommunikation der Applikation mit dem Mailserver. Hier wären vermutlich Transportregeln oder ein eigener Postfix für die Konstellation denkbar.
• Mails an Outlook übergeben wäre wiederum ein Zugriff der Applikation auf das eingerichtete MAPI-Profil (Outlook Profil) des angemeldeten Users. Hier blieben wohl nur Workarounds. Wird der Betreff der Mail vorgegeben oder lässt sich vorgeben? Dann könntest du ggfs. darauf mit filtern einer Regel filtern.

Ich würde den Hersteller fragen, ob sich das und wie es umsetzen lässt.

vor einer Stunde schrieb Gerber:

Man findet es halt oft in Tutorials oder Anleitung, dass der SCP auf autodiscover.domain.de konfiguriert wird

Man kann halt auch alles auf "autodiscover.<domain.tld>" konfigurieren. Dann kann man ggfs. auch noch beim Zertifikat sparen. ;)

Hi,

die "neue Software" benötigt auf dem "neue Software Server" ein Outlook und versendet dann über das entsprechende MAPI Profil? Oder ist das Outlook auf einem (Test-) Terminalserver, wo Benutzer mit der "neuen Software" arbeiten und Mails an Outlook übergeben bzw. hier jeder User mit seinem MAPI Profil dann versendet?

Abgekürzt: Wie stellt der Hersteller der Software sich den Mailversand vor?

Gruß

Jan

Noch ein Ansatz in der Remotekonsole: "sconfig.exe".