testperson

Du kannst doch eine Ausnahme für das Softwareverteilprogramm erstellen. Siehe die Antwort oben von @MurdocX:

Hi, ich glaube, das kannst du über diesen Reg-Key machen: HKCU\Software\Microsoft\Office\16.0\Outlook\Options\Calendar ShowLegacySharingUX REG_DWORD 1 (User experience changes for sharing a calendar in Outlook - Microsoft Support) Gruß Jan

Hi, falls es immer mit " ..." endet, kannst du auch Code sparen: $fax.TrimEnd(" ...") Eine andere Frage wäre, warum im Scope "gloabl"? Gruß Jan

Ich gehe mit und erhöhe auf 102%.

Hi, hast du auch ein konkretes Problem oder nur das unerwartete nslookup Ergebnis (und damit vermutlich gar kein "echtes Problem")? Gruß Jan

Hi, die Vermutung von Nils ist hier (natürlich) korrekt. Ich finde den Artikel leider nur noch im archiv.org: Windows logon behavior if your user name contains characters that have accents or other diacritical marks (archive.org) Gruß Jan

Auch an dieser Stelle finden sich scheinbar User mit dem Motto "Challenge accepted". :)

In meiner Testumgebung mit leerem dSHeuristics und in der mit aktiviertem LOM hat es jedenfalls funktioniert: # https://support.microsoft.com/en-au/topic/kb5008383-active-directory-permissions-updates-cve-2021-42291-536d5555-ffba-4248-a60e-d6cbc849cde1 # https://learn.microsoft.com/de-de/openspecs/windows_protocols/ms-adts/e5899be4-862e-496f-9a38-33950617d2c5 $ADDomain = Get-ADDomain -Current LocalComputer $DN = -join( "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,", $ADDomain.DistinguishedName ) $ADObject = Get-ADObject -Identity $DN ` -Properties dsHeuristics [string]$dSHeuristics = $ADObject.dsHeuristics while($dSHeuristics.Length -lt 29){ $dSHeuristics = -join( $dSHeuristics, "0" ) } # fLDAPBlockAnonOps <# https://learn.microsoft.com/de-de/openspecs/windows_protocols/ms-adts/e5899be4-862e-496f-9a38-33950617d2c5 If this character is "2", then the fLDAPBlockAnonOps heuristic is false; otherwise, the fLDAPBlockAnonOps heuristic is true. If this character is not present in the string, it defaults to "2" when the DC functional level is less than DS_BEHAVIOR_WIN2003, and to "0" otherwise. https://learn.microsoft.com/de-de/openspecs/windows_protocols/ms-adts/4e11a7e6-e18c-46e4-a781-3ca2b4de6f30 If the fLDAPBlockAnonOps heuristic of the dSHeuristics attribute (see section 6.1.1.2.4.1.2) is true, anonymous (unauthenticated) users are limited to performing rootDSE searches and binds. If fLDAPBlockAnonOps is false, anonymous users can perform any LDAP operation, subject to access checks that use the ACL mechanisms described in this section. #> # $dSHeuristics = $dSHeuristics -replace "(?<=^.{6}).","0" $dSHeuristics = $dSHeuristics -replace "(?<=^.{9}).","1" $dSHeuristics = $dSHeuristics -replace "(?<=^.{19}).","2" $dSHeuristics = $dSHeuristics -replace "(?<=^.{27}).","1" $dSHeuristics = $dSHeuristics -replace "(?<=^.{28}).","1" <# Set-ADObject -Identity $DN ` -Replace @{dsHeuristics=$dSHeuristics} #> Wer" scharf schalten" möchte, muss halt den letzten Kommentarblock entfernen. :)

Hi, ansonsten evtl. auswerten von GPS: Point and Print Restrictions (gpsearch.azurewebsites.net) und/oder GPS: Package Point and print - Approved servers (gpsearch.azurewebsites.net)? die Printserver in eine eigene OU stecken? die Beschreibung / ein Attribut des Computerobjektes benutzen? eine Sicherheitsgruppe erstellen und die Printserver aufnehmen? die Server abfragen, auf denen der Spooler Dienst läuft? Gibt bestimmt noch weitere Ideen. :) Gruß Jan

