testperson

Hier müsstest du nochmal prüfen, wo du das Script konfiguriert hast. Wenn es als (Benutzer) Anmeldeskript läuft fehlen tatsächlich die Berechtigungen. Es muss zwingend als Startup-Skript laufen, damit es als "SYSTEM" ausgeführt wird.

Hi, liegt der Access Denied möglicherweise daran, dass das Computerkonto / die Computerkonten keinen Zugriff auf "\\Lab-FS\Reports$" haben? Ansonsten lässt sich das per PsExec (PsExec - Sysinternals | Microsoft Learn) auch im Systemkontext troubleshooten. \PsExec.exe -i -s powershell.exe whoami -> nt authority\system Confirm-SecureBootUEFI -> True Gruß Jan

Na toll. Nur wegen dir wird die Funktion jetzt eingestellt.

Hi, Released: May 2025 Exchange Server Hotfix Updates | Microsoft Community Hub Exchange Server 2019: Hotfix update for Exchange Server 2019 CU15 HU2: May 29, 2025 (KB5057651) - Microsoft-Support Exchange Server 2016: Hotfix update for Exchange Server 2016 CU23 HU16: May 29, 2025 (KB5057653) - Microsoft-Support Es gibt keine Security Fixes und es werden vier "Known Issues" behoben: Journal message returns "ConversionFailedException" - Microsoft Support Calendar print doesn't work in OWA from Exchange 2019 CU14 onwards - Microsoft Support Edge Transport service stops responding after installing November 2024 SU or Exchange 2019 CU15 - Microsoft Support StoreWorker fails because of BaseViewOperatorDefinition - Microsoft Support Viel Erfolg beim Patchen :) Jan

Hi, was findet sich denn in den Eventlogs der beiden Server? Application and Service Logs -> Directory Service Application and Service Logs -> DFS Replication (Application and Service Logs -> DNS Server) Gruß Jan

Hi, in diesem Fall dürfte ein "Team Folder" / "Shared Library" / oder wie es gerade heißt besser passen (Create a new shared library from OneDrive for work or school - Microsoft Support). Das taucht dann im Explorer separat unter "Tenant Name" auf und da drunter sind dann die Ordner. Gruß Jan

Vermutlich weil sich da vorher jemand drum gekümmert hat, oder?

Das "Problem" ist der "Schnellstart" bzw. der macht hier das, was er soll. (Ich würde den Schnellstart einfach deaktivieren, um genau das zu verhindern, was dir gerade passiert.)

Hi, werden die Clients auch wirklich neu gestartet oder werden diese heruntergefahren und am nächsten Tag wieder eingeschaltet (Stichwort "Fast Startup" / "Schnellstart")? Gruß Jan

Hi, hier müsstest du (vermutlich) konkreter werden, in welche Richtung du gerade gedanklich unterwegs bist bzw. um welche "Rechte" es dir geht. Generell sind die Domänen Benutzer Mitglieder der (lokalen Gruppe der) Benutzer der Memberserver / -clients und dürfen sich somit auch an diesen Systemen bspw. lokal Anmelden und haben dort "Benutzer Rechte". Gruß Jan

Und wenn du die Verlinkung der entsprechenden Policy einfach mal deaktivierst/löscht oder einen Test PC in eine OU ohne diese GPO verschiebst?

Hi, was wird in diesem GPO denn im Bereich der "Scripts" (Startup / Shutdown / Logon / Logoff) erledigt? Für die GPPs: GPS: Configure Drive Maps preference logging and tracing GPS: Configure Files preference logging and tracing GPS: Configure Folder Options preference logging and tracing GPS: Configure Registry preference logging and tracing Gruß Jan

Hi, ist das ein tcp-basiertes SSL VPN oder UDP? Generell zum Testen: GPS: Select RDP transport protocols ( -> Use only TCP) (Clientseitig könntest du das mit GPS: Turn Off UDP On Client lösen) GPS: Select network detection on the server ( -> Turn off Connect Time Detect and Continuous Network Detect) Ansonsten bist du derzeit nicht alleine: Schlagwort: RDPBorns IT- und Windows-Blog Gruß Jan

