testperson

Neben der 32- / 64-Bit Thematik soll ja bis Ende 2024 das neue Outlook erzwungen werden: Jetzt ist es offiziell: Neues Outlook löst Vorgänger-Apps 2024 ab | heise online Hier wäre die Frage, wie es denn um Add-Ins steht. Ja, ok. Die Antwort ist "schlecht". :)

Hi, als Alternative evtl. neuen Fileserver mit neuem OS auf der neuen LUN installieren und die Daten migrieren. (Dabei könntet ihr dann auch das Thema DFS angehen.) Gruß Jan

Hi, Ist lokal und in der Citrixumgebung ein / der gleiche Virenscanner involviert? Wie viele Kalender haben die "Problemuser" insgesamt eingebunden? Zugriff per MAPI over HTTP oder RPC? Ggfs. wäre es auch ein Test wer einmal per RPC zu testen Gruß Jan

Hi, um wie viele PCs handelt es sich denn hier? Lohnt sich evtl. der Blick in Richtung Client- / Endpointmanagement? Eine moderne Cloudlösung könnte bspw. Intune sein. Ansonsten bspw. Endpoint Central von Manage Engine oder evtl. auch die PCs "nur" per Windows Deployment Services betanken? Gruß Jan

Gerade gelesen, dass der SMTP aus dem IIS wird entfernt: https://techcommunity.microsoft.com/t5/windows-server-insiders/server-buld-20303-1-iis-6-manager-crashes-trying-to-edit-smtp/m-p/3978658/emcs_t/S2h8ZW1haWx8ZGlnZXN0X25vdGlmaWNhdGlvbnxMT1ZJMzBJT0NBNVJYVHwtMXxPVEhFUlN8aEs#M3183

Hi, evtl. ein anderer Ansatz und den Einsatz von (Client to Site) VPN komplett hinterfragen: RD Gateway über Azure AD Application Proxy Microsoft Entra Private Access (derzeit Preview) Andere SASE / ZTNA Lösung Citrix Netscaler als RDP Proxy Citrix Netscaler und Citrix Virtual Apps & Desktops Parallels RAS Gruß Jan

Hi, das wird sich auch mit Zabbix lösen lassen. Da finden sich auch ein paar Integrationen für Drucker: Zabbix Integrations and Templates Gruß Jan

Hi, und könnte "DNS Fehler" erklären. :) Gruß Jan

Macht die XG im Default nicht "SMTP Proxy" im transparenten Modus und "pfuscht" somit im SMTP Traffic rum?

-> How To: Setting Up A Mail Gateway — OPNsense documentation

Hi, eine OPNsense sollte das auch schaffen. Gruß Jan

Bis 25 Devices finde ich die kostenlose Version von Endpoint Central ganz charmant. Selbst die "große" Security Edition bis 50 Devices kostet nicht die Welt.

Eigentlich verbindet man sich zum Broker und der brokered dann eben. ;) Wenn du mit RDP Files arbeitest, musst du diese dann aber noch anpassen (bspw. mit Notepad öffnen): # Diesen Eintrag auf 1 ändern # use redirection server name:i:0 use redirection server name:i:1 # Diesen Eintrag hinzufügen # <Name der Sammlung> natürlich durch den korrekten Namen erstzen ;) loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.<Name der Sammlung> Ich vermute, wenn du dich per "mstsc /admin" zu einer IP Adresse von einem der TS verbindest, sollte es klappen.

Hi, wenn ihr einen Broker auf eigenem Server habt, warum dann DNS Round Roubin? Mal abgesehen davon, dass DNS RR generell meistens "Mist" ist. Sofern die Domain Admins Mitglied der lokalen Administratoren sind, ist er ja schließlich "explizit" lokaler Admin. Hier solltest du aber ansetzen und den/die Domain Admin/s zur Administration der Domäne beschränken und "passende Administratoren" für "den Rest" erstellen. Ebenfalls dann die Domain Admins überall aus den lokalen Administratoren Gruppen entsorgen (und ein "*-Logon-Deny" auf die Member Server).* Gruß Jan *) Das ist nur nichts für mal eben so nebenbei ohne Planung. ;)

Hi, wenn Hybrid, dann Classic Full oder Modern Full. Ansonsten wird AFAIK OAuth nicht konfiguriert, was dann händisch gemacht werden müsste und die "Vorteile" von "Minimal Hybrid" ad acta legt. Generell muss man gar nicht Hybrid gehen und "nur" Autodiscover sauber am Laufen haben sowie die WebServices veröffentlicht haben. Dann lässt sich "händisch" OAuth konfigurieren und der Kalender Zugriff funktionert. (Ich kann allerdings nicht sagen, ob das supportet wird. Je nachdem was man vor hat, ist der Hybridweg sinnvoller.) Gruß Jan

Hi, machst du hier DNS Round Robin oder wohin zeigt "TSDE"? Wo läuft denn der Broker? Der Admin User ist auch lokaler Admin auf allen drei TS? Gruß Jan

Jetzt auch bei heise: https://www.heise.de/news/Microsoft-Exchange-Server-anfaellig-fuer-Remotecode-Ausfuehrung-und-Datenklau-9353809.html

Die DNS Zone(n) liegen im derzeitigen Fall bei Azure. CAA Record ist da möglich. Allerdings lässt DNSSEC auf sich warten.. (Vielleicht hilft bzgl. DNSSEC ja nächstes Jahr Implementing Inbound SMTP DANE with DNSSEC for Exchange Online Mail Flow - Microsoft Community Hub)

Hi, kurz und schmerzlos: Neue VM aufsetzen, Anwendung migrieren, alte VM außer Betrieb nehmen. Alternativ Get-WindowsUpdateLog (WindowsUpdate) | Microsoft Learn sfc /SCANNOW Bzw. im CBS.log auf die Suche gehen Gibt es auch Fehlercodes / Fehlermeldungen? Gruß Jan

Ich würde auf DH Key < 4096 bits und/oder Cipher < 256 bits dabei tippen. (SSL Server Rating Guide · ssllabs/research Wiki · GitHub)

TLS1.2 und 1.3 sind aktiv. Ist allerdings "nur" ein Apache2 Webserver und (noch) kein Netscaler. ;) Der innere Monk wird jetzt nur noch vom orangen, weil fehlenden, DNS CAA Record getriggert. Bin allerdings ein wenig überrascht, wie kompatibel das laut dem SSL Labs Test noch ist.

Und damit ist das Wochenende ab sofort verdient :)

Ich vermute, es gibt genügend Quellen, wo sich passende Zugänge gegen Kohle kaufen lassen. Hier gibt es ja bspw. den ein und anderen Breach, wo E-Mail und Passwort abhanden gekommen sind: Have I Been Pwned: Pwned websites

Hi, gibt es hier irgendwie weitere Infos? Oder mache ich mir hier zu viele Sorgen? ZDI-23-1578 | Zero Day Initiative ZDI-23-1579 | Zero Day Initiative ZDI-23-1580 | Zero Day Initiative ZDI-23-1581 | Zero Day Initiative Beim Rest geht es immerhin nur um "This vulnerability allows remote attackers to disclose sensitive information on affected installations of Microsoft Exchange. Authentication is required to exploit this vulnerability.". Gruß Jan

Hi, die entsprechenden User sind in der "Zulässige RODC-Kennwortreplikationsgruppe"? Wenn nicht, wäre das by Design. Zusätzlich sind die User auch nicht (verschachtelt) in "Abgelenhnte RODC-Kennwortreplikationsgruppe"? Gruß Jan