roccomarcy

Guten Morgen zusammen, nach Installation vom aktuellen CU (November) für die VM, war RDP wieder problemlos möglich. Gruß

Hallo zusammen, ich habe Windows 11 Pro 24H2 frisch als VM installiert und in mein Active-Directory eingebunden. Alle Updates wurden bereitgestellt und ich habe RDP aktiviert sowie in der Firewall freigegeben. Wenn ich jetzt versuche eine Verbindung zu dieser VM von einem Windows 10 oder Windows 11 Rechner herzustellen, wird diese abgewiesen. Ich habe die Firewall auf beiden Systemen auch schon deaktiviert, leider ohne Besserung. Ist jemanden von euch das Verhalten unter Windows 11 bekannt? Bei einer Installation, die ich via Inplace-Upgrade auf Windows 11 aktualisiert habe, tritt dieses Verhalten nicht auf.

Guten Morgen, ich würde das Thema gerne noch mit einer Rückmeldung von meiner Seite abschließen. Die angesprochenen Punkte aus meinem Eingangspost und noch etwas mehr habe ich als Dienstleistung mit/bei Norbert eingekauft und wurden von uns gemeinsam umgesetzt. Dies soll jetzt keine Werbung für Norbert oder seinem Arbeitgeber sein, ich kann allerdings dennoch mal einen Dank aussprechen, dass die gesamte Umsetzung reibungslos und ohne Ausfall/Störung des laufenden Betrieb erfolgt ist. Das wird nun niemanden weiterhelfen, der in Zukunft vor ähnlichen Problemen stehen wird und bricht natürlich etwas die Idee eines Forums. Aber bei den Brocken an Themen kann ich eigentlich nur dazu raten einen Dienstleister aufzusuchen, der sein Handwerk versteht. Schont am Ende auf allen Seiten die Nerven und auch den Geldbeutel. Gruß

Guten Morgen zusammen, wir mussten auf diversen Systemen feststellen, dass der Speicherplatz auf den Arbeitsplätzen zu Neige geht. Abhilfe schafft die Bereinigung via Datenträgerbereinigung. Da ich nun keine Lust habe dieses auf den ganzen Maschinen manuell durchzuführen, wäre meine Frage, ob folgender Weg sinnvoll ist? => Profil via /sageset erstellen. => Registry-Einstellungen exportieren. => Batch mit Registry-Einstellungen sowie cleanmgr-Ausführung erstellen. => Batch via Aufgabenplanung regelmäßig ausführen lassen (Verteilung via Gruppenrichtlinie) Für (bessere) Vorschläge bin ich offen ..

Hallo, folgende Anforderung hat jetzt nur bedingt was mit Active-Directory zu tun, aber ich habe die Hoffnung, das jemanden so ein Szenario schon einmal vor dir Füße gefallen ist. Ich habe eine Anwendung, in dieser Anwendung kann ich Benutzer hinterlegen und in der Benutzerkonfiguration sagen, dass dieser Benutzer sich mit einem AD/LDAP-Server authentifizieren soll. Das haben wir bereits durchgeführt für DomäneA. Jetzt kommen wir zum spannenden Teil - nun sollen in der Anwendung Benutzer aus DomäneB aufgenommen werden, die Anwendung lässt aber nur die Konfiguration eines LDAP-Servers für alle Benutzer zu. Mein Gedanke wäre nun eine Art LDAP-Proxy in der Anwendung zu hinterlegen. Auf diesem Proxy wird dann konfiguriert, wenn die Anmeldung für BenutzerDomäneA kommt, geht es an die DCs von DomäneA. Bei BenutzerDomäneB natürlich an BenutzerDomäneB. Vielen Dank vorab und ein schönes Wochenende.

Guten Morgen zusammen, ich habe mit NorbertFe auf anderer Ebene Kontakt aufgenommen, um die Probleme außerhalb des Forum zu lösen. Ergebnisse kann ich nachgelagert in den Thread packen, solang von Norbert nichts dagegen spricht. Den Einwand von cj_berlin habe ich berücksichtigt und mir/uns für kommende Veranstaltung im Juli einen Slot reserviert. Ich denke in der Kombination werden sich die Themen gut lösen lassen und auch das Wissen Inhouse stärken. Gruß

Okay, grad nochmal geschaut - tatsächlich steht der Wert auf 1. Das heißt für mich erstmal oben genannte LAN Manager Auth anpassen und danach Extended Protection konfigurieren, right?

Ja, das hast du gesagt. Aber was bedeutet das im Detail? Ich hatte ja einen Auszug aus der GPO oben gepostet und einen Screenshot aus der Registry. Bin ich damit auf der 'sicheren' Seite für EP? Oder lauf ich damit auf ein Problem? Laut GPO ist NTLM v2 ja aktiv, wenn ausgehandelt?

