testperson

Du meinst diese Liste: Security guidelines for system services in Windows Server 2016 | Microsoft Learn Was aktuelleres und offizielles gibt es AFAIK nicht.

Hi, du ergänzt den SPF Record um die öffentliche IP / A Record und inkludierst das Relay somit in den SPF. Zusätzlich solltest du dir dann die Firewall angucken und SMTP entsprechend einschränken, sofern das noch nicht der Fall ist. Gruß Jan

Hi, "Der Absender" "Adresse entspricht einem dieser Textmuster" -> "\.diezublockendetld$" sollte klappen. Gruß Jan

(Bevor ich mir nur für diesen Zweck bzw. eine Hand voll interner "Webserver" eine PKI ans Bein binde, kann ich sehr gut mit self-signed leben. :) Alternativ halt passende Zertifikate kaufen oder einen Dienst à la Let's Encrypt implementieren.)

Option 1) Nimm das in Kauf (Das dürfte keine Stunde Arbeit sein) Option 2) Stell das Zertifikat doch für 2 Jahre aus ;) Option 3) Bediene dich bei einer vertrauenswürdigen öffentlichen Zertifizierungsstelle und kaufe ein Zertifikat

RODC -> Diebstahlschutz, falls die Hardware geklaut wird. Dann können "nur" die zwischengespeicherten Credentials attackiert werden.

Hi, err.exe 0x800b010f # for hex 0x800b010f / decimal -2146762481 CERT_E_CN_NO_MATCH winerror.h # The certificate's CN name does not match the passed value. # 1 matches found for "0x800b010f" Die Hosts in der DMZ werden ja irgendeinen DNS Server nutzen. Erstelle da eine passende Hostzone für den WSUS oder nimm notfalls die Hosts-Datei (und dokumentiere das!). Gruß Jan

Nein. (Es sei denn du stellst den physikalisch an einen unsicheren Ort.) Sollte der RODC das Kennwort für einen User nicht gecached haben, macht er ein Passthrough zu einem RWDC.

Hi, unterm Strich möchtest du "das Reden" - was nicht hilft - automatisieren? (Sofern benötigt: Hol dir Rückendeckung für dein Vorhaben) Informiere per Mail, dass ab dem 01.08 o.ä. Sitzungen mit x Stunden im Leerlauf werden getrennt Sitzungen mit y Stunden im Status getrennt werden abgemeldet Informiere die User zwei und / oder eine Woche(n) vorher Konfiguriere die kommunizierten Werte ;) Gruß Jan

Da ich es soeben auch brauchte und es nicht mehr direkt funktionierte: RegKeys wie im o.g. Artikel (obwohl Office in 32 Bit) für die User: HKCU\Software\Microsoft\Office\Outlook\Addins\TeamsAddin.FastConnect LoadBehavior REG_DWORD = 0x00000003 HKCU\Software\Microsoft\Office\Outlook\Addins\TeamsAddin.FastConnect Description REG_SZ = Microsoft Teams Meeting Add-in for Microsoft Office HKCU\Software\Microsoft\Office\Outlook\Addins\TeamsAddin.FastConnect FriendlyName REG_SZ = Microsoft Teams Meeting Add-in for Microsoft Office HKCU\Software\Microsoft\Office\16.0\Outlook\Resiliency\DoNotDisableAddinList TeamsAddin.FastConnect REG_DWORD = 0x00000001 "Rest aus dem Script": Powershell-Scripts/install-new-teams.ps1 at main · Koetzing/Powershell-Scripts · GitHub Nach der Installation des MSI Pakets den Ordner "%ProgramFiles(x86)%\Microsoft\TeamsMeetingAddin" nach "%ProgramFiles(x86)%\Microsoft\TeamsMeetingAdd-in" kopieren und bei der User Anmeldung regsvr32.exe /s /n /i:user "C:\Program Files (x86)\Microsoft\TeamsMeetingAdd-in\1.24.13006.0\x86\Microsoft.Teams.AddinLoader.dll" ausführen. (Wenn das Add-in in %localappdata% liegt, ist es momentan ebenfall im Ordner "TeamsMeetingAdd-in" und nicht mehr in "TeamsMeetingAddin".) Evtl. funktioniert es auch direkt, wenn man im Script Zeile 131, 136, 137, 139, 140 in "..\TeamsMeetingAdd-in\.." ändert. In Zeile 140 dann (bei Office 32 Bit) noch "..\x64\.." in "x86" ändern.

