-
Gesamte Inhalte
10.261 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von testperson
-
-
Schau dir dafür ggfs. die Antwort von @Squire an. Wenn du per Gruppe berechtigst und die Berechtigungen der User aufräumst, ist Automapping egal. (Es sei denn du pflegst die entsprechenden Attribute im AD händisch.)
-
Hi,
bei FullAccess benötigst du das Kennwort nicht, da der zugreifende User ja halt FullAccess hat.
Generell sollte bei Gruppenpostfächer niemand das Kennwort kennen/brauchen und der Account dahinter ist doch deaktiviert.
Gruß
Jan
-
Hi,
du hast die Lösung doch im Endeffekt schon: Nimm den Hostname / FQDN des Systems?
Gruß
Jan
-
Und dafür über 1000 Domänen oder wie viele waren es. :-D
-
Am 11.3.2025 um 15:49 schrieb PCS07:
Grundsätzlich funktioniert alles, auch OWA und ActiveSync über unsere Sophos.
Das vorausgesetzt, hast du eigentlich kein Problem, außer den Fehler im RCA? Puh, nunja, trink nen Kaffe oder Bier, oder, oder, oder. ;)
(Bei uns geht das auch durch die WAF der Sophos und ich habe keinen Fehler. Ich habe aber auch keinen Zugriff auf die Sophos und kann daher nicht sagen, was konfiguriert ist. ;))
-
Wenn du "Support device authentication using certificate" (GPS: Support device authentication using certificate) deaktivierst, wird wohl Ruhe sein. Im Default / "not configured":
ZitatIf you do not configure this policy setting, Automatic will be used.
Automatic: Device will attempt to authenticate using its certificate. If the DC does not support computer account authentication using certificates then authentication with password will be attempted.
Ansonsten auf den Clients und DCs:
Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Type: DWORD Name: LogLevel Value: 0x1 Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Type: DWORD Name: KerbDebuglevel Value: 0xffffffff Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc Type: DWORD Name: KdcDebugLevel Value: 0x1 Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc Type: DWORD Name: KdcExtraLogLevel Value: 0x1f
Dann wirst du vermutlich zum gleichen Zeitpunkt auf den DCs unter System die Event Id 29 / Kerberos-Key-Distribution-Center als Warnung haben sowie Event Id 19 / "Kerberos-Key-Distribution-Center" als Error.
ZitatEvent Id 29:
The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate.
Event Id 19:
This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate.
Auf dem Client wird dann der "Security-Kerberos" Error / Event Id 3 im System Event kommen und den Error Code 0x19 haben, der laut dem obigen Link - in meinen Augen - nur ein Hinweis ist "Additional pre-authentication required".
Warum Win 11 24H2 bei mir (in der Testumgebung) sind es ausschließlich Server 2025. Der Win 11 24H2 Testclient ist ruhig.
-
Hi,
aus 4771(F) Kerberos pre-authentication failed. - Windows 10 | Microsoft Learn:
Failure Code 10:
Zitat0x10
KDC_ERR_PADATA_TYPE_NOSUPP
KDC has no support for PADATA type (pre-authentication data) Smart card logon is being attempted and the proper certificate cannot be located. This problem can happen because the wrong certification authority (CA) is being queried or the proper CA cannot be contacted in order to get Domain Controller or Domain Controller Authentication certificates for the domain controller.
It can also happen when a domain controller doesn't have a certificate installed for smart cards (Domain Controller or Domain Controller Authentication templates).Pre-Authentication Type 16:
Zitat16
PA-PK-AS-REQ
Request sent to KDC in Smart Card authentication scenarios.Sind SmartCards / Zertifikate im Spiel?
Gruß
Jan
-
Hi,
besteht nicht die Möglichkeit den Domain Controller ebenfalls zum Cloudanbieter auszulagern? Ansonsten gibt es ja auch noch andere Cloudanbieter, wo man DCs betreiben kann. Vielleicht wäre es in diesem Fall auch eine Option "cloud only" unterwegs zu sein, und die Geräte Entra ID joined zu betreiben und per Intune zu verwalten. (Das würde halt nicht zu "An den Clients sollen möglichst keine Änderungen notwendig sein." passen.)
