testperson

Hi, das Autodiscover Verhalten wäre hier zu finden: Unexpected Autodiscover behavior if settings under the \Autodiscover key - Outlook | Microsoft Learn Bzw. per GPO - sofern die Office / Outlook SKU das zulässt - hier: GPS: AutoErmittlung deaktivieren (gpsearch.azurewebsites.net) Gruß Jan

Es gibt verschiedene AppLocker Umgeheungen. Bspw. gibt es hier eine ganz brauchbare Applocker Bypass List: GitHub - api0cradle/UltimateAppLockerByPassList: The goal of this repository is to document the most common techniques to bypass AppLocker. Generell findest du "bei ihm" (https://oddvar.moe/) gute Infos in diese Richtung bzw. dann auch Ansätze zur weiteren Recherche. Indirekt zum Thema AppLocker wäre dann auch noch das: Rootsec.inf - Keine Ordner auf C:\ erstellen - Gruppenrichtlinien

Hi, in solchen Fällen wäre es für mich hilfreich, wenn sich jemand "die Systeme" im Gesamten ansieht bzw. beobachtet bzw. das sogar von Anfang an macht. Ggfs. wäre hier eine "Managed Detection and Response" Lösung oder ein "SOC as a Service" ein Ansatz. Man kann da meiner Meinung nach sicherlich vieles vom dem machen, was du schon erledigst. Aber irgendwie würde ich mich bei sowas "besser fühlen", wenn da tatsächlich Leute vom Fach hinterher sind. Gruß Jan

Hi, schreibt der Proxy keine Logfiles? Da sollte sich doch ein "403 Request forbidden by administrative rules" finden. Gruß Jan

Danke für die Info. Hatte irgendwie nur die linke Spalte vorm inneren Auge. :)

So gesehen darf der Essentials schon gar nicht auf der Hardware laufen. Da ist AFAIK nur eine CPU mit maximal 10 Kernen erlaubt. Um lizenzkonform zu sein, könntest du dann auch im BIOS pro CPU 4 Kerne deaktivieren (lassen). Im "OEM Kanal" gibt es AFAIK auch direkt ein 24 Core Pack. Generell wärt ihr wohl ein Fall für einen IT Dienstleister um die Ecke.

Hi, und wenn du die "RDS Schnellstart Installation" einfach nicht nimmst und die Rolle RD Session Host (und ggfs. Broker / Gateway / Web) händisch installierst? Die CAL(s) brauchst du allerdings schon sobald der erste User / oder das erste Device sich verbindet. Gruß Jan

Im Zweifelsfall dort, wo nichts mehr angezeigt werden soll, wenn es mich stören würde. Unterm Strich dann überall (Server / Clients).

Bei mir wird es dort leer, sobald ich die o.g. Dienste beende und deaktiviere: Get-Service FDResPub, fdpHost | ForEach-Object { Set-Service -Name $_.Name -StartupType Disabled Stop-Service -Name $_.Name -Force }

Hi, dann wäre es "grob" in diesen beiden Artikeln beschrieben: Exchange Server: Umstellung von POP Abruf zu MX Record - Frankys Web Sophos UTM: Konfiguration der Email Protection für Exchange - Frankys Web Gruß Jan

Hi, AFAIK sind da "mittlerweile" die Dienste "fdPHost" und "FDResPub" für zuständig. (Geht es hier eigentlich um ein konkretes Problem oder Kosmetik?) Gruß Jan

Habt ihr (mindestens) eine statische, öffentliche IPv4 Adresse?

Hi, spontaner Benefit durch die UTM wäre DKIM. Ich würde ggfs. prüfen, ob man den 1und1 Smarthost nicht aus dem Mailflow raus bekommt. Gruß Jan

Hi, hast du es mal ohne Script getestet? powershell.exe -command "trap { Write-Output $_; exit1 }; Write-Output 'Test'" Gruß Jan

Hi, das ist im Office Bereich bzw. eine Einstellung in den Office ADMX? Dann gilt Download Administrative Template files (ADMX/ADML) for Microsoft 365 Apps for enterprise/Office LTSC 2021/Office 2019/Office 2016 and the Office Customization Tool for Office 2016 from Official Microsoft Download Center Da ist kein Home & Business bei und somit werden die Einstellungen nicht angewendet bzw. "by design". ;) Gruß Jan

Hi, was meldet denn "dfsrmig /getmigrationstate" / "dfsrmig /getglobalstate"? Findet sich da evtl. noch ein Hinweis auf einen Partner, auf den gewartet wird? Ansonsten ggfs. einen Case bei MS aufmachen? (In der Hilfe zu dfsrmig (dfsrmig | Microsoft Learn) findet sich noch /createglobalobjects. Was teilweise auf deine Situation zutreffen könnte. Ich würde aber den Case aufmachen.) Gruß Jan

