testperson

Ließ dir die Fehlermeldung der PowerShell doch mal durch, überlege kurz und lasse dann ggfs. "<" und ">" vor / hinter der IP / dem Hostnamen weg.

Was meldet auf deinem PC ausgeführt denn folgender PowerShell Befehl: Test-NetConnection -ComputerName <öffentliche IP Adresse oder Hostname deines vServers> -CommonTCPPort RDP

Hi, wenn die zentrale IT die Gruppe aus dem AD Papierkorb oder dem Backup wiederhergestellt hat, könntest du mit denen sicherlich auch über das Thema "Auditing / Logging" sprechen und anfragen, ob die den Verursacher benennen können. Ansonsten hätte dir an dieser Stelle evtl. auch ein Textexport der "relevanten Objekte" - viele Grüße an @NilsK an dieser Stelle :) - geholfen: $Searchbase = "OU=JansOU,DC=ad,DC=adsvc,DC=org" $Date = Get-Date -UFormat "%Y-%m-%d_%H-%M-%S" Get-ADUser -SearchBase $Searchbase ` -Filter * | ConvertTo-Csv -NoTypeInformation | Out-File $("C:\ADExport\" + $Date + "_ADUserExport.txt") Get-ADGroup -SearchBase $Searchbase ` -Filter * | ConvertTo-Csv -NoTypeInformation | Out-File $("C:\ADExport\" + $Date + "_ADGroupExport.txt") Get-ADComputer -SearchBase $Searchbase ` -Filter * | ConvertTo-Csv -NoTypeInformation | Out-File $("C:\ADExport\" + $Date + "_ADComputerExport.txt") Get-ADServiceAccount -Filter * | ConvertTo-Csv -NoTypeInformation | Out-File $("C:\ADExport\" + $Date + "_ADMSAExport.txt") Get-ADGroup -SearchBase $Searchbase ` -Filter * | ForEach-Object { Get-ADGroupMember -Identity $_ | Select-Object SamAccountName | Out-File $("C:\ADExport\GroupMemberExport\" + $Date + "_" + $_.Name + "_Export.txt") } Get-ADUser -SearchBase $Searchbase ` -Filter * | ForEach-Object { Get-ADPrincipalGroupMembership -Identity $_ | Select-Object Name | Out-File $("C:\ADExport\UserGroupsExport\" + $Date + "_" + $_.Name + "_Export.txt") } Das könnte man jetzt auch noch um die OUs / deren Struktur ergänzen oder auch auf Fileserver, wo dann die Share- und NTFS-Rechte exportiert werden. Gruß Jan

Start -> Ausführen -> gpedit.msc Sei mir nicht böse, allerdings steht dann meiner Meinung nach das im Gegensatz zum Betrieb von dem

Hi, erzwinge einmal RDP über TCP. Entweder am Server (oder Client wenn es kein Windows 10 Home wäre): Am Server: GPS: Select RDP transport protocols (gpsearch.azurewebsites.net) (Am Client: GPS: Turn Off UDP On Client (gpsearch.azurewebsites.net)) Gruß Jan

Ich wünschte bei mir wären es so einfache Probleme. ;) Ich muss hoffen, dass der Bundesliga-Knaller FC gegen Hoffenheim auf den Freitag oder Sonntag terminiert wird.

Der Artikel ist aus 2015. Mittlerweile könnte man das wohl deutlich einfacher per PowerShell lösen: Get-RDUserSession | ForEach-Object { Invoke-RDUserLogoff -HostServer $_.HostServer ` -UnifiedSessionID $_.UnifiedSessionId ` -Force } Je nachdem lässt sich "Get-RDUserSession" (Get-RDUserSession (RemoteDesktop) | Microsoft Learn) auch noch etwas einschränken, falls es mehrere Collections gibt oder man gezielt einen Broker ansprechen möchte. Alternativ, wie bereits erwähnt: Jeder Boot tut dem Worker gut.

Da schließe ich mich doch direkt an. Vielen Dank für euren Einsatz hier bzw. übrall!

