testperson

Hi, warum nicht auf Multihomed verzichten und den Server in ein eigenes geroutetes (V)LAN packen? Dann kannst du dir immer noch überlegen die Infrastruktur-Dienste (DNS / NTP / DHCP / ...) dort dediziert zu betreiben oder eben die bereits vorhandenen mit zu nutzen. Gruß Jan

Hi, bei der recht allgemein gehaltenen Frage und deinem einleitenden Satz, wäre die erste Frage, ob du tatsächlich von Userprofilen sprichst oder ob es dir um die User im bzw. das Active Directory geht. In beiden Fällen lässt sich das übernehmen. Im Fall des Active Directory würde ich das auch definitiv tun. Bei den Benutzerprofilen würde ich mit der Erneuerung auch gleich die servergespeicherten Profile ablösen. Ob ihr mit Essentials auskommt oder ob ihr einen Standard Server benötigt, lässt sich bei den Informationen nicht sagen. Wenn das Budget passt bzw. aufgestockt werden kann, würde ich definitiv zu einem Windows Server 2019 Standard (+ CALs) raten und mittels Hyper-V virtualisieren, damit du mit der Lizenz zwei VMs (bspw. ein dedizierter Domain Controller und ein eigener Fileserver) nutzen kannst. Evtl. wäre es am einfachsten, einen oder zwei Dienstleister in eurer Gegend anzufragen und mit einem dann ein für euch passendes Konzept zu erarbeiten und ggfs. umzusetzen. Gruß Jan

Ja, das sollte machbar sein. "Netzwerkname nicht gefunden" deutet erstmal auf Probleme mit der Namensauflösung hin. Wie versuchst du denn zuzugreifen? Die neue bzw. weitere Frage packst du am besten in einen eigenen Thread mit passendem Titel, dann schauen sich das sicherlich auch User mit DFS Know-How an.

Hi, wenn es sich hier um RDSH mit Windows Server 2016 oder 2019 handelt wird das Problem sein, dass den RDSHs die Einstellungen im AD-Objekt des Benutzers erstmal egal sind: https://support.microsoft.com/en-us/help/3200967/changes-to-remote-connection-manager-in-windows-server Generell würde ich nur das Nötigste im AD-Objekt konfigurieren und so viel wie möglich per GPO erledigen. Bei RDSH Profilen würde ich aber auch direkt in Richtung FSLogix schauen. Gruß Jan

Hi, Speicherort und Laufwerk für das Benutzerprofil sind Computerkonfigurationen. Vermutlich hast du das GPO an eine OU gelinkt, in der sich nur Benutzer befinden. Gruß Jan

Hi, wieso ist nur POP3 in der Kombination mit Exchange und Outlook möglich? Wenn der Client Outlook ist würde ich den auch, so wie vorgesehen, per MAPI (over HTTP) verbinden. Gruß Jan

Das hat nichts mit Bashing am Hut. Über Exchange Active Sync (EAS) kriegst du keine öffentlichen Ordner auf den Client. Der Client ist da völlig irrelevant, das "EAS Protokoll" gibt es einfach nicht her. Je nachdem was ihr da in den öffentlichen Ordner bereitstellt, gibt es halt noch den ein oder anderen Workaround. Besser wird es dadurch aber auch nicht.

Hi, dann bleibt wohl nur die öffentlichen Ordner abzulösen und in Postfächer zu überführen. Wenn Apple das aber über EAS anbindet, ist das eigentlich auch nicht zielführend. Gruß Jan

Bei sowas bin ich immer skeptisch und auf der "Geht nicht - Gibt's nicht" Seite. ;) Warum sollte das denn nicht machbar sein? Wenn die Laufwerke nach einem gpupdate da sind, könnte man als Würgaround einen Task an die Anmeldung knüpfen, der mit Verzögerung ein "gpupdate" ausführt. Alternativ natürlich mit der Policy aus der Antwort über mir testen.

Hi, das einfachste wäre, dass zu deaktivieren. Ebenfalls würde ich "Gruppenuser" und "Funktionsuser" abschaffen. Kommen die Netzlaufwerke denn nach einem "gpupdate" bzw. nach einem entsprechendem Refresh? Gruß Jan

Ain't nobody got time for that. netdom.exe resetpwd /s:<Domain Controller> /ud:<Domain>\<User> /pd:* Reset-MachineAccountPassword -Server <Domain Controller> -Credential $(Get-Credential)

Ich vermute, dass Split-Tunneling hier nicht hilft, da der VPN Tunnel getrennt wird sobald das WLAN sich verbindet. Das klingt so, als würde die Notebook WLAN Schnittstelle beim Verbinden mit dem Drucker ein Gateway bekommen und der AnyConnect will dieses dann bevorzugen. Beim Lancom Advanced VPN Client bzw. dann vermutlich auch beim "NCP Client", kann man im VPN Profil des Clients ein Verbindungsmedium festlegen und bspw. mit den Mobilfunkdaten des Providers ausstatten. Das würde dann aber vermutlich je ein VPN Profil für Mobilfunk und eins für WLAN im Home Office benötigen. Warum muss es denn unbedingt WLAN sein? Für mich ist das ohne weitere Details zu kennen eine Helpdesk ABM. Wenn du scripten möchtest, wäre das evtl. ein Ansatz: Auf WLAN Verbindung mit dem Drucker prüfen (Sofern hier DHCP im Spiel ist und ein Gateway auf dem Interface ankommt, die IP Konfiguration auslesen) (Den Adapter auf statische IP Konfiguration ohne Gateway umkonfigurieren) VPN Verbindung aufbauen Bis zum Trennen des VPNs / Logoff / Shutdown warten WLAN Interface zurück auf DHCP konfigurieren Meine Meinung bleibt weiterhin: Drucker per USB anstecken -> Glücklich sein. Mal davon abgesehen, dass das in meinen Augen per WLAN eine wackelige Angelegenheit wird hätte ich mit den Stichworten "Drucker" und "WLAN" auch noch Bedenken in Richtung "Security".