Gruß
Jan
-
Hi,
hast du die Extended Protection am Exchange 2016 konfiguriert (oder am Exchange 2019 deaktiviert)? Letzteres ist wohl die schlechtere Idee. ;)
Gruß
Jan
-
vor 13 Stunden schrieb -peet-:
Habe die Registry Einträge gesetzt bzw. das PowerShell Script angelegt, leider ist das Netzwerk nach dem Serverneustart immer noch auf "Privat".
Wurde das Script denn auch ausgeführt?
Was ist denn wenn nach dem Serverneustart das Script / der Code einmalig von Hand ausgeführt wird? Ändert sich das Profil dann?
-
vor 1 Minute schrieb NorbertFe:
Doch tut es leider. Hab ich letzte Woche auch gesehen. :)
Dann schätze ich mich glücklich, das noch nicht beobachtet zu haben und richte die Regkeys samt Task einfach erstmal vorsorglich überall ein. :)
-
Hi,
setze auf dem neuen DC einmal folgende Registry Keys:
New-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters" ` -Name "AlwaysExpectDomainController" ` -PropertyType Dword ` -Value 1 ` -Force New-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters" ` -Name "MaxNegativeCacheTtl" ` -PropertyType Dword ` -Value 0 ` -Force New-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" ` -Name "NegativeCachePeriod" ` -PropertyType Dword ` -Value 0 ` -Force
Und plane folgendes PowerShell Script beim Systemstart mit 30 Sekunden Verzögerung:
Get-NetConnectionProfile | Where-Object { $_.NetworkCategory -eq "Public" } | ForEach-Object { Disable-NetAdapterBinding -Name $_.InterfaceAlias ` -ComponentID ms_tcpip6 Start-Sleep -Seconds 2 Enable-NetAdapterBinding -Name $_.InterfaceAlias ` -ComponentID ms_tcpip6 }
Gruß
Jan
P.S.: Solange du den DC01 noch in Betrieb hast, _dürfte_ das eigentlich nicht auftreten. Generell würde ich auch immer zu zwei Domain Controller tendieren.
-
Hi,
dafür gibt es mittlerweile das "SaRa Enterprise": Microsoft Support and Recovery Assistant Enterprise version - Microsoft 365 | Microsoft Learn
Dort gibt es dann das Szenario "OfficeScrubScenario": Office uninstall with Microsoft Support and Recovery Assistant - Microsoft 365 | Microsoft Learn
(Alternativ funktioniert auch noch das alte OffScrub: Office-IT-Pro-Deployment-Scripts/Office-ProPlus-Deployment/Remove-PreviousOfficeInstalls at master · OfficeDev/Office-IT-Pro-Deployment-Scripts · GitHub)
Gruß
Jan
-
vor 26 Minuten schrieb vkf:
"
kaufen undbeschäftigen"!Beschäftigen "reicht":
- https://www.gp-pack.com/wp-content/uploads/2024/11/gp-pack.com-Telemetry_and_Privacy_Edition_Release.htm
- https://www.gp-pack.com/wp-content/uploads/2022/04/gp-pack.com-C_Browser_Chrome_Firefox_Edge_EdgeChromium.htm
- Microsoft Security Compliance Toolkit Guide | Microsoft Learn
- Group Policy Objects – DoD Cyber Exchange
-
1
-
Hi,
was hast du denn mit Startmenü und Kontextmenü vor?
Am 8.3.2025 um 15:00 schrieb Cryer:selbst zu solchen Dingen wie Startmenü linksseitig, klassisches Kontextmenü oder Mehr angeheftete Elemente
Würde ich bspw. jedem User selber überlassen.
Ansonsten kannst du die "Registry Hacks" doch per GPP Preferences Registry auf die Systeme bringen.
