MoC88

Perfekt. Da liegt auch meine Vermutung. Dann werde ich den Hersteller mal kontaktieren :)

vor 2 Stunden schrieb zahni:

Primär würde ich hier den VPN-Client und/oder  dessen Konfiguration vermuten. Vielleicht wurde eine Art Split-VPN konfiguriert? User können dann auf ihre lokales Netz zugreifen. Das ist immer mit Vorsicht zu genießen.

Es wird tatsächlich alles durch den Tunnel geschickt.

Hallo zusammen,

ich habe folgendes Problem und hoffe, dass jemand von euch auch damit Erfahrung hat.

Ausgangssituation:

Bei einem Kunden wurden im Pilot die Security Baselines von Microsoft erstmal für die Clients (Windows10) und Domaincontroller ausgerollt.

Problem:

Nun kam es zu der Schwierigkeit, dass Clients, die im Home Office waren keine Namensauflösung der internen Domain mehr durchführen konnten. Alle Clients die betroffenen waren hatten einen IPv6 DNS vom Home Router eingetragen. Durch Abschaltung von IPv6 funktionierte die Namensauflösung wieder. "Ping internedomain.local -4" klappte auch. Letztendlich ist durch weitere Recherche herausgekommen, dass das sicher sinnvoll deaktivierte SMHNR Protokoll im Clientbereich der Auslöser war. Sobald man die Funktion über den Regkey DisableSmartNameResolution auf "0" und wieder aktiviert hatte, klappte auch die Namensauflösung mit aktivierten IPv6. Die Priorisierung von IPv4 gegenüber IPv6 brachte auch keine Erfolg.

Nun meine Frage wieso klappt die Auflösung nur mit der Funktion? Habt ihr das auch mal gehabt? Muss irgendwo noch anders an einer Stellschraube gedreht werden?

OK, danke für euer kontruktives Feedback. Dann muss ich mal schauen :)

Hallo zusammen,

Wir haben Surface Go2 Tablets für unsere Pflegeeinrichtungen vorgesehen um schnelle Dokumentationen im Flur vorzunehmen. Die Tablets hängen dabei an der Wand. Nun sind wir einige Szenarien am testen. Dadruch, dass wir das M365 E3 Paket lizensiert haben haben, ist mein Favorit ein Login mit einem Fido2 Key (Yubikey). Das passwortlose Login funktioniert super. Ich hätte aber gerne, dass beim abstekcen des Yubikey der Benutzer sich automatisch abmeldet. Hat da jemand eine Idee, wie man das anstellen kann?

Gruß

Marco

Da hast du natürlich recht. :). Habe es angepasst.

Es werden die externen DNS abgefragt. Scheint alles OK zu sein. Es werden die nornalen Sende-Connecoren benutzt...

Logging wurde angepasst.

Exchange 2016 Firma A Version 15.1 ‎(Build 1979.3)‎

Exchange 2016 Firma B Version 15.1 ‎(Build 1979.3)‎

Outlook 2016  Firma A (16.0.5005.1000)

Outlook M365 Firma B (16.0.11929.20760)

Ja das ist jeweils ein eigenes Postfach + Konten für z.B. Info. Sind alle als Konto im Profil hinterlegt.

Hallo zusammen,

folgendes Szenario:

Zwei Unternehmen

Zwei ADs (über vertrauensstellung verknüpft)

Zwei Exchange Server

Einige User müssen auf beiden Systemen zugreifen und haben daher jeweils ein Konto und Postfach bei den Firmen. Im Outlook sind zwei Exchangekonten eingerichtet (Einmal Postfach Firma A, einmal Postfach Firma B)

Jetzt kommt es des Öfteres zu dem Problem, dass der User NDRs bekommt.

Remote Server returned '550 5.1.11 RESOLVER.ADR.ExRecipNotFound; Recipient not found by Exchange Legacy encapsulated email address lookup'

Es scheint so als würde der eigene Mailserver (Firma A) befragt, ob das Postfach von Firma B am Exchange der Firma A zu finden ist. Das klappt natürlich nicht

Ich vermute das hängt damit zusammen, wenn man einmal vom Absender Firma A und dann wieder mit Absender Firma B versenden. Wenn man den Autovervollständigunungseintrag löscht kann man sofort wieder problemlos Mails versenden. Bis zum nächsten mal.

Muss ich etwas an den Einstellungen am Exchange anpassen?

Eine Exchange Online Migration von beiden Firmen auf ein Tenant steht leider noch etwas aus.

Habt ihr eine Idee was ich/wir tun können?

