testperson

Hi, bei FullAccess benötigst du das Kennwort nicht, da der zugreifende User ja halt FullAccess hat. Generell sollte bei Gruppenpostfächer niemand das Kennwort kennen/brauchen und der Account dahinter ist doch deaktiviert. Gruß Jan

Hi, du hast die Lösung doch im Endeffekt schon: Nimm den Hostname / FQDN des Systems? Gruß Jan

Und dafür über 1000 Domänen oder wie viele waren es. :-D

Das vorausgesetzt, hast du eigentlich kein Problem, außer den Fehler im RCA? Puh, nunja, trink nen Kaffe oder Bier, oder, oder, oder. ;) (Bei uns geht das auch durch die WAF der Sophos und ich habe keinen Fehler. Ich habe aber auch keinen Zugriff auf die Sophos und kann daher nicht sagen, was konfiguriert ist. ;))

Wenn du "Support device authentication using certificate" (GPS: Support device authentication using certificate) deaktivierst, wird wohl Ruhe sein. Im Default / "not configured": Ansonsten auf den Clients und DCs: Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Type: DWORD Name: LogLevel Value: 0x1 Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Type: DWORD Name: KerbDebuglevel Value: 0xffffffff Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc Type: DWORD Name: KdcDebugLevel Value: 0x1 Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc Type: DWORD Name: KdcExtraLogLevel Value: 0x1f Dann wirst du vermutlich zum gleichen Zeitpunkt auf den DCs unter System die Event Id 29 / Kerberos-Key-Distribution-Center als Warnung haben sowie Event Id 19 / "Kerberos-Key-Distribution-Center" als Error. Auf dem Client wird dann der "Security-Kerberos" Error / Event Id 3 im System Event kommen und den Error Code 0x19 haben, der laut dem obigen Link - in meinen Augen - nur ein Hinweis ist "Additional pre-authentication required". Warum Win 11 24H2 bei mir (in der Testumgebung) sind es ausschließlich Server 2025. Der Win 11 24H2 Testclient ist ruhig.

Hi, aus 4771(F) Kerberos pre-authentication failed. - Windows 10 | Microsoft Learn: Failure Code 10: Pre-Authentication Type 16: Sind SmartCards / Zertifikate im Spiel? Gruß Jan

Hi, besteht nicht die Möglichkeit den Domain Controller ebenfalls zum Cloudanbieter auszulagern? Ansonsten gibt es ja auch noch andere Cloudanbieter, wo man DCs betreiben kann. Vielleicht wäre es in diesem Fall auch eine Option "cloud only" unterwegs zu sein, und die Geräte Entra ID joined zu betreiben und per Intune zu verwalten. (Das würde halt nicht zu "An den Clients sollen möglichst keine Änderungen notwendig sein." passen.) Gruß Jan

Hi, hast du die Extended Protection am Exchange 2016 konfiguriert (oder am Exchange 2019 deaktiviert)? Letzteres ist wohl die schlechtere Idee. ;) Gruß Jan

Wurde das Script denn auch ausgeführt? Was ist denn wenn nach dem Serverneustart das Script / der Code einmalig von Hand ausgeführt wird? Ändert sich das Profil dann?

Dann schätze ich mich glücklich, das noch nicht beobachtet zu haben und richte die Regkeys samt Task einfach erstmal vorsorglich überall ein. :)

Hi, setze auf dem neuen DC einmal folgende Registry Keys: New-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters" ` -Name "AlwaysExpectDomainController" ` -PropertyType Dword ` -Value 1 ` -Force New-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters" ` -Name "MaxNegativeCacheTtl" ` -PropertyType Dword ` -Value 0 ` -Force New-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" ` -Name "NegativeCachePeriod" ` -PropertyType Dword ` -Value 0 ` -Force Und plane folgendes PowerShell Script beim Systemstart mit 30 Sekunden Verzögerung: Get-NetConnectionProfile | Where-Object { $_.NetworkCategory -eq "Public" } | ForEach-Object { Disable-NetAdapterBinding -Name $_.InterfaceAlias ` -ComponentID ms_tcpip6 Start-Sleep -Seconds 2 Enable-NetAdapterBinding -Name $_.InterfaceAlias ` -ComponentID ms_tcpip6 } Gruß Jan P.S.: Solange du den DC01 noch in Betrieb hast, _dürfte_ das eigentlich nicht auftreten. Generell würde ich auch immer zu zwei Domain Controller tendieren.