Gruß
Jan
-
Hi,
wäre es nicht zukunftssicherer (und einfacher) die benötigte Anzahl an USB Sticks zu kaufen? Ebenfalls sind USB Sticks heutzutage auch nicht so wahnsinnig teuer. :)
Gruß
Jan
-
Selbst wenn es bei dir definitiv am Update liegt, schau dir die GPO zur Netzwerkerkeenung einmal an. Siehe bspw. auch hier: Weiterhin RDP-Probleme unter Windows 11 (Feb. 2025)?Borns IT- und Windows-Blog
(Das liegt meiner Meinung nach aber nicht ausschließlich am Februar Patchday. Bei uns haben das verschiedene Kunden vereinzelt auch schon vorher so beobachtet.)
-
vor 17 Minuten schrieb Peterzz:
SPF-Check (Lookup - SPF-Record) bringt folgendes Ergebnis
Hast du beim Test denn auch das optionale Feld der "IP Adresse" mit angegeben? Dein Screenshot sieht zumindest so aus. Ansonsten prüfst du nur die Syntax vom Record.
Geh ggfs. mal auf https://aboutmy.email/ und sende eine E-Mail an die dort eingeblendete Adresse und warte ein paar Sekunden.
-
Ich würde eher auf Probleme mit RDP UDP und/oder ggfs. auch Network Detection tippen:
-
GPS: Select RDP transport protocols
- Ggfs. zum Testen auf dem Client: GPS: Turn Off UDP On Client
- GPS: Select network detection on the server
-
GPS: Select RDP transport protocols
-
vor 4 Stunden schrieb Peterzz:
Im SPF Record steht keine IP-Adresse sondern include:_spf.abcdomain.net include:_spf.kundenserver.de
Den Reverse Eintrag haben ich im IONOS DNS noch nicht gefunden. Muss wohl noch mal genauer schauen.
Wie sendet die UTM denn derzeit die Mails? Nutzt die IONOS als SmartHost / Relay? Ansonsten hättet ihr vermutlich jetzt schon Probleme beim Versand von Mails. In dem Fall kannst du dir dann theoretisch auch
vor 6 Stunden schrieb Peterzz:Wenn ich jetzt die alte IP-Adresse bei IONOS auf die neue IP-Adresse ändere, würde alles weiter funktionieren, wenn wir die neue IP-Adresse noch beim Office 365 Anti-Spam IP Delist Portal und bei der Telekom (E-Mail an toda@rx.t-online.de) „anmelden“, oder?
schenken.
Den rDNS findest du beim ISP. Hier bspw. wie es bei der Telekom läuft: Hilfe zur festen IP-Adresse | Telekom Geschäftskunden
-
Hi,
wie sieht denn der SPF Record aus und denkst du an den rDNS Eintrag der neuen IP? Ggfs. kann es nicht schaden, die TTL der Records ein paar Tage vorher zu reduzieren.
Gruß
Jan
-
Hi,
da wirken aber keine Policies, die immer zur Eingabe von Credentials auffordern o.ä.? Ansonsten gab es AFAIK Konstellationen, da musste die Credential Delegation erlaubt werden: GPS: Allow delegating default credentials
Gruß
Jan
-
Hi,
von wo nach wo bauen die Rechner denn die RDP Verbindung auf und wo hast du KB5051987 deinstalliert?
Generell kann ich das so nicht nachvollziehen.
Gruß
Jan
-
Hi,
die obere linke Ecke ist ja ebenfalls eine Option indem man (Azure Local samt) Azure Virtual Desktop mit Multisession W11 inkl. M365 Apps einsetzt. Alternativ ist das eben der "neue" Lifecycle. Entweder M365 Apps und grob alle 5 Jahre ein neues Terminalserver OS oder grob 10 Jahre ein Terminalserver OS und alle 5 Jahre ein neues Office.
Achso: In der Beziehung Dienstleister <-> Kunde würde ich definitiv auf ein supportetes Office setzen.
Gruß
Jan
Windows Essentials 2022 Remote Access für Nichtadmins
in Windows Server Forum
Geschrieben
Hi,
warum muss der User denn (nur) vorübergehend per Remote Desktop zugreifen und auf was soll zugegriffen werden? Auf dem DC werden wohl auch (hoffentlich) die Anwendungen fehlen.
Wäre es alternativ möglich, einen PC dafür bereitzustellen und auf diesen zuzugreifen? "Notfalls" halt einen PC dafür kaufen.
Gruß
Jan