Hi, ich kann auch nur zu SetACL, icacls oder SubInACL raten. Ich habe nach mehreren Anläufen sämtliche Versuche in PowerShell aufgegeben. Das "Problem" kann da aber auch an mir liegen. ;) Gruß Jan

Weil der Hyper-V Hosts nichts neben Virtualisierung / Verwaltung dieser / Backup ausführen darf ohne eine Lizenz zu benötigen. Wenn der Host nur zu diesem Zweck dient, darfst du zwei Windows vOSE mit der zugewiesenen Lizenz betreiben. Wenn mich nicht alles täuscht geht das schon. Allerdings muss man sich bzw. den Essentials ganz schön verbiegen. Ob das dann noch lizenzkonform ist, steht auch auf einem anderen Blatt. Das ist vollkommen korrekt. Hier müsste man sich aber sicherlich mal an einen Tisch setzen, die Anforderungen zusammentragen und dann sollte auch "Augenmaß" dabei sein. :)

Nein. Zumal der dann auch eine Lizenz benötigen würde bzw. dann eben keine zwei VMs mehr betrieben werden dürften. Für Filesharing habe ich gehört, das soll sogar mit Linux machbar sein. ;)

Hi, du hast ja hier nicht nur das "Problem" Drucker sondern auch noch WLAN. Warum die Drucker im Außendienst nicht einfach per USB anstöpseln? Ein anderer Ansatz könnte noch sein, mobile WLAN Router mit der SIM Karte zu nutzen und Drucker + Notebook an diese Hotspots zu verbinden. Ein ganz anderer Ansatz, warum überhaupt unterwegs drucken? "Save paper – think, before you print" :-P Gruß Jan

Hi, "solche Umgebungen" lassen sich durchaus auch "in der Cloud" betreiben bzw. könnten sicherlich Teile der Anwendungen aus "Clouds" bezogen werden. Gruß Jan P.S.: Team Hyper-V-Hosts-gehören-in-die-Domäne

Hi, wenn ich dich richtig verstehe klingt das nach der Notwendigkeit von Split-DNS. Ansonsten müsstest du die an der RDS-Bereitstellung involvierte Infrastruktur einmal etwas ausführlicher skizzieren. Gruß Jan

Ist das nicht weiterhin der Windows Server 2019 1809 allerdings mit den bereits integrierten Windows Updates bis April 2020? Zumindest würde ich das bei mir so aus dem VLSC herauslesen: Ist das wie bei Win 10 z.B. neu, dass beim Erscheinen eines neuen Builds (2004) der Build-1 (1909) auf den jeweiligen Patchday geupdated wird?

Ich bin mir bei beiden Werten nicht sicher. Wenn jemand den "Hidden" Part entsorgt hat sofern er da war, wäre ja auch ein Löschen des Versions-Filterungs-ILT in der GUI machbar gewesen. In der Datei kann man das ja so oder so löschen. Daher mein Tipp, sofern an der korrekten Stelle gesucht wird, da hat jemand einfach beide Werte im File entsorgt.

Hi, auf die Schnelle habe ich nur zwei Links gefunden, die auf "Windows Server" generell eingehen: https://www.comconsult.com/dominanz-usa-softwarehersteller/ https://www.wikiwand.com/de/Microsoft Wie verlässlich und hilfreich das ist, steht sicherlich auf einem anderen Blatt. Gruß Jan

Hi, wenn du das zu Ende zitierst, gibt es da noch einen weiteren Satz (https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf): Ich gehe allerdings auch davon aus, dass Lieschen Müller ebenfalls keine Ahnung hat welche Mailserver des Providers welche IP Adressen haben. Ebenfalls findet sich im Dokument zu "DNSSEC" noch: Trifft das denn überhaupt zu? Wurde überhaupt von "irgendjemandem" festgelegt was ein "... hohes Risiko für die Rechte und Freiheiten ..." darstellt? Ebenfalls lässt das zuletzt zitierte ja auch noch Luft nach unten. Wäre ich jetzt Lieschen Müller, hätte ich gar kein Interesse eine solche Angelegenheit per Mail zu bekommen. Vermutlich würde ich diese Information nicht mal am Telefon entgegennehmen wollen. ;) Eine (traurige) Alternative: De-Mail. Zumal man seine Mandanten aus Privatpersonen ebenfalls schlecht zu De-Mail zwingen kann. Gruß Jan

Hi, das sollte sich in PowerShell nachscripten lassen. Das Script kann dann täglich per Task gestartet werden und informieren. Alternativ wäre halt eine "richtige" Monitoring Lösung (Zabbix, PRTG, Nagios, Icinga, CheckMK und wie Sie alle heißen) ein Ansatz. Je nachdem wäre hier auch eine Cloud Lösung (Kaseya, Solarwinds, ...) sinnvoll. Gruß Jan

Einen kleinen Ansatz in PowerShell hätte ich hier schonmal vorbereitet: https://www.mcseboard.de/topic/218102-gpo-wird-erst-nach-gpupdate-angewandt/?do=findComment&comment=1401640

Hi, ich würde am "$smtpserver" einmal in die SMTP Logs schauen, ob da im Fehlerfall etwas zu sehen ist. Wenn dort das Logging aktiv und die Retention hoch genug ist, solltest du da auch rückwirkend noch Infos finden können. Gruß Jan