Jump to content

testperson

Expert Member
  • Gesamte Inhalte

    10.261
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von testperson

  1. Am 11.3.2025 um 15:49 schrieb PCS07:

    Grundsätzlich funktioniert alles, auch OWA und ActiveSync über unsere Sophos.

    Das vorausgesetzt, hast du eigentlich kein Problem, außer den Fehler im RCA? Puh, nunja, trink nen Kaffe oder Bier, oder, oder, oder. ;)

     

    (Bei uns geht das auch durch die WAF der Sophos und ich habe keinen Fehler. Ich habe aber auch keinen Zugriff auf die Sophos und kann daher nicht sagen, was konfiguriert ist. ;))

  2. Wenn du "Support device authentication using certificate" (GPS: Support device authentication using certificate) deaktivierst, wird wohl Ruhe sein. Im Default / "not configured":

     

    Zitat

    If you do not configure this policy setting, Automatic will be used.

     

    Automatic: Device will attempt to authenticate using its certificate. If the DC does not support computer account authentication using certificates then authentication with password will be attempted.

     

    Ansonsten auf den Clients und DCs:

     

    Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Type: DWORD
    Name: LogLevel
    Value: 0x1
    
    Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Type: DWORD
    Name: KerbDebuglevel
    Value: 0xffffffff
    
    Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
    Type: DWORD
    Name: KdcDebugLevel
    Value: 0x1
    
    Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
    Type: DWORD
    Name: KdcExtraLogLevel
    Value: 0x1f

     

    Dann wirst du vermutlich zum gleichen Zeitpunkt auf den DCs unter System die Event Id 29 / Kerberos-Key-Distribution-Center als Warnung haben sowie Event Id 19 / "Kerberos-Key-Distribution-Center" als Error.

     

    Zitat

    Event Id 29:

    The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate.

     

    Event Id 19:

    This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate.

     

    Auf dem Client wird dann der "Security-Kerberos" Error / Event Id 3 im System Event kommen und den Error Code 0x19 haben, der laut dem obigen Link - in meinen Augen - nur ein Hinweis ist "Additional pre-authentication required".

     

    Warum Win 11 24H2 bei mir (in der Testumgebung) sind es ausschließlich Server 2025. Der Win 11 24H2 Testclient ist ruhig.

  3. Hi,

     

    aus 4771(F) Kerberos pre-authentication failed. - Windows 10 | Microsoft Learn:

     

    Failure Code 10: 

    Zitat

    0x10


    KDC_ERR_PADATA_TYPE_NOSUPP


    KDC has no support for PADATA type (pre-authentication data)    Smart card logon is being attempted and the proper certificate cannot be located. This problem can happen because the wrong certification authority (CA) is being queried or the proper CA cannot be contacted in order to get Domain Controller or Domain Controller Authentication certificates for the domain controller.
    It can also happen when a domain controller doesn't have a certificate installed for smart cards (Domain Controller or Domain Controller Authentication templates).

     

    Pre-Authentication Type 16:

    Zitat

    16


    PA-PK-AS-REQ


    Request sent to KDC in Smart Card authentication scenarios.

     

    Sind SmartCards / Zertifikate im Spiel?

     

    Gruß

    Jan

  4. Hi,

     

    besteht nicht die Möglichkeit den Domain Controller ebenfalls zum Cloudanbieter auszulagern? Ansonsten gibt es ja auch noch andere Cloudanbieter, wo man DCs betreiben kann. Vielleicht wäre es in diesem Fall auch eine Option "cloud only" unterwegs zu sein, und die Geräte Entra ID joined zu betreiben und per Intune zu verwalten. (Das würde halt nicht zu "An den Clients sollen möglichst keine Änderungen notwendig sein." passen.)

     

    Gruß

    Jan

  5. Hi,

     

    setze auf dem neuen DC einmal folgende Registry Keys:

    New-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters" `
        -Name "AlwaysExpectDomainController" `
        -PropertyType Dword `
        -Value 1 `
        -Force
     
    New-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters" `
        -Name "MaxNegativeCacheTtl" `
        -PropertyType Dword `
        -Value 0 `
        -Force
     
    New-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" `
        -Name "NegativeCachePeriod" `
        -PropertyType Dword `
        -Value 0 `
        -Force

     

    Und plane folgendes PowerShell Script beim Systemstart mit 30 Sekunden Verzögerung:

    Get-NetConnectionProfile |
        Where-Object { $_.NetworkCategory -eq "Public" } |
            ForEach-Object {
                Disable-NetAdapterBinding -Name $_.InterfaceAlias `
                    -ComponentID ms_tcpip6
                Start-Sleep -Seconds 2
                Enable-NetAdapterBinding -Name $_.InterfaceAlias `
                    -ComponentID ms_tcpip6
            }

     

    Gruß

    Jan

     

    P.S.: Solange du den DC01 noch in Betrieb hast, _dürfte_ das eigentlich nicht auftreten. Generell würde ich auch immer zu zwei Domain Controller tendieren.

  6. Hi,

     

    was hast du denn mit Startmenü und Kontextmenü vor?

    Am 8.3.2025 um 15:00 schrieb Cryer:

    selbst zu solchen Dingen wie Startmenü linksseitig, klassisches Kontextmenü oder Mehr angeheftete Elemente

    Würde ich bspw. jedem User selber überlassen.

     

    Ansonsten kannst du die "Registry Hacks" doch per GPP Preferences Registry auf die Systeme bringen.

     

    Gruß

    Jan

  7. vor 4 Stunden schrieb Peterzz:

    Im SPF Record steht keine IP-Adresse sondern include:_spf.abcdomain.net include:_spf.kundenserver.de

    Den Reverse Eintrag haben ich im IONOS DNS noch nicht gefunden. Muss wohl noch mal genauer schauen.

     

    Wie sendet die UTM denn derzeit die Mails? Nutzt die IONOS als SmartHost / Relay? Ansonsten hättet ihr vermutlich jetzt schon Probleme beim Versand von Mails. In dem Fall kannst du dir dann theoretisch auch

    vor 6 Stunden schrieb Peterzz:

    Wenn ich jetzt die alte IP-Adresse bei IONOS auf die neue IP-Adresse ändere, würde alles weiter funktionieren, wenn wir die neue IP-Adresse noch beim Office 365 Anti-Spam IP Delist Portal  und bei der Telekom (E-Mail an toda@rx.t-online.de) „anmelden“, oder?

    schenken.

     

    Den rDNS findest du beim ISP. Hier bspw. wie es bei der Telekom läuft: Hilfe zur festen IP-Adresse | Telekom Geschäftskunden

     

  8. Hi,

     

    die obere linke Ecke ist ja ebenfalls eine Option indem man (Azure Local samt) Azure Virtual Desktop mit Multisession W11 inkl. M365 Apps einsetzt. Alternativ ist das eben der "neue" Lifecycle. Entweder M365 Apps und grob alle 5 Jahre ein neues Terminalserver OS oder grob 10 Jahre ein Terminalserver OS und alle 5 Jahre ein neues Office.

     

    Achso: In der Beziehung Dienstleister <-> Kunde würde ich definitiv auf ein supportetes Office setzen.

     

    Gruß

    Jan

×
×
  • Neu erstellen...