testperson

Spontane (noch nicht komplett durchdachte) Idee:

• Am Exchange eine neue akzeptierte Domäne anlegen (bspw. onpremises.<eure Domain>.<tld>) und anbinden
• Den On-Premises Usern eine weitere E-Mail-Adresse zuweisen
• In Exchange online Kontakte anlegen

Hi,

vor 4 Stunden schrieb TobiasFR:

aus diversen Gründen

mit etwas Hintergrundwissen zu den "diversen Gründen", könnte man evtl. Alternativen beisteuern.

Gruß

Jan

Hi,

ggfs. mal den "RDP Cache" am Client löschen: "%localappdata%\Microsoft\Terminal Server Client\cache"

HTH

Jan

Hi,

ich bin scheinbar nicht der einzige, dem hin und wieder das 30 Nachrichten pro Minute Rate Limit in Exchange online auf die Füße gefallen ist. Es gibt jetzt "High Volume E-Mail Accounts" (in Public Preview), die ohne Rate Limit 100.000 Nachrichten (davon 2.000 an externe Empfänger) pro Tag senden dürfen.

• Public Preview: High Volume Email for Microsoft 365 - Microsoft Community Hub
• Manage high volume emails for Microsoft 365 in Exchange Online Public preview | Microsoft Learn

Ich habe noch keinen Tenant gefunden, wo der "High Volume Email" Punkt unter Mailflow im Exchange Admin Center zu sehen war. Die Einrichtung per PowerShell hat aber funktioniert.

In der Preview ist es (noch?) kostenlos und der Account benötigt keinen Exchange Online Plan 1 o.ä.

Zitat

For the public preview, the cost will be free but limited to 100,000 recipients per day per tenant.

HTH

Jan

Hi,

was kostet denn der Betrieb der lokalen Printserver vs. was kostet das längere Warten auf den Ausdruck? ;)

Gruß

Jan

Hui: Filippo Valsorda: "I'm watching some folks reverse engineer the xz backdoor, sharing some *preliminary* analysis with permission. The hooked RSA_public_decrypt verifies a signature on the server's host key by a fixed Ed448 key, and then passes a payload to system(). It's RCE, not auth bypass, and gated/unreplayable." — Bluesky (bsky.app)

Zitat

...

Apparently the backdoor reverts back to regular operation if the payload is malformed or the signature from the attacker's key doesn't verify.

Unfortunately, this means that unless a bug is found, we can't write a reliable/reusable over-the-network scanner.

...

Hi,

wäre bzgl. Open Source oder Free auch "selber machen" eine Option? Wäre evtl. schonmal ein Anfang:

Get-ComputerInfo

Get-ItemProperty -Path "HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\*" |
    Select-Object DisplayName, DisplayVersion, Publisher, InstallDate |
        Sort-Object DisplayName

Das wäre auch remote möglich oder eben per StartUp Script oder passendem Task.

Ansonsten kenne ich nur Docusnap oder rxInventory (keine API; müsste man vermutlich aus den Reports / SQL scripten). Aber beides nicht kostenlos.

Gruß

Jan

Unter Mac OS ist wohl der Paketmanager Homebrew mit der anfälligen Version betroffen. Bei den "großen" Linux Distros ist / waren wohl nur "unstable" / "test" betroffen. FreeBSD ist wohl nicht betroffen. Zu anderen *BSD habe ich auf die Schnelle nichts gefunden.

Alles was ich hier aus diesen Lagern in die Finger bekommen habe vermeldete:

xz -V
xz (XZ Utils) 5.2.5
liblzma 5.2.5

Hi,

habe an anderer Stelle gerade den Hinweis bekommen, dass in "xz" eine Backdoor implementiert wurde. Auch wenn es nicht komplett hier her passt: oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise (openwall.com)

Meldung von heise: Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen | heise online

Hier noch eine (mögliche) Timeline: Everything I know about the XZ backdoor (boehs.org)

HTH

Jan

In der Theorie könnte der Server per ESU (How to get Extended Security Updates (ESU) for Windows Server 2008, 2008 R2, 2012, and 2012 R2 | Microsoft Learn) noch mit Updates versorgt werden. Am Ende des Tages bin ich da aber ebenfalls bei Punkt 3 und 4 von @MurdocX.

Gestern gab es beim Windows Server Summit 2024 eine kurze Session zu dem Thema: Seven steps for a successful Azure migration | Windows Server Summit 2024 (microsoft.com)

Hi,

vor 19 Minuten schrieb Pipeline:

Wir haben in beiden RZ je einen DC.

je nach Konfiguration der AD Sites solltest du hier evtl. zwei DCs pro RZ betreiben. Bzw. würde ich das "generell" machen in diesem Fall.

