testperson

Hi,
 
generell "supported" Microsoft die M365 Apps auf Windows Server 2016 / 2019 über Oktober 2025 hinaus. Das wichtigste dürfte sich allerdings in der Office Kompatibilitätsmatrix (Microsoft Office and Windows configuration support - Microsoft Lifecycle | Microsoft Learn) ganz unten finden:
 
 
Wenn das bei euch ein vertretbares Risiko darstellt und eure "restlichen Applikationen" / deren Hersteller hier kein Veto haben, hast du mit Windows Server 2019 und den M365 Apps bis zum 10.10.2028 "Support".
 
Gruß
Jan

Check einmal die lokalen Gruppen "FSLogix ODFC/Profile Include/Exclude List".
Welche FSLogix Version hast du installiert? Die 25.02 war bspw. ziemliche Grütze.
Kommen die GPO Settings in der Registry (HKEY_LOCAL_MACHINE\SOFTWARE\FSLogix\Profiles) an?

Hi,
 
welche Features versuchst du denn da gleichzeitig(?) zu installieren? Wie gehst du bei der Installation der Remote Desktop Services vor?
 
Am Ende des Tages dürfte es in deinem Fall reichen, einfach nur die Rolle "Remote Desktop Session Host" und "Remote Desktop Licensing" zu installieren. Du wirst vermutlich weder Broker, WebAccess noch Gateway benötigen.
 
Gruß
Jan

Hi,
 
da hat das Internet auch vollkommen Recht.
 
 
Im M365 Business Standard (Microsoft 365 Business Standard | M365 Maps) ist weder Entra ID P1 noch Intune inkludiert. Da wirst du entweder M365 Business Premium (Microsoft 365 Business Premium | M365 Maps) brauchen oder eben einen anderen Plan / andere Pläne, die Intune und Entra ID P1 beinhalten.
 
Gruß
Jan

Hi,
 
wir sind an der Stelle zwar seltenst Hybrid, konfigurieren das dann allerdings so: Installationswegweiser DATEVnet Mail-Connector für Microsoft 365 - DATEV Hilfe-Center
(Punkt 5 zweiter Abschnitt "Anti-Spam-Schutz von Microsoft 365 ausschalten")
 
Bzw. in PowerShell "gesprochen"
New-TransportRule -Name "INBOUND: DATEVnet (193.27.49.248/30) SPAM Bypass" ` -Comments "Der Anti-Spam-Schutz wird hier bereits durch DATEVnet gewährleistet." ` -FromScope NotInOrganization ` -SenderIpRanges 193.27.49.248/30 ` -SetSCL -1 ` -Enabled:$true ` -Confirm:$false  
HTH
Jan

Hi,
 
was soll denn deine CA später so machen? Aus dem Screenshot gehe ich davon aus, es geht (vorerst?) um Zertifikate für eine RDS Bereitstellung? Da wäre es wohl am sinnvollsten auf eine eigene PKI zu verzichten und öffentliche Zertifikate oder Let's Encrypt zu nutzen. Nur dafür und evtl. zwei, drei weitere Zertifikate würde ich mir echt ungern eine eigene PKI antun.
 
Gruß
Jan

Hi,
 
in der Theorie sollte der Softmatch über den UPN machbar sein, wenn du im Tenant vorher den Dirsync abschaltest. Da in meinen ersten Tests der Softmatch nie wollte, mache ich seid dem immer den Hardmatch über die "immutableId". Den Wert der "immutableId" der online User kannst du allerdings auch nur ändern, wenn der Dirsync abgeschaltet ist bzw. wenn du im alten AD den User aus dem Syncscope nimmst und diesen online somit löscht. Nach dem Widerherstellen aus dem Papierkorb wäre das dann ein "online only User" und du könntest die "immutableId" setzen.
 
