testperson

Moin, 0x80072EE6: Was stand denn in der alten bzw. der geänderten alten Policy in der WSUS Intranet Location? Wobei das in der Theorie dann bei allen auftreten sollten. Ansonsten hätte ich ggfs. noch nicht passende TLS Einstellungen zwischen Windows Server 2022 und den alten Win 2012 Servern im Verdacht, was aber durch Neuerstellen der Policy nicht behoben sein sollte. Gruß Jan

Wenn dir die Regeln nicht passen, musst du ein anderes Spiel suchen. ;) Es gibt neben MS Office ja auch noch andere Optionen die dann auch nicht zwingend einen Windows Client / Server benötigen. Allerdings wird es auch ohne den "Abo-Kram" schwierig etwas langfristiges (wie früher mit 10 Jahren Support Lifecycle) zu finden. Ein aktuelles Office LTSC 2021 ist mittlerweile auch im 5 Jahre Support Lifecycle angekommen. Hier musst du dann auch alles 5 Jahre ein neues Office LTSC / Perpetual kaufen. Der andere Weg wäre Apps for Enterprise / Business im monatlichen Abo und dann eben alle 5 Jahre ein neues Server OS samt CALs. Der nächste Ansatz halt Azure Stack HCI (im Monats-Abo) mit Azure Virtual Desktop (im Monats-Abo) und den M365 Apps (im Monats-Abo).

AFAIK kannst du ohne installierte CALs erstmal testen.

Ja. Kommt auf den "Admin-Brei" an. Und wie gesagt, brauchst du RDS-CALs. Die Admins administrieren ja nicht den Server sondern eine Applikation. Also arbeiten die Admins und administrieren (den Server) nicht.

Hi, da muss schon ein "Man in the Middle" bzw. irgendwo muss der Traffic abgehört werden können. Bei max. 30 € für ein Jahr bei einem Zertifikat bzw. bei kostenlos im Falle von Let's Encrypt / ZeroSLL und Co. verstehe ich das "Thema" nicht. Gruß Jan

Nimm halt einfach die aktuelle Matrix: RE2OqRI (microsoft.com) Ich _vermute_, dass der Windows Server vNext (2025?) im Mainstream Support von Anfang an Support für die Apps for Enterprise / Business bekommt. Das mache ich an folgendem Statement fest (Re: Support for M365 Apps (O365) on Windows 2022 - Page 5 - Microsoft Community Hub): Azure Virtual Desktop ((preview) on Azure Stack HCI) bzw. halt Windows 10/11 Multisession. :-P Sofern der für On-Premises aus der Preview kommt, wäre das durchaus eine Zukunft, die halt dann auch als Abo um die Ecke kommt.

AFAIK kannst du den auch telefonisch aktivieren. Ja ist auch Arbeit. Wie viel Arbeit Zeit hast du denn bis jetzt in die Suche nach einer "Lösung" gesteckt?

Hi, an welcher Stelle siehst du einen längeren Rattenschwanz? RD-Lic installieren, den Server aktivieren und in die "Terminalserver-Lizenzserver" Gruppe packen. Schon kannst du testen. In meinen Augen gibt es da auch nicht wirklich viel zum Testen. Gruß Jan

Hi, -> Windows Server end of support and Microsoft 365 Apps - Deploy Office | Microsoft Learn HTH Jan

Hi, ich habe das ein, zwei Mal mit installiertem IIS gemacht. Es kommt aber _vermutlich_ stark drauf an, was der Webserver da tatsächlich macht bzw. welche Anwendung den Webserver nutzt. In meinem Fall waren das RDS Deployments. Ansonsten sehe ich selten wirkliche Vorteile im In-Place Upgrade. Gruß Jan

OT: Und Hetzner so: "Hold my beer".. ipconfig > Ethernet adapter Ethernet: > > Connection-specific DNS Suffix . : > IPv4 Address. . . . . . . . . . . : 10.0.0.5 > Subnet Mask . . . . . . . . . . . : 255.255.255.255 > Default Gateway . . . . . . . . . : 10.0.0.1 route print -4 > Persistent Routes: > Network Address Netmask Gateway Address Metric > 10.0.0.1 255.255.255.255 On-link 1 > 10.0.0.0 255.255.255.0 10.0.0.1 1 > 172.31.1.0 255.255.255.0 10.0.0.1 1 > 0.0.0.0 0.0.0.0 10.0.0.1 Default