Hi, dafür gibt es mittlerweile das "SaRa Enterprise": Microsoft Support and Recovery Assistant Enterprise version - Microsoft 365 | Microsoft Learn Dort gibt es dann das Szenario "OfficeScrubScenario": Office uninstall with Microsoft Support and Recovery Assistant - Microsoft 365 | Microsoft Learn (Alternativ funktioniert auch noch das alte OffScrub: Office-IT-Pro-Deployment-Scripts/Office-ProPlus-Deployment/Remove-PreviousOfficeInstalls at master · OfficeDev/Office-IT-Pro-Deployment-Scripts · GitHub) Gruß Jan

Beschäftigen "reicht": https://www.gp-pack.com/wp-content/uploads/2024/11/gp-pack.com-Telemetry_and_Privacy_Edition_Release.htm https://www.gp-pack.com/wp-content/uploads/2022/04/gp-pack.com-C_Browser_Chrome_Firefox_Edge_EdgeChromium.htm Microsoft Security Compliance Toolkit Guide | Microsoft Learn Group Policy Objects – DoD Cyber Exchange

Hi, was hast du denn mit Startmenü und Kontextmenü vor? Würde ich bspw. jedem User selber überlassen. Ansonsten kannst du die "Registry Hacks" doch per GPP Preferences Registry auf die Systeme bringen. Gruß Jan

Hi, wäre es nicht zukunftssicherer (und einfacher) die benötigte Anzahl an USB Sticks zu kaufen? Ebenfalls sind USB Sticks heutzutage auch nicht so wahnsinnig teuer. :) Gruß Jan

Selbst wenn es bei dir definitiv am Update liegt, schau dir die GPO zur Netzwerkerkeenung einmal an. Siehe bspw. auch hier: Weiterhin RDP-Probleme unter Windows 11 (Feb. 2025)?Borns IT- und Windows-Blog (Das liegt meiner Meinung nach aber nicht ausschließlich am Februar Patchday. Bei uns haben das verschiedene Kunden vereinzelt auch schon vorher so beobachtet.)

Hast du beim Test denn auch das optionale Feld der "IP Adresse" mit angegeben? Dein Screenshot sieht zumindest so aus. Ansonsten prüfst du nur die Syntax vom Record. Geh ggfs. mal auf https://aboutmy.email/ und sende eine E-Mail an die dort eingeblendete Adresse und warte ein paar Sekunden.

Ich würde eher auf Probleme mit RDP UDP und/oder ggfs. auch Network Detection tippen: GPS: Select RDP transport protocols Ggfs. zum Testen auf dem Client: GPS: Turn Off UDP On Client GPS: Select network detection on the server

Wie sendet die UTM denn derzeit die Mails? Nutzt die IONOS als SmartHost / Relay? Ansonsten hättet ihr vermutlich jetzt schon Probleme beim Versand von Mails. In dem Fall kannst du dir dann theoretisch auch schenken. Den rDNS findest du beim ISP. Hier bspw. wie es bei der Telekom läuft: Hilfe zur festen IP-Adresse | Telekom Geschäftskunden

Hi, wie sieht denn der SPF Record aus und denkst du an den rDNS Eintrag der neuen IP? Ggfs. kann es nicht schaden, die TTL der Records ein paar Tage vorher zu reduzieren. Gruß Jan

Hi, da wirken aber keine Policies, die immer zur Eingabe von Credentials auffordern o.ä.? Ansonsten gab es AFAIK Konstellationen, da musste die Credential Delegation erlaubt werden: GPS: Allow delegating default credentials Gruß Jan

Hi, von wo nach wo bauen die Rechner denn die RDP Verbindung auf und wo hast du KB5051987 deinstalliert? Generell kann ich das so nicht nachvollziehen. Gruß Jan

Hi, die obere linke Ecke ist ja ebenfalls eine Option indem man (Azure Local samt) Azure Virtual Desktop mit Multisession W11 inkl. M365 Apps einsetzt. Alternativ ist das eben der "neue" Lifecycle. Entweder M365 Apps und grob alle 5 Jahre ein neues Terminalserver OS oder grob 10 Jahre ein Terminalserver OS und alle 5 Jahre ein neues Office. Achso: In der Beziehung Dienstleister <-> Kunde würde ich definitiv auf ein supportetes Office setzen. Gruß Jan

Moin, ich sehe hier verschiedene Anwendungen auf Server 2025 DCs* die die DCs "kaputt machen". PRTG kommt dann bspw. nicht mehr per SNMP / WMI ran oder Dienste starten nicht mehr. Ebenfalls sind dann keine Installationen von MSIs mehr möglich. In meinem Fall lief dann (blöderweise) ein estos MetaDirectory** oder auch Multi Cash** auf dem System und brachte einen Dienst mit, der automatisch startet. Sobald man den MetaDirectory oder auch Multi Cash Dienst auf "Automatisch (Verzögerter Start)" konfiguriert, ist wieder alles "gut". Ebenfalls scheinen die XenTools oder auch baramundi (was bei uns noch nicht der Fall war) das zu verursachen. HTH Jan *) Natürlich ist ein DC ein DC und somit ein DC und nichts anderes ;) **) Natürlich gibt es noch keine estos MetaDirectory (oder ProCall) Version, die für Server 2025 freigegeben ist. Der Multi Cash ist mit meiner Anfrage scheinbar noch überfordert, ob sie es unterstützen

Wenn bspw. nur ein bisschen Web Server Kram anfällt, dass per gekaufter Zertifikate / Let's Encrypt abfrühstücken. (Ggfs. passt ja auch die Microsoft Cloud PKI oder ein anderer "PKI as a Service" Anbieter.)