Hallo,

ich habe mir das nochmal genau angeschaut. In der Sicherheitsfilterung der GPP kann man tatsächlich unter Terminalservices nach der Client IP Filtern. Funktioniert auch :) Danke!

Hallo zusammen,

hat jemand einen Tipp für mich, wie ich am besten das Druckermanagement im Unternehmen optimiere? Zurzeit bekommen alle Mitarbeiter Drucker via GPP zugewiesen, für die der User für eine Gruppe zugewiesen wurde. Wir haben viele verschiedene Standorte innerhalb einer Stadt. Einige Mitarbeiter wechseln ziemlich häufig innerhalb dieser Standorte. Daher muss man Mitarbeiter immer einer entsprechenden Standortgruppe zuweisen. Diesen Verwaltungsaufwand möchte ich minimieren.

Ich stelle mir das so vor, dass die Personen, die sich in den Standorten aufhalten und sich mit der RDS-Farm verbinden nur die Drucker des Standortes verbunden bekommen. Für die Druckerzuweisung an den PCs ist das kein Problem mit einer IP-Filterung in den GPP. Ich bekomme diese Fillterung leider nicht auf den Serrvern hin, da die IP ja die vom Serverbereich ist. Gibt es die Möglichkeit, dass man mittels einer Filterung der Client IP-Adresse, die sich mit der RDS verbindet, die standortbeasierte Druckerzuweisung realieren lässt?

Für andere Tipps bin ich auch dankbar

Die Roamingprofiles und Ordnerumleitungen sind über GPOs geregelt. Dachte ab Server 2016 klappt das nicht mehr mit dem Reiter TS Profiles?!

Hallo zusammen,

ich habe zwei Probleme mit unserer RDS Farm. Es gibt tatsächlich User, die die Kacheln im Startmenü beim Windows Server 2016 nutzen für Shortcuts etc. Nun ist es so, dass wenn der User sich die Sachen einstellt und am nächsten morgen auf einen anderen landet, alles wieder weg ist. Landet der User wieder zufäälig auf den Server, wo die Dinge schon eingestellt waren, dann sind die auch da. Gibt es die Möglichkeit das ins Raomingprofil zu schreiben? Das Startmenü wird aber umgeleitet via GPO.

Weiterhin gibt es nach dem Umzug das Problem, dass die Signaturen auch auf jeden RDS in den Einstellungen wieder für neue Nachrichten hinzugefügt werden müssen. (Die eigentliche Signatur ist da). Hat jemand eine Idee?

Vielen Dank vorab!

vor 5 Minuten schrieb testperson:

OT:

Darüber könnte man diskutieren. Zumindest hast du es nicht als Mitarbeiter "einer mittelgroßen Organisation" eingerichtet. :-P

Das wäre auch eine Idee. Da muss ich mal schauen , wie ich das hier mit den IPads geregelt bekomme. Die User Benutzen darüber nämlich Apps. die auf das interne LAN zugreifen...

Hallo zusammen,

ich würde gerne ein vorhandes WLAN in einer mittelgroßen Organisation von PSK auf Radius umstellen (Ich habe das nicht eingerichtet) :D. Mein Test WLAN läuft bereits problemlos über EAP-MSCHAPv2. Nun würde ich gerne den Zugang noch weiter kontrollieren. Es könnte sich mit der Methode ja jemand mit seinem privaten Smartphone und AD Login trotzdem einloggen. Ich weiß, dass dafür EAP-TLS implementiert werden muss, aber ich bin mir nicht sicher, ob das nicht zu übertrieben hier wäre. Mir kam der Gedanke, sowas über einen MAC FIlter o.Ä. zu realisieren. Nur leider habe ich im NPS so eine Funktion nicht gefunden. Gibt es vielleicht sonst noch eine Möglichkeit?

VG

Marco

Hallo,

kann auch bestätigen, dass DISM /online /Cleanup-Image /RestoreHealth und anschließend sfc /scannow  funktioniert!

Hallo,

danke für die Antwort. Leider klappt das nicht! Es geht nicht darum mehrere Sessions für einen Benutzer auf den TS zu erlauben, sondern dass bei bereits angemeldeter Sitzung, der zweite Benutzer nicht die korrekte Anmeldemaske (wie in der RDP-Datei gespeichert) zur Auswahl bekommt. Er bekommt in der Anemldemaske den Benutzer angezeigt, der schon am TS angemeldet ist

Hallo zusammen,

ich hoffe ich bekomme das verständlich zusammengetippt :).

