testperson

BSI - Pflichten für KRITIS-Betreiber (bund.de)

Hi, kannst du evtl. über PowerShell rebooten? Restart-Computer -ComputerName Server01 -Credential (Get-Credentials) Bzw. anderweitig remote in eine Session zum Reboot kommen? Gruß Jan

Hi, "agenturserver.de" ist AFAIK Mittwald und nicht Strato. Und ich _vermute_ dass Strato auch nicht über den "mx" abgedeckt ist. In der Strato DNS Verwaltung kann man doch bei SPF "Strato Server" oder so ähnlich auswählen. Natürlich sollte man dann wissen, ob der vorhandene "include" benötigt wird. Gruß Jan

Hi, nach MZ01-CE0 (rev. 2.x) | Server Motherboard - GIGABYTE Germany oder auch Windows Server Catalog ist das Mainboard nur bis Windows Server 2019 freigegeben. Die Treiber auf der Website finden sich auch nur bis Server 2019. Ebenfalls stehen für die Revision 2.x auch nur AMD Epyc 7001 / 7002 in den Spezifikationen und keine 7003. Ist das ein selbstgebauter Server oder ein System von einem entsprechenden Hersteller? Gruß Jan

Hi, wie viele (Mail-enabled) Public Folder gibt es denn? Als Plan B evtl. die (Mail-enabled) Public Folder los werden und auf Shared Mailboxes wechseln? Bzw. sinnvolle Alternativen für die Public Folder finden? Gruß Jan

Hi, du könntest dir von Manage Engine "Endpoint Central" ansehen. Gibt es auch in einer MSP Edition, sofern wirklich MSP Features gebraucht werden. Solange du nicht recht komplexe Software verteilen musst, ist die Lösung sicherlich sehr gut. Zumindest war das damals mein Eindruck, als es noch Desktop Central war. ;) Gruß Jan

Hi, da gibt es - meiner Meinung nach - absolut kein Patentrezept und das hängt hier extrem vom Einzelfall bzw. letztlich halt den zukünftigen Anforderungen ab. Was versprichst du dir denn davon, wenn du die Devices / User in die Cloud "gebracht" hast? Gruß Jan

On-Premises hat der User keine Mailbox und kann daher auch dort keine Shared Mailbox "werden". Lokal werden die Attribute entsprechend gesetzt / geändert, dann werden diese Änderungen ins Azure AD synchronisiert und dort wird dann die User Mailbox in eine Shared Mailbox gewandelt. (Vorausgesetzt ist natürlich ein funktionierendes Azure AD Connect.)

Hi, Set-RemoteMailbox -Identity <Deine Mailbox> -Type Shared und das wars. Das heißt nur, dass die Mailbox von On-Premises nach Exchange online verschoben bzw. migriert wurde. Gruß Jan

Kaum macht man auch das richtig (und nimmt den richtigen Thumbprint), funktionierts..

Wenn "RTFM" eine Besonderheit ist, wäre das zu beachten. ;) (Wenn man dem Exchange "flott" ein selbst signiertes Zertifikat (New-SelfSignedCertificate) ohne Subject unterjubelt, muss man auch keinen Abend mit der Suche danach zu verbringen, warum der Exchange nicht richtig läuft.*) Ansonsten war das halt ne komplett neu aufgesetzte "plain" Testumgebung aus 1x DC, 1x ADFS und 1x Exchange. Alles Windows Server 2022: Schritt 1, 2 und 3) Use AD FS claims-based authentication with Outlook on the web | Microsoft Learn Dann weiter mit Enable Modern Auth in Exchange Server on-premises | Microsoft Learn Wenn man dann den mit "Important" (It is important here to make sure all client-facing URLs are covered, or it won't work. Include the trailing /'s and ensure the URLs start with https://.) gekennzeichnet Hinweis direkt verarbeitet, sollte es auch auf Anhieb funktionieren. Den WAP Part habe ich übersprungen Den "Optional MFA" habe ich auch vorerst übersprungen Jetzt kommt der Part 4 aus Use AD FS claims-based authentication with Outlook on the web | Microsoft Learn der nicht funktioniert. *) Ich könnte mir vorstellen hier schonmal den Hinweis gelesen und gegeben zu haben, dass man die Exchange Zertifikate ausschließlich über die Exchange CMDlets bzw. das ECP bearbeiten soll.