In grob:
# Im on-premises AD: $ObjectGuId = (Get-ADUser -Identity "username").ObjectGUID $immutableID = [System.Convert]::ToBase64String($ObjectGuId.ToByteArray()) $immutableID # Entra Id: Set-AzureADUser -ObjectId "<User>@<Domain>.<Tld>" -ImmutableId "$immutableID"  
HTH
Jan

Hi,
 
hast du die Einstellungen im Druckertreiber unter "Allgemein" -> "Einstellungen" oder "Erweitert" -> "Standardwerte" vorgenommen? "Standardwerte" wäre hier die korrekte Stelle.
 
Den Domain Controller als Print Server missbrauchen ist doch recht suboptimal (siehe bspw. Print Nightmare).
 
Gruß
Jan

Wenn du "Support device authentication using certificate" (GPS: Support device authentication using certificate) deaktivierst, wird wohl Ruhe sein. Im Default / "not configured":
 
 
Ansonsten auf den Clients und DCs:
 
Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Type: DWORD Name: LogLevel Value: 0x1 Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Type: DWORD Name: KerbDebuglevel Value: 0xffffffff Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc Type: DWORD Name: KdcDebugLevel Value: 0x1 Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc Type: DWORD Name: KdcExtraLogLevel Value: 0x1f  
Dann wirst du vermutlich zum gleichen Zeitpunkt auf den DCs unter System die Event Id 29 / Kerberos-Key-Distribution-Center als Warnung haben sowie Event Id 19 / "Kerberos-Key-Distribution-Center" als Error.
 
 
Auf dem Client wird dann der "Security-Kerberos" Error / Event Id 3 im System Event kommen und den Error Code 0x19 haben, der laut dem obigen Link - in meinen Augen - nur ein Hinweis ist "Additional pre-authentication required".
 
Warum Win 11 24H2 bei mir (in der Testumgebung) sind es ausschließlich Server 2025. Der Win 11 24H2 Testclient ist ruhig.

Hi,
 
 
falls der Domain User mit lokalen Adminrechten in der Gruppe der "Protected Users" ist, dann ist das so.
 
Gruß
Jan

Hi,
 
dafür gibt es mittlerweile das "SaRa Enterprise": Microsoft Support and Recovery Assistant Enterprise version - Microsoft 365 | Microsoft Learn
Dort gibt es dann das Szenario "OfficeScrubScenario": Office uninstall with Microsoft Support and Recovery Assistant - Microsoft 365 | Microsoft Learn
 
(Alternativ funktioniert auch noch das alte OffScrub: Office-IT-Pro-Deployment-Scripts/Office-ProPlus-Deployment/Remove-PreviousOfficeInstalls at master · OfficeDev/Office-IT-Pro-Deployment-Scripts · GitHub)
 
Gruß
Jan

Moin,
 
kommt das Problem evtl. daher, dass der Host beim Updaten bootet, die Updates finalisiert und erneut bootet. Während der Finalisierung starten / resumen die VMs und werden dann nicht (mehr) korrekt beendet?
 
Du könntest im nächsten Updatelauf testweise die VMs per Aktion herunterfahren lassen und den automatischen Start vorerst deaktivieren oder auf eine hohe Verzögerung konfigurieren.
 
Gruß
Jan

Hi,
 
du müsstest "Dateierweiterung enthält diese Wörter" wählen und dann eben "exe" oder was auch immer: Common attachment blocking scenarios for mail flow rules in Exchange Online | Microsoft Learn
 
HTH
Jan

Hi,
 
hier funktioniert es. Nutzt du aktuelle / die aktuellsten Edge ADMX Templates? Was kommt denn am Computer / beim User unter "HKLM\Software\Policies\Microsoft\Edge" oder eben "HKCU\Software\Policies\Microsoft\Edge" an?
 
ExemptFileTypeDownloadWarnings REG_SZ [ { "file_extension": "rdp", "domains": ["binfordtools.org"] } ] ExemptSmartScreenDownloadWarnings REG_SZ [ { "file_extension": "rdp", "domains": ["binfordtools.org"] } ]  
Gruß
Jan

Hi,
 
Direct Connect ist möglich. Die Frage ist, was für dich "Serversynchronisation" bedeutet. Ob DAC Kabel für "Ubiquiti UniFi" mit deinen NICs funktionieren, muss sich dann wohl zeigen.
 
