testperson

Hi,

warum muss der User denn (nur) vorübergehend per Remote Desktop zugreifen und auf was soll zugegriffen werden? Auf dem DC werden wohl auch (hoffentlich) die Anwendungen fehlen.

Wäre es alternativ möglich, einen PC dafür bereitzustellen und auf diesen zuzugreifen? "Notfalls" halt einen PC dafür kaufen.

Gruß

Jan

Schau dir dafür ggfs. die Antwort von @Squire an. Wenn du per Gruppe berechtigst und die Berechtigungen der User aufräumst, ist Automapping egal. (Es sei denn du pflegst die entsprechenden Attribute im AD händisch.)

Hi,

bei FullAccess benötigst du das Kennwort nicht, da der zugreifende User ja halt FullAccess hat.  Generell sollte bei Gruppenpostfächer niemand das Kennwort kennen/brauchen und der Account dahinter ist doch deaktiviert.

Gruß

Jan

Hi,

du hast die Lösung doch im Endeffekt schon: Nimm den Hostname / FQDN des Systems?

Gruß

Jan

Und dafür über 1000 Domänen oder wie viele waren es. :-D

Am 11.3.2025 um 15:49 schrieb PCS07:

Grundsätzlich funktioniert alles, auch OWA und ActiveSync über unsere Sophos.

Das vorausgesetzt, hast du eigentlich kein Problem, außer den Fehler im RCA? Puh, nunja, trink nen Kaffe oder Bier, oder, oder, oder. ;)

(Bei uns geht das auch durch die WAF der Sophos und ich habe keinen Fehler. Ich habe aber auch keinen Zugriff auf die Sophos und kann daher nicht sagen, was konfiguriert ist. ;))

Wenn du "Support device authentication using certificate" (GPS: Support device authentication using certificate) deaktivierst, wird wohl Ruhe sein. Im Default / "not configured":

Zitat

If you do not configure this policy setting, Automatic will be used.

 

Automatic: Device will attempt to authenticate using its certificate. If the DC does not support computer account authentication using certificates then authentication with password will be attempted.

Ansonsten auf den Clients und DCs:

Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Type: DWORD
Name: LogLevel
Value: 0x1

Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Type: DWORD
Name: KerbDebuglevel
Value: 0xffffffff

Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Type: DWORD
Name: KdcDebugLevel
Value: 0x1

Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Type: DWORD
Name: KdcExtraLogLevel
Value: 0x1f

Dann wirst du vermutlich zum gleichen Zeitpunkt auf den DCs unter System die Event Id 29 / Kerberos-Key-Distribution-Center als Warnung haben sowie Event Id 19 / "Kerberos-Key-Distribution-Center" als Error.

Zitat

Event Id 29:

The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate.

 

Event Id 19:

This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate.

Auf dem Client wird dann der "Security-Kerberos" Error / Event Id 3 im System Event kommen und den Error Code 0x19 haben, der laut dem obigen Link - in meinen Augen - nur ein Hinweis ist "Additional pre-authentication required".

Warum Win 11 24H2 bei mir (in der Testumgebung) sind es ausschließlich Server 2025. Der Win 11 24H2 Testclient ist ruhig.

Hi,

aus 4771(F) Kerberos pre-authentication failed. - Windows 10 | Microsoft Learn:

Failure Code 10: 

Zitat

0x10

KDC_ERR_PADATA_TYPE_NOSUPP

KDC has no support for PADATA type (pre-authentication data)    Smart card logon is being attempted and the proper certificate cannot be located. This problem can happen because the wrong certification authority (CA) is being queried or the proper CA cannot be contacted in order to get Domain Controller or Domain Controller Authentication certificates for the domain controller.
It can also happen when a domain controller doesn't have a certificate installed for smart cards (Domain Controller or Domain Controller Authentication templates).

Pre-Authentication Type 16:

Zitat

16

PA-PK-AS-REQ

Request sent to KDC in Smart Card authentication scenarios.

Sind SmartCards / Zertifikate im Spiel?

