TiWu

Hey nils, wow. Ambiguous Name Resolution wäre dann für lokale User und Gruppen zu aktivieren? Geht das überhaupt? Denke aber du hast mir den richtigen Anstoss gegeben. DANKE!

Hi, ich habe folgendes Phänomen. Wenn wir auf einem Server einen lokalen User NTFS Rechte zu einem Ordner geben möchten erscheint dieser Benutzer nicht im Dialogfeld "Select User or Group" wenn nur die ersten Zeichen (zb AD oder TE) des Namens eingegeben werden, sondern nur wenn der Name komplett angegeben wird. Wenn ein Domain User ausgewählt wird reichen die ersten Zeichen des Namens und eine Liste mit allen möglichen (passenden) Usern, bzw Gruppen wird zur Auswahl angezeigt. Mir ist noch aufgefallen das sehr wohl lokale Benutzer angezeigt werden, aber es scheint sich hier nur um Systemspezifische User zu handeln Kurzum die Autovervollständigung bei lokalen Usern und Gruppen schein nicht zu funktionieren. Hatte das schon mal jemand? Gruß TiWu

Hallo zusammen, ich hab ein ziemlich kurioses Problem. Ausgangspunkt: Exchange 2013 / O365 / Exchange Online Hybrid Umgebung Problem: Jegliche neu angelegten User werden nicht mehr in o365 synchronisiert. Vermutung: Delta-Änderungen werden überhaupt nicht mehr ins o365 geschrieben. Der Export zu o365 findet nicht statt. Full Sync geht einwandfrei - Delta-Änderungen wie neue User oder Passwortänderungen werden eingelesen aber offensichtlich nicht nach o365 geschrieben. Sobald ich aber einen Export triggere meldet er aber 0 Updates Mein Problem ist jetzt ich kann nicht feststellen warum Delta-Änderungen nicht nach o365 geschrieben werden. Im o365 ist alles grün. Habt ihr vielleicht eine Idee wo ich da ansetzen könnte?

Niemand ist unzufrieden....das war auch nie Thema. Frustriert scheint nur einer von uns zu sein. Einen schönen Freitag noch.

Das ich neu bin und katastrophale "Kollegen" die nix können, sich verpisst haben und nun sollens die anderen richten. Das will ich damit sagen. Sonst noch was? Oder hast du auch was zum Thema zu sagen? Ansonsten ist das Thema beendet und bedarf keiner weiteren Aufmerksamkeit.

Seh ich auch so, Danke. Ps das warum frag ich mich seit ich hier angefangen hab. Systemhaus^^ mehr brauch ich glaub nicht zu sagen.

Microsoft Exchange Server 2016 RTM es gibt ja Dienste die nicht dauerhaft laufen und nur bei bestimmten Funktionen auf "started" stehen. Dahingehend war meine Frage eigentlich ob und wie wichtig der dienst ist und ob ich den "stopped" status ignorieren kann? Fehler gibts soweit keine.

Hallo zusammen, mal eine Frage an die Profis. der Dienst MSComplianceAudit steht auf Stopped und meine Frage ist was tut der Dienst und muss der laufen? MS gibt dazu leider nicht wirklich was her. Hatte bereits hier geschaut. https://technet.microsoft.com/en-us/library/ee423542(v=exchg.160).aspx Ich finde nur nirgends eine Beschreibung ob der Diesnt dauerhaft laufen muss, bzw wann der überhaupt läuft. Gruß TiWu

Bitte frag nicht....ich bin aus allen Wolken gefallen. Danke erstmal, ich werde dann mal kucken ob wir das sauber über die Bühne bringen.

Mal dazwischen gefragt, sind damit auch die fehlerhaften updates gefixt? Habe nen Kunden der seit 2 Wochen versucht KB4088875 und KB4088878 zu installieren auf nem Server 2008 R2 und permanent in den Status "failed" läuft.

Hallo zusammen, für einen Neukunden steht in naher Zukunft ein Projekt an. Es gilt alle Firewalls desr Unternehmensserver zu aktivieren. Hierbei handelt es sich um DCs, SQL, File und sonstige Server die bereits produktiv laufen. Leider ist bei 90% der Server die Firewall ausgeschaltet. Unsere Aufgabe besteht darin dies nun zu ändern. Ich wollte die geballte Kompetenz hier mal fragen wie die beste herangehensweise an so was wäre. Gibt es Möglichkeiten bestehende Verbindungen und Ports wie mit Netstat auszulesen um die Aktivierung hier zu erleichtern? Gruß TiWu

Ihr habt unsere Meinung hier auch bestätigt. Wir werden an dem CSV Konzept festhalten. Zumal das auch ein Weg ist den der Anbieter vorgeschlagen hatte und erst im nachinein mit dem LDAP-Konzept um die Ecke kam. Vielen Dank!