Hi, ich bin mir nicht sicher, ob es zielführend ist, dass du hier Mittelsmann zwischen dem MCSEBoard und den/deinen Admins spielst. I.d.R. werden Admins dafür bezahlt solche Probleme zu lösen. Wenn man das System im Zugriff hat, sollte sich da vermutlich auch schnell eine Lösung finden lassen. Falls ihr nur das gecachede Profil unter C:\Users\<dein User> gelöscht habt, dann ist das zu wenig. In der Registry muss ebenfalls aufgeräumt werden. Am einfachsten: Get-CimInstance Win32_UserProfile | Where-Object { $_.LocalPath -match "<dein Username>" } | Remove-CimInstance Gruß Jan

Hi, man könnte hier noch SASE / SSE Lösungen wie bspw. iboss, Zscaler, ... in den Raum werfen. Ein anderer Ansatz wäre ggfs. im Detail über "Verbindung in das Netzwerk per VPN mit MFA." zu sprechen. Bei VPN trifft man halt immer mal wieder auf ANY <-> ANY bzw. sehr grob gefilterten Traffic. Gruß Jan

Hi, evtl. sollten wir vorne Anfangen. Was ist denn das eigentliche Ziel? Bzw. was soll am Ende erreicht werden? Gruß Jan

Hi, ja, das wäre hilfreich. nein. Der physikalische DC kann ja im gleichen Rack stehen / hängen bzw. sich irgendwo im internen Netzwerk befinden. Befindet der DC sich an einem anderen Standort / in einer Cloud, dann ist bspw. ein VPN oder eine andere Technik zum Verbinden der Netzwerke erforderlich. Gruß Jan

Du könntest beim Abmelden den lokalen Cache immer löschen (GPS: Zwischengespeicherte Kopien von servergespeicherten Profilen löschen (gpsearch.azurewebsites.net)). Sofern das auf RDSHs funktioniert. Alternativ könntest du im Fall Terminalserver auch in Richtung FSLogix schauen, dann hast du lokal auf den TS eh keine Profile mehr liegen und müsstest nur noch im Share aufräumen.

Hi, zusätzlich könntest du ggfs. noch über einen physikalischen DC mit eigener USV nachdenken oder einen vielleicht auch zwei DCs an einem anderen Standort (bspw. in einer "Cloud") bereitstellen. Gruß Jan

Hi, "plain" per GPO dürfte das schwer werden bzw. wäre das für mich kein Fall für ein GPO. Ich würde hier im Workflow "User deaktivieren" ansetzen und dort je nachdem das Archivieren und Aufräumen verankern. Wäre jetzt die Frage, wie der Prozess bei euch aussieht und was da passiert. Ansonsten ist das eher etwas für ein Script, welches die deaktivierten User durchgeht und dann eben das Profil verschiebt und auf dem/den TS lokal löscht. Gruß Jan

Hi, man kann auch als Dienstleister einen Dienstleister beauftragen und ein solches Projekt im Rahmen eines Workshops umsetzen. Manchmal muss man / ein Chef da nur über den eigenen Schatten springen und dem Kunden ehrlich mitteilen, dass man in Bereich X (noch) kein eigenes Know-How hat. Da verdient man zwar (vermutlich) kein großes Geld bekommt aber Know-How. Das ist dann so ähnlich wie "Gib einem Hungernden einen Fisch und du ernährst ihn für einen Tag. Lehre einen Hungernden das Fischen und du ernährst ihn für sein Leben." Gruß Jan Ohne Details zu kennen, könntest du überlegen alles in der Gesamtstruktur "test1.de" zu betreiben und mit entsprechenden Berechtigungen soweit nötig (und möglich) zu trennen oder du stellst zwei getrennte Gesamtstrukturen "test1.de" und "test2.de" bereit und arbeitest mit einem Trust (und berechtigst entsprechend). Hat halt beides Vor- und Nachteile und kommt halt drauf an. ;)

Hi, wie wichtig waren die Daten und gibt es ein aktuelles Backup? Je nach Antworten solltest du jemanden dazu holen, der sich damit auskennt. Ansonsten sollte - sofern ich deine Beschreibung richtig auffasse - folgendes helfen: Windows Server 2012: How to Import a Storage Pool on Another Server - Microsoft Community Hub Wenn die Daten allerdings wichtig waren und kein Backup vorhanden ist, würde ich da nicht selber experimentieren. Gruß Jan