testperson

Hi, try - catch und dann ein Write-Host "Fail" ist irgendwie kurios. Gebe dann doch den abgefangen Fehler aus / zurück: catch { Write-Host $_.Exception.Message } Gruß Jan

Ggfs. sollte mal das Gesamtkunstwerk analysiert werden und dann bewertet werden, ob überhaupt eine Vertrauensstellung benötigt wird.

Hi, kannst du testweise mal den AppReadiness Dienst deaktivieren und dann neu booten? Gruß Jan

Hi, bei On-Prem passiert das hin und wieder, da muss man Outlook einfach geöffnet lassen und nach einer Zeit tauchen die PFs dann auf. Evtl. hilft hier auch "ein wenig" Geduld. Gruß Jan

AFAIK sollte der Trust alle x Tage rausfliegen. Einrichten kann man den AFAIK auch nur für Migrations-Szenarien. Und das eigentliche Problem würde ich ggfs. mit Outlook Anywhere (und je einem Account pro Domäne) lösen.

Du musst die Gruppe _vor_ dem nächsten Patchday befüllen _bevor_ die PCs durchbooten!

Ja, das GPO wird angewendet, weil du die Computer-Konten direkt berechtigt hast. Du hattest dich jedoch gewundert, warum das nicht funktioniert, wenn du nur die Gruppe GG-NTBACKUP berechtigst. Wenn du die Computer-Konten in die Gruppe GG-NTBACKUP aufnimmst, musst du _zwingend_ durchbooten, damit die Computer auch mitbekommen, dass Sie Mitglied der Gruppe sind.

Hi, nachdem die PCs / Server in die Gruppe aufgenommen wurden hast du die Server / PCs auch einmal durchgebootet? Gruß Jan

Und schon wieder was gelernt.

Vielleicht sollte man dazu den UPN gleich der primäre SMTP Adresse konfigurieren. Dann klappts wohl auch mit der "E-Mail-Adresse" und dem Domänen-Passwort.

Hi, ggfs. dann direkt hier weitermachen: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-d--securing-built-in-administrator-accounts-in-active-directory Evtl. auch das ganze Kapitel lesen: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory Gruß Jan

Hi, füge am z.B. am Session Broker alle Server im Server Manager hinzu, geh dann in die Remotedesktop-Dienste und klick dir die erste Sammlung zusammen. Danach dann die zweite. Fertig. Die Gruppen sollten dabei automatisch passend gefüllt werden. Gruß Jan

Hi, wenn die System "halbwegs" aktuell gepatched sind, sollten die den anderen Anwendungen entsprechend RAM zur Verfügung stellen, sofern sie selber den RAM nicht grade brauchen. Im letzteren Fall wäre es dann aber sinnvoller, einfach mehr RAM in die Kiste zu stecken (oder über neue Server nachzudenken ). Wie lange warst du denn "weg" aus der IT? BDC ist so Windows NT mäßig. Grob: Neuen Server installieren, zur Domäne hinzufügen, ADDS installieren, zum DC promoten. Wenn ein SBS im Netz ist, sollten die FSMO Rollen erst ganz am Schluss übertragen werden, da der SBS ansonsten alle x Tage herunterfährt. Gruß Jan

Das hat so ein wenig was vom BOfH.

Hi, zur Info: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 Gruß Jan

Das Eine (Popconnector abschaffen) hat nichts mit dem Anderen (SplitDNS / Zertifikat / Autodiscover) zu tun. Du könntest das Abschaffen des Popconnectors ja derzeit als Kür abtun.