Bis zum März Update scheint das noch in Grenzen zu sein: Microsoft Update-Katalog Im April wächst das Win 11 Update recht stark: Microsoft Update-Katalog Im Mai legt dann Server 2025 nach und Win 11 wächst weiter: Microsoft Update-Katalog

Oh mein Gott Der erste Kaffee ist noch nicht verarbeitet. Aber ich bin mir sicher, diese genau Bestimmung der Zeit umschreibt den Release seitens MS bestens. :-D

Wenn ich mich an die ein und andere Session von Microsoft Server Summit erinnere, gibt es noch Dinge die im Server 2025 nachgereicht werden. Bspw. ist "Local KDC" / "IAKerb" (AFAIK) noch nicht funktional und "Accelerated Network" kommt auch noch in der dritten Hälfte des Jahres. Es gab aber meine ich noch weitere Features. Ob die aber soviel Code beinhalten -> Keine Ahnung. (Zu Copilot im Server 2025: https://www.mcseboard.de/topic/223476-neuerungen-für-active-directory-unter-server-vnext-und-weitere-vnext-neuigkeiten/page/4/#findComment-1455174)

Wenn es wirklich servergespeicherte Profile sein müssen, gibt es ja auch noch Software wie den Invanti User Environment Manager. Alternativ könnte man auch in Richtung VDI / Remote Desktop Services schauen und FSLogix nutzen. (Theoretisch könnte man FSLogix (ggfs. mit Cloud Cache) auch für Fat Clients evaluieren.)

Schuss ins Blaue -> Setze für einen Testclient einmal aus GPS: Disable AutoDiscover: excludelastknowngoodurl: 1 excludescplookup: 0 alles andere auf 1 Das self-signed Zertifikat ist auf den Clients in den "trusted Roots"?

Ergänzend: Also findet sich im Zertifikat nichts in Richtung "autodiscover.<primäre SMTP Domain1>.<tld>", "autodiscover.<primäre SMTP Domain2>.<tld>", ...? Habt ihr per GPO (oder anderweitig) das Autodiscover-Verhalten (GPS: Disable AutoDiscover) für Outlook angepasst? Proxy Server an den Clients mit unterschiedlichen Konfigs / AV o.ä. die HTTPS aufbricht? Wie steht es um Extended Protection? (Die Hälfte der User -> 1000, was in Summe dann ca. 2000 sind mit einem einzigen Exchange? Puh...)

Hi, welche URL wurde vorher genutzt, welche jetzt und was stand/steht alles im Zertifikat drin? Ist das nur dieser eine Exchange? Ist ein LoadBalancer / Reverse Proxy / irgendwas im Einsatz? Gruß Jan

LogOff Script exportiert die Registry Settings LogOn Script importiert die Registry Settings

Der CU Bereich der Registry lässt sich doch recht easy per LogOn Script, geplantem Task und/oder Group Policy Preferences Registry anpassen.

Oben schreibst du was anderes. Was wird denn in den Profilen _wirklich_ an Einstellungen / Konfiguration benötigt?

Hi, wir sind an der Stelle zwar seltenst Hybrid, konfigurieren das dann allerdings so: Installationswegweiser DATEVnet Mail-Connector für Microsoft 365 - DATEV Hilfe-Center (Punkt 5 zweiter Abschnitt "Anti-Spam-Schutz von Microsoft 365 ausschalten") Bzw. in PowerShell "gesprochen" New-TransportRule -Name "INBOUND: DATEVnet (193.27.49.248/30) SPAM Bypass" ` -Comments "Der Anti-Spam-Schutz wird hier bereits durch DATEVnet gewährleistet." ` -FromScope NotInOrganization ` -SenderIpRanges 193.27.49.248/30 ` -SetSCL -1 ` -Enabled:$true ` -Confirm:$false HTH Jan

Zack, schon wieder was gelernt. :) Den habe ich ja noch nie gesehen.