HTH
Jan

Hi,
 
hast du die empfohlenen Ausnahmen für Hyper-V gesetzt (Recommended antivirus exclusions for Hyper-V hosts - Windows Server | Microsoft Learn)?
 
Gruß
Jan

Hi,
 
ich vermute, da fehlt ein <Enter>:
$mappings = Import-Csv <Folder-to-mailbox map path> $primaryMailboxName = ($mappings | Where-Object FolderPath -eq "\" ).TargetMailbox; New-Mailbox -HoldForMigration:$true -PublicFolder -IsExcludedFromServingHierarchy:$false $primaryMailboxName # <- ENTER ($mappings | Where-Object TargetMailbox -ne $primaryMailboxName).TargetMailbox | Sort-Object -unique | ForEach-Object { New-Mailbox -PublicFolder -IsExcludedFromServingHierarchy:$false $_ }  
Ansonsten bei der CSV:
New-Mailbox -HoldForMigration:$true -PublicFolder -IsExcludedFromServingHierarchy:$false "Mailbox1" New-Mailbox -PublicFolder -IsExcludedFromServingHierarchy:$false "Mailbox2"  
Eine andere Frage wäre, was habt ihr denn alles in den Public Folder drin? Kannst du nicht von PFs wegmigrieren?
 
Gruß
Jan

Hi,
 
hier ein korrigierter Screenshot:

 

 
Gruß
Jan

Hi,
 
der Windows Server 2025 bringt diverse Feature im Bereich "SMB Security" mit: What's new in Windows Server 2025 | Microsoft Learn
 
Ebenfalls gibt es ein neues Firewall Profil für "SMB":
SMB firewall rule changes in Windows Insider - Microsoft Community Hub Secure SMB Traffic in Windows Server | Microsoft Learn HTH
Jan

Hi,
 
häng eine Aufgabe zur Abmeldung an die Disconnect Events (Windows RDP-Related Event Logs: Identification, Tracking, and Investigation | Ponder The Bits).
 
Gruß
Jan

Hi,
 
"Der Absender" "Adresse entspricht einem dieser Textmuster" -> "\.diezublockendetld$"
 
sollte klappen.
 
Gruß
Jan

Hi,
 
das wäre "return": about Return - PowerShell | Microsoft Learn
function test1{ $x = Read-Host -Prompt "Zahl1" $y = Read-Host -Prompt "Zahl2" $z = test2 -a $x -b $y Write-Host "$x + $y = $z" } function test2{ param([int]$a, [int]$b) $c = $a + $b return $c } test1  
HTH
Jan

Ja, das war so bis (AFAIK) Ende 2022: KB5024351—Removal of Windows edition checks for AppLocker - Microsoft Support

Hi,
 
ich vermute, du musst das neue Zertifikat im IIS einmal ans Exchange Back End binden: OWA, ECP, or EMS can't connect after removing a self-signed certificate from Exchange Back End website - Exchange | Microsoft Learn
 
Gruß
Jan

Hi,
 
in deiner CSV scheint es kein Feld "Type" zu geben, was du aber beim Import mit dem Parameter "-Type $Scope.Type" adressierst. Du könntest den Type vermutlich einfach statisch auf "DHCP" setzen in deinem Script:
Add-DhcpServerv4Reservation -ComputerName $dhcpserver ` -ScopeId $scope.ScopeId ` -IPAddress $scope.ipaddress ` -Description $scope.description ` -Name $scope.name ` -ClientId $scope.clientid ` -Type DHCP  
Eine andere Frage wäre, wie ausgelastet sind denn die Bereiche? Vielleicht wäre es einfacher, die Konflikterkennung am neuen Windows DHCP zu aktivieren und neue Adressen vergeben zu lassen. Du kannst ja pro Scope auch zum Stichtag hin die Leasedauer verkürzen.
 
Gruß
Jan