Das XML würde die Registry Settings fürs GPO oder evtl. auch WEM beinhalten. Wenn es nicht auffindbar ist, musst du die Werte halt flott per Hand in die Policy hämmern oder anderswie in die Registry vom User bekommen. ;)

Hi, mit dem Artikel und Scripts von hier (Verfahren zur Einrichtung des neuen Microsoft Teams auf VDI W2022, W2019, W10 und W11 Multiuser Plattform (koetzingit.de)) funktioniert das eigentlich recht gut. Du musst nur aufpassen, wenn du Office in 32 Bit nutzt. Dann sind es andere Regkeys bzw. dann muss das Add-In auch aus "x86" geladen werden. Ansonsten gibt es noch diesen MS Artikel: Teams meeting add-in missing from Outlook and new Teams - Microsoft Teams | Microsoft Learn Resolve issues with Teams Meeting add-in for Outlook - Microsoft Teams | Microsoft Learn HTH Jan

;) (Allerdings machen es die ISPs einem auch nicht unbedingt leichter, wenn die /20-er Netze auf Blacklists setzen lassen und man beim Blacklist Anbieter dann das Delisting für das komplette Netz durchführen soll.)

Hi, ich vermute, du nutzt 1und1 / IONOS als Smarthost? 1und1 / IONOS haben Anfang des Jahres (?) darüber informiert, dass leere Absender (OOF) oder abweichende E-Mail-Adressen nicht mehr angenommen werden: Kein E-Mail-Versand bei abweichender Absenderadresse (1und1.de) Auch 1&1-Postfächer von Änderungen der Einstellungen zum 15. Januar 2024 betroffen | Borns IT- und Windows-Blog (borncity.com) Das sinnvollste wäre vermutlich, sich um einen direkt Versand zu kümmern und nicht 1und1 als Smarthost zu nutzen bzw. wenn es direkt nicht geht, einen anderen Anbieter als Smarthost nehmen. Gruß Jan

Hi, in Kombination mit deinem anderen Thread und der dortigen "modern Management" bzw. "Cloud Management" Option, evtl. nochmal überdenken oder gegenüberstellen. ;) Vielleicht erschlagt ihr ja noch mehr als zwei Fliegen mit dieser Klappe. :) Gruß Jan

Hi, eine Option wäre noch die Registry Keys aus der Antwort hier zu testen: Network location awareness not detecting domain network from offsite location - Microsoft Q&A Ein weiterer Ansatz wäre, aus dem o.g. Link vorher einen "Always On VPN Device" Tunnel aufbauen lassen, sofern das mit der Fortigate machbar ist. Gruß Jan

Hi, es wäre auch zu einfach, den derzeitigen Plan auf einen passenden Plan mit aktuellem Office bzw. den M365 Apps upzugraden. :) Gruß Jan

Ging das bei Anydesk nicht auch so oder so ähnlich los und hat dann doch später "vorsorglich" die Code-Signing Zertifikate revoked?

Moin, auch hier einmal der Hinweis auf heise.de: APT-Angriff auf Fernwartungssoftware? Sicherheitsvorfall bei TeamViewer | heise online Könnte ja der ein und andere nutzen... HTH Jan

Es werden wohl noch zwei, drei Exchange Server Installationen kommen. Ich belasse das Script erstmal mit dem Parameter und überrasche mich. :)

Mit CU13 und vorher hat der Parameter zumindest nicht zum Abbruch geführt. Das Script hat nur die Deaktivierung der EP ergänzt bekommen. Allerdings hat es auch ohne Deaktivierung der EP abgebrochen.

Moin, ich installiere scheinbar gerade den ersten Exchange Server 2019 (neben einem Exchange Server 2016) mit der CU14 ISO. Ist das neu, dass die Installation beim Parameter "/CustomerFeedbackEnabled:False" abbricht? Ohne den Parameter hat er jetzt brav installiert.. Danke & Gruß Jan P.S.: "/DoNotEnableEP" bitte übersehen. ;)

Hi, die VM bzw. den Terminalserver aufsetzen dürfte die schnellere und wohl auch einfacherer Lösung sein. Du kannst ggfs. noch testen den Terminalserver einmal zu "klonen". (Wobei ich mir den Aufwand sparen würde.) VHDX kopieren Neue VM ohne Netzwerk erstellen Booten Sysprep VM mit Netzwerk verbinden Abwarten / testen, ob der Fehler bleibt. Gruß Jan

Hi, kannst du evtl. auf "Always VPN" (About Always On VPN for Windows Server Remote Access | Microsoft Learn) wechseln und vor der Anmeldung automatisch einen Device Tunnel aufbauen? Gruß Jan

Bei dir wäre die NativeVlanId die "1".