Gruß

Jan

Hi,

besteht nicht die Möglichkeit den Domain Controller ebenfalls zum Cloudanbieter auszulagern? Ansonsten gibt es ja auch noch andere Cloudanbieter, wo man DCs betreiben kann. Vielleicht wäre es in diesem Fall auch eine Option "cloud only" unterwegs zu sein, und die Geräte Entra ID joined zu betreiben und per Intune zu verwalten. (Das würde halt nicht zu "An den Clients sollen möglichst keine Änderungen notwendig sein." passen.)

Gruß

Jan

Hi,

hast du die Extended Protection am Exchange 2016 konfiguriert (oder am Exchange 2019 deaktiviert)? Letzteres ist wohl die schlechtere Idee. ;)

Gruß

Jan

vor 13 Stunden schrieb -peet-:

Habe die Registry Einträge gesetzt bzw. das PowerShell Script angelegt, leider ist das Netzwerk nach dem Serverneustart immer noch auf "Privat".

Wurde das Script denn auch ausgeführt?

Was ist denn wenn nach dem Serverneustart das Script / der Code einmalig von Hand ausgeführt wird? Ändert sich das Profil dann?

vor 1 Minute schrieb NorbertFe:

Doch tut es leider. Hab ich letzte Woche auch gesehen. :)

Dann schätze ich mich glücklich, das noch nicht beobachtet zu haben und richte die Regkeys samt Task einfach erstmal vorsorglich überall ein. :)

Hi,

setze auf dem neuen DC einmal folgende Registry Keys:

New-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters" `
    -Name "AlwaysExpectDomainController" `
    -PropertyType Dword `
    -Value 1 `
    -Force
 
New-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters" `
    -Name "MaxNegativeCacheTtl" `
    -PropertyType Dword `
    -Value 0 `
    -Force
 
New-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" `
    -Name "NegativeCachePeriod" `
    -PropertyType Dword `
    -Value 0 `
    -Force

Und plane folgendes PowerShell Script beim Systemstart mit 30 Sekunden Verzögerung:

Get-NetConnectionProfile |
    Where-Object { $_.NetworkCategory -eq "Public" } |
        ForEach-Object {
            Disable-NetAdapterBinding -Name $_.InterfaceAlias `
                -ComponentID ms_tcpip6
            Start-Sleep -Seconds 2
            Enable-NetAdapterBinding -Name $_.InterfaceAlias `
                -ComponentID ms_tcpip6
        }

Gruß

Jan

P.S.: Solange du den DC01 noch in Betrieb hast, _dürfte_ das eigentlich nicht auftreten. Generell würde ich auch immer zu zwei Domain Controller tendieren.

Hi,

dafür gibt es mittlerweile das "SaRa Enterprise": Microsoft Support and Recovery Assistant Enterprise version - Microsoft 365 | Microsoft Learn

Dort gibt es dann das Szenario "OfficeScrubScenario": Office uninstall with Microsoft Support and Recovery Assistant - Microsoft 365 | Microsoft Learn

(Alternativ funktioniert auch noch das alte OffScrub: Office-IT-Pro-Deployment-Scripts/Office-ProPlus-Deployment/Remove-PreviousOfficeInstalls at master · OfficeDev/Office-IT-Pro-Deployment-Scripts · GitHub)

Gruß

Jan

vor 26 Minuten schrieb vkf:

"kaufen und beschäftigen"!

Beschäftigen "reicht":

• https://www.gp-pack.com/wp-content/uploads/2024/11/gp-pack.com-Telemetry_and_Privacy_Edition_Release.htm
• https://www.gp-pack.com/wp-content/uploads/2022/04/gp-pack.com-C_Browser_Chrome_Firefox_Edge_EdgeChromium.htm
• Microsoft Security Compliance Toolkit Guide | Microsoft Learn
• Group Policy Objects – DoD Cyber Exchange

Hi,

was hast du denn mit Startmenü und Kontextmenü vor?

Am 8.3.2025 um 15:00 schrieb Cryer:

selbst zu solchen Dingen wie Startmenü linksseitig, klassisches Kontextmenü oder Mehr angeheftete Elemente

Würde ich bspw. jedem User selber überlassen.