Die Variante aus dem Shop möchte sich bei mir nicht installieren oder sie installiert auch nur die normale Desktopversion. Hier wäre die Publisher Rule im Audit-Mode, um die Minecraft EXE zu blocken: <AppLockerPolicy Version="1"> <RuleCollection Type="Appx" EnforcementMode="AuditOnly" /> <RuleCollection Type="Dll" EnforcementMode="NotConfigured" /> <RuleCollection Type="Exe" EnforcementMode="AuditOnly"> <FilePublisherRule Id="dea3a3da-cc65-468e-bd27-50911ff2f259" Name="MINECRAFT EDUCATION, from O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" Description="" UserOrGroupSid="S-1-1-0" Action="Deny"> <Conditions> <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="MINECRAFT EDUCATION" BinaryName="*"> <BinaryVersionRange LowSection="*" HighSection="*" /> </FilePublisherCondition> </Conditions> </FilePublisherRule> </RuleCollection> <RuleCollection Type="Msi" EnforcementMode="AuditOnly" /> <RuleCollection Type="Script" EnforcementMode="AuditOnly" /> </AppLockerPolicy> Es wäre vermutlich von Vorteil das alles erst einmal mit einem Testclient durchzugehen, zumal hier auch die Default Regeln fehlen. Ebenfalls sollte der Block nicht für EVERYONE (S-1-1-0) gelten.

Hi, könnte das in diese Richtung gehen / aus dieser Richtung kommen: Sucherverhalten von "dir" anpassen - Windows Server Forum - MCSEboard.de Gruß Jan

Hi, man kann Minecraft Education scheinbar aus dem Microsoft Store als App beziehen oder einen Installer downloaden. Was ist denn bei euch gemacht worden? Gruß Jan

Hi, das sollte sich z.B. mit Applocker lösen lassen. Gruß Jan

Ja, beispielsweise per VLAN.

Hi, Exchange Server: Umstellung von POP Abruf zu MX Record - Frankys Web HTH Jan

Hi, vielleicht ein anderer Blick auf das Thema: Ist ADFS wirklich the one and only way für ein SSOn am Webinterface der Telefonanlage? Um welche Telefonanlage handelt es sich und wo bzw. auf welcher Webserverbasis läuft das Webinterface? Gruß Jan

Hi, andere Idee: Nutze die "Chance" und segmentiere die Netze. Clients und bspw. der Backup Server im gleichen Netz halte ich per se für unglücklich. Gruß Jan

Hi, robocopy /? ... /COPY:copyflags :: Gibt an, welche Inhalte für Dateien kopiert werden sollen (der Standard ist "/COPY:DAT"). (Kopierflags : D=Daten, A=Attribute, T=Zeitstempel, X=Alternative Datenströme überspringen). (S=Sicherheit=NTFS-ACLs, O=Besitzerinformationen, U=Überwachungsinformationen). /SEC :: Kopiert Dateien mit Sicherheitsinformationen (entspricht "/COPY:DATS"). /COPYALL :: Kopiert alle Dateiinformationen (entspricht "/COPY:DATSOU"). ... Gruß Jan

Hi, Sofern es tatsächlich nur OWA und kein EAS bzw. etwas mit Basic Auth ist, dann könnt ihr doch - wie @mwiederkehr vorschlägt - dort einen zweiten Faktor integrieren. Wenn EAS dabei ist, wäre HMA ein Ansatz oder ihr müsst warten, bis die MA auch in reinen On-Premises Umgebungen da ist. Gruß Jan

Ich würde eher sagen, dass dann das Sizing nicht passt oder die (neuen) Anforderungen bedingen weitere Hardware. ;)

Hi, Hyper Threading würde ich nur in Szenarien abschalten, wo eine Anwendung / der Support das fordert. Die "Side-Channel-Angriffe" sind in einer Default Konfig ab Server 2019 eh eingedämmt, da dort der Core Scheduler aktiv ist: Understanding and using Hyper-V hypervisor scheduler types | Microsoft Learn Der TerraXaler ist aber auch eine Besonderheit. Der ist ja eine HCI Lösung auf Basis plain S2D oder ist es Data Core? Damals, als ich den TerraXaler kennengelernt habe, hatte er zumindest mal ein unschönes Design fürs HCI. Woran aber wohl gearbeitet wurde. Gruß Jan

Hi, Fehlercode: 0x20 In der Regel werden viele Fehlerereignisse mit dem Fehlercode "0x20" angezeigt, was einfach bedeutet, dass ein TGS-Ticket abgelaufen ist. Dies sind Informationsnachrichten und haben nur geringe bis gar keine Sicherheitsrelevanz. (4769(S, F) Ein Kerberos-Serviceticket wurde angefordert. (Windows 10) - Windows security | Microsoft Learn) Gruß Jan

Hi, "pauschal": virtualisierte Clients / Terminalserver: fest mit ca. 6 bis 8 GB als Startwert (hier muss eigentlich wenig justiert werden) Rest: Windows machen lassen Gruß Jan