Hi, also bei RDS Farm wäre ja auch glatt noch denkbar, passende Zertifikate zu kaufen oder "einfach" auf Let's Encrypt oder Co. zu setzen. Bei RDS ist ja auch denkbar, dass nicht verwaltete Device zugreifen. (Bzw. wäre das für mich und vermutlich viele weitere hier, kein Grund für eine eigene PKI.) Gruß Jan

Hi, wenn ich das jetzt bereits erzwingen möchte, muss ich das dSHeuristics Attribut auf 28 Stellen erweitern. Dabei ist zu beachten, dass die 10te Stelle eine 1 sein muss, um dem Active Directory mitzuteilen, dass das Attribut jetzt mehr als 10 Stellen hat. Die 20igste Stelle muss eine 2 sein, damit das AD informiert ist, dass das Attribut jetzt 20 Stellen hat. Jetzt setze ich die 28igste Stelle auf 1 für Enforcement "Additional AuthZ verifications for LDAP Add operations" sowie die 29igste Stelle auf 1 für Temporary removal of Implicit Owner Enforcement? Ist das Attribut leer oder 0 (also Default): 00000000010000000002000000011 Gibt es bereits Werte, werden diese einfach übernommen und mit 0 aufgefüllt, außer Stelle 10 (-> 1), 20 (-> 2), 28 (-> 1) und 29 (-> 1): 0010000001000000000200000001 Hier wäre dSHeuristics 001 gewesen 3 auf 1 -> "List Object Mode" Hat das Attribut bereits mehr als 10 oder 20 Stellen, muss(?) Stelle 10 bereits 1 und Stelle 20 2 sein und es wird einfach am Ende bis zur 28igsten erweitert, welche dann 1 wird und die 29igste Stelle wird ebenfalls 1: 00000000010000001002000001011 Hier wäre dSHeuristics 00000000010000001002000001 gewesen 17 auf 1 -> fKVNOEmuW2K (Was auch immer es tut) 26 auf 1 -> fLoadV1AddressBooksOnlySetting (Wo auch immer man v1 Adressbücher findet/nutzt) Hat das Attribut bereits mehr als 10 oder 20 Stellen und 10 ist keine 1 und/oder 20 keine 2, dann ist schonmal generell etwas falsch? Die heilige Handgranate von Antiochia - YouTube KB5008383—Active Directory permissions updates (CVE-2021-42291) - Microsoft Support [MS-ADTS]: dSHeuristics | Microsoft Learn Passen meine "Annahmen" so? (Das sollte sich doch in ein PowerShell Script bringen lassen.) Danke und Gruß Jan Edit: Habe vor lauter 0, 1 und 2 vollkommen die 29igste Stelle für das Enforcement "Temporary removal of Implicit Owner for LDAP Modify operations" überlesen. :)

BSI - Pflichten für KRITIS-Betreiber (bund.de)

Hi, kannst du evtl. über PowerShell rebooten? Restart-Computer -ComputerName Server01 -Credential (Get-Credentials) Bzw. anderweitig remote in eine Session zum Reboot kommen? Gruß Jan

Hi, "agenturserver.de" ist AFAIK Mittwald und nicht Strato. Und ich _vermute_ dass Strato auch nicht über den "mx" abgedeckt ist. In der Strato DNS Verwaltung kann man doch bei SPF "Strato Server" oder so ähnlich auswählen. Natürlich sollte man dann wissen, ob der vorhandene "include" benötigt wird. Gruß Jan

Hi, nach MZ01-CE0 (rev. 2.x) | Server Motherboard - GIGABYTE Germany oder auch Windows Server Catalog ist das Mainboard nur bis Windows Server 2019 freigegeben. Die Treiber auf der Website finden sich auch nur bis Server 2019. Ebenfalls stehen für die Revision 2.x auch nur AMD Epyc 7001 / 7002 in den Spezifikationen und keine 7003. Ist das ein selbstgebauter Server oder ein System von einem entsprechenden Hersteller? Gruß Jan

Hi, wie viele (Mail-enabled) Public Folder gibt es denn? Als Plan B evtl. die (Mail-enabled) Public Folder los werden und auf Shared Mailboxes wechseln? Bzw. sinnvolle Alternativen für die Public Folder finden? Gruß Jan