Ansonsten kannst du die "Registry Hacks" doch per GPP Preferences Registry auf die Systeme bringen.

Gruß

Jan

Hi,

wäre es nicht zukunftssicherer (und einfacher) die benötigte Anzahl an USB Sticks zu kaufen? Ebenfalls sind USB Sticks heutzutage auch nicht so wahnsinnig teuer. :)

Gruß

Jan

Selbst wenn es bei dir definitiv am Update liegt, schau dir die GPO zur Netzwerkerkeenung einmal an. Siehe bspw. auch hier: Weiterhin RDP-Probleme unter Windows 11 (Feb. 2025)?Borns IT- und Windows-Blog

(Das liegt meiner Meinung nach aber nicht ausschließlich am Februar Patchday. Bei uns haben das verschiedene Kunden vereinzelt auch schon vorher so beobachtet.)

vor 17 Minuten schrieb Peterzz:

SPF-Check (Lookup - SPF-Record) bringt folgendes Ergebnis

Hast du beim Test denn auch das optionale Feld der "IP Adresse" mit angegeben? Dein Screenshot sieht zumindest so aus. Ansonsten prüfst du nur die Syntax vom Record.

Geh ggfs. mal auf https://aboutmy.email/ und sende eine E-Mail an die dort eingeblendete Adresse und warte ein paar Sekunden.

Ich würde eher auf Probleme mit RDP UDP und/oder ggfs. auch Network Detection tippen:

• GPS: Select RDP transport protocols
  • Ggfs. zum Testen auf dem Client: GPS: Turn Off UDP On Client
• GPS: Select network detection on the server

vor 4 Stunden schrieb Peterzz:

Im SPF Record steht keine IP-Adresse sondern include:_spf.abcdomain.net include:_spf.kundenserver.de

Den Reverse Eintrag haben ich im IONOS DNS noch nicht gefunden. Muss wohl noch mal genauer schauen.

Wie sendet die UTM denn derzeit die Mails? Nutzt die IONOS als SmartHost / Relay? Ansonsten hättet ihr vermutlich jetzt schon Probleme beim Versand von Mails. In dem Fall kannst du dir dann theoretisch auch

vor 6 Stunden schrieb Peterzz:

Wenn ich jetzt die alte IP-Adresse bei IONOS auf die neue IP-Adresse ändere, würde alles weiter funktionieren, wenn wir die neue IP-Adresse noch beim Office 365 Anti-Spam IP Delist Portal  und bei der Telekom (E-Mail an toda@rx.t-online.de) „anmelden“, oder?

schenken.

Den rDNS findest du beim ISP. Hier bspw. wie es bei der Telekom läuft: Hilfe zur festen IP-Adresse | Telekom Geschäftskunden

Hi,

wie sieht denn der SPF Record aus und denkst du an den rDNS Eintrag der neuen IP? Ggfs. kann es nicht schaden, die TTL der Records ein paar Tage vorher zu reduzieren.

Gruß

Jan

Hi,

da wirken aber keine Policies, die immer zur Eingabe von Credentials auffordern o.ä.? Ansonsten gab es AFAIK Konstellationen, da musste die Credential Delegation erlaubt werden: GPS: Allow delegating default credentials

Gruß

Jan

Hi,

von wo nach wo bauen die Rechner denn die RDP Verbindung auf und wo hast du KB5051987 deinstalliert?

Generell kann ich das so nicht nachvollziehen.

Gruß

Jan

Hi,

die obere linke Ecke ist ja ebenfalls eine Option indem man (Azure Local samt) Azure Virtual Desktop mit Multisession W11 inkl. M365 Apps einsetzt. Alternativ ist das eben der "neue" Lifecycle. Entweder M365 Apps und grob alle 5 Jahre ein neues Terminalserver OS oder grob 10 Jahre ein Terminalserver OS und alle 5 Jahre ein neues Office.

Achso: In der Beziehung Dienstleister <-> Kunde würde ich definitiv auf ein supportetes Office setzen.

Gruß

Jan