testperson

Hi, also bei RDS Farm wäre ja auch glatt noch denkbar, passende Zertifikate zu kaufen oder "einfach" auf Let's Encrypt oder Co. zu setzen. Bei RDS ist ja auch denkbar, dass nicht verwaltete Device zugreifen. (Bzw. wäre das für mich und vermutlich viele weitere hier, kein Grund für eine eigene PKI.) Gruß Jan

Hi, wenn ich das jetzt bereits erzwingen möchte, muss ich das dSHeuristics Attribut auf 28 Stellen erweitern. Dabei ist zu beachten, dass die 10te Stelle eine 1 sein muss, um dem Active Directory mitzuteilen, dass das Attribut jetzt mehr als 10 Stellen hat. Die 20igste Stelle muss eine 2 sein, damit das AD informiert ist, dass das Attribut jetzt 20 Stellen hat. Jetzt setze ich die 28igste Stelle auf 1 für Enforcement "Additional AuthZ verifications for LDAP Add operations" sowie die 29igste Stelle auf 1 für Temporary removal of Implicit Owner Enforcement? Ist das Attribut leer oder 0 (also Default): 00000000010000000002000000011 Gibt es bereits Werte, werden diese einfach übernommen und mit 0 aufgefüllt, außer Stelle 10 (-> 1), 20 (-> 2), 28 (-> 1) und 29 (-> 1): 0010000001000000000200000001 Hier wäre dSHeuristics 001 gewesen 3 auf 1 -> "List Object Mode" Hat das Attribut bereits mehr als 10 oder 20 Stellen, muss(?) Stelle 10 bereits 1 und Stelle 20 2 sein und es wird einfach am Ende bis zur 28igsten erweitert, welche dann 1 wird und die 29igste Stelle wird ebenfalls 1: 00000000010000001002000001011 Hier wäre dSHeuristics 00000000010000001002000001 gewesen 17 auf 1 -> fKVNOEmuW2K (Was auch immer es tut) 26 auf 1 -> fLoadV1AddressBooksOnlySetting (Wo auch immer man v1 Adressbücher findet/nutzt) Hat das Attribut bereits mehr als 10 oder 20 Stellen und 10 ist keine 1 und/oder 20 keine 2, dann ist schonmal generell etwas falsch? Die heilige Handgranate von Antiochia - YouTube KB5008383—Active Directory permissions updates (CVE-2021-42291) - Microsoft Support [MS-ADTS]: dSHeuristics | Microsoft Learn Passen meine "Annahmen" so? (Das sollte sich doch in ein PowerShell Script bringen lassen.) Danke und Gruß Jan Edit: Habe vor lauter 0, 1 und 2 vollkommen die 29igste Stelle für das Enforcement "Temporary removal of Implicit Owner for LDAP Modify operations" überlesen. :)

BSI - Pflichten für KRITIS-Betreiber (bund.de)

Hi, kannst du evtl. über PowerShell rebooten? Restart-Computer -ComputerName Server01 -Credential (Get-Credentials) Bzw. anderweitig remote in eine Session zum Reboot kommen? Gruß Jan

Hi, "agenturserver.de" ist AFAIK Mittwald und nicht Strato. Und ich _vermute_ dass Strato auch nicht über den "mx" abgedeckt ist. In der Strato DNS Verwaltung kann man doch bei SPF "Strato Server" oder so ähnlich auswählen. Natürlich sollte man dann wissen, ob der vorhandene "include" benötigt wird. Gruß Jan

Hi, nach MZ01-CE0 (rev. 2.x) | Server Motherboard - GIGABYTE Germany oder auch Windows Server Catalog ist das Mainboard nur bis Windows Server 2019 freigegeben. Die Treiber auf der Website finden sich auch nur bis Server 2019. Ebenfalls stehen für die Revision 2.x auch nur AMD Epyc 7001 / 7002 in den Spezifikationen und keine 7003. Ist das ein selbstgebauter Server oder ein System von einem entsprechenden Hersteller? Gruß Jan

Hi, wie viele (Mail-enabled) Public Folder gibt es denn? Als Plan B evtl. die (Mail-enabled) Public Folder los werden und auf Shared Mailboxes wechseln? Bzw. sinnvolle Alternativen für die Public Folder finden? Gruß Jan

Hi, du könntest dir von Manage Engine "Endpoint Central" ansehen. Gibt es auch in einer MSP Edition, sofern wirklich MSP Features gebraucht werden. Solange du nicht recht komplexe Software verteilen musst, ist die Lösung sicherlich sehr gut. Zumindest war das damals mein Eindruck, als es noch Desktop Central war. ;) Gruß Jan

Hi, da gibt es - meiner Meinung nach - absolut kein Patentrezept und das hängt hier extrem vom Einzelfall bzw. letztlich halt den zukünftigen Anforderungen ab. Was versprichst du dir denn davon, wenn du die Devices / User in die Cloud "gebracht" hast? Gruß Jan

On-Premises hat der User keine Mailbox und kann daher auch dort keine Shared Mailbox "werden". Lokal werden die Attribute entsprechend gesetzt / geändert, dann werden diese Änderungen ins Azure AD synchronisiert und dort wird dann die User Mailbox in eine Shared Mailbox gewandelt. (Vorausgesetzt ist natürlich ein funktionierendes Azure AD Connect.)

Hi, Set-RemoteMailbox -Identity <Deine Mailbox> -Type Shared und das wars. Das heißt nur, dass die Mailbox von On-Premises nach Exchange online verschoben bzw. migriert wurde. Gruß Jan

Kaum macht man auch das richtig (und nimmt den richtigen Thumbprint), funktionierts..

