testperson

Hi, was findet sich denn in den SMTP Logs auf dem Exchange? Protokoll-Logging aktivieren (und Logs finden): https://docs.microsoft.com/en-us/exchange/mail-flow/connectors/configure-protocol-logging?view=exchserver-2019 Gruß Jan

Hi, wenn "kein / minimales Budget" da ist, würde ich als erstes mal nach RPO (Wie viel Datenverlust ist akzeptabel) / RTO (Wie lange darf das System ausfallen) fragen. Also ab wann der Strick um den Hals eine Überlegung sein könnte. Gruß Jan P.S.: "Das AD" setzt sich bei 40 Mitarbeitern hoffentlich aus mindestens zwei DCs zusammen (die natürlich nicht auf dem gleichen HyperV laufen sollten).

Nur so zur Vorsicht: Und BTW: In PowerShell wäre es wohl noch einfacher (und zur Not kann man in einer Batch auch einfach die PowerShell.exe mit Command starten). # https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/start-process?view=powershell-7 Start-Process ... -Wait

(Normale) User sollen mit administrativer Shell hantieren?

Hi, ich glaube das was du vor hast, habe ich mal mit VBScript erledigt und in der Batch dann per cscript / wscript ausgeführt. Generell wäre die Frage, warum Batch und nicht PowerShell? 'VBS Option Explicit 'Variabeln deklarieren Dim objWSH,objWMI,objWMIService,Proc,P,Weiter 'Erstellen der Objekte Set objWSH = CreateObject("WScript.Shell") objWSH.Run "<Pfad_zur_EXE>.exe", , true 'Hier geht es erst weiter wenn das Programm beendet wird Gruß Jan P.S.: Das habe ich irgendwann mal gefunden und benutzt.

Hast du dir die Ereignisse auch durchgelesen? Liefert eines deiner Ereignisse evtl. schon eine Lösung?

Hi, schau ins Eventlog "Anwendungs- und Dienstprotokolle" -> "DFS-Replikation" bzw. auch in "Directory Service". Gruß Jan

Es sind max. ein bis zwei Hände voll. Da ist es halt praktisch, dass viele unserer Kunden so oder so alle eine Smartcard von DATEV haben, mit der man das eben umsetzen kann. Ein Kunde testet das grade mit RCDevs und Softtoken.

Dem kann man ja mit einem zweiten Faktor (Smartcard / Yubikey / Token) entgegen wirken. Ebenfalls gibt es Möglichkeiten zu überwachen, von wo eine Anmeldung versucht wird / erfolgt. Sollten bei einer Behörde dann Anmeldeversuche / Anmeldungen aus China o.ä erfolgen, dann ist wohl was faul im Staate Dänemark Deutschland. ;)

Und dann kommt die "Duo Bypass App" um die Ecke: https://blog.workinghardinit.work/2019/11/13/the-darwin-award-with-mfa-push-notifications/ oder der User bestätigt eben jede Anfrage :-D

Hm.. RTFM? https://docs.microsoft.com/en-us/microsoftteams/teams-for-vdi https://docs.microsoft.com/en-us/microsoftteams/msi-deployment

Halt stopp. ;) Nils' hat es oben eigentlich schon angemerkt. Die MAC Adresse ändert sich nicht bei / nach der Livemigration sondern erst wenn die VM danach neu gestartet wird. "Abgestimmt" sind die nur mit SCVMM und MAC address pools. Ansonsten generiert der Host die: https://support.microsoft.com/en-us/help/2804678/windows-hyper-v-server-has-a-default-limit-of-256-dynamic-mac-addresse

Das ist jetzt auch kein wirklich sachdienlicher Hinweis, aber nutze jetzt die Chance und dokumentiere das, was du wie auch immer jetzt aufspürst. Generell: Dokumentation. ;) Ebenfalls für die (nahe* not foreseeable) Zukunft: Wenn du alle LDAP-anfragenden System gefunden hast, prüfe, welche der Systeme unverschlüsseltes / -signiertes LDAP sprechen und konfiguriere auf secure LDAP / LDAPs um: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023 * Der Artikel wurde scheinbar erneut angepasst und aus der 2ten Jahreshälfte 2020 wurde die nicht absehbare Zukunft.