Hi, kaufe ein vertrauenswürdiges Zertifikat konfiguriere Split DNS: - erstelle extern im DNS den Host / Subdomain autodiscover.deinedomain.de und verweise auf deine feste öffentliche IP - erstelle extern im DNS den Host / Subdomain <mail / outlook / owa / wasauchimmer>.deinedomain.de und verweise auf deine feste öffentliche IP - erstelle intern im DNS den Host autodiscover.deinedomain.de und verweise auf deine interne Exchange IP - erstelle intern im DNS den Host <mail / outlook / owa / wasauchimmer>.deinedomain.de und verweise auf deine interne Exchange IP - konfiguriere die externen und internen URLs / URIs der virtuellen Verzeichnisse gleich den oben genutzten Namen Leite Port 443 tcp (https) auf deinen Exchange weiter Als nächstes schmeißt du den Popconnector weg und lässt dir die Mails per SMTP zustellen. Gruß Jan

Hi, heißt das du möchtest auf diesem Weg von Domain alt zu Domain neu "migrieren" oder soll die bestehende Domäne eine Art "Referenzmodell" für n weitere Domänen werden? Oder noch anders gefragt: Was hast du denn am Ende vor bzw. was soll dabei rauskommen? Evtl. ist das hier ein "Script-Schnipsel", der Nils' Worte in PowerShell Code verdeutlicht: https://gallery.technet.microsoft.com/scriptcenter/Update-ACL-Skeleton-2afcfc8f (Nach "ein wenig" Lesen hat mir der Artikel zumindest in den letzten Wochen enorm geholfen bei einem entsprechenden Script zur Berechtigung) Gruß Jan

Hi, ggfs. noch als Tipp, damit es am reibungslosesten funktioneren könnte, alle Komponenten aktuell patchen / gepatched haben. Insbesondere den Exchange (auf CU20). Gruß Jan

Hi, Umlaufprotokollierung ist per Default an am SBS (2011). Hat er auf Laufwerk C: ggfs. die Logs im C:\inetpub bzw. evtl. die SMTP Protokolllogs gelöscht? Die aktivierte Umlaufprotokolierung könnte auch erklären, warum nach dem Backup nicht weniger Logs da sind. Lass dir ggfs. mal zeigen, was gelöscht wurde und prüfe, ob Circularlogging evtl. wirklich schon an ist. Gruß Jan

Hi, einfacher dürfte es sein, eine Gruppenrichtlinien Einstellung zu nutzen. Dort dann einen freigegebenen Drucker "erstellen", als Option löschen wählen und den Haken "Alle verbundenen Drucker löschen" setzen. In den "Gemeinsamen Optionen" dann ebenfalls anhaken "Nur einmalig anwenden" anhaken. Sollte funktionieren. Vorher aber besser mal testen. Gruß Jan

https://technet.microsoft.com/en-us/library/jj657457(v=exchg.160).aspx

Idealerweise hast du keine FritzBox, sondern eine Firewall-Appliance, die die Mails annehmen und filtern kann und diese dann zum Exchange sendet. Andernfalls sollte die FritzBox tcp 25 zu einer solchen Appliance bzw. einem entsprechenden SPAM Filter natten und dieser sollte die Mails zum Exchange senden. Ansonsten tcp 25 auf den Exchange natten und https://technet.microsoft.com/en-us/library/jj657447(v=exchg.150).aspx Damit du keine SPAM Schleuder hast, kommt es halt auch drauf an, was du da bisher an den Konnektoren getan hast. In der Regel ist Exchange keine SPAM Schleuder. Evtl. wäre auch Exchange Online Protection oder eine andere gehostete Exchange Protection was.

Naja bis gestern hätte man das Update deinstallieren können, man hätte mit dem Bug leben können, man hätte weiter suchen können, man hätte irgendwelche Theorien aufstellen können, ... Wäre, Wäre, Fahradkette, so ungefähr

- Eingabeaufforderung als "Anderer Benutzer starten (<Domäne>\<Konto_um_das_es_geht>)" -> net user <Domäne>\<Konto_um_das_es_geht> "Passwort"? - Eine Art "Self-Service-Seite" bauen, die Kennwort-Änderung ermöglicht? - Dem eigentlichen User das Recht delegieren, dass Passwort zu ändern und dann die RSAT AD-DS Tools bereitstellen? - ...