testperson

Hi, hier wäre der HTML Output von "gpresult /h gpo.html" interessant und evtl. ein Screenshot der die verlinkten GPOs der "VDA OU" zeigt. Hier würde ich "pauschal" immer mit weniger starten (3 Tage bis 2 Wochen) bzw. es davon abhängig machen, wie groß die OSTs letztlich werden und welche Profillösung wie zum Einsatz kommt. Gruß Jan

Von welchem Hersteller ist denn "der Server"? Oder ist das ein "Teller bunte Knete"?

... und im Worst-Case per Telefon aktivieren.

In der Regel fällt das System leider nicht genau dann aus, wenn es deinem Bekannten grade passt. Und ein Tag Ausfall mit den bisher "bekannten Details" ist in meinen Augen mehr als sportlich.

Hi, auch wenn es hart klingt: Tu deinem Bekannten und auch dir einen Gefallen und lasst euch von jemandem Beraten, der sowas beruflich macht! Wie stellt ihr "als nicht Profis" es euch denn vor, wenn es plötzlich Probleme gibt und keiner mehr weiterweiß? Ansonsten fängst du viel zu weit "hinten" an: Welche Anforderungen hat dein Bekannter denn an seine neue IT Umgebung? Vermutlich wären die zu klärenden Fragen: Wie lange darf es dauern bis alles wieder läuft? Wie viel Datenverlust ist akzeptabel? Gruß Jan

Innerlich habe ich beim Schreiben geweint. Wir wären dieses Jahr über Ostern da gewesen und für Ende des Jahres haben wir dann gar nicht erst versucht zu buchen.. Generell habe ich das (für mich derzeitige verzichtbare Luxus-Problem-) Thema (Fern) Reisen erstmal abgehakt bis ein Impfstoff kommt.

Hi, hier dürfte es am fehlenden TLS1.2 "Support" scheitern: https://devblogs.microsoft.com/nuget/deprecating-tls-1-0-and-1-1-on-nuget-org/ Gruß Jan

"Ganz normale RDP Datei" erstellen und mit einen Editor öffnen: use redirection server name:i:0 -> use redirection server name:i:1 loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.<Name der Sammlung>“ hinzufügen Alternativ kannst du auch (testweise) das Gateway aus der Bereitstellung entfernen. Der o.g. Test macht halt erstmal keine Änderung an der Bereitstellung.

Lol. Im Artikel gar nicht, wie ich grade sehe. Allerdings hat mein WSUS gestern das Update synchronisiert:

Hi, gibt es die Probleme auch, wenn du dir eine RDP Verbindungsdatei erstellst und in dieser explizit das "Keinen Remotedesktop-Gatewayserver verwenden" konfigurierst? Gruß Jan

Es passt zwar nicht ganz hier rein, aber der Edge kann jetzt für Windows 10 (1803 - 2004) auch initial per WSUS bereitgestellt werden: https://support.microsoft.com/en-us/help/4584641/update-in-wsus-for-the-new-microsoft-edge https://support.microsoft.com/en-us/help/4584642/update-in-wsus-for-the-new-microsoft-edge Ich muss mich dann wohl noch ein wenig gedulden, bis die Server OS dran sind.

Ihr arbeitet in der IT und habt Büros mit Fenster(n) (und Vorhänge(n))? Dafür gibt es doch die 5 O'Clock Somewhere Bar: https://www.margaritavillelasvegas.com/casino/5-o-clock-somewhere-bar

Hi, der erste Teil dieses Beitrags ist irgendwie "wirr". Da wird von Benutzer zu Computer und zurück gewechselt. Der zweite Part, ist im Endeffekt genau das, was hier auch der Tenor ist: Kann man machen, muss man nicht bzw. hat unvorteilhafte/unschöne Einschränkungen. Nein, aufgrund der Nachteile. ;) Als Ansatz: Installiere doch "einfach" auf dem Blech Hyper-V und nutze die Möglichkeit, dass du mit der Lizenz berechtigt bist zwei VMs (1x DC / 1x RDS) zu betreiben. Die Alternative von zahni (https://www.mcseboard.de/topic/218704-windows-terminalserver-2019-ohne-ad/?do=findComment&comment=1407308) wäre auch eine Überlegung. Dabei würde ich aber dann auf ein Client OS, also Windows 10, zurückgreifen. Evtl. gibts "die Anwendung" ja auch als Cloudlösung. Gruß Jan

Hi, gestern Abend hat Microsoft im MSRC Blog ein "To-Do" veröffentlicht: https://msrc-blog.microsoft.com/2020/10/29/attacks-exploiting-netlogon-vulnerability-cve-2020-1472/ Der Im ersten Post verlinkte KB (https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc) wurde ebenfalls mit dem "To-Do" geupdated. Gruß Jan

Das wäre meine Vermutung gewesen.