Gruß

Jan

Der vierte und aller letzte Versuch: https://www.mcseboard.de/topic/223734-alte-gpo-entfernen/?do=findComment&comment=1457170

Hi,

ich würde als erstes prüfen, welche der 4-5 "großen Anwendungen" es als Cloudlösung gibt. Bei Lexware wäre die Frage, ob man das auch mit deren Cloudlösung Lexoffice abbilden kann. Idealerweise hast du nachher alles als SaaS Lösung und stellst in Azure nur noch Azure Virtual Desktop oder ggfs. den Windows 365 Cloud PC bereit. Selbst die DCs _könntest_ du per Entra Domain Services betreiben lassen. Bei SQL und "Anwendungsserver" wäre dann die Frage, ob man eine VM als SQL Server betreibt oder Azure SQL als PaaS nutzt.

Ich schließe mich @NorbertFe an, dass Lift & Shift von On-Premises nach Azure meistens kein guter Ansatz ist. Insbesondere ohne Erfahrung. Muss es eigentlich zwingend Azure werden?

Gruß

Jan

Am 16.1.2024 um 09:35 schrieb NorbertFe:

Wenn du nur 4 GPOs in der Umgebung hast, dann schau doch mal welche auf den TS wirken und deaktiviere sie der Reihe nach, bis der Fehler nicht mehr auftritt. Dann kann man weitersehen.

Versuchen wir es nochmal.. Bei 4 (in Worten: vier) GPOs dürfte das nicht einmal in Arbeit ausarten...

Für die Suche gibt es folgenden Workaround: Suchfehler im zwischengespeicherten Outlook-Modus nach der Installation von März 2024 SU - Microsoft-Support

vor 10 Stunden schrieb marabel:

und den alten Namen verpassen, das sollte doch dann funktioneiren

Ich würde in diesem Fall erst zu einem temporären DC migrieren und dann zu einem neuen DC mit altem Namen. Ansonsten: 

• Rename a domain controller using Netdom: Active Directory | Microsoft Learn
• Update the FRS or DFS Replication member object: Active Directory | Microsoft Learn

Getreu dem Motto "Wäre, wäre, Fahrradkette": Hätten / Würden sich alle großen Hoster entsprechend um ihre "E-Mail Reputation" wie DATEV kümmern, hätten wir heute vermutlich nicht solche Probleme bzw. weniger Bedarf an SPF / DKIM. 

Hast du es mal an einem anderen PC (ggfs. auch außerhalb) Domäne getestet? Funktioniert es da oder kommt da auch dieser Dialog?

Eine weitere Option wäre natürlich (zusätzlich) ein Support Ticket bei Microsoft aufzumachen. In den M365 Services ist der Support ja inkludiert.

Besser spät als nie. ;)

Letztlich haben dann wohl auch "die Großen" dazu beigetragen (Richtlinien für E‑Mail-Absender - Google Workspace-Admin-Hilfe).

Btw. finde ich den Test im o.g. verlinkten Dokumenten bei https://aboutmy.email/ echt nice.

Hi,

hier und da ist evtl. mal jemand über DATEVnet und deren Mailsecurity gestolpert. Seit Februar ist dort auch "DKIM" möglich: E-Mail-Domain anlegen - DATEV Hilfe-Center

4 CNAME Records:
dvmaildomain1._domainkey	dvmaildomain1._domainkey.domainkeys.datev.de.
dvmaildomain2._domainkey	dvmaildomain2._domainkey.domainkeys.datev.de.
dvmaildomain3._domainkey	dvmaildomain3._domainkey.domainkeys.datev.de.
dvmaildomain4._domainkey	dvmaildomain4._domainkey.domainkeys.datev.de.

HTH

Jan

Hi,

zu 1) Du könntest per Firewall die SMTP / Client SMTP Ports aus dem Clientnetz zum Exchange blocken oder passende Konnektoren erstellen, die das nicht ermöglichen.

zu 2) Laufen beide IMAP Dienste auf dem Exchange Server?

Gruß

Jan

Am 16.1.2024 um 09:35 schrieb NorbertFe:

Wenn du nur 4 GPOs in der Umgebung hast, dann schau doch mal welche auf den TS wirken und deaktiviere sie der Reihe nach, bis der Fehler nicht mehr auftritt. Dann kann man weitersehen.

Das mal geprüft?

Hi,

was ist denn neben diesem neuen Thread bei der Überprüfung rumgekommen (Alte GPO entfernen - Windows Server Forum - MCSEboard.de)?

Gruß

Jan

Hi,

vor 9 Minuten schrieb XeeonComputer:

a.tester

das ist (vermutlich) der SamAccountName. Wie lautet lokal der UPN bzw. der FQDN der Domain?

Bzw. setze den UPN einfach identisch zur primären SMTP Adresse.

Gruß

Jan