Hi, da sind am Router vermutlich noch Router Advertisments aktiv. Öffne in einem Browser mal https://[fdaf:2563:9a85::1]. Vermutlich wirst du auf dem gleichen Gerät landen wie bei https://192.168.0.1. Gruß Jan

Hi, an der Stelle wird es an Server- bzw. Client-Regeln liegen: Server-side vs. client-only rules - Microsoft Support Gruß Jan

Weil es mir eben über den Weg lief und ich im Hinterkopf hatte, dass es hier auch mal um KB5014754 ging. Das wurde "jetzt" auf Februar 2025 geschoben: KB5014754—Certificate-based authentication changes on Windows domain controllers - Microsoft Support

Hi, das Autodiscover Verhalten wäre hier zu finden: Unexpected Autodiscover behavior if settings under the \Autodiscover key - Outlook | Microsoft Learn Bzw. per GPO - sofern die Office / Outlook SKU das zulässt - hier: GPS: AutoErmittlung deaktivieren (gpsearch.azurewebsites.net) Gruß Jan

Es gibt verschiedene AppLocker Umgeheungen. Bspw. gibt es hier eine ganz brauchbare Applocker Bypass List: GitHub - api0cradle/UltimateAppLockerByPassList: The goal of this repository is to document the most common techniques to bypass AppLocker. Generell findest du "bei ihm" (https://oddvar.moe/) gute Infos in diese Richtung bzw. dann auch Ansätze zur weiteren Recherche. Indirekt zum Thema AppLocker wäre dann auch noch das: Rootsec.inf - Keine Ordner auf C:\ erstellen - Gruppenrichtlinien

Hi, in solchen Fällen wäre es für mich hilfreich, wenn sich jemand "die Systeme" im Gesamten ansieht bzw. beobachtet bzw. das sogar von Anfang an macht. Ggfs. wäre hier eine "Managed Detection and Response" Lösung oder ein "SOC as a Service" ein Ansatz. Man kann da meiner Meinung nach sicherlich vieles vom dem machen, was du schon erledigst. Aber irgendwie würde ich mich bei sowas "besser fühlen", wenn da tatsächlich Leute vom Fach hinterher sind. Gruß Jan

Hi, schreibt der Proxy keine Logfiles? Da sollte sich doch ein "403 Request forbidden by administrative rules" finden. Gruß Jan

Danke für die Info. Hatte irgendwie nur die linke Spalte vorm inneren Auge. :)

So gesehen darf der Essentials schon gar nicht auf der Hardware laufen. Da ist AFAIK nur eine CPU mit maximal 10 Kernen erlaubt. Um lizenzkonform zu sein, könntest du dann auch im BIOS pro CPU 4 Kerne deaktivieren (lassen). Im "OEM Kanal" gibt es AFAIK auch direkt ein 24 Core Pack. Generell wärt ihr wohl ein Fall für einen IT Dienstleister um die Ecke.

Hi, und wenn du die "RDS Schnellstart Installation" einfach nicht nimmst und die Rolle RD Session Host (und ggfs. Broker / Gateway / Web) händisch installierst? Die CAL(s) brauchst du allerdings schon sobald der erste User / oder das erste Device sich verbindet. Gruß Jan

Im Zweifelsfall dort, wo nichts mehr angezeigt werden soll, wenn es mich stören würde. Unterm Strich dann überall (Server / Clients).

Bei mir wird es dort leer, sobald ich die o.g. Dienste beende und deaktiviere: Get-Service FDResPub, fdpHost | ForEach-Object { Set-Service -Name $_.Name -StartupType Disabled Stop-Service -Name $_.Name -Force }

Hi, dann wäre es "grob" in diesen beiden Artikeln beschrieben: Exchange Server: Umstellung von POP Abruf zu MX Record - Frankys Web Sophos UTM: Konfiguration der Email Protection für Exchange - Frankys Web Gruß Jan

Hi, AFAIK sind da "mittlerweile" die Dienste "fdPHost" und "FDResPub" für zuständig. (Geht es hier eigentlich um ein konkretes Problem oder Kosmetik?) Gruß Jan

Habt ihr (mindestens) eine statische, öffentliche IPv4 Adresse?

Hi, spontaner Benefit durch die UTM wäre DKIM. Ich würde ggfs. prüfen, ob man den 1und1 Smarthost nicht aus dem Mailflow raus bekommt. Gruß Jan

Hi, hast du es mal ohne Script getestet? powershell.exe -command "trap { Write-Output $_; exit1 }; Write-Output 'Test'" Gruß Jan