mwiederkehr

Hallo zusammen

Auf einem Terminalserver (Windows 2022) können die Druckertreiber nicht über Windows Update bezogen werden. Wenn man bei der Treiberauswahl auf "Windows Update" klickt, erscheint die Meldung "Geräteliste konnte nicht von Windows Update abgerufen werden" (englisch "Windows was unable to get a list of devices from Windows Update"). Die Meldung erscheint ohne Verzögerung.

Windows Update läuft, ich konnte heute auch die November-Updates normal installieren.

Im Internet finde ich viele Einträge zu dem Problem und meist scheint der Klassiker mit "SoftwareDistribution" und "catroot2" löschen und Compontent-Cleanup mit Dism und Neustart zu helfen. Hier leider nicht.

Ich finde weder einen Fehler in der Ereignisanzeige noch in der mit "Get-WindowsUpdateLog" erzeugten Datei. HTTPS ist offen, ohne Proxy dazwischen. Der Windows Update Troubleshoter findet keinen Fehler.

Ist das Problem bekannt?

Ja, Du kannst Rewrite-Regeln auf Serverebene erstellen. Dazu einfach "URL Rewrite" anklicken, während links der Server und nicht eine einzelne Website ausgewählt ist.

Eine generische Umleitung wäre:

Pattern: "(.*)"

Bedingungen: "{HTTPS}" == "off"

Aktion: Weiterleitung, Permanent, Ziel: "https://{HTTP_HOST}/{R:1}"

Verarbeitung weiterer Regeln beenden

vor 2 Stunden schrieb cj_berlin:

hold my beer

Ok, gewonnen und zwar mit Lynx. 😀

Da ist wohl etwas der Nostalgiker mit mir durchgegangen. Ich war zu einer Zeit in der Ausbildung, als das Versprechen vom freien Internet überall präsent war. Es war Ehrensache, seinen eigenen Mailserver zu betreiben und der Betrieb eines NNTP-Servers gehörte zum Pflichstoff der LPI-Prüfung. Wir haben gechattet über IRC, MSN war für Anfänger.

Dann kamen nach und nach die grossen Plattformen auf und die Interoperabilität hat gelitten. Mittlerweile ist man nicht mal mehr root auf seinem eigenen Smartphone.

Als ich über das Fediverse gelesen habe, war das wie ein Versprechen von damals, der „guten alten Zeit“. Rückblickend sieht man ja mehr die Vorteile als die Nachteile.

Vom Aufwand-Nutzen-Verhältnis her ist ein gut gewartetes und moderiertes Forum wie dieses hier natürlich einer Newsgroup vorzuziehen.

Newsgroups waren freier beim Zugriff: man konnte vom Reader auf der Shell bis zu Outlook Express alles verwenden für den Zugriff. So wie E-Mail freier ist als proprietäre Messenger.

Daneben war die Kommunikation nicht moderiert, was Vor- und Nachteile hatte.

Aber nein, ich wünsche mir nicht, auf dieses Forum per Newsreader zugreifen zu können. Wie Du schreibst, vertraue ich den Moderatoren und bin froh, dass ein Raum für vernünftige Diskussionen erhalten wird. Die fehlende „Zensur“ in Newsgroups ging manchmal recht an die Nerven.

Man wird sich wohl auch im Fediverse eine Instanz suchen, die nach den eigenen Bedürfnissen moderiert ist. Wie man auch einen Spamfilter installiert.

Facebook, Instagram und WhatsApp nutze ich nicht, da ich Zuckerberg nicht mag und die Datensammelei nicht unterstützen möchte. Bei Twitter ist es mir recht egal, wem es gehört, da ich es datensparsam nur im Browser am PC und meist nur lesend nutze.

Mastodon werde ich mir aber trotzdem bei Gelegenheit anschauen. Das Fediverse-Konzept gefällt mir. Aber ich bin nicht sehr optimistisch. Wenn Freiheit den Leuten wichtiger wäre als Einfachheit, würde ich diesen Beitrag in einer Newsgroup und keinem Webforum schreiben.

Das Gratis-Upgrade war für Rechner gedacht, die mit Windows 7 ausgeliefert wurden, nicht für neue VMs.

Kann mir gut vorstellen, dass nicht funktioniert (und die Lizenzbedingungen verletzt).

Dafür gibt es fertige Scripts, zum Beispiel das hier: https://sketchingdev.co.uk/blog/powershell-extract-the-summary-table-from-robocopys-log-file.html

vor 18 Minuten schrieb NorbertFe:

Ist das immer noch so?

