cj_berlin

Moin, der Titel ist also schon mal falsch - ob Du *auch noch* einen Lizenzfehler hast, kannst Du erst herausfinden, wenn Du den Zertifikatsfehler behoben hast Wenn das ein öffentliches Zertifikat war, musst Du es einfach neu kaufen und am Connection Broker einspielen. Wenn das ein selbstsigniertes Zertifikat war, musst Du es neu generieren und auf den Clients wieder als vertrauenswürdig einspielen. Und auf dem Connection Broker natürlich auch. Was "das RA-Zert" ist, entzieht sich meiner Kenntnis, daher kann ich hierzu nichts sagen. Es geht aber bei dem Zertifikat, das den obigen Fehler verursacht, um das Zertifikat des Web Access.

Eine portable Firefox-Instanz mit eigenem (nicht-Windows) Zertifikatsstore für jede Webseite, und nur das passende Client-Zertifikat für die jeweilige Seite dort importiert. Anstelle von Bookmarks in einem Browser kommen dann mehrere/viele Verknüpfungen auf dem Desktop für mehrere Browser.

Prüfen, ob der DNS Record existiert und falls nein, durch den DC neu erzeugen lassen.

Moin, nein, das geht nicht. Ich hätte einen Ansatz wie Du das lösen kannst, der ist aber so bescheuert, dass ich ihn uns ersparen werde

das ist weil es seit Exchange 2010 keine Speichergruppen mehr gibt.

Ja, das ist PAC Validation. Wenn Du keine Authentifizierungsprobleme hast, ist dieses Ereignis dafür da, um festzustellen, welche Anwendungen keinen PAC im Request platzieren und evtl. leiden werden, wenn die PAC Validation irgendwann zu 100% verpflichtend wird.

IsMoveDestination : True

Ja, Cloud bedeutet "weg mit den Sonderlocken".

Was lernen wir also aus diesem Thread? Konfigurationsmanagement auf Servern ist NICHT optional, wenn man mehr als einen oder zwei davon hat

Von welchem Gesetz?

das würde ich auch aus einem anderen Grund nicht machen:

Moin, geht es Dir darum, die Serverseite bereitzustellen? Auf Windows Servern bis inkl. 2012R2 kannst Du Telnet-Server als Feature aktivieren. SSH-Verbindungen kann jede Linux-Distribution entgegennehmen. Und auf Windows 10 gibt es den openSSH-Server als optionales Feature.

Moin, wird die Mailbox denn angezeigt, wenn Du nach Get-Mailbox *nicht* filterst? Vielleicht ist es ja keine "UserMailbox"...

Was soll ich denn dazu sagen? Zwei Berater, drei Meinungen. Ich kenne keinen PoC für aktuelle Betriebssystem-Versionen, der nicht ganz massiv zusätzliche Informationen erfordern würde, über die ein externer Angreifer normalerweise nicht verfügt. Nils kennt so etwas vielleicht. Ich war schon bei Dutzenden Pentests dabei, auch mit hohem Schutzbedarf, wo es nicht gelungen ist. Aber prinzipielle Nicht-Machbarkeit wird dadurch natürlich nicht begründet.

Ja, weil @NilsK die Überzeugung vertritt, dass "man" aus der VM auf den Host ausbrechen kann. Nimmt man das als gegeben hin, so bleibt als Lösung nur nicht virtualisieren.

Moin, externen vSwitch ohne Host-NIC, fertig.

Das Recht "Herunterfahren des Systems" verbindlich regeln.

Versuch mal, einen anderen User anzumelden und zu schauen, ob's bei ihm anders ist.

Moin, aber ging es beim "Mischen" nicht eher um Standard-Lizenzen, a la "Ich muss 2x 2016 + 2x 2022 fahren, also lizenziere ich alle Cores mit 2016 Std und dann zusätzlich noch mit 2022 Std"? Das ist durch die PUR ja nicht ausgeschlossen...

Moin, ja, der Webservice wäre eine Variante (https://docs.microsoft.com/en-us/windows/deployment/deploy-windows-mdt/use-web-services-in-mdt). Alternativ installierst Du PowerShell in WinPE und machst die AD-Abfrage mit hinterlegten Credentials in WinPE. Ginge auch mit VBS, wenn Su das besser kannst. Am Ende muss halt die Variable OSDComputerName bestückt werden. Aber der Webservice hat natürlich den Charme, dass man damit auch für neue Maschinen Namen generieren kann.

Moin, beim ersten PC hat er im AD nach netBootGUID gesucht und gefunden. Beim zweiten hat er natürlich nichts gefunden, und da funktioniert die WDS-Benennungsrichtlinie nun mal nicht, wenn Du eine eigene XML verwendest.

Hmm. Wenn die Maschinen ursprünglich nicht per WDS betankt wurden, dann fehlt die netBootGUID ja im AD, und der nächste Durchlauf hat keine Chance, da einen Match zu erkennen. Aber falls sie dort steht, müsstest Du vermutlich in der PE-Phase ins AD schauen, das Computerobjekt raussuchen und die Variable OSDComputerName für den Rest der Tasksequenz setzen. Alternativ nimmst Du die REFRESH-Tasksequenz, sie behält - anders als bei NEWCOMPUTER - den vorherigen Computernamen bei.

Hmmm. Wenn der Name identisch ist und das Computerkonto im AD bereits besteht, wie legt er denn ein neues an?