testperson

+1

Hi, kannst du den Smarthost externer Anbieter nicht loswerden und ab der E-Mail-Protection direkt selbst(?) versenden? Gruß Jan

Sind das dann die letzten 100 ungepatchten aus den 17.000 in Deutschland (Security-Fiasko Exchange: BSI warnt vor über 17.000 angreifbaren Servern | heise online) oder sind das gewartete? :)

Hi, in deiner CSV scheint es kein Feld "Type" zu geben, was du aber beim Import mit dem Parameter "-Type $Scope.Type" adressierst. Du könntest den Type vermutlich einfach statisch auf "DHCP" setzen in deinem Script: Add-DhcpServerv4Reservation -ComputerName $dhcpserver ` -ScopeId $scope.ScopeId ` -IPAddress $scope.ipaddress ` -Description $scope.description ` -Name $scope.name ` -ClientId $scope.clientid ` -Type DHCP Eine andere Frage wäre, wie ausgelastet sind denn die Bereiche? Vielleicht wäre es einfacher, die Konflikterkennung am neuen Windows DHCP zu aktivieren und neue Adressen vergeben zu lassen. Du kannst ja pro Scope auch zum Stichtag hin die Leasedauer verkürzen. Gruß Jan

Linux hatte ich gedanklich schon wieder verdrängt. Mit Windows wäre das nicht passiert. ;)

DHCP Export / Import habe ich einmal benötigt und meine mich zu erinnern, dass ich damals den import auch nur per "netsh" geschafft habe: netsh dhcp server \\<Alter DHCP Server> export c:\DHCPdb all netsh dhcp server \\<Neuer DHCP Server> import c:\DHCPdb all

Soweit so gut. Euch ist in dieser Konstellation dann aber auch bewusst, dass zwar nur die Kennwörter der definierten User / Computer gecached werden. Am Ende des Tages kann sich dann trotzdem jeder aus der Niederlassung anmelden, da der RODC die Authentifizierung einfach an einen schreibbaren DC weiterleitet.

Um wieder auf die Roadmap zu kommen: Irgendwie fehlen da jetzt weiterhin Infos zur Modern Auth für die restlichen Protokolle / Clients. Vermutlich sitzt da auf dem Monitor fürs Dashboard gerade eine Fliege. :)

Hi, wenn dir die GUI fehlt, installiere doch einen Management Client mit den (DHCP) RSAT Tools und nutze dessen GUI. Gruß Jan

Hat der Herr Microsoft kein Dashboard, wo er morgens, mittags und abends einmal draufguckt und dann Dinge mit vielen Votes zur Prio 1 macht? Hier wäre übrigens der Bildband in Worten zum Teams classic Support mit keinen Updates außer criticial security Updates: (Die erste Rückmeldung vom Support lautet: Nein, auch keine Security fixes.) Ich wäre mir auch unsicher, warum man eine so lange EoS Phase hat, wenn es nicht mal security fixes gibt. Ohne ist dann ja eh direkt am 01.10. Ende.

Schon gevotetet: DKIM Support · Community (microsoft.com)

Da passt ja dann auch die (jetzt angepasste) Teams Classic EoS / EoA Timeline zu. Schaut man sich dann noch die "Aussagen" zum Support an...

Hi, es geht (ein wenig) in die Richtung von @cj_berlins Tipp #1: Was soll der RODC denn verbessern bzw. welches Problem gibt es denn zu lösen? Gruß Jan

Wenn der Registrykey nicht da ist, sollte jetzt bzw. seit dem 01.10.2022 auch egal sein. Aus deinem Link oben: Hat die Appliance(?) vielleicht einfach nur die Domain Controller nach dem Key abgesucht und moniert, dass diese nicht da sind?

Hi, denkbar wäre auch erst die IMAP Konten mit bspw. Audriga in die Exchange Postfächer zu synchronisieren und dann am Tag X den Schwenk zu machen. Somit hätten die User direkt ihre Inhalte im neuen Postfach. Gruß Jan

Hi, evtl. wäre serverseitig eine Isolierung per Verbindungssicherheitsregel "Authentifizierung für ein- / ausgehend anfordern" noch ein Ansatz. Grob: Implemeting IPSec in Windows Domain – part 1 | Michael Firsov (wordpress.com) Implemeting IPSec in Windows Domain – part 2 | Michael Firsov (wordpress.com) Gruß Jan

Auch dafür kann es Lösungen geben. Vorerst ja. Ansonsten braucht man wohl deutlich mehr Informationen zur Anwendung. Ist die selbst entwickelt oder um welche Anwendung handelt es sich?

Hi, den Aufwand "nur" für einen externen Mitarbeiter? Holt den Mitarbeiter per virtuellem Desktop / Terminalserver zu den Daten und nicht die Daten zum Mitarbeitern. Gruß Jan

Hi, am Ende des Imports kannst du doch auf den Button "Ereignisanzeige öffnen" (o.ä.) klicken. Was findet sich denn dort an Fehlern? Gruß Jan

Wenn die Policy (GPS: Select RDP transport protocols (gpsearch.azurewebsites.net)) gesetzt ist oder der entsprechende Registry Key (reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v "SelectTransport" /d 1 /t REG_DWORD) gestzt wurde, müssen die Terminalserver einmal gebootet werden.

Ja

Die User dürfen also in HKLM in den Policies Zweig schreiben? Wenn du es pro Client verwalten willst: GPS: Turn Off UDP On Client (gpsearch.azurewebsites.net) Wenn du es an den RDSHs zentral verwalten willst: GPS: Select RDP transport protocols (gpsearch.azurewebsites.net)

Hi, ich blicke nicht 100 % durch. Kann dir aber erstmal nur dazu raten, dass Gateway davor zu betreiben und von dort direkt an den jeweils richtigen Exchange zustellen zu lassen. Gruß Jan

UDP deaktivieren da die Leitung sch*iße ist: (Mit Citrix haben wir mit Adaptive Transport / EDT ("unter RDP" -> UDP) nahezu keine Probleme. Wenn ist Vodafone bzw. einer der Provider die jetzt Vodafone sind mit den Consumer / günstigen Business Tarifen im Spiel.)

Im Endeffekt ist das beim Citrix Zugriff so, wie ihr es gerne für M365 hättet? Externer Zugriff auf Citrix bedingt einen zweiten Faktor und "der Rest" darf nur aus internen Netzen zugreifen? Die kleinstmögliche Option ist der Entra ID P1: Pläne und Preise für Microsoft Entra | Microsoft Security Unter Umständen kann es aber auch Sinn machen in Richtung Enterprise Mobility + Security E3 zu gucken und die Benefits von Intune inkludiert zu haben: Preisoptionen für Enterprise Mobility + Security (microsoft.com) Vielleicht macht es aber auch (für eine Teilmenge) Sinn einen noch ganz anderen Plan zu wählen, der je nachdem Entra ID P1 und ggfs. weitere Features inkludiert. Das könnte _vielleicht_ ein M365 Business Premium sein. Schaut euch einfach an, welcher Plan was inkludiert und was davon für euch hilfreich ist. Im Anschluss dann: "Choose wisely."