Ja, und das wird wohl prinzipbedingt so bleiben. Microsoft zählt (im Gegensatz zu den meisten anderen Herstellern) ja nicht Benutzernamen, sondern Menschen. Und ein Mensch kann mehrere Benutzer haben.

Die Prüfung wurde ab WS2016 insofern verschärft, als dass der Server nun in einer Domäne sein und einen aktivierten Lizenzserver mit mindestens einer gültigen Lizenz erreichen können muss.

Problem gelöst: Das virtuelle EWS-Verzeichnis hatte nur eine interne URL eingetragen, die externe war leer. Intern war zwar die zum Zertifikat passende URL eingetragen. Habe diese auch extern gesetzt und dann hat es sofort funktioniert.

Der Fehler muss so blöde sein, dass ihn nicht einmal der Microsoft-Support mit den Diagnosescripts erkannt hat.

Hallo zusammen

Kann man bei Azure SQL konfigurieren, dass es sich als "SQL Server 2016" oder so meldet? Eine Anwendung würde problemlos mit Azure SQL laufen, aber an gewissen Stellen fragt sie die Version des Servers ab und meldet dann, dass sie nur bis und mit SQL Server 2016 laufe.

Das Compatibility Level ist es nicht, das habe ich angepasst. Es wird wohl "@@version" oder so sein. Kann man das ebenfalls anpassen/übersteuern? Mir fehlen leider die richtigen Suchbegriffe dafür.

Besten Dank!

Falls Du nur nach Name und nicht nach Inhalt suchen möchtest, könnte Everything etwas sein.

Es scheint ein bekanntes Problem zu sein und vom Microsoft Support ist die Empfehlung, auf das Verzeichnis "C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys" den folgenden Benutzern/Gruppen Vollzugriff zu erteilen: Exchange Servers, Exhange Trusted Subsystem, System, eigener Admin-Benutzer. Quelle: https://social.technet.microsoft.com/Forums/en-US/cb194ffc-3afb-4f5a-b40e-eba7a72f1e36/content-index-state-unknown-for-all-databases-on-upgraded-cu11-server?forum=Exch2016SD

An anderen Orten ist von C:\Users\All Users statt C:\ProgramData die Rede. Da soll man den Ordner umbenennen und zwei Dienste neu starten, sodass er neu erstellt wird: https://social.technet.microsoft.com/Forums/en-US/fbf7bcd5-2148-4db2-a596-706f70df334f/exchange-server-2019-cu3-time-out-for-test-thread?forum=Exch2019

Eine Ursache habe ich nichts gefunden und ich hatte das Problem auch noch nie.

vor 12 Stunden schrieb Thomas Maggnussen:

Den einzigen Weg, den ich mir vorstellen kann: Ist es denn wirklich so, dass es Variante gibt, die ein "User" ausführen kann und der Virus dann alle Werkzeuge an Board hat, um sich z.b. über Sicherheitslücken sich in der ADS selbst Vollzugriff auf alles zu geben?

Das ist, wie schon geschrieben wurde, ein mehrstufiger Prozess. Man nutzt dazu Sicherheitslücken und Nachlässigkeiten wie nicht genügend getrennte Netze aus.

Wenn man Glück hat, ist der User lokaler Admin. Wenn man ganz viel Glück hat, ist die Gruppe "Domänen-Benutzer" bei allen Rechnern in der Gruppe "Administratoren", nicht nur der jeder User auf seinem Rechner, und die Windows Firewall ist nicht aktiviert. Falls der User nur auf seinem Rechner Admin ist, installiert man einen Keylogger und zeigt ein paar Fehlermeldungen an. Der herbeigerufene Supporter meldet sich dann an und wenn man Glück hat, ist der Domain-Admin.

Auf die Server kommt man mit etwas Glück recht leicht, wenn der iLO erreichbar ist und nie gepatcht wurde. Telefonanlagen sind heutzutage komplette Rechner, meist mit uralten Versionen von Linux und diverser Software drauf. Die werden selten regelmässig aktualisiert und wenn man Glück hat, funktioniert ein uralter Exploit für Apache 1.3, proftpd oder so, welche alle als "root" laufen.

Was ich damit sagen will: In den meisten Umgebungen hat man früher oder später "Glück". Deshalb ist es auch so wichtig, die Datensicherung getrennt aufzubewahren und regelmässig von einem anderen System aus Restore-Tests zu fahren. Es gab schon Fälle, da wurden die Systeme transparent verschlüsselt. Gemerkt hat man nichts, bis der Schlüssel entfernt wurde. Die Sicherung war immer erfolgreich, hat aber die letzten Monate verschlüsselte Dateien gesichert.

