testperson

Hi, in diesem Fall (und in vielen anderen Fällen auch) würde ich VPN auf einem entsprechenden VPN Gateway / Router / Firewall terminieren und nicht auf einem Windows Client / Server. Was willst du denn später im VPN nutzen / machen? Gruß Jan

Hi, ist oder war das Konto, welches an diesem Handy angebunden ist, einmal in einer Gruppe wie z.B. den Domain-Admins (Stichwort: Admin SD Holders)? Gruß Jan

https://www.google.de/search?q=windows+dns+root+hints&source=lnms&tbm=isch&sa=X&ved=0ahUKEwjO66WP38TVAhXFPxQKHQ5gBOAQ_AUICygC&biw=1920&bih=945#imgrc=4pnVfLVsQy_ApM:

Hi, macht der Hyper-V Host noch was anderes außer Hyper-V bereitzustellen? Gruß Jan

Hi, du solltest am Windows DNS dein Gateway als Forwarder eintragen (Was ebenfalls Best Practice ist) und die DNS-Root-Server löschen bzw. deaktivieren. Dann solltest du an den Clients nur den DC als DNS nutzen und den sekundären DNS überall entfernen. Gruß Jan

Hi, generell sind die Performance Einstellungen im BIOS unter VMware und in den VMs auf Höchstleistung und die Energiesparfunktionen sind deaktiviert? Was läuft denn sonst noch auf den beiden Hosts? Auf was für nem Storage liegen die VMs? Die Hosts sind aktuell gepatched? Ordentlich CPU Power heißt? Gruß Jan

Hi, bearbeitest du die GPO am Server? Auf dem ist vermutlich kein OneDrive installiert und daher gibt es den Key nicht. Du kannst den aber einfach von Hand in das Feld eingeben und anpassen. Alternativ installierst du dir auf einem PC die RSAT Verwaltung für GPOs und bearbeitest die GPO von da. Gruß Jan

"Cloudspeicher" entsprechen bzw. genügen den Anforderungen oder eben auch nicht ;)

"Gewachsen Strukturen" ;)

Hi, danke für die Erläuterung. Laut Kunde ist das Device wohl aktuell. Allerdings zweifle ich da ein wenig dran, wenn der User nichtmal das Modell benennen kann ;) Es ist aber auch möglich, dass es ein uraltes Gerät ist, da der User das Gerät von einem ausgeschiedenen Mitarbeiter des Kunden geerbt hat. TLS1.0 bleibt erstmal aus, da es max 4 BBs gibt, die diese GWs nutzen (werden). Gegen Einwurf von etwas Kleingeld stellen wir den Kunden mit BBs eigene GWs auf oder die Kunden besorgen sich andere Geräte :). Gruß Jan

@zahni: In den Apps habe ich nicht wirklich was Alternatives für ActiveSync gefunden. Nur ein altes (bekanntes) Tool AstraSync mit dem die gaaanz alten BBs EAS konnten. Auf deren Homepage hat sich aber scheinbar seit 2013 nix mehr getan. Ob die Software auf neueren BBs läuft müsste man wohl testen was aber an entsprechenden Geräten mangelt. Dann gibt es scheinbar noch ne Outlook App die allerdings nur mit "Fraud" und "Betrug" kommentiert und bewertet wird. @MrCocktail: Das konnte der User nicht beantworten. Nutzt Ihr die BBs auch mit EAS oder mit BES? Mit BES kann der Blackberry wohl TLS1.2 (und TLS1.1). Ich habe Testweise mal TLS1.0 aktiviert und bei SSL Labs einen Test gemacht und bekommen immerhin ein A. Es soll laut deren Infos nur ein weak Cipher noch deaktiviert werden.

Ich hatte es ein wenig drastischer formuliert. Wie der First Level es dem Kunden erklärt hat entzieht sich meiner Kenntnis. Vermutlich kommt aber gleich ein Vertriebler in panischer Hektik hier ins Büro und sagt, TLS1.0 müsse zwingend aktiviert werden...