Hallo zusammen, ich habe eine Verständnisfrage. Kurze Schilderung der Situation: Wir möchten gerne per ADFS eine externe Plattform eines Anbieters nutzen über dem am Ende Vorschriften und Compliance-Dokumente an Mitarbeiter ausgerollt werden können. Der Anbieter hat initial damit geworben dies alles über ADFS deckeln zu können. Nach einigen Gesprächen kam nun bei der technischen Umsetzung heraus das dieser Anbieter einen direkten Connect an unser AD benötigt, zwecks dauerhaftem zb. täglichem LDAP abgleich der aktuellen User und eventuell auch neuer User. Mir ist klar das natürlich ählich Office365 eine Syncronisation stattfinden muss, da die Gegenstelle die User schon kennen muss. Nun meine Frage, wozu benötigt der Anbieter einen Connect an das AD. Sicherheittechnisch ist das trotz VPN der Supergau, odeR? So sehr einschränken kann man das doch kaum, um zu gewährleisten, das nur die Daten das Unternehmen verlassen die es auch sollen. Also zb. Username, Email, Abteilung, Gruppe. Auf unseren Vorschlag dies mit unseren On und Offboarding Prozessen zu Verknüpfen und täglich oder monatlich per zb. CSV zu liefern wurde eher mürrisch reagiert. Selbst der technische Kontakt der Gegenseite bestätigte das das normalerweise nicht notwendig wäre und nur hier in dieser Konstellation von nöten ist. Gruß Tim

Ok, wo ich das konfiguriere ist schon klar. Ich glaub jetzt hab ichs, das propiere ich. TY. Sicherheitstechnisch finde ich das schon bedenklich, ich mache ja erst mal alle verschachtelten Gruppen von aussen erreichbar und dann setze ich den Spamfilter. Heisst ja auch ich muss jede neue Gruppe die hinzugefügt wird, wieder in den Spamfilter einpflegen. Wie begründet MS das neue "Feature"? Braucht keine Antwort geben, ich denk mir meinen Teil....

Würde dann nicht auch die Mail an Testgruppe@test.de wieder nicht mehr an die veschachtelten Gruppen weitergeleitet werden?.....das Problem hab ich ja jetzt im Moment. Die verschachtelten Gruppen sind von aussen nicht erreichbar = Fehlermeldung. Erlaube ich jetzt, das die Gruppen von aussen erreichbar sind und setze jetzt nen Filter auf die Gruppen in welchem ich sage, die dürfen von aussen nicht angemailt werden hab ich doch das gleiche Prinzip wieder oder nicht?

Wie meinste das? Alles bis auf die eine Domain nicht zulassen?

WTF.....sorry den Ausdruck, das ist ja fatal...wie schütze ich denn dann Verteilergruppen von Emails von aussen?

Noch auf CU 10 sorry. Wie gesagt alle Gruppen, welche innerhalb der Testgruppe (welche von ausserhalb erreichbar ist) Mitglied sind, sind NICHT von ausserhalb der Organisation erreichbar. Nehme an du meinst das hier: http://imgur.com/yv3kEWw

Hallo zusammen, ich habe mit CU10 das Problem, dass Exchange 2013 anders mit verschachtelten Verteilergruppen umgeht. Folgende Situation: Ich habe die Verteilergruppe testgruppe@test.de welche von ausserhalb erreichbar ist. Nun beinhaltet die Verteilergruppe "testgruppe@test.de" eine weitere Gruppe oder mehrere Gruppen "Testgruppe1-5@test.de" Die Testgruppen1-5 sind allerdings nicht von ausserhalb erreichbar, mit Absicht, da es sich um Vorstandsmitglieder und Teile der Geschäftsführung handelt. Schicke ich nun von aussen xy@outlook.de zb. eine Mail an die Testgruppe@test.de bekommt der Sender die Fehlermeldung: DNS-CODE 5.7.1 blablabla die Gruppe xyz konnte nicht erreicht werden weil die Zustellung eingeschränkt ist. "Works as designed" würde ich nun sagen, nur komisch ist, das ging vor CU10 noch und genau da liegt der Hund begraben. Ideen? Anregungen? Hilfe?