Alternativ, falls nur ein Postfach gewünscht ist, könnte man es wie folgt einrichten: Verteilergruppe mit Benutzer als Mitglied und Adresse "benutzer@domain-b.tld" => Weiterleitung an "benutzer+domainb@domain-a.tld". Die Plus-Adressierungen sieht man im Outlook. Gibt man dem Benutzer "Senden als"-Rechte auf die Gruppe, kann er auch mit domain-b.tld als Absender verschicken.

Basic Authentication ist erlaubt. Habe die Einstellungen gesetzt wie auf dem bestehenden Server.

Der neue Server ist von extern nicht erreichbar. So, wie ich die Dokumentation verstanden habe, ist das auch nicht nötig. (Ausser SMTP von Exchange Online her, falls lokale Postfächer vorhanden sind.) Habe ich da etwas missverstanden?

Das Zertifikat ist ein "offizielles" Wildcard-Zertifikat, welches auch auf den anderen Servern zum Einsatz kommt.

Hallo zusammen

Ein Kunde mit drei Exchange 2016, einmal Edge, zweimal Postfach in einer DAG, hat auf Exchange Online migriert. Ich habe dazu auf einem Server die Hybridkonfiguration eingerichtet und danach die Postfächer nach und nach verschoben. Das hat alles geklappt, die Postfächer sind nun in der Cloud.

Lokal sollen keine Postfächer mehr betrieben werden, aber man möchte ein lokales Relay für Scan2Mail etc. und das ECP für die Verwaltung. Um auch gleich das unbeliebte Windows 2016 abzulösen, habe ich Exchange 2019 auf einem Server 2019 installiert. Der Server läuft, Relay funktioniert.

Nur der Assistent zur Hybridkonfiguration bringt bei der Prüfung der Konfiguration nach fünf Minuten den Fehler, er erreiche den lokalen MRS-Proxy nicht.

Der Hybrid Agent läuft (Dienst kann gestartet werden, keine Fehlermeldungen im Log).

Im Log des Assistenten steht Folgendes:

TestMigrationServerAvailabilityOutcome {ErrorDetail='Microsoft.Exchange.Migration.MigrationServerConnectionFailedException: Die Verbindung mit Server 'xxxxxxxx-a46a-40ed-xxxx-4976e83b5ec7.resource.mailboxmigration.his.msappproxy.net' konnte nicht hergestellt werden. ---> Microsoft.Exchange.MailboxReplicationService.MRSRemoteTransientException: Fehler beim Aufruf von "https://xxxxxxxx-a46a-40ed-xxxx-4976e83b5ec7.resource.mailboxmigration.his.msappproxy.net/EWS/mrsproxy.svc", da kein Dienst am angegebenen Endpunkt gelauscht hat. Fehlerdetails: There was no endpoint listening at https://xxxxxxxx-a46a-40ed-xxxx-4976e83b5ec7.resource.mailboxmigration.his.msappproxy.net/EWS/mrsproxy.svc that could accept the message. This is often caused by an incorrect address or SOAP action. See InnerException, if present, for more details. --> The remote server returned an error: (404) Not Found.

Führe ich "Test-MigrationServerAvailability -ExchangeRemoteMove: $true -RemoteServer 'xxxxxxxx-a46a-40ed-xxxx-4976e83b5ec7.resource.mailboxmigration.his.msappproxy.net' -Credentials (Get-Credential -UserName domain\admin)" in der PowerShell aus, lautet die Meldung anders:

Microsoft.Exchange.Migration.MigrationServerConnectionFailedException: Die Verbindung mit Server
'xxxxxxxx-a46a-40ed-xxxx-4976e83b5ec7.resource.mailboxmigration.his.msappproxy.net' konnte nicht
hergestellt werden. ---> Microsoft.Exchange.MailboxReplicationService.RemoteTransientException:
Fehler beim Aufruf von "https://xxxxxxxx-a46a-40ed-xxxx-4976e83b5ec7.resource.mailboxmigration.his
.msappproxy.net/EWS/mrsproxy.svc". Fehlerdetails: Die HTTP-Anforderung wurde mit
Clientauthentifizierungsschema "Negotiate" nicht zugelassen. --> Der Remoteserver hat einen
Fehler zurückgegeben: (403) Unzulässig.. --->
Microsoft.Exchange.MailboxReplicationService.RemotePermanentException: Die HTTP-Anforderung wurde
mit Clientauthentifizierungsschema "Negotiate" nicht zugelassen.

Versuche ich den Zugriff per Browser, ist die Antwort HTTP 403, es erscheint kein Anmeldefenster.

Auf dem EWS-Verzeichnis ist der MRS-Proxy aktiviert. Deaktivieren, iisreset, Aktivieren, iisreset haben nicht geholfen. Standardauthentifizierung ist erlaubt auf dem EWS-Verzeichnis.

