cj_berlin

Am 4.3.2021 um 12:37 schrieb Nobbyaushb:

OT/ ich würde nie auf die Idee kommen, einen ggf. aus dem Internet zu erreichenden Webserver auf einem Windows Server (egal welche Version) zu installieren.

Sagt einer, der Exchange-Consulting macht quasi seit es Exchange gibt  

Bitte auf Cross-Posting hinweisen!

https://social.technet.microsoft.com/Forums/de-DE/d2417501-fffb-44cc-9e6d-927c15f1bb48/azure-ad-gt-ldap-gt-umzug-auf-neuen-server?forum=azurede

Bei der Lücke muss man sich gar nicht anmelden. Man wird einfach so Root  

Ja, und anscheinend stellen reichlich Administratoren Ihren vCenter Webclient ungeschützt ins große Schwarze... 

Vielleicht sollte man das Problem und nicht die Symptome angehen? Wer kein NetBIOS over TCP/IP betreibt, braucht auch über WINS nicht nachzudenken. Wer es allerdings betreibt, ist mit WINS und p-Nodes besser bedient als in den anderen Szenarien...

vor 7 Stunden schrieb Peterzz:

An den Rechten kann es eigentlich nicht liegen.

Melde ich mich mit dem gleichen Benutzer direkt am Exchange Server an, so kann ich die Befehle ohne Fehlermeldung in der Exchange Shell aufrufen.

...und dennoch: Wenn einige Exchange-Befehle vorhanden sind und andere nicht, kann es an fast nichts anderem liegen.

Was passiert denn, wenn Du auf dem Management-Rechner aus einer neutralen PowerShell  eine Remoting-Sitzung zu Exchange aufbaust? Kriegst Du die Befehle dann?

vor 3 Minuten schrieb NilsK:

 

Wobei man schon erwähnen sollte, dass es dabei zu Versionskonflikten kommen kann (und wahrscheinlich wird).

 

Klar. Aber beim Prof am Gardasee wahrscheinlich eher nicht. Und bei einigen Formaten kann zumindest OneDrive auch Änderungen zusammenführen, die sich nicht widersprechen (z.B. auf unterschiedlichen Blättern einer Excel-Mappe).

Natürlich muss man pro Use Case betrachten, ob das "echtes Offline"-Szenario an Wichtigkeit überwiegt oder "echte Kollaboration". Aber es ist kein Zufall, dass ausgerechnet Citrix einen der erfolgreichsten File Sharing-Dienste (für Unternehmen) betreibt...

vor 5 Stunden schrieb Tatja:

Ist es möglich ohne den RDP-Client Word auf dem Notebook zu starten und ohne Netzlaufwerk zu verbinden mit den Dateien auf Fileserver zu arbeiten?

Ja. Obwohl ich auch ein alter Citrix-/RDS-/VDI-Hase bin und diese Art von Lösungen für am geeignetsten halte, gibt es natürlich noch den Einsatz mit "Next Generation Sync Clients" a la Citrix ShareFile oder Microsoft OneDrive for Business. Beim Ersteren können die Dateien sogar komplett dort bleiben wo sie jetzt sind, auf einem zentralen Fileserver on-premises, und sind auch weiterhin über SMB erreichbar.

vor 2 Stunden schrieb goat82:

ich schaue mal noch weiter. Da gab es doch noch diese Funktion /change_user/install /execute oder so ähnlich fürher bei Server 2000.

Kann sich daran jemand erinnen? Vielleicht klappt es wenn ich mit den befehlen das Programm installiere?

Das gab's nicht 'früher bei Server 2000', das ist bis heute so. Wenn Du es ohne gemacht hast, deinstallieren und nochmal probieren.

vor 4 Minuten schrieb mwiederkehr:

Mir ist nicht bekannt, dass Citrix die Prozesse verschiedener Sitzungen besser voreinander "versteckt" als die Remotedesktopdienste.

Oh, doch... schon immer. Hier mal ein Writeup aus 2005: http://techgenix.com/citrix-presentation-servers-application-isolation-environments/ 

Moin,

mit App-V meine ich App-V  Anwendungsvirtualisierung von Microsoft, ehemals SoftGrid.

Was Du für VDI an Lizenzen brauchst, kommt darauf an, wie die zugreifenden Clients lizenziert sind. Wenn es Wndows 10 Enterprise unter SA ist, brauchst Du nichts weiter (die RDS CALs aber weiterhin). Andernfalls brauchst Du eine VDA-Lizenz. Je nachdem, was für Verträge Du bei Microsoft hast, kommst Du da ran oder auch nicht.

Eine Alternative wäre noch der Windows Virtual Desktop (ein Cloud-Service von Microsoft), wenn diese Anwendung nicht massiv auf irgendein Datenbank-Backend bei euch in der Umgebung zugreift.

Moin,

die RemoteApps in Microsoft RDS sind nichts anderes als eine Desktopsitzung, wo alles außerhalb des App-Fensters abgeschnitten ist, plus die Fähigkeit, lokal gespeicherte Dateien bestimmter Typen mit der RemoteApp zu öffnen. Insofern sind da keine Wunder zu erwarten, und die Antwort auf Deine Frage ist ein vorsichtiges Nein. 

Wenn die Aktualisierung der Citrix-Umgebung nicht gewünscht ist, bleibt Dir vermutlich nur App-V. 

