testperson

Hi, ich habe das ein, zwei Mal mit installiertem IIS gemacht. Es kommt aber _vermutlich_ stark drauf an, was der Webserver da tatsächlich macht bzw. welche Anwendung den Webserver nutzt. In meinem Fall waren das RDS Deployments. Ansonsten sehe ich selten wirkliche Vorteile im In-Place Upgrade. Gruß Jan

OT: Und Hetzner so: "Hold my beer".. ipconfig > Ethernet adapter Ethernet: > > Connection-specific DNS Suffix . : > IPv4 Address. . . . . . . . . . . : 10.0.0.5 > Subnet Mask . . . . . . . . . . . : 255.255.255.255 > Default Gateway . . . . . . . . . : 10.0.0.1 route print -4 > Persistent Routes: > Network Address Netmask Gateway Address Metric > 10.0.0.1 255.255.255.255 On-link 1 > 10.0.0.0 255.255.255.0 10.0.0.1 1 > 172.31.1.0 255.255.255.0 10.0.0.1 1 > 0.0.0.0 0.0.0.0 10.0.0.1 Default

Die Variante aus dem Shop möchte sich bei mir nicht installieren oder sie installiert auch nur die normale Desktopversion. Hier wäre die Publisher Rule im Audit-Mode, um die Minecraft EXE zu blocken: <AppLockerPolicy Version="1"> <RuleCollection Type="Appx" EnforcementMode="AuditOnly" /> <RuleCollection Type="Dll" EnforcementMode="NotConfigured" /> <RuleCollection Type="Exe" EnforcementMode="AuditOnly"> <FilePublisherRule Id="dea3a3da-cc65-468e-bd27-50911ff2f259" Name="MINECRAFT EDUCATION, from O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" Description="" UserOrGroupSid="S-1-1-0" Action="Deny"> <Conditions> <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="MINECRAFT EDUCATION" BinaryName="*"> <BinaryVersionRange LowSection="*" HighSection="*" /> </FilePublisherCondition> </Conditions> </FilePublisherRule> </RuleCollection> <RuleCollection Type="Msi" EnforcementMode="AuditOnly" /> <RuleCollection Type="Script" EnforcementMode="AuditOnly" /> </AppLockerPolicy> Es wäre vermutlich von Vorteil das alles erst einmal mit einem Testclient durchzugehen, zumal hier auch die Default Regeln fehlen. Ebenfalls sollte der Block nicht für EVERYONE (S-1-1-0) gelten.

Hi, könnte das in diese Richtung gehen / aus dieser Richtung kommen: Sucherverhalten von "dir" anpassen - Windows Server Forum - MCSEboard.de Gruß Jan

Hi, man kann Minecraft Education scheinbar aus dem Microsoft Store als App beziehen oder einen Installer downloaden. Was ist denn bei euch gemacht worden? Gruß Jan

Hi, das sollte sich z.B. mit Applocker lösen lassen. Gruß Jan

Ja, beispielsweise per VLAN.

Hi, Exchange Server: Umstellung von POP Abruf zu MX Record - Frankys Web HTH Jan

Hi, vielleicht ein anderer Blick auf das Thema: Ist ADFS wirklich the one and only way für ein SSOn am Webinterface der Telefonanlage? Um welche Telefonanlage handelt es sich und wo bzw. auf welcher Webserverbasis läuft das Webinterface? Gruß Jan

Hi, andere Idee: Nutze die "Chance" und segmentiere die Netze. Clients und bspw. der Backup Server im gleichen Netz halte ich per se für unglücklich. Gruß Jan

Hi, robocopy /? ... /COPY:copyflags :: Gibt an, welche Inhalte für Dateien kopiert werden sollen (der Standard ist "/COPY:DAT"). (Kopierflags : D=Daten, A=Attribute, T=Zeitstempel, X=Alternative Datenströme überspringen). (S=Sicherheit=NTFS-ACLs, O=Besitzerinformationen, U=Überwachungsinformationen). /SEC :: Kopiert Dateien mit Sicherheitsinformationen (entspricht "/COPY:DATS"). /COPYALL :: Kopiert alle Dateiinformationen (entspricht "/COPY:DATSOU"). ... Gruß Jan