Kennt jemand das Problem?

Oder, vielleicht mal einen Schritt zurück: Wenn man lokal keine Postfächer mehr hat, ist die Hybridkonfiguration überhaupt den Aufwand wert? Free/Busy etc. wird dann ja nicht benötigt und die AD-Objekte werden über AADSync übertragen.

Alle mir bekannten Clients behalten bei Nichterreichbarkeit des Servers die E-Mails in einem Ordner ("Postausgang") und versuchen sie bei jedem Intervall zuzustellen. Bei Fehlern zeigen sie mehr oder weniger prominent eine Meldung an, versuchen die Zustellung aber beliebig lange weiter. Sie generieren keine NDRs.

Es ist, wie Nils schon erwähnte, ein Gebastel. Aber es sollte funktionieren. VMware gibt sich bei der Workstation viel Mühe für solche Features und sollte alles können, was benötigt wird:

• USB an VM durchreichen
• Anwendungen aus VM als Anwendung auf Host darstellen (Desktop der VM ausblenden), das Feature heisst "Unity"
• gemeinsame Datenspeicherung, Dateien aus VM auf Host ablegen (das ginge natürlich auch über das Netzwerk), Drag&Drop aus und in VM
• Drucker vom Host durchreichen

Der kostenlose VMware Workstation Player sollte für Deine Zwecke ausreichend sein.

Ich glaube das Durcheinander kommt von der unterschiedlichen Interpretation des Begriffs "Desktop". "Desktop" im Sinne von "Desktop-OS" vs. "Zugriff auf Desktop von Terminalserver (mit Server-OS)" (im Gegensatz zu einzeln freigegebenen Anwendungen, "RemoteApps").

Ich würde auch sagen, dass man für Server-OS keine VDA benötigt. Ich habe noch nie eine VDA gekauft und bislang gab es bei Lizenzprüfungen bei Kunden keinerlei Beanstandungen diesbezüglich. Weder bei solchem mit RDS im Haus und ThinClients mit Linux, noch bei solchen, welche ihre Anwendungen per RDS ihren Kunden anbieten und per SPLA lizenziert sind.

vor einer Stunde schrieb Weingeist:

Zwar schon etwas her, aber dafür gibts auch gute Lösungen, zumindest wenn man das öfter machen muss: PDF-Printer mit Overlay Funktion

Eine sehr elegante Lösung, gute Idee!

Mit dem Drucker von PDF XChange kann man ein PDF überlagern. Oder, wenn man es etwas ausgefeilter will, kann man mit den PDF Tools einen Ordner auf Excel-Dateien überwachen, diese zu PDF konvertieren und Kopf- und Fusszeile anfügen. Da diese dynamisch erzeugt werden, kann man Sachen wie Seitenzahl, Datum etc. einfügen.

Wäre das jetzt nicht ein klassischer Fall für eine "Emergency Mitigation" (https://learn.microsoft.com/en-us/exchange/exchange-emergency-mitigation-service?view=exchserver-2019)? Aktuell wurde dort noch keine entsprechende Regel veröffentlicht.

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-d--securing-built-in-administrator-accounts-in-active-directory liefert eine Begründung, weshalb der Account nicht deaktiviert werden sollte:

Zitat

This guide used to recommend disabling the account. This was removed as the forest recovery white paper makes use of the default administrator account. The reason is, this is the only account that allows logon without a Global Catalog Server.

Der Artikel empfiehlt einige Einstellungen zur Absicherung.

Theoretisch sollte es mit der Windows Firewall funktionieren. Man kann zumindest Regeln auf Benutzer beschränken. So wäre eine Verbieten-Regel auf die entsprechenden Ports für den Benutzer denkbar. Ausprobiert habe ich es allerdings nicht.

In der Industrie ist das gang und gäbe. Die Steuerungen von CNC-Maschinen laufen häufig auf Windows XP, ein Kunde hat noch eine Drehbank mit MS-DOS (inkl. nachgerüstetem TCP/IP). Die Robotersteuerung läuft mit OpenVMS auf DEC Alpha, die Messmaschine mit HP-UX auf RISC-V.

Wobei sich Alpha und RISC-V mittlerweile mit guter Performance emulieren lassen. Es gibt Emulatoren von namhaften Herstellern, inkl. Garantie und Support. Die Lizenzen sind teuer, aber günstiger, als die ganze Steuerung auszuwechseln (deren Hersteller oft nicht mehr existiert). Die grösste Herausforderung ist, noch irgendwo alte SCSI-Karten mit dem richtigen Anschluss zu finden, um ein Disk-Image machen zu können.