testperson

-> How To: Setting Up A Mail Gateway — OPNsense documentation

Hi, eine OPNsense sollte das auch schaffen. Gruß Jan

Bis 25 Devices finde ich die kostenlose Version von Endpoint Central ganz charmant. Selbst die "große" Security Edition bis 50 Devices kostet nicht die Welt.

Eigentlich verbindet man sich zum Broker und der brokered dann eben. ;) Wenn du mit RDP Files arbeitest, musst du diese dann aber noch anpassen (bspw. mit Notepad öffnen): # Diesen Eintrag auf 1 ändern # use redirection server name:i:0 use redirection server name:i:1 # Diesen Eintrag hinzufügen # <Name der Sammlung> natürlich durch den korrekten Namen erstzen ;) loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.<Name der Sammlung> Ich vermute, wenn du dich per "mstsc /admin" zu einer IP Adresse von einem der TS verbindest, sollte es klappen.

Hi, wenn ihr einen Broker auf eigenem Server habt, warum dann DNS Round Roubin? Mal abgesehen davon, dass DNS RR generell meistens "Mist" ist. Sofern die Domain Admins Mitglied der lokalen Administratoren sind, ist er ja schließlich "explizit" lokaler Admin. Hier solltest du aber ansetzen und den/die Domain Admin/s zur Administration der Domäne beschränken und "passende Administratoren" für "den Rest" erstellen. Ebenfalls dann die Domain Admins überall aus den lokalen Administratoren Gruppen entsorgen (und ein "*-Logon-Deny" auf die Member Server).* Gruß Jan *) Das ist nur nichts für mal eben so nebenbei ohne Planung. ;)

Hi, wenn Hybrid, dann Classic Full oder Modern Full. Ansonsten wird AFAIK OAuth nicht konfiguriert, was dann händisch gemacht werden müsste und die "Vorteile" von "Minimal Hybrid" ad acta legt. Generell muss man gar nicht Hybrid gehen und "nur" Autodiscover sauber am Laufen haben sowie die WebServices veröffentlicht haben. Dann lässt sich "händisch" OAuth konfigurieren und der Kalender Zugriff funktionert. (Ich kann allerdings nicht sagen, ob das supportet wird. Je nachdem was man vor hat, ist der Hybridweg sinnvoller.) Gruß Jan

Hi, machst du hier DNS Round Robin oder wohin zeigt "TSDE"? Wo läuft denn der Broker? Der Admin User ist auch lokaler Admin auf allen drei TS? Gruß Jan

Jetzt auch bei heise: https://www.heise.de/news/Microsoft-Exchange-Server-anfaellig-fuer-Remotecode-Ausfuehrung-und-Datenklau-9353809.html

Die DNS Zone(n) liegen im derzeitigen Fall bei Azure. CAA Record ist da möglich. Allerdings lässt DNSSEC auf sich warten.. (Vielleicht hilft bzgl. DNSSEC ja nächstes Jahr Implementing Inbound SMTP DANE with DNSSEC for Exchange Online Mail Flow - Microsoft Community Hub)

Hi, kurz und schmerzlos: Neue VM aufsetzen, Anwendung migrieren, alte VM außer Betrieb nehmen. Alternativ Get-WindowsUpdateLog (WindowsUpdate) | Microsoft Learn sfc /SCANNOW Bzw. im CBS.log auf die Suche gehen Gibt es auch Fehlercodes / Fehlermeldungen? Gruß Jan

Ich würde auf DH Key < 4096 bits und/oder Cipher < 256 bits dabei tippen. (SSL Server Rating Guide · ssllabs/research Wiki · GitHub)

TLS1.2 und 1.3 sind aktiv. Ist allerdings "nur" ein Apache2 Webserver und (noch) kein Netscaler. ;) Der innere Monk wird jetzt nur noch vom orangen, weil fehlenden, DNS CAA Record getriggert. Bin allerdings ein wenig überrascht, wie kompatibel das laut dem SSL Labs Test noch ist.