Moin,

nein, zum Thema POP-Connector und MX musst Du nicht zwingend den gesamten SMTP-Space auf Exchange umstellen. Vielmehr lässt Du den MX nicht auf Strato zeigen, sondern auf Deinen Exchange, und die Adressen, die im Exchange nicht gefunden wurden, gehen per Überlauf (external Relay) dann an Strato. An den Clients muss nichts geändert werden.

Moin,

"besser" ist in der IT immer so eine Sache. Token Ring war "besser" (aus Ingenieurssicht) als Ethernet, NetWare war besser als NT3.51 (in dem, was sie beide konnten). Und wo sind diese "besseren" Technologien jetzt?

Es gibt richtig abgefahrene Lösungen, die elektromagnetische Profile der LAN-Adapter aufzeichnen, d.h. wenn Du zwar die gleiche Karte, aber mit einem anderen SFP nimmst, bist Du schon ein Fremder. Ist das besser? Kommt darauf an. Was gern genommen wird, und das war zu 2008R2-Zeiten gefühlt noch weiter verbreitet, ist so etwas wie MACMON oder ARP-GUARD. Beide können auf Wunsch auch 802.1X, würden aber ansonsten MAC-Kontrolle machen. Der Vorteil hier ist aus meiner Sicht nur die Einfachheit: Du brauchst nur das Wissen über die Physik des Clients, nicht aber irgendwas auf dem Client selbst. Dies kann aber auch ein Nachteil sein: Schafft jemand, auf einem als vertrauenswürdig eingestuften Endgerät ein anderes OS zu booten, schon ist auch jenes für den Netzwerkzugriff zugelassen. Und auch die Verwandtschaft zwischen der LAN- und der WLAN-Schnittstelle eines Rechners muss man im herkömmlichen NAC organisatorisch pflegen, währen bei 802.1X mit Zertifikaten alle Schnittstellen mit einer Identität bedient werden können.

Ich bin persönlich ein Freund von 802.1X. Es gibt aber sehr wohl Einsatzszenarien, wo ein anderes NAC besser geeignet ist.

Moin,

offizielle Guidance zu dem Thema endet bei Server 2016, und da war es auch nicht angeblich, sondern definitiv nicht möglich. Vielleicht hat sich das zu 2019 geändert, vielleicht hast Du einen glücklichen Mondstand erwischt. Die wenigsten, die sich regelmäßig mit Windows Server beschäftigen, haben das jemals versucht, da eine nicht aktivierte Vollversion zum Spielen genauso gut ist wie eine Eval...

Oha. Bedeutet also, dass der Server auch auf Port 3389 ungefiltert ins Internet horcht? Dann gute Nacht  

Warum nicht AD am gleichen Server: Der Server wäre dann ein AD-Domaincontroller, und die User müssten sich interaktiv am Domain Controller anmelden. Da benimmt sich einiges anders als auf einem Member- oder Standalone-Server.

Für Lizenzen? Computer\Windows-Komponenten\Remotedesktopdienste\Remotedesktopsitzungs-Host\Lizenzierung.

Moin,

Du musst dem RD Session Host ja mitteilen, am besten per GPO, an welchen Lizenzserver er sich wenden soll (auch wenn er's selber ist) und welche Lizenzart (Device/User) er da anfordern soll.

Was das Webcam-Thema angeht... Hast Du neben dem Browser auch irgendeine kamerafähige Anwendung ausprobiert, mit der Deine User arbeiten werden? Treiber musst Du normalerweise keine installieren, da die Umleitung ja nicht auf Hardware-Ebene, sondern auf Protokoll-Ebene erfolgt.

Moin,

probiere mal den UPN. Ist es sichergestellt, dass der User nicht sein Passwort ändern muss? Wird bei dem betroffenen User der Bad Password-Counter hochgezählt?

vor 2 Minuten schrieb MurdocX:

Also von „fast“ kann hier wohl nicht mehr die Rede sein  

Doch, wenn es absichtlich ist, ist es nicht fahrlässig  

vor 4 Stunden schrieb Morfio:

 

Hat jemand eine Idee, wo ich nach dem Fehler suchen kann? Dass die Windows-Server schon lange und länger End-Of-Life sind, weiß ich, daran soll aber nichts geändert werden (habe ich keinen Einfluss drauf).

Kann es sein, dass da einige Clients sich einen Computernamen teilen?  

vor 8 Minuten schrieb NorbertFe:

https://docs.microsoft.com/en-us/windows/win32/adschema/a-drink
 

ich stell mir lieber nicht vor, unter welchen Bedingungen das ins ad kam.

COSINE / X.500 LDAP specification. Siehe RFC4524 und Vorgänger.

ich dachte, da fehlt ein "e"... so kann man sich irren  

Moin,

Du musst Dich mit der Syntax von Get-ChildItem und Get-Item auseinandersetzen. Grundsätzlich hilft es sehr, Parameter von Cmdlets namentlich anzugeben und sich nicht auf die Reihenfolge zu verlassen ("dir" in Deinem Beispiel wird ja als Alias zu Get-ChildItem aufgelöst, ist also kein Batch-Befehl!)

Moin,

rein von der X.509-Spezifikation her spricht IMHO nichts dagegen. Die Interpretation des Zertifikats durch die betroffenen Applikationen ist eine andere Frage, und da helfen keine RFCs  

Auch ich habe noch nie ein solches Zertifikat außerhalb eines PKI-Labors gesehen, daher würde ich Dir raten, die Anforderung mit anderen Mitteln zu lösen. Hinweis: O365 verwaltet Zehntausende, wenn nicht Hunderttausende Domains, und schaffen das auch. Vielleicht schaust Du dir mal an, wie die das machen, dann wird Dir einiges klarer.