AFM_Adm

Traffic ist TCP auf Port 443, verhält sich auch ähnlich mit Intune. Der Windows 11 Client baut ein Großteil der Verbindungen zu MS Cloud (Azure) über den Proxy auf, ein kleiner Teil versucht direkt raus zuquatschen. Solange dieser Traffic nicht erlaubt ist, kriegt der Client auch keine Softwarepakete von Intune.

Danke für den Hinweis, aber nein machen wir für die genannten FQDN's nicht. Aber selbst wenn, dann würde der Traffic nicht sauber durch den Proxy durch gehen, aber würde ja nicht erklären, wieso Anfragen vom Client zum Teil ja erst garnicht auf dem Proxy ankommen, sondern versuchen direkt Richtung Internet zu quatschen. Oder was ist dein Ansatz?

Moin zusammen, wir nutzen einen Proxy für den Zugriff Richtung WAN. Nun soll auf den Windows 11 Clients Intune, Azure Virtual Desktop etc. genutzt werden. Der Proxy ist in den Systemeinstellungen vom Windows 11 Client hinterlegt. Generell wird der Proxy auch verwendet, dass sieht man im Log, jedoch versucht der Client bestimmten Traffic direkt Richtung Azure Cloud zu schicken über die Firewall. Habt ihr Erfahrung mit Intune, Azure Virtual Desktop und Proxy, wie kann ich den Client dazu bringen, den gesamten Traffic Richtung Proxy zu schicken? Oder ist dies nativ in den Services, etc. zu tief verankert, dass es nicht möglich ist einen Proxy dafür zu nutzen?

Wie ich herausgefunden habe wurde dies zum 01.10.2022 für alle Tenannten aktiviert: Azure Security Defaults (msxfaq.de)

Aus verschiedenen Gründen sollen nur die DC's am eigenen Standort verwendet werden. Danke für den Tipp. Aber geht es bei dem "Scalability Mode" nich darum, dass die DFS-Stammserver den DC am gleichen Standort nutzen oder was hat dies mit den Clients zu tun?

Moin zusammen, wir bekommen seit ein paar Tagen die Aufforderung wenn man sich an Microsoft365 anmeldet, MFA einzurichten und das man hierzu 14 Tage Zeit hat. Bewusst aktiviert haben wir dies nicht, wird anscheinend durch MS erzwungen. An Sich ist MFA ja auch eine tolle Sache, nur haben leider nicht alle User ein Smartphone. Welche Möglichkeiten habe ich, wie löst ihr das? Durch Whitelisting, etc.? Bekommt ihr auch seit ein paar Tagen die Aufforderung zur Einrichtung? Leider finde ich keine Ankündigungen dazu.

Moin, Domain Based DFS - Ja. Beide DC's als Namespace-Server - Ja. Target-Shares - jeweils nur die Shares am eigenen Standort verfügbar.

Ja, es gibt zwei Standorte mit den entsprechenden Subnets.

Wie meinst du das? Es geht um Zugriff auf ein Filesystem per DFS und muss daher die Domäne auflösen können.

Dies würde doch nur Sinn machen, wenn die DC's sind nicht direkt erreichen könnten bezgl. Replikation?

Moin zusammen, folgende Problemstellung habe ich (vereinfacht dargestellt): 2 Server-Netze (Standort A und B mit jeweils 1 x DC), 2 Client-Netze (Standort A und B). Die Server-Netze können untereinander kommunizieren, die Client-Netze nur mit dem Server-Netz am gleichen Standort. Bei der Namens-Auflösung der Domäne beispiel.local im Client-Netz B, gibt der DC im Server-Netz B, beide DC's wieder (den von Standort A und von Standort B), kann den DC an Standort A aber nicht erreichen. AD Sites und Services ist konfiguriert und den entsprechenden Subnetzen der richtige Standort zugewiesen. Mit "nltest /dsgetsite" getestet wird auch der korrekte Standort angezeigt auf dem Client. Die Clients am Standort B versuchen aber immer den DC am Standort A zu erreichen. Was für Lösungsmöglichkeiten gibt es hier?

Was machst du mit dem Desktop, etc.? Was machen die Notebook-User, wenn diese Offline arbeiten wollen? Und für Desktop, etc.? Klappt nicht offline oder? Wie sind deine Erfahrungen hinsichtlich Offline Dateien, klappt das zuverlässig?

Was nutzt ihr statt Folder Redirection denn?

Clients sind aktuelle Windows 10 Systeme mit Patches. Serverseitig Windows Server 2016 mit aktuellen Patches.

Hallo zusammen, wir nutzen zur Zeit servergespeicherte Profile, da die User öfters die Arbeitsplätze bzw. Rechner wechseln und damit die Notebook-User ihr Profil Offline dabei haben. Leider sind bei Nutzung der servergespeicherten Profile die Anmeldezeiten durch den Sync sehr lang und gibt es hin und wieder auch mal Probleme damit. Die Alternative von MS sind ja Ordnerumleitungen. Hierbei hätten wir aber zwei Herausforderungen: 1. Nutzung offline bei den Notebooks bzw. im Homeoffice bevor die VPN-Verbindung steht. 2. Haben wir mehrere Standorte und mit standortbezogenen Fileservern, auf die dann die Ordnerumleitungen zeigen müssten. Wenn die User dann an den verschiedenen Standorten sind, hätten sie verschiedene Profile. Wir löst ihr diese Herausforderungen oder gibt es für das Szenario ein Best-Practice Ansatz?