Und damit ist das Wochenende ab sofort verdient :)

Ich vermute, es gibt genügend Quellen, wo sich passende Zugänge gegen Kohle kaufen lassen. Hier gibt es ja bspw. den ein und anderen Breach, wo E-Mail und Passwort abhanden gekommen sind: Have I Been Pwned: Pwned websites

Hi, gibt es hier irgendwie weitere Infos? Oder mache ich mir hier zu viele Sorgen? ZDI-23-1578 | Zero Day Initiative ZDI-23-1579 | Zero Day Initiative ZDI-23-1580 | Zero Day Initiative ZDI-23-1581 | Zero Day Initiative Beim Rest geht es immerhin nur um "This vulnerability allows remote attackers to disclose sensitive information on affected installations of Microsoft Exchange. Authentication is required to exploit this vulnerability.". Gruß Jan

Hi, die entsprechenden User sind in der "Zulässige RODC-Kennwortreplikationsgruppe"? Wenn nicht, wäre das by Design. Zusätzlich sind die User auch nicht (verschachtelt) in "Abgelenhnte RODC-Kennwortreplikationsgruppe"? Gruß Jan

Die User haben es doch trotzdem alles noch in der Hand "koordiniert" zu machen. Wenn denen der Stichtag nicht passt, können Sie ja jederzeit vorher auf "Updates installieren und herunterfahren" klicken. Man kann ja auch für die ersten zwei, drei Patchdays dann noch die Freundlichkeit besitzen und drei Tage vorm Strichtag per Mail an den Stichtag erinnern. Wenn ich das allerdings lese: Kann ich mir vorstellen, dass User keinen Bock auf Updates haben..

Benutzer informieren, dass das jetzt so ist und danach gilt halt "Lernen durch Schmerz". Man kann halt nicht immer alles (sinnvoll) technisch lösen.

Hi, Wenn "nur" GPO als "Werkzeug" zum Verteilen da ist, würde ich immer zum Script greifen. Da kannst du dann auch ein brauchbares Logging / Reporting / usw. integrieren. Gruß Jan

Hi, für das Auth Zertifikat: Can't access OWA/EAC with expired OAuth certificate - Exchange | Microsoft Learn Nach "Schritt 1" wirst du vermutlich gefragt, ob das SMTP Zertifikat überschrieben werden soll. Da drückst du dann "N". :) Beim Backend schaust du dir am besten den Thumbprint vom aktuellen an und erneuerst es dann auch per Shell: # Thumbprint finden Get-ExchangeCertificate # Erneuern: Get-ExchangeCertificate -Thumbprint <Thumbprint altes BackEnd Zertifikat> | New-ExchangeCertificate -PrivateKeyExportable $false Gruß Jan

Hi, was befindet sich denn am anderen Ende des Netzwerkkabels (Router, Switch, ... (Hier wäre Hersteller und Model des Gerätes hilfreich.))? Gruß Jan

Öhm, .... Das kannst du sogar (in Preview) On-Premises betreiben: Azure Virtual Desktop for Azure Stack HCI (preview) overview | Microsoft Learn

Dafür der zweite Satz: Bzw. wäre das Stichwort "Wake on LAN".

Hi, jetzt könnte man noch einwerfen, dass WSUS / WU evtl. nicht zu euren Anforderungen passt. Hast du mal in Richtung 3rd Party Patchmanagement / Endpoint Management geschaut? Das ist sicherlich kein Alleinstellungsmerkmal von Manage Engine Endpoint Central, aber da gibt es bspw. das automatisierte Patch-Management: (Patches vieler Hersteller einfach verwalten - mit Endpoint Central (manageengine.de) / Automated Patch Deployment - Deploy missing patches | ManageEngine) Zusätzlich zum Patchmanagement bringt Endpoint Central noch einige weitere nette Features mit. Gruß Jan

Ich habe es noch nie versucht, aber ggfs. könnte man mit einem Shutdown Script nachhelfen. Evtl. auch einen Task der beim / vorm Herunterfahren triggert. Dann wäre es am Ende egal, ob "Herunterfahren" oder "Aktualisieren und Herunterfahren" geklickt wurde.