Also.. Windows 11 22H2 (Insider Build 25346) und Apps for Business im Current Release 2304 (16327.20214): Funktioniert wie beschrieben. Windows 10 22H2 (Build 19045) und Apps for Business im Current Release 2304 (16327.20214): Neues Profil anlegen geht nicht*; Vorhandenes Profil zeigt im Verbindungsstatus immerhin "Bearer" an. Outlook Web App und ECP mag noch nicht. Ich glaube da habe ich aber die Konfig versemmelt und muss das nochmal prüfen. *) Nachdem Outlook mit einem bestehenden Profil und Modern Auth verbunden war, lässt sich auch ein neues Profil erstellen. Ich muss wohl gleich nochmal das komplette Benutzerprofil abräumen und von 0 testen.

Hat denn mal jemand das letzte Update entfernt und erneut getestet oder einfach einen Support Case bei Microsoft aufgemacht?

Hi, das mit dem Update sollte sich doch "flott" prüfen lassen. Ansonsten wäre meine Antwort eine, die dir und/oder dem Kunden sicherlich nicht gefällt: Outlook ist mit einer der schlechtesten IMAP Clients, den man so finden kann. Gruß Jan

Wenn das läuft, kann ich gerne mit Win10 bzw. auch Server OS testen. "Problematisch" sehe ich derzeit für meine Testumgebung das Thema ADFS. Da hatte ich bislang recht wenig mit zu tun.

Hui, da wird doch glatt später / im Laufe der Woche nochmal eine Testumgebung mit Exchange hochgezogen: Enable Modern Auth in Exchange Server on-premises | Microsoft Learn Der fehlende Support für die anderen Clients ist allerdings auch wieder "ne Spaßbremse" bis "later this year".

Hi, versuche einmal den Telnet-Client bzw. irgendein Feature zu installieren und boote dann neu. Danach nochmal versuchen die NFS Rolle zu installieren. Gruß Jan

Was machst du denn ansonsten mit der EwsAllowList? Das Problem dürfte hier nicht der Teil-Sync ins AzureAD oder so sein, sondern einfach nur die zu restriktive EwsAllowList.

Hi, was liefert denn Get-OrganizationConfig | fl EWS* Get-CASMailbox "Key User" | fl EWS* Get-CASMailbox "kein Key User" | fl EWS* Vermutlich fehlt unter anderem Outlook in der EwsAllowList bzw. EwsAllowOutlook. Siehe ggfs.: Be careful with the EwsAllowList / EwsBlockList in Exchange OrganizationConfig (icewolf.ch) Gruß Jan

Hi, mir kam spontan die Idee Objekte mit einem Gleichheitszeichen und Komma zu erstellen, die dann auch blöderweise noch xyz,CN=Test oder abc,OU=Test heißen. Direkt was neues gelernt: Das AD escaped dann den DN. Aus der OU "TEST,OU=TEST" wird der DN "OU=TEST\,OU\=TEST,DC=ad,..." Vermutlich wird sich das aber nicht als Best Practice durchsetzen. ;) Gruß Jan

Die Firewall / das Mailgateway nimmt die Mails an und stellt diese dem Exchange zu. Wo ändert sich jetzt der Zugriff aus dem Internet in Richtung Exchange im Vergleich zum jetzigen Konstrukt? (Der Client Zugriff steht dann ja nochmal auf einem ganz anderen Blatt.) Wenn du "kommende Sicherheitslücken" betrachtest, dann leg besser den FI-Schalter um. ;)

Hi, da du ja jetzt "eh dran bist" wäre das vielleicht ein besserer Ansatz: Exchange Server: Umstellung von POP Abruf zu MX Record - Frankys Web Idealerweise ne passende Firewall / passendes Mailgateway davor oder eben in der Cloud betreiben lassen und schwups "Problem solved". Gruß Jan

Prerequisites for Azure AD Connect cloud sync in Azure AD - Microsoft Entra | Microsoft Learn Azure AD Connect: Prerequisites and hardware - Microsoft Entra | Microsoft Learn Oder an welcher Stelle suchst du welchen Support für Windows 2022? :)

Vielleicht fangen wir doch einfach mal vorne an: Wie lautet denn deine Projektarbeit bzw. was hast du da eingereicht und was ist genehmigt worden? Hier jetzt von einer Technik zur anderen zu hüpfen und immer wieder andere, neue Ideen zu bekommen, ist in meinen Augen nicht zielführend. Generell wäre das auch ein Thema für deinen Betrieb und den dortigen Ausbildungsbetreuer.

Hi, man kann einem externen Dienstleister auch durchaus vorschreiben, dass es keinen unbeaufsichtigten Zugriff gibt oder dass seine "unbeaufsichtigten" Sessions eben aufgezeichnet werden. Ansonsten - wie @NorbertFe schon sagt - baue passende Regeln und lasse nur das durch, was gebraucht wird. Gruß Jan