Ich habe einen speziellen Kundenwunsch. Der Kunde hat von uns ein neues Serversystem mit einem RDS Broker bekommen. Er möchte an seinem Windows 10 Clients mehrere RDS Dateien auf einem Userdesktop speichern, die verschiendene Benutzernamen gespeichert haben. Das sind PCs, die von mehreren Mitarbeitern parallel benutzt werden (Lager). Bei einem Doppelklick auf die RDP Datei, kann man sich auch wie gewünscht anmelden. Will man jetzt aber eine zweite Sesssion mit einem anderen gespeicherten Benutzer öffnen, so wird in der Anmeldemaske zum Verbinden, nicht der gepsicherte Benutzer angezeigt, sondern der, der sich als erstes mit dem Server verbunden hat. Erst wenn die Verbindung  getrennt wird funktioniert das wieder wie gewohnt.

Nach ein wenig hin und her probieren ist mir aufgefallen, dass das nur mit der RDP-Datei passiert, die auf den Broker zugreift. Wenn ich mich z.B. mit dem DC verbinden will, bekomme ich die Anmeldemaske von dem Server, der auch gespeichert ist. Welche Option muss deaktiviert werden, damit der Kunde glücklich wird?

Gruß

Marco

https://docs.microsoft.com/de-de/windows/configuration/windows-10-start-layout-options-and-policies

Hier vielleicht was bei?

vor 4 Minuten schrieb Nobbyaushb:

Wenn er denn nach meinem Link ermittelt wurde.

Auf der GUI sieht man nur die Haupt-Version, nicht die RU, daher am besten über die Version der Store.exe ermitteln, oder den Befehl an der Exchange-Shell.

Hmm ich schau das auch immer in der GUI nach. Aufs "?" klicken -> Info über Exchange Server 2010

z.B. steht bei einem unserer Kunden:

Exchange Server 2010

Microsoft Corporation

Version: 14.03.0382.000

:)

Den sollte man mal Updaten. Das ist ein Exchange SP3 ohne jegliches Rollup (Stand 12.02.2013)

Ich habe bei der IHK eine Aufstiegsfortbildung zum Certified Business Consultant gemacht. Ging brutto zwie Jahre über einen Bildungsträger. Ein Studium kannst du in deinem Alter wahrscheinlich nur neben der Arbeit machen (ein paar Jahre aussteigen muss man sich natürlich leisten können). Dafür muss man aber der Typ für sein. Man lebt min. fünf Jahre mit erheblichen Einschränkungen, weswegen ich mich dagegen entschieden habe, obwohl ich es immer noch sehr intressant finde.

Die Aufstiegsfortbildung wird bei der BaFög glaube ich mitlerweile zu 54% gefördert. Der Rest kann über die KfW finanziert werden.

Ich finde, dass in der IT nicht unbedingt ein Studium nötig ist. Die meisten Stellen die man sich anschaut setzen ein Studium oder eine vergleichbare Ausbildung vorraus. Zu vergleichbar zählt auch die Aufstiegsfortbildung, da man den DQR6  erreicht. Dabei sage ich nicht, dass man die IHK Fortbildung mit einem Studium vom Stoff her vergleichen kann.

Es gibt genug dep*pen, die ein Studium haben, aber nichts drauf haben. Ich könnte wetten, dass du mit einer Aufstiegsfortbildung und der Berufserfahrung auf jeden Fall mit einem studierten mithalten kannst. Das Einzige was schwierig wird, ist direkt eine Führungspostition zu erreichen, aber das kann man durch Anstrengung später auch schaffen.

http://www.serverhowto.de/So-setzen-Sie-servergespeicherte-Profile-professionell-ein.654.0.html

Zusätzlich dazu gehen auch Ordnerumleitungen der Benutzerverzeichnisse via GPO. Finde das eleganter, da nichts nachgeladen werden muss...

Ich sehe das genauso wie Jan. Bitte wieder den WAR-Zustand bauen und einen Multi-WAN Router anschaffen. Alles andere ist Bastelei und wird nie sauber laufen.

vor 2 Minuten schrieb seb212:

ja das mache ich. ich hoffe das dass auch der Fehler war.

Hochdramatisch ist es nicht, wir haben wieder den alten Server mit allem drum und dran am laufen. Aber es ärgert uns doch schon ziemlich, das der neue Server (für den man ja auch bezahlt hat) noch nicht läuft wie er soll.

Aber vielen vielen Dank für eure Unterstützung!

Falls noch andere Vorschläge zur Fehlerlokalisierung gibt, immer her damit

Über eine Neuinstallation wirst du aber eventuell nicht herum kommen...