Hi, Sofern es tatsächlich nur OWA und kein EAS bzw. etwas mit Basic Auth ist, dann könnt ihr doch - wie @mwiederkehr vorschlägt - dort einen zweiten Faktor integrieren. Wenn EAS dabei ist, wäre HMA ein Ansatz oder ihr müsst warten, bis die MA auch in reinen On-Premises Umgebungen da ist. Gruß Jan

Ich würde eher sagen, dass dann das Sizing nicht passt oder die (neuen) Anforderungen bedingen weitere Hardware. ;)

Hi, Hyper Threading würde ich nur in Szenarien abschalten, wo eine Anwendung / der Support das fordert. Die "Side-Channel-Angriffe" sind in einer Default Konfig ab Server 2019 eh eingedämmt, da dort der Core Scheduler aktiv ist: Understanding and using Hyper-V hypervisor scheduler types | Microsoft Learn Der TerraXaler ist aber auch eine Besonderheit. Der ist ja eine HCI Lösung auf Basis plain S2D oder ist es Data Core? Damals, als ich den TerraXaler kennengelernt habe, hatte er zumindest mal ein unschönes Design fürs HCI. Woran aber wohl gearbeitet wurde. Gruß Jan

Hi, Fehlercode: 0x20 In der Regel werden viele Fehlerereignisse mit dem Fehlercode "0x20" angezeigt, was einfach bedeutet, dass ein TGS-Ticket abgelaufen ist. Dies sind Informationsnachrichten und haben nur geringe bis gar keine Sicherheitsrelevanz. (4769(S, F) Ein Kerberos-Serviceticket wurde angefordert. (Windows 10) - Windows security | Microsoft Learn) Gruß Jan

Hi, "pauschal": virtualisierte Clients / Terminalserver: fest mit ca. 6 bis 8 GB als Startwert (hier muss eigentlich wenig justiert werden) Rest: Windows machen lassen Gruß Jan

Hi, noch einen Schuss ins Blaue: Hast du etwas am Default vSwitch verändert? Das mag der Client HyperV in Windows 10 / 11 überhaupt nicht. Gruß Jan

Mit PowerShell und etwas Eigeninitiative?

Hi, sollte sich im Eventlog unter der Event-Id 21 von Microsoft-Windows-TerminalServices-LocalSessionManager/Operational finden lassen. Gruß Jan

Hi, AFAIK ist hier Azure AD Connect und ein Sync aus einem On-Premises Active Directory (mit "Benutzer kann Kennwort nicht ändern" aktiv) die einzige Option. Gruß Jan

Ich lasse das Licht dann jetzt einfach an. Die Rettung steht zwar noch aus, aber das Problem* hat sich scheinbar durch "ein wenig" Geduld gelöst. *) Falls es jemanden interessiert: Die Remote Routing Domain in einem neuen M365 Tenant fehlte und hatte scheinbar gestern ihren freien Tag.

Ich werde dann vermutlich später das Licht ausmachen, nachdem ich das Vorbereiten auf die Rettung abgeschlossen habe...

Manche User sind vermutlich morgens einfach nur noch müde und "übersehen" das bzw. geht es bei denen etwas schneller. Bei den anderen eben nicht. Es ist jedenfalls kein Problem.

Hi, das ist normal bzw. wo ist denn das eigentliche(?) Problem? Gruß Jan

Hi, zwar nicht ganz mein Thema, aber evtl. wäre das was aus der Richtung "Netflow" / "IPFIX", was dann in einem Monitoring (für Grafana o.ä.) aufbereitet wird. Gruß Jan