Lasst mich mal ein wenig zusammentragen, dann melde ich mch wieder.

Hi, Fehlerbehebung ist aber im moment mein Auftrag und nicht die korrektur evtl. Konzepfehler. Das zu korrigieren nimmt weit mehr Zeit in Anspruch. Dem voraus geht auch immer eine langwierige Analyse. Und mittlerweile ist auch klar warum das gemacht wurde. Ist halt nicht immer alles Microsoft best practice. So long danke für die Auffrischung.

Danke Nils, das steht aber leider nicht zur Debatte. Die Konfiguration hab ich hier so vorgefunden und muss erst mal damit leben. Interne DNS Daten in die DMZ zu stellen ist nicht gut, da bin ich bei dir. Das AD ist ja getrennt. Heisst die DMZ ist eigener Forest. Im Moment jedoch ist es erst mal wichtiger für mich zu verstehen warum ich die Fehlermeldungen bekam. Es lag, das kann ich bisher sagen an der deaktivierten Zonenübertragung. Ich werden jetzt sukzessive Aufarbeiten was hier konfiguriert und evtl. verbockt wurde (extern erreichbare Webserver im internen Netzwerk zb.) und das dann final bei einem Meeting besprechen. Eine reine Weiterleitung würde es ja auch tun. Also keinerlei Daten in die DMZ, lediglich ein "Leite alle DNS fragen zu xy.net an die DNS Server xy weiter." -> Stubzone etc. Denke so in die Richtung geht dein Hinweis ja, oder? Vielen Dank trotzdem, ich bin immer sehr froh wenn erfahrene Member vom MCSE Board ihr Wissen und ihre Erfahrungen teilen.

Sind 2 ADs. Ja das ist auch mein bisheriger Wissenstand. dh. mit jetziger Einstellung würden keinerlei Änderungen an der primären DNS-Zone an die sekundäre DNS-Zone übertragen. Sehe ich das richtig?

Hallo zusammen, ich habe hier folgedes Szenario: - 4 DCs intern mit in AD integriertem DNS - 2 DCs in der DMZ, ebenfalls in AD integriertes DNS evtl. Wichtig: - 2 verschiedene Domains - bidirektionale Vertrauenstellung. Auf dem DMZ-DNS-Server ist eine sekundäre Zone der internen Domain eingerichtet. So weit so gut. Jetzt meine Frage: Muss nach Einrichtung der sekundären Zone auf dem DMZ-DNS-Server nicht auch der Zonentransfer auf der internen DNS-Zone eingerichtet sein und auf den DNS-Server in der DMZ zeigen? Laut MS muss das so sein, da sonst keine Zonenübertragung stattfindet. Das ist auch mein bisheriger Wissensstand. Bei Ersteinrichtung einer sekundären Zone muss der Zonentransfer aktiviert sein. (Korrigiert mich bitte wenn ich falsch liege.) Hier in der Firma ist die Zonenübertragung allerdings ausgeschaltet und auf die Nachfrage, "warum?" konnte mir keiner sagen warum die Zonenübertragung deaktiviert ist. Jetzt bekomme ich seit ein paar tagen einen DNS Fehler 6525 welcher besagt: Eine Anforderung zur Zonenübertragung für die sekundäre Zone ui.net wurde vom Master-DNS-Server auf 10.1.x.x abgelehnt. Überprüfen Sie die Zone bei dem Masterserver 10.1.x.x, um sicherzustellen, dass der Zonentransfer zu diesem Server aktiviert ist. Öffnen Sie die DNS-Konsole, wählen Sie den Masterserver "10.1.x.x" als den entsprechenden Server, und wählen Sie in der sekundären Zone xy.net "Eigenschaften" und die Registerkarte "Zonenübertragungen". Überprüfen Sie die Einstellungen, und ändern Sie ggf. die Konfiguration (hier oder auf der Registerkarte "Namenserver"), sodass eine Zonenübertragung zu diesem Server möglich wird. Liegt das evtl an der abgeschalteten Zonenübertragung oder sollte ich an anderer Stelle weiterkucken. Danke für die Hilfe. Gruß Tim

bitte löschen - Lösung gefunden.