Anubis2k

Jou, vielen lieben Dank für die Infos, ich kläre das morgen mal ab und wünsche einen entspannten Sonntag Abend

Diese fragende Behauptung, ist zu inflationär... Die Antwort darauf wäre "ja" und "nein" Nachtrag: Wie bereits angedeutet, hier wird für uns unterschieden... Interne oder externe Nutzung. Falls es so rüber kam, dass ich dieses behauptet habe... Nein, dass war so nicht gemeint Ich habe halt über andere Anlaufstellen erfahren, dass man wohl Intune nutzen müsse und das wäre doof. Wenn "Conditional Access" dass ist, was wir benötigen um Regeln festlegen zu können wo 2FA benötigt wird und wo nicht und wir dafür entsprechende E3 oder E5 Lizenzen haben müssen, alle anderen mit reiner E1 Lizenz da in die Röhre schauen, wird es doof.

Vollkommen korrekt... wer von Unterwegs (ob nun Home Office, Hot Spot etc.) auf Outlook zugreifen will, soll und muss 2FA nutzen. ABER wir als IT (und wir als Unternehmen) müssen dem Arbeitnehmer die Möglichkeit geben, dass er innerhalb der Firma (die eigene WAN IP) einfach via Username + Passwort eine Anmeldung durchführen kann. Wie gesagt, hier kann man sich darüber streiten ob das Sinn macht oder nicht, will ich aber nicht. Mitarbeiter ist in der Firma = 1FA Mitarbeiter ist unterwegs = 2FA Nicht mehr, nicht weniger. Und wenn sich (so wie ich es erfahren hatte) so etwas nur dann realisieren lässt, wenn man Intune verwendet, wäre das ja schon wieder für Microsoft eine Gelddruckmaschine, weil man halt neben Outlook auch noch weitere Lizenzen benötigt. Ich werde aber morgen mal mit meinem Kollegen sprechen, es könnte halt schwierig werden, da unsere Leute aus dem Vertrieb, OWA auf der Citrix Umgebung verwenden und dafür nur eine E1 Lizenz haben.

Alles klar, vielen Dank schon mal für die Information. Dann werde ich mich mal mit meinem Kollegen austauschen (der verwaltet unsere Microsoft Lizenzen). Wenn ich mich nicht irre, haben einige Kolleginnen und Kollegen nur eine E1 Lizenz, damit sie auf Outlook zugreifen können. Dass sind dann auch die Leute, die Outlook nur über den Browser abrufen und auf Citrix Systemen unterwegs sind. Aber damit habe ich schon mal einen Ansatz

Hallo zusammen, nach längerer Zeit, hätte ich da mal wieder eine Frage, abseits der Dienstleister etc., mit denen ich sonst so verkehre und mir Tipps hole. Wir haben bei uns in der Entra ID / Azure ID / O365 Welt, eine zwei Faktor Authentifizierung aktiviert. Noch nicht für alle, aber sehr sehr viele haben das schon. Gibt es eine Möglichkeit, dass wir 2FA für alle User aktivieren können, ABER wenn ein User in sein Outlook Web Access rein möchte und von unserer Firma aus (WAN mit IP X) darauf zugreifen möchte, kein 2FA benötigt? Hier kann man sich über Sinnhaftigkeit streiten oder nicht, dieses ist aber nicht Sinn meiner Frage und nicht erwünscht. Mir geht es nur darum, kann ich 2FA aktivieren und wenn man von unserem Firmennetz auf OWA zugreift, soll ganz normal Login mit Kennwort möglich sein. Liegt auch daran, dass es Leute gibt die einfach keine 2FA App bei sich auf dem Handy haben möchten. Denen wollen wir die Möglichkeit bieten "du kannst von hier aus darauf zugreifen, möchtest du von zuhause oder unterwegs zugreifen, nur mit 2FA" :) Und wenn das machbar ist, muss ich dafür dann Intune verwenden, oder geht das auch anders? Bisher habe ich nämlich einen Artikel gesehen, da wird erwähnt, dass man Intune nutzen müsse. Gruß, Dominik

Ich installiere den EDGE mal auf der Testumgebung, hole mir die Zugangsdaten vom Kollegen wo es Probleme gibt und teste ob die Benachrichtigungen via EDGE zuverlässiger sind. So hätte man schon mal einen groben Ansatz, woher es kommen könnte. Es ist ja auch nicht auszuschließen, dass man in der Vergangenheit mithilfe von GPOs schon mal was "kaputt" gemacht hat und nun vereinzelt die Probleme auftreten.