Hi, bei einem Kunden ist ein Mitarbeiter mit einem Blackberry aufgetaucht und kann EAS erst einrichten wenn TLS1.0 aktiv ist. Gibt es hier evtl. wen mit Blackberry Know How und kann das bestätigen oder gibt es gar eine Möglichkeit EAS zu TLS1.1 oder 1.2 zu überzeugen? Der Browser kann scheinbar TLS1.2... Auf die Schnelle habe ich nur eine Info aus 2015 per Google gefunden, dass es nicht geht ("Working as expected" -> TLS1.0 sei am weitesten verbreitet und daher unterstütze man kein TLS1.1 und 1.2). Eine Info aus 2016 bestätigte leider nochmal, dass TLS1.2 und TLS1.1 nicht funktionieren. Gruß Jan

Hi, was willst du denn erreichen? Sollen nur ausgewählte User Zugriff auf EAS bekommen bzw. soll da aufgeräumt werden? Oder geht es um Mitarbeiter die aus dem Unternehmen ausgeschieden sind? Vermutlich wirst du aber um ein MDM nicht herumkommen. Gruß Jan

Hi, UPN = E-Mail-Adresse setzen -> Get-Mailbox <E-Mail-Adresse>. Alternativ ECP offen haben und unter Empfänger über die Suche nach z.B. Mue suchen und die Infos ablesen. Je nachdem was du erreichen möchtest wäre evtl. eine Third Party Exchange Management Lösung oder eine IAM Lösung hilfreich. Gruß Jan

Naja, das kommt drauf an ;) Ich würde das entweder in einer Shared Mailbox machen oder in einem öffentlichen Ordner.

Da das ja funktioniert sollte der Hersteller weiterhelfen (müssen). Wie viele OUs nach dem Schema "User <Irgendetwas anderes>" gibt es denn? Und haben die anderen OUs mit Leerzeichen wo es klappt ebenfalls einen "Präfix" wie User o.ä.?

Sowas kann man doch recht simpel abkürzen: Was kostet es an dem "Problem" stundenlang / tagelang rumzufriemeln und am Laufen zu halten? Was kostet es einen neuen, modernen PC in Betrieb zu nehmen?

Die Realität zeigt allerdings, dass genau dein letztes Zitat äußerst häufig ignoriert wird. Allerdings bin ich dann der Meinung "Selber Schuld!".

Was bekommst du denn bei dsquery user "OU=User Allgemein,OU=Mitarbeiter,OU=Benutzer,OU=Name,DC=intern,DC=meine-Domäne,DC=de" in einer CMD die du ausführst und in einer CMD die der in WebTitan hinterlegte User ausführt?

Was findest du denn im Eventlog des DCs zum Zeitpunkt der Abfrage? Logt "Webtitan" irgendetwas mit? Was sagt der Hersteller?

Hi, in deinem obigen nicht funktionierenden Beispiel gibt es schonmal ein Leerzeichen bei "OU=User Allgemein". In dem funktionierenden Beispiel ist kein Leerzeichen. Hat "WebTitan" da vielleicht ein Problem und du benötigts evtl. Anführungszeichen um den Base entry? Gruß Jan

Mit einem etwas neueren PC? Ansonsten wäre evtl. Wake on Lan noch ein Ansatz, um den PC zur Installation hochzufahren.

Hi, wenn das passiert, dürfte die Firewall am Bintec nicht aktiv sein. Sobald du die erste Regel hinzufügst, passiert das was du da erlebst ;) Im Handbuch würdest du das entsprechende Verhalten auch wieder finden. Sobald du die erste Regel in der Firewall aktivierst ist die "default Regel" any <-> any allow weg und es gilt die neu definierte Regel sowie deny all danach. Ohne Firewall müsste der Bintec eigentlich direkt entsprechend routen. Ich würde hier vorerst mal auf die Windows Firewall an den PCs tippen. Und generell ist RTFM nie verkehrt. Gruß Jan

Hi, bevor ich da jetzt längere Zeit ins Troubleshooting inverstiere, würde ich die defekte VM bzw. den DC entfernen und neu installieren. Problematisch wirds halt, wenn der DC nicht nur DC ist (Oder man nur einen DC hat). gruß Jan