testperson

Moin, ich habe hier ein Problem mit einem Windows 11 25H2 Golden Image, was nach dem Sysprep in der OOBE Phase Updates installiert (sofern welche da sind) und mich / den ersten User, der sich verbindet, auffordert einen neuen lokalen Benutzer anzulegen. Für die Windows Updates würde ich (notfalls) den Windows Update Dienst beenden und deaktivieren und/oder die Hosts Datei (127.0.0.1 sdx.microsoft.com) editieren. Mir fehlen hier aber noch Ideen zum lokalen User. Das Gerät wird nach dem Sysprep in die Domain aufgenommen und ich werde dennoch nach dem lokalen Benutzer gefragt. Hat hier jemand eine Idee? "<HideLocalAccountScreen>true</HideLocalAccountScreen>" hilft nicht bzw. ist nur für Windows Server vorgesehen. Danke und Gruß Jan

Moin, sobald ich eine Gruppe in der Collection berechtige, wird die doch (AFAIK) auf den Workern in die Remote Desktop Users eingetragen. Ebenfalls wird man doch auch als Mitglied der lokalen Administratoren gebrokert, solange man sich nicht per "mstsc.exe /admin" verbindet. Oder reden wir hier aneinander vorbei? @Ebenezerhast du mal in einer User Session, die sich per IP / Hostname mit dem Session Host verbunden hat, in der Kommandozeile bspw. ein "hostname" ausgeführt bzw. generell geprüft, auf welchem Host du gelandet bist? Hier evtl. mit mehreren Usern testen, nicht das du per Zufalls auf den Host gebrokert wirst, auf den du dich connectest. Gruß Jan

Frei nach dem "Motto" meiner Mutter: Egal, Hauptsache macht Doll im' Kopp. Wenn ich allerdings die Wahl habe: Kölsch (zur Not tuts auch ein Grevensteiner oder Pülleken bzw. generell ein Helles). Laut würde ich mich auf Vodka beschränken und Zitrone und Soda (oder auch das leise Wasser) zurückkommen. Da halte ich mich an die Empfehlung vom Arzt: Ein(e) Glas (Stange) (Früh Kölsch Stange XXL 3 Liter Glas) ist vollkommen Ok. (Das wäre auch was für die Dauernörgler bzgl. der Größe beim Kölsch.)

Mir fehlt da nach der Woche zum Wochenende Schnaps (laut) und Bier (leise) im Kühlschrank. 🙃

Hi, "wie immer", falls die VM nicht die exotischste Anwendung bereitstellt: Neue VM installieren und Workload migrieren als Option? Falls die Anwendung(en) / Rolle(n) auf dem Server das unterstützen, ggfs. die VM einmal exportieren, importieren und Netzwerk disconnecten und dann per Sysprep generalisieren. Im Anschluss dann nochmal versuchen das Update zu installieren. Ansonsten könntest du auch bei Sysnative vorbeischauen und dort einen Thread eröffnen: https://www.sysnative.com/forums/forums/windows-update.88/ (Ich habe deren Service allerdings noch nie genutzt und es gehört wohl ein wenig Vertrauen dazu, deren Fixe einzuspielen. Aber auch das könnte man ggfs. in einem Klon der original VM zumindest testen.) HTH Jan

Hi, da wäre die Frage, wer ist denn der aktuelle FSMO Inhaber und ist der tatsächlich erreichbar? Was findest du denn in den Eventlogs des/der Domain Controller? Gruß Jan

Evtl. hast du ja Glück und es gibt auch für die Lenovo Tiny eine WMI BIOS Schnittstelle bzw. irgendetwas, um das automatisiert auszulösen: kbl_deploy_01.pdf

Ich schätze mich an der Stelle einmal glücklich, dass ich es noch nicht mit Lenovo (M720q tiny) zu tun hatte. Danke für das Updaten hier und die ganzen Informationen. 👍

Hattest du Probleme mit der Mitigation oder liegen auf dem Server eh keine Mailboxen mehr bzw. macht der keinen Client Access mehr?

Dafür haben Sie auf dem Exchange Blog doch (mittlerweile) die Info "NOTE: Our partners in documentation publishing notified us of an issue that is causing documentation on learn.microsoft.com domain to not show latest documentation version. The issue is being worked on." geschaltet. Da die Mitigation scheinbar die bessere Lösung ist, ist es hier noch nirgends ausgerollt. Zumindest lese ich das so, wenn man die Mitigation im Anschluss eh noch aktiv lassen soll. Wird dann (vermutlich) am Sonntag 222x passieren. (Da sind allerdings Exchange SE Management Tools only / Hybrid Management Exchange only inkludiert. ;))

Hi, die Exchange Juni Updates sind da: Released: June 2026 Exchange Server Security Updates | Microsoft Community Hub Die CVE-2026-42897 Mitigations werden nicht rückgängig gemacht und müssten "von Hand" entfernt werden. Es wird allerdings empfohlen die Mitigations nicht zu entfernen nach der Installation. HTH Jan

Hi, "anders betrachtet" (falls möglich): Deaktiviert den Dienst per GPO auf allen Servern, wo er "eh nicht" benötigt wird, dann weißt du ja auch, wo er läuft und wo nicht. :) Eine andere Frage wäre, was möchtest du denn mit dem Ergebnis machen bzw. was willst du ganz am Ende erreichen? Evtl. wäre es auch eine Option, eine Aufgabe (per GPO) auf die Systeme zu bringen, die dann lokal abfragen. Gruß Jan

Moin, eigentlich ist das recht entspannt. Registry Key (oder GPO (Group Policy Objects (GPO) method of Secure Boot for Windows devices with IT-managed updates - Microsoft Support)) auf die Clients bringen, ggfs. den Task starten oder (bis zum nächsten Reboot) warten. reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" Manually reboot the system when the AvailableUpdates becomes 0x4100 Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" Anschließend ggfs. in der Registry prüfen, ob das Update erfolgreich war bzw. im Eventlog (System -> Quelle "TPM-WMI" (Secure Boot DB and DBX variable update events - Microsoft Support)) schauen, was passiert. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot AvailableUpdates # Sollte den Wert 0x4000 haben Option 1) Alles nimmt seinen Lauf und funktioniert ( <- sehr wahrscheinlich) Option 2) Secure Boot ist deaktiviert (und man sollte prüfen warum; Ggfs. aktivieren, sofern möglich bzw. dürfte das Gerät dann auch schon im austauschwürdigen Alter sein.) Option 3) Es wird ein BIOS/Firmware Update benötigt ( <- eher unwahrscheinlich) - Es gibt eins -> Updaten - Es gibt keins -> Das Gerät dürfte (weit) aus dem Support sein und sich in einem austauschwürdigen Alter befinden (oder man hat vielleicht recht günstig "in China" geschoppt) HTH Jan

Nach dem vNext ist RTM und RTM ist ja quasi wieder vor dem vNext ;) Die nächste Server (und auch Client) Insider Build diesen Monat bringt Neues zum Thema IAKerb und LocalKDC: Reducing NTLM Dependency: IAKerb and LocalKDC in Windows Insider Preview

Hi, wie sieht generell die Autodiscover Konfiguration aus? Wenn dort explizit "IMAP Anmeldeinformationen" gefordert werden, klingt das nach einem Autodiscover / Autoconfig Service beim/vom Domain Provider. Gruß Jan