Das hab ich auch nur so als Idee in den Raum geworfen. Wenn ihr sagt "ne, Benachrichtigungen kann man nicht ausschalten", ist das eben so. Ich weiß nur, dass man sie aktiv einschalten muss (siehe Anhang), denn wenn man die Cookies vom Browser löscht und sich neu anmeldet, ist das Teil nämlich ausgeschaltet. Warum etwas installieren was mittlerweile wie Chrome ist, aber Edge heißt, wenn man doch das original nehmen kann und dank ADM und ADMX schön konfigurieren kann? :) Und korrekt, alle in den Außenstellen, bekommen nur eine kleine E1 Lizenz, somit ist eine Installation vom Office Paket nicht drin und wenn ich mich nicht irre, teilte man mir mit dass die Installation von Office, mehr Ressourcen auf den Citrix Systemen weg schluckt als es der Browser mit geöffnetem OWA macht. Aber sollten wir selbst keine adäquate Lösung für das "Problem" finden, werden wir mal horchen ob einer unserer Dienstleister sich damit auskennt und weiß wie man das beheben kann, wenn wir dieses nicht in den Griff bekommen.

Das mit den 10 Minuten kann auch nur ein Zufall sein, denn bei zwei anderen Kollegen wiederum klappt es sofort. E-Mail kommt rein, kannst drei Sekunden zählen, zack, Meldung ist da. Profil neu machen war ja auch ein guter Ansatz (Holzhammer halt), aber brachte bei der Person (und drei weiteren) leider keinen Erfolg :( Aber wir geben nicht auf und zwischenzeitlich, habe ich sogar gehört, dass andere Kolleginnen und Kollegen die einen normalen PC (oder Notebook) sowie der Outlook Anwendung installiert haben, auch keine Meldungen bekommen. Eventuell hat hier auch jemand etwas bei der Migration zu Exchange Online verhauen.

Hallo und schönen guten Morgen, unsere Server sind "Windows Server 2019", ich hatte vorhin mit einem Kollegen gesprochen ob er sich für einen Test opfern könnte, wo das Problem besteht. Wir haben ihn abgemeldet, den Profilordner umbenannt (als Backup), neu angemeldet (dann gab es ein neues / sauberes Profil). Als nächstes haben wir Chrome geöffnet, sind auf outlook.com gegangen, haben rechts oben über das Zahnrad die Benachrichtigungen wieder aktiviert und da wir über die GPO die Benachrichtigungen aktiviert haben, kam nach 1 oder 2 Sekunden die Meldung "Erfolgreich, Dies ist der Ort an dem Benachrichtigungen auf Ihrem Desktop angezeigt werden", was ja erst einmal korrekt ist. Dann haben wir ein paar Test E-Mails hin gesendet und es kam nichts. Nach ein paar weiteren Tests, kamen die Benachrichtigungen der ersten E-Mails mit einem Verzug von grob 5 - 10 Minuten. Ich vermute aber mal, hätten wir diese E-Mails schon als "gelesen" markiert, wäre da gar nichts mehr gekommen :( Gruß, Dominik Nachtrag: Ich hatte die Tage auch schon im Internet geguckt, ob es eventuell ein bestimmter Port ist, der für Push Infos benutzt wird, aber es scheint normal über HTTP/HTTPS zu laufen.

Hallo zusammen, ich bin mir nicht sicher, in welcher Ecke des Forums ich hier besser aufgehoben bin, da ich auch noch nicht eingrenzen kann, woher das Problem kommt, worum es geht. Wir haben vor einiger Zeit auf Exchange Online umgestellt (sind auch noch dabei) und aus Performance- und Lizenzgründen können die Kolleginnen und Kollegen in den Außenstellen in ihren Citrix-Umgebungen Outlook nur über outlook.com ausführen. Hier kann man jetzt Push Nachrichten aktivieren, was bei mir und einem anderen Kollegen wunderbar funktioniert. Wir haben die Gruppenrichtlinien für Chrome so eingerichtet, dass die Benachrichtigungen für die benötigten Webseiten funktionieren, die Regeln sind auch aktiv, aber bei diversen anderen Kolleginnen und Kollegen kommen diese Push Nachrichten mit einer Verzögerung von 5 - 10 Minuten. Bis dahin haben die Leute schon im Chrome-Tab gesehen, dass eine neue Mail da ist, haben sie als gelesen markiert, eventuell sogar bearbeitet und gehen dann davon aus, dass unten rechts gar keine Push-Meldungen kommen. Eine Frage wäre, kennt jemand so ein Verhalten und woher könnte es kommen? Die Leute können die Benachrichtigungen für Chrome in den Anzeigeeinstellungen an- und ausschalten, es gibt eine Anleitung, wie das geht und (wie gesagt) in Chrome haben wir die Einstellungen über GPO fest eingestellt und damit funktioniert es bei uns auch (zwei Leute aus der IT), aber bei einigen funktioniert es super spät und damit (bei den anderen) dann gar nicht. Ich habe so ein bisschen den Verdacht, dass Chrome merkt, dass es eine Mail gibt, diese sofort im Tab (innerhalb von Chrome) anzeigt, dann eine Push Info an Windows rausgibt und Windows eventuell nicht weiß, in welcher Remote Session das angezeigt werden soll und bis das der Fall ist, vergehen zig Minuten. Habt ihr eventuell einen Tipp oder Ansatz für mich, kennt ihr dieses Verhalten auch und wenn ja, wie habt ihr das gelöst? Vielen Dank schon mal für die Tipps und Ideen. Gruß, Dominik p.s. Ich hatte auch schon das große Google Orakel gefragt, bin aber auf keine hilfreichen Ergebnisse gekommen, weil ich ja nicht wirklich weiß nach was ich nun suchen soll.

