testperson

Hi, an der Stelle wird es an Server- bzw. Client-Regeln liegen: Server-side vs. client-only rules - Microsoft Support Gruß Jan

Weil es mir eben über den Weg lief und ich im Hinterkopf hatte, dass es hier auch mal um KB5014754 ging. Das wurde "jetzt" auf Februar 2025 geschoben: KB5014754—Certificate-based authentication changes on Windows domain controllers - Microsoft Support

Hi, das Autodiscover Verhalten wäre hier zu finden: Unexpected Autodiscover behavior if settings under the \Autodiscover key - Outlook | Microsoft Learn Bzw. per GPO - sofern die Office / Outlook SKU das zulässt - hier: GPS: AutoErmittlung deaktivieren (gpsearch.azurewebsites.net) Gruß Jan

Es gibt verschiedene AppLocker Umgeheungen. Bspw. gibt es hier eine ganz brauchbare Applocker Bypass List: GitHub - api0cradle/UltimateAppLockerByPassList: The goal of this repository is to document the most common techniques to bypass AppLocker. Generell findest du "bei ihm" (https://oddvar.moe/) gute Infos in diese Richtung bzw. dann auch Ansätze zur weiteren Recherche. Indirekt zum Thema AppLocker wäre dann auch noch das: Rootsec.inf - Keine Ordner auf C:\ erstellen - Gruppenrichtlinien

Hi, in solchen Fällen wäre es für mich hilfreich, wenn sich jemand "die Systeme" im Gesamten ansieht bzw. beobachtet bzw. das sogar von Anfang an macht. Ggfs. wäre hier eine "Managed Detection and Response" Lösung oder ein "SOC as a Service" ein Ansatz. Man kann da meiner Meinung nach sicherlich vieles vom dem machen, was du schon erledigst. Aber irgendwie würde ich mich bei sowas "besser fühlen", wenn da tatsächlich Leute vom Fach hinterher sind. Gruß Jan

Hi, schreibt der Proxy keine Logfiles? Da sollte sich doch ein "403 Request forbidden by administrative rules" finden. Gruß Jan

Danke für die Info. Hatte irgendwie nur die linke Spalte vorm inneren Auge. :)

So gesehen darf der Essentials schon gar nicht auf der Hardware laufen. Da ist AFAIK nur eine CPU mit maximal 10 Kernen erlaubt. Um lizenzkonform zu sein, könntest du dann auch im BIOS pro CPU 4 Kerne deaktivieren (lassen). Im "OEM Kanal" gibt es AFAIK auch direkt ein 24 Core Pack. Generell wärt ihr wohl ein Fall für einen IT Dienstleister um die Ecke.

Hi, und wenn du die "RDS Schnellstart Installation" einfach nicht nimmst und die Rolle RD Session Host (und ggfs. Broker / Gateway / Web) händisch installierst? Die CAL(s) brauchst du allerdings schon sobald der erste User / oder das erste Device sich verbindet. Gruß Jan

Im Zweifelsfall dort, wo nichts mehr angezeigt werden soll, wenn es mich stören würde. Unterm Strich dann überall (Server / Clients).

Bei mir wird es dort leer, sobald ich die o.g. Dienste beende und deaktiviere: Get-Service FDResPub, fdpHost | ForEach-Object { Set-Service -Name $_.Name -StartupType Disabled Stop-Service -Name $_.Name -Force }

Hi, dann wäre es "grob" in diesen beiden Artikeln beschrieben: Exchange Server: Umstellung von POP Abruf zu MX Record - Frankys Web Sophos UTM: Konfiguration der Email Protection für Exchange - Frankys Web Gruß Jan

Hi, AFAIK sind da "mittlerweile" die Dienste "fdPHost" und "FDResPub" für zuständig. (Geht es hier eigentlich um ein konkretes Problem oder Kosmetik?) Gruß Jan

Habt ihr (mindestens) eine statische, öffentliche IPv4 Adresse?