Moin, ich hab mir das mal etwas angeschaut - muss auf jeden Fall auf meinem Exchange TLS 1.2 via Skript aktivieren. Bin dann über div. Beiträge bei Microsoft darüber gestolpert, dass das bei den Clients auch aktiv sein muss. Das sollte es aber ja eh per se - oder muss ich hier auch was vorbereiten? Wenn ich die üblichen PS-Skripts abfeuere, dann kommt aus der Registry auf dem Client nichts zurück. Kann ich das irgendwo valide prüfen? Und es wird wohl NTLM v2 vorrausgesetzt. Ich habe via Gruppenrichtlinie ja noch folgendes konfiguriert. Laut Registry wird am Client auch NTLM v2 verwendet.

Ich habe Exchange 2016 mit aktuellstem CU im Einsatz.

Hi Norbert, erstmal vielen Dank für die schnelle Antwort. Wenn ich mir deine Liste anschaue, dann kann ich einen Großteil davon ohne größere Ängste umsetzen. Ich würde, wenn von eurer Sicht nichts dagegen spricht, mit den Encryption Types anfangen. Dann SMB v1 deaktivieren (ggf. vorher auf vers. DCs/Servern testen) sowie das LAN Manager Authentication Level anpassen. Im weiteren Schritt das Funktionslevel anpassen und zum Schluss das Passwort für krbtgt anpassen. Was meinst du mit innerhalb von 8h problemlos 2x ändern? Reicht es nicht, wenn ich es einmal ändere und die Domänen-Controller replizieren sich? Kann ich auf dem Exchange nachvollziehen, ob EP aktiv ist? Ich weiß, dass das mit einem Update reingekommen ist - habe hier aber manuell nichts aktiviert. Bzgl. der Protected Groups - wir haben hier schon vers. Benutzergruppen (Server/Client/Verzeichnisdienst).

Hallo, ich hatte vor kurzem erst ein Thema bzgl. SMB Signierung im Forum erstellt. Die Anpassung dazu habe ich noch nicht umgesetzt, da ich mit dem Tool pingcastle einen Bericht des aktuellen IST-Zustand gezogen haben. Dabei sind folgende Punkte herausgekommen, die ich nun Stück für Stück abarbeiten möchte. Ausgangslage (kopiert aus verlinktem Thema): Windows Server 2016 / 2019 (mehrere Domain-Controller, Dateiserver, App-Server, usw) Exchange 2016 Windows 10 Pro verteilt über vers. Standorte pingcastle-Ergebnisse: Gesamtstruktur und Domänenfunktionsebene von 2012 auf 2016 anheben. SMB v1 aktiviert auf den Domain-Controllern. LAN Manager Authentication Level SMB Signierung administrative Konten in Protected Group hinzufügen (Tier0-Administratoren) Änderung krbtgt Passwort Benutzergruppe "Authentifizierte Benutzer" ist Mitglied von Pre-Windows 2000 Encryption Types für Kerberos anpassen - aktuell ist dort noch DES-CBC-CRC, DES-CBC-MD5 aktiviert. Meine Frage hier bezieht sich auf die Reihenfolge und Kritikalität der Themen. Gibt es eine sinnvolle Reihenfolge die Änderungen durchzuführen oder kann ich nacheinander weg die Anpassung(en) durchführen?

Gibt es denn eine Reihenfolge, die man einhalten sollte? Das Problem könnte mir ja abends wieder ereilen, wenn ich die Settings aktiviere aber umliegende Systeme evtl. gar nicht mehr die GPO abrufen können. Oder ist die Vermutung quatsch?

Guten Morgen, ich habe die Richtlinie nun aktiviert (gehabt) und musste Sie leider zurücksetzen, da reihenweise Zugänge im AD (aufgrund zu vieler Fehlanmeldungen) gesperrt wurden. Ehrlicherweise muss ich sagen, dass die GPO auch heute Vormittag zum Tagesbeginn aktiviert bzw. geändert habe. Liegt es ggf. daran, dass die GPO noch nicht von allen Systemen übernommen wurden? Auf dem DC wurden Fehler wie 12294 verzeichnet. Das Konto von XXX in der SAM-Datenbank konnte aufgrund eines Ressourcenfehlers, z. B. ein Schreibfehler auf der Festplatte, nicht gesperrt werden. Der Fehlercode ist in den Fehlerdaten zu finden. Konten werden nach mehrmaliger falscher Kennworteingabe gesperrt. Setzen Sie deshalb das Kennwort für dieses Konto zurück.

Da hast du natürlich vollkommen Recht. Das macht den Test natürlich obsolet. Das heißt für mich ist der Weg in der DDP und DDCP die Konfiguration wie folgt zu setzen. Microsoft network client: Digitally sign communications (always) = enabled Microsoft network client: Digitally sign communications (if server agrees) = enabled Microsoft network server: Digitally sign communications (always) = enabled Microsoft network server: Digitally sign communications (if client agrees) = enabeld Risiko hattet Ihr ja nun als Gering eingestuft (bei aktuellen Systemen).