Moin, DNS Technisch kenne ich es auch so dass er so etwas wie eine Art Round-Robin macht und nimmt was er bekommt. Da sind wir mal drauf gekommen, weil ich bei mir zuhause aufgrund von Hardware, Virtualisierung etc. zwei Pi-Hole eingesetzt habe und dann jemand sagte das sie identisch konfiguriert sein sollten, nicht dass immer eine der Fragen schief geht weil Windows sich einfach einen aussucht. ABER der Tipp mit dem "Forward" ist gut... sehr gut sogar! Ich glaube die sollte ich noch mal prüfen. Wir haben zwar noch mal zu zweit und zu dritt geschaut, aber ich glaube DEN TEIL haben wir nicht berücksichtigt. Nachtrag: Also das Forwarding war auf einem der DCs nicht drin, dass haben wir korrigiert. Was uns aber eingefallen war, auch interne DNS Auflösung hatte nicht geklappt! Und das hätte theoretisch klappen müssen.

Hallo zusammen, unsere Mühlen im Unternehmen mahlen relativ langsam, aber ich hätte mal zwei kleine Fragen... das eine ist eine Verständnis Frage, bei dem anderen Thema geht es eher um eure Erfahrungen und Tipps :) Frage 1, Kollege und ich haben in den letzten Wochen unsere DCs auf Windows Server 2019 aktualisiert. Nun haben wir in der vergangenen Woche unseren primären DC01 aktualisiert, und als wir diesen kurzzeitig aus geschaltet hatten, war überall das Internet weg. Verständlich, unser DC01 ist der bevorzugte DNS. Aber, hätte nicht der in den Clients hinterlegte alternative DNS (unser DC02) einspringen müssen? DC01, bevorzugter DNS = IP von DC02, alternativer DNS = 127.0.0.1 DC02, bevorzugter DNS = IP von DC01, alternativer DNS = 127.0.0.1 Clients, bevorzugter DNS = IP von DC01, alternativer DNS = IP von DC02 Frage 2, hierbei handelt es sich wohl eher um ein Philosophisches Thema... Bezeichnungen von Sicherheitsgruppen für Freigaben auf einem Fileserver. Aus historischer Sicht haben wir in der AD eine OU "Freigabegruppen" und darin sind alle Sicherheitsgruppen. Wenn man jetzt auf dem File Server folgenden Verzeichnispfad hat, - \\server\global\Standort\Einkauf\Ordner01\Unterordner01 - \\server\global\Standort\Verkauf\Ordner01\Unterordner01 - \\server\global\Standort\Sonstige\Ordner01\Unterordner01 die Kollegen aus dem First Level Bereich haben es die letzten Jahre immer wie folgt gemacht, - Sicherheitsgruppe, Name = Global_Standort_Einkauf_Ordner01_Unterordner01_RO - Sicherheitsgruppe, Name = Global_Standort_Einkauf_Ordner01_Unterordner01_RW dank den Kolleginnen und Kollegen kann so eine Struktur (leider) noch tiefer gehen und dementsprechend werden die Namen länger und viel spannender ist die Berechtigung wie sie vergeben werden. ---- Unterordner01 (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Ändern" Berechtigung) --- Ordner01 (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Leserechte", nur dieser Ordner) -- Einkauf (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Leserechte", nur dieser Ordner) - Standort (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Leserechte", nur dieser Ordner) Als ich die Kolleginnen und Kollegen fragte ob es da keinen eleganteren Weg gibt, hatte keiner eine Idee und dadurch das es immer so gemacht wurde, hat man das auch so weiter geführt. Gibt es hier ein "Best Practice" wie man so etwas am sinnvollsten oder elegantesten löst? Die Struktur ganz flach halten ist keine Lösung, auch wenn wir die IT sind und es vorschreiben könnten, muss hier ein gesunder Mittelweg gefunden werden, denn nur weil wir etwas vorschreiben muss es nicht sein das wir Recht bekommen. Wenn mehrere 100 Mitarbeiter der Geschäftsführung sagen dass das nicht passt, wird man uns schon sagen wo der Hase lang läuft ;) Eventuell arbeitet man hier in der AD auch mit OUs anstelle von super langen Gruppen Namen und bei den Berechtigungen selbst am Fileserver macht man das auch irgendwie anders. So... ich hätte mich gerne kürzer gefasst um es einfacher zu machen, aber ich habe versucht diverse Infos zu geben und hoffe das es da eventuell ein paar Ideen oder Ansätze gibt. Gruß, Dominik