Hi, findet sich etwas im Eventlog auf dem Exchange? Wie wird Active-Sync veröffentlicht? Der Exchange, das OS und der Client sind aktuell gepatched? Gruß Jan

Hi, wurde die WSUS Website im IIS evtl. auf die alte IP Adresse gebunden und noch nicht auf die neue geändert? Gruß Jan

IIS Crypto erstellt AFAIK vorher ein Backup und die anderen Werte kannst du dir vorher in der Registry angucken (und sichern) bzw. falls benötigt nachher mit "0" setzen. Wenn es nach dieser Maßnahme zu Problemen kommt, liegt das i.d.R. an "veralteten" Clients, die mit den "SChannel Best Practices" nicht klar kommen. Diese Clients lassen sich dann meistens aber auch entsprechend mit IIS Crypto "gradeziehen" bzw. müssen dort eben die passenden SSL/TLS Protokolle samt Ciphern forciert werden. Was läuft denn auf den betroffenen Server. Evtl. hat das auch gar keine Auswirkung auf den Server Workload an sich.

Dann tippe ich auf: https://www.mcseboard.de/topic/218927-windows-server-2012-r2-update-probleme/?do=findComment&comment=1409523

Hi, ich würde auf einen Proxy und ggfs. falsche/fehlende Ausnahmen tippen. Auf welchem OS läuft der WSUS? Was passiert wenn du "https://<WSUS FQDN>:<SSL Port>/selfupdate/wuident.cab" aufrufst? Ansonsten zu "80244022" und "0x801901F7" # for hex 0x80244022 / decimal -2145107934 WU_E_PT_HTTP_STATUS_SERVICE_UNAVAIL wuerror.h # Same as HTTP status 503 - the service is temporarily # overloaded. # for hex 0x80244022 / decimal -2145107934 BG_E_HTTP_ERROR_503 bitsmsg.h HTTP_E_STATUS_SERVICE_UNAVAIL winerror.h # Service unavailable (503). Und zu "0x8024500c" # for hex 0x8024500c / decimal -2145103860 WU_E_REDIRECTOR_CONNECT_POLICY wuerror.h # Connections to the redirector server are disallowed by # managed policy. Gruß Jan

Hi, wurde mir grade von einem Kollegen mitgeteilt: https://www.microsoft.com/en-us/microsoft-365/blog/2020/09/08/3-deals-meeting-calling-experiences-microsoft-teams/ Bzw.: Viel Spaß Jan

Das sollte meines Erachtens genau nicht notwendig sein, da die Ordnerumleitung eine Benutzereinstellung ist. Das solltest du evtl. mit Sunnys Methode einmal verifizieren. Da würde ich nur eine eigene TestOU für den Client und eine eigene TestOU für den User erstellen und entsprechend testen.

(https://www.messageconcept.com/en/solutions/message-routing/multi-tenancy/) Ich kenne das Tool allerdings nur "aus der Theorie". Für die Praxis gibts ja die einmonatige Testversion. :)

Multi-Tenant / Hosting, sofern es sich hier darum handeln sollte. Für mich deutet "unterschiedliche Kunden" darauf hin. Ansonsten könnte es anstelle "Verschlüsselung" am Gateway, je nachdem auch noch für eine Archivierung nötig sein "so zu routen". Natürlich kann man das auch anders lösen. Aber dafür müsste man dann die konkreten Anforderungen kennen (und nicht nur die vermeintliche Lösung ). Bei einem Verschlüsselungsgateway würde ich aber auch davon ausgehen, dass die Mail ans Gateway geht, verschlüsselt wird, entschlüsselt wird und wieder im Exchange landet. Es sei denn Kunde A nutzt den "Verschlüsselungsservice" und Kunde B nicht.

Hi, mit Boardmitteln AFAIK nein. Ggfs. könnte das der "Address Book Policy Routing Agent". Ansonsten ist das aber mit 3rd-Party machbar. Bspw.: https://www.messageconcept.com/en/products/exsbr/ Gruß Jan