Hi, du könntest dir von Manage Engine "Endpoint Central" ansehen. Gibt es auch in einer MSP Edition, sofern wirklich MSP Features gebraucht werden. Solange du nicht recht komplexe Software verteilen musst, ist die Lösung sicherlich sehr gut. Zumindest war das damals mein Eindruck, als es noch Desktop Central war. ;) Gruß Jan

Hi, da gibt es - meiner Meinung nach - absolut kein Patentrezept und das hängt hier extrem vom Einzelfall bzw. letztlich halt den zukünftigen Anforderungen ab. Was versprichst du dir denn davon, wenn du die Devices / User in die Cloud "gebracht" hast? Gruß Jan

On-Premises hat der User keine Mailbox und kann daher auch dort keine Shared Mailbox "werden". Lokal werden die Attribute entsprechend gesetzt / geändert, dann werden diese Änderungen ins Azure AD synchronisiert und dort wird dann die User Mailbox in eine Shared Mailbox gewandelt. (Vorausgesetzt ist natürlich ein funktionierendes Azure AD Connect.)

Hi, Set-RemoteMailbox -Identity <Deine Mailbox> -Type Shared und das wars. Das heißt nur, dass die Mailbox von On-Premises nach Exchange online verschoben bzw. migriert wurde. Gruß Jan

Kaum macht man auch das richtig (und nimmt den richtigen Thumbprint), funktionierts..

Wenn "RTFM" eine Besonderheit ist, wäre das zu beachten. ;) (Wenn man dem Exchange "flott" ein selbst signiertes Zertifikat (New-SelfSignedCertificate) ohne Subject unterjubelt, muss man auch keinen Abend mit der Suche danach zu verbringen, warum der Exchange nicht richtig läuft.*) Ansonsten war das halt ne komplett neu aufgesetzte "plain" Testumgebung aus 1x DC, 1x ADFS und 1x Exchange. Alles Windows Server 2022: Schritt 1, 2 und 3) Use AD FS claims-based authentication with Outlook on the web | Microsoft Learn Dann weiter mit Enable Modern Auth in Exchange Server on-premises | Microsoft Learn Wenn man dann den mit "Important" (It is important here to make sure all client-facing URLs are covered, or it won't work. Include the trailing /'s and ensure the URLs start with https://.) gekennzeichnet Hinweis direkt verarbeitet, sollte es auch auf Anhieb funktionieren. Den WAP Part habe ich übersprungen Den "Optional MFA" habe ich auch vorerst übersprungen Jetzt kommt der Part 4 aus Use AD FS claims-based authentication with Outlook on the web | Microsoft Learn der nicht funktioniert. *) Ich könnte mir vorstellen hier schonmal den Hinweis gelesen und gegeben zu haben, dass man die Exchange Zertifikate ausschließlich über die Exchange CMDlets bzw. das ECP bearbeiten soll.

Also.. Windows 11 22H2 (Insider Build 25346) und Apps for Business im Current Release 2304 (16327.20214): Funktioniert wie beschrieben. Windows 10 22H2 (Build 19045) und Apps for Business im Current Release 2304 (16327.20214): Neues Profil anlegen geht nicht*; Vorhandenes Profil zeigt im Verbindungsstatus immerhin "Bearer" an. Outlook Web App und ECP mag noch nicht. Ich glaube da habe ich aber die Konfig versemmelt und muss das nochmal prüfen. *) Nachdem Outlook mit einem bestehenden Profil und Modern Auth verbunden war, lässt sich auch ein neues Profil erstellen. Ich muss wohl gleich nochmal das komplette Benutzerprofil abräumen und von 0 testen.

Hat denn mal jemand das letzte Update entfernt und erneut getestet oder einfach einen Support Case bei Microsoft aufgemacht?

Hi, das mit dem Update sollte sich doch "flott" prüfen lassen. Ansonsten wäre meine Antwort eine, die dir und/oder dem Kunden sicherlich nicht gefällt: Outlook ist mit einer der schlechtesten IMAP Clients, den man so finden kann. Gruß Jan