Moin, einmal ein Feedback an euch bezüglich der Rückmeldung von der Telekom und dem Unify Portal. Ich hatte gefragt ob man dieses auch via LDAP an unserer AD anbinden und hier hatte man mir gesagt, dass dieses nicht möglich sei aber es ist möglich eine Anbindung via ADFS zu realisieren. Ist schade, denn wir haben diverse Komponenten via LDAP angebunden was auch super zuverlässig funktioniert, aber eventuell liegt das an individuellen Anpassungen unsres Systems. Ich habe das zum Schluss gegenüber der Telekom nicht weiter hinterfragt, da das ganze Konstrukt ein wenig "Schatten IT" bei uns ist. Hier sind zwei Hardware Systeme (redundant) mit ESXi und diversen VMs als Bausteinen für Telefonie, Contact Center etc. Bezüglich des Tipps, dass man eher ein öffentliches Zertifikat und nicht eins via PKI ausgesellt nehmen sollte hätte ich mal eine kleine Frage. Ich selbst hatte für S/MIME meine Zertifikate damals bei PSW-Group organisiert, weil die eine große Auswahl (auch SSL Zertifikate für Webseiten etc.) und auch mit längerer Laufzeit haben. Wenn ich nun nächste Woche mit meinem Kollegen rede, ihm sage dass wir dieses über ein öffentliches Zertifikat realsieren würden, gibt es da eine preferenz bezüglich des Anbieters und Laufzeit, oder wäre PSW Group schon OK? Ich frage nur, weil man ja zwecks Laufzeit von Zertifikaten hier und da ein wenig vorsichtiger ist, da ja Apple auch schon angefangen hat, Zertifikate mit langer Laufzeit als "nicht vertrauenswürdig" abzustempeln.

Ja, davon hab ich gehört... ich wollte mich da aus Hannover auch noch bei jemandem melden, aber da man bei mir die Themen umgeworfen hat, wird es aktuell aufgeschoben. Aber in Hannover wohnen Leute die keine langen Wege zur Arbeit haben wollen und auch direkt dort irgendwo wohnen. Für mich wäre das nichts, darum wohne ich außerhalb von Hannover... WEIT außerhalb von Hannover

Moin, sorry für die späte Rückmeldung, ich war Mittwoch und Donnerstag bei uns in Hannover auf einer Messe unterwegs und da ist das Antworten hier auf das Topic leider etwas unter gegangen. Aber vielen Dank für die Ansätze und Tipps! Wenn die Aussage von einem meiner Kollegen (der länger im Unternehmen ist als ich) korrekt ist, sind diverse Bausteine der Systeme auf uns abgestimmt, daher gucke ich noch mal in die Doku die wir von der Telekom bekommen haben und frage sie mal ob sich das Portal auch direkt am AD (z.B. LDAP) anbinden lassen würde. Zumindest weiß ich, dass ja auch andere Systeme die bei uns eingesetzt werden, mit dem AD sprechen. Zumal das eine oder andere System auch web basiert ist, vielleicht kann unsere Lösung dieses ebenfalls und man hat uns dieses noch gar nicht mitgeteilt. Eventuell ist das aber auch aufgrund von "Schatten IT" gar nicht so einfach realisierbar und darum die Brücke über ADFS. Montag werde ich mal unsere Leute bei der Telekom ansprechen ob es da einen genaueren Grund gibt das so zu lösen, oder ob man nicht eventuell eine LDAP Anbindung einrichten könnte. Sobald ich dazu mehr Informationen habe, gebe ich ein Feedback! Aber der Gedanke ist gut und würde das ganze eventuell vereinfachen. Vielleicht ist das so ein "Wald vor lauter Bäumen" ding, dass man hier nur das eine betrachtet und der Rest außer Acht blieb. Gruß, Dominik