Ja klar, allerdings sollte dann auch eine entsprechende Ansage ohne 2FA helfen. ;) Natürlich kann man Ansagen mit was Neuem einfacher verargumentieren wie etwas zu ändern, was doch schon immer so gehandhabt wurde.

Hi, für die Zukunft könnte man auch einen Loadbalancer für solche LDAP Anfragen implentieren. Dann hast du immer nur eine IP / einen Namen und tauscht dahinter einfach die Server-Objekte aus. (Laut Microsoft ist das allerdings unsupported: https://social.technet.microsoft.com/wiki/contents/articles/33547.load-balancers-and-active-directory.aspx) Gruß Jan

Meinst du, derjenige der seine Account-Daten weitergibt, wird dann nicht bei 2FA auch den Code weitergeben bzw. blind alles absegnen? Da müsste der 2te Faktor ja schon SmartCard / Yubikey o.ä. sein, was man aber auch weiterreichen kann. Sowas lässt sich vermutlich nur organisatorisch und mit Konsequenzen abschaffen.

Hi, schalte für die VM doch testweise einmal bei den Integrationsdiensten den "Datenaustausch" aus. ;) Generell würde ich beim Hersteller nicht lockerlassen und auf Lösung bzw. Unterstützung bestehen. Gruß Jan

Hi, unser DSB hat sich eine Notiz dazu gemacht und somit abgehakt. Bei Kunden gibt es DSBs die das ebenso handhaben, mit denen man sich über Sinn / Unsinn der regelmäßigen Kennwortänderung unterhalten kann oder welche die darauf beharren und auf die Unfähigkeit des ITlers hinweisen. Viele Kunden (und auch DSBs) verstehen im Gespräch, dass es Unsinn ist und verzichten drauf. Andere Kunden glauben dem DSB, der macht das ja beruflich. ;) Ebenfalls gibt es noch "Cyber-Versicherungen" die Kennwortänderungen in ihren Bedingungen haben. Die freuen sich in der Regel, dass Sie ihr Kennwort nicht mehr ändern müssen bzw. mussten das Kennwort eh nicht regelmäßig ändern. Theoretisch kann ja jeder der mag, sein Kennwort alle x-Tage trotzdem ändern. Langes Kennwort bzw. einen Kennwortsatz; Keine regelmäßige Änderung. Gruß Jan

Die RDS Rolle unter Windows Server 2019 braucht laut TO einen Domain Controller und der Windows Server 2016 wohl nicht. Damit wäre das Thema Domäne ad acta gelegt, sofern es nicht zwingend Windows Server 2019 sein muss.

Hi, da alle auf Windows VPN eindreschen will ich doch glatt mitmachen. Es sei denn es handelt sich um DirectAccess. :) Allerdings würde ich eher auf Always On VPN mit (/ oder komplett auf) 3rd Party setzen. Gruß Jan

Es gibt Lancom Devices die per Public Spot (Option) ein Gästenetzwerk mit Landing-Page / Anmeldung bereitstellen können. Ohne Lancom WLC wird man aber an VLANs oder physikalisch getrennten Netzen nicht vorbeikommen. Mit WLC könnte man verschiedene Netze per Layer-3 Tunnel über den Controller tunneln.

Ich hätte den gleichen Rat: https://www.mcseboard.de/topic/217839-server-in-neues-ip-netzwerk/?do=findComment&comment=1398828

Ja.

... und erstrahlt in neuem Gewand: https://gpsearch.azurewebsites.net/ Und vom Author gibt es noch eine kleine Geschichte dazu: https://st-s.info/2020/04/19/eine-kleine-geschichte-der-group-policy-search/ Gruß Jan

Nein.