Wenn "RTFM" eine Besonderheit ist, wäre das zu beachten. ;) (Wenn man dem Exchange "flott" ein selbst signiertes Zertifikat (New-SelfSignedCertificate) ohne Subject unterjubelt, muss man auch keinen Abend mit der Suche danach zu verbringen, warum der Exchange nicht richtig läuft.*) Ansonsten war das halt ne komplett neu aufgesetzte "plain" Testumgebung aus 1x DC, 1x ADFS und 1x Exchange. Alles Windows Server 2022: Schritt 1, 2 und 3) Use AD FS claims-based authentication with Outlook on the web | Microsoft Learn Dann weiter mit Enable Modern Auth in Exchange Server on-premises | Microsoft Learn Wenn man dann den mit "Important" (It is important here to make sure all client-facing URLs are covered, or it won't work. Include the trailing /'s and ensure the URLs start with https://.) gekennzeichnet Hinweis direkt verarbeitet, sollte es auch auf Anhieb funktionieren. Den WAP Part habe ich übersprungen Den "Optional MFA" habe ich auch vorerst übersprungen Jetzt kommt der Part 4 aus Use AD FS claims-based authentication with Outlook on the web | Microsoft Learn der nicht funktioniert. *) Ich könnte mir vorstellen hier schonmal den Hinweis gelesen und gegeben zu haben, dass man die Exchange Zertifikate ausschließlich über die Exchange CMDlets bzw. das ECP bearbeiten soll.

Also.. Windows 11 22H2 (Insider Build 25346) und Apps for Business im Current Release 2304 (16327.20214): Funktioniert wie beschrieben. Windows 10 22H2 (Build 19045) und Apps for Business im Current Release 2304 (16327.20214): Neues Profil anlegen geht nicht*; Vorhandenes Profil zeigt im Verbindungsstatus immerhin "Bearer" an. Outlook Web App und ECP mag noch nicht. Ich glaube da habe ich aber die Konfig versemmelt und muss das nochmal prüfen. *) Nachdem Outlook mit einem bestehenden Profil und Modern Auth verbunden war, lässt sich auch ein neues Profil erstellen. Ich muss wohl gleich nochmal das komplette Benutzerprofil abräumen und von 0 testen.

Hat denn mal jemand das letzte Update entfernt und erneut getestet oder einfach einen Support Case bei Microsoft aufgemacht?

Hi, das mit dem Update sollte sich doch "flott" prüfen lassen. Ansonsten wäre meine Antwort eine, die dir und/oder dem Kunden sicherlich nicht gefällt: Outlook ist mit einer der schlechtesten IMAP Clients, den man so finden kann. Gruß Jan

Wenn das läuft, kann ich gerne mit Win10 bzw. auch Server OS testen. "Problematisch" sehe ich derzeit für meine Testumgebung das Thema ADFS. Da hatte ich bislang recht wenig mit zu tun.

Hui, da wird doch glatt später / im Laufe der Woche nochmal eine Testumgebung mit Exchange hochgezogen: Enable Modern Auth in Exchange Server on-premises | Microsoft Learn Der fehlende Support für die anderen Clients ist allerdings auch wieder "ne Spaßbremse" bis "later this year".

Hi, versuche einmal den Telnet-Client bzw. irgendein Feature zu installieren und boote dann neu. Danach nochmal versuchen die NFS Rolle zu installieren. Gruß Jan

Was machst du denn ansonsten mit der EwsAllowList? Das Problem dürfte hier nicht der Teil-Sync ins AzureAD oder so sein, sondern einfach nur die zu restriktive EwsAllowList.

Hi, was liefert denn Get-OrganizationConfig | fl EWS* Get-CASMailbox "Key User" | fl EWS* Get-CASMailbox "kein Key User" | fl EWS* Vermutlich fehlt unter anderem Outlook in der EwsAllowList bzw. EwsAllowOutlook. Siehe ggfs.: Be careful with the EwsAllowList / EwsBlockList in Exchange OrganizationConfig (icewolf.ch) Gruß Jan

Hi, mir kam spontan die Idee Objekte mit einem Gleichheitszeichen und Komma zu erstellen, die dann auch blöderweise noch xyz,CN=Test oder abc,OU=Test heißen. Direkt was neues gelernt: Das AD escaped dann den DN. Aus der OU "TEST,OU=TEST" wird der DN "OU=TEST\,OU\=TEST,DC=ad,..." Vermutlich wird sich das aber nicht als Best Practice durchsetzen. ;) Gruß Jan

Die Firewall / das Mailgateway nimmt die Mails an und stellt diese dem Exchange zu. Wo ändert sich jetzt der Zugriff aus dem Internet in Richtung Exchange im Vergleich zum jetzigen Konstrukt? (Der Client Zugriff steht dann ja nochmal auf einem ganz anderen Blatt.) Wenn du "kommende Sicherheitslücken" betrachtest, dann leg besser den FI-Schalter um. ;)

Hi, da du ja jetzt "eh dran bist" wäre das vielleicht ein besserer Ansatz: Exchange Server: Umstellung von POP Abruf zu MX Record - Frankys Web Idealerweise ne passende Firewall / passendes Mailgateway davor oder eben in der Cloud betreiben lassen und schwups "Problem solved". Gruß Jan

Prerequisites for Azure AD Connect cloud sync in Azure AD - Microsoft Entra | Microsoft Learn Azure AD Connect: Prerequisites and hardware - Microsoft Entra | Microsoft Learn Oder an welcher Stelle suchst du welchen Support für Windows 2022? :)