Hi, spontaner Benefit durch die UTM wäre DKIM. Ich würde ggfs. prüfen, ob man den 1und1 Smarthost nicht aus dem Mailflow raus bekommt. Gruß Jan

Hi, hast du es mal ohne Script getestet? powershell.exe -command "trap { Write-Output $_; exit1 }; Write-Output 'Test'" Gruß Jan

Hi, das ist im Office Bereich bzw. eine Einstellung in den Office ADMX? Dann gilt Download Administrative Template files (ADMX/ADML) for Microsoft 365 Apps for enterprise/Office LTSC 2021/Office 2019/Office 2016 and the Office Customization Tool for Office 2016 from Official Microsoft Download Center Da ist kein Home & Business bei und somit werden die Einstellungen nicht angewendet bzw. "by design". ;) Gruß Jan

Hi, was meldet denn "dfsrmig /getmigrationstate" / "dfsrmig /getglobalstate"? Findet sich da evtl. noch ein Hinweis auf einen Partner, auf den gewartet wird? Ansonsten ggfs. einen Case bei MS aufmachen? (In der Hilfe zu dfsrmig (dfsrmig | Microsoft Learn) findet sich noch /createglobalobjects. Was teilweise auf deine Situation zutreffen könnte. Ich würde aber den Case aufmachen.) Gruß Jan

Hi, ich bin mir nicht sicher, ob es zielführend ist, dass du hier Mittelsmann zwischen dem MCSEBoard und den/deinen Admins spielst. I.d.R. werden Admins dafür bezahlt solche Probleme zu lösen. Wenn man das System im Zugriff hat, sollte sich da vermutlich auch schnell eine Lösung finden lassen. Falls ihr nur das gecachede Profil unter C:\Users\<dein User> gelöscht habt, dann ist das zu wenig. In der Registry muss ebenfalls aufgeräumt werden. Am einfachsten: Get-CimInstance Win32_UserProfile | Where-Object { $_.LocalPath -match "<dein Username>" } | Remove-CimInstance Gruß Jan

Hi, man könnte hier noch SASE / SSE Lösungen wie bspw. iboss, Zscaler, ... in den Raum werfen. Ein anderer Ansatz wäre ggfs. im Detail über "Verbindung in das Netzwerk per VPN mit MFA." zu sprechen. Bei VPN trifft man halt immer mal wieder auf ANY <-> ANY bzw. sehr grob gefilterten Traffic. Gruß Jan

Hi, evtl. sollten wir vorne Anfangen. Was ist denn das eigentliche Ziel? Bzw. was soll am Ende erreicht werden? Gruß Jan

Hi, ja, das wäre hilfreich. nein. Der physikalische DC kann ja im gleichen Rack stehen / hängen bzw. sich irgendwo im internen Netzwerk befinden. Befindet der DC sich an einem anderen Standort / in einer Cloud, dann ist bspw. ein VPN oder eine andere Technik zum Verbinden der Netzwerke erforderlich. Gruß Jan

Du könntest beim Abmelden den lokalen Cache immer löschen (GPS: Zwischengespeicherte Kopien von servergespeicherten Profilen löschen (gpsearch.azurewebsites.net)). Sofern das auf RDSHs funktioniert. Alternativ könntest du im Fall Terminalserver auch in Richtung FSLogix schauen, dann hast du lokal auf den TS eh keine Profile mehr liegen und müsstest nur noch im Share aufräumen.

Hi, zusätzlich könntest du ggfs. noch über einen physikalischen DC mit eigener USV nachdenken oder einen vielleicht auch zwei DCs an einem anderen Standort (bspw. in einer "Cloud") bereitstellen. Gruß Jan

Hi, "plain" per GPO dürfte das schwer werden bzw. wäre das für mich kein Fall für ein GPO. Ich würde hier im Workflow "User deaktivieren" ansetzen und dort je nachdem das Archivieren und Aufräumen verankern. Wäre jetzt die Frage, wie der Prozess bei euch aussieht und was da passiert. Ansonsten ist das eher etwas für ein Script, welches die deaktivierten User durchgeht und dann eben das Profil verschiebt und auf dem/den TS lokal löscht. Gruß Jan