roccomarcy

Guten Morgen zusammen, nach Installation vom aktuellen CU (November) für die VM, war RDP wieder problemlos möglich. Gruß

Hallo zusammen, ich habe Windows 11 Pro 24H2 frisch als VM installiert und in mein Active-Directory eingebunden. Alle Updates wurden bereitgestellt und ich habe RDP aktiviert sowie in der Firewall freigegeben. Wenn ich jetzt versuche eine Verbindung zu dieser VM von einem Windows 10 oder Windows 11 Rechner herzustellen, wird diese abgewiesen. Ich habe die Firewall auf beiden Systemen auch schon deaktiviert, leider ohne Besserung. Ist jemanden von euch das Verhalten unter Windows 11 bekannt? Bei einer Installation, die ich via Inplace-Upgrade auf Windows 11 aktualisiert habe, tritt dieses Verhalten nicht auf.

Guten Morgen, ich würde das Thema gerne noch mit einer Rückmeldung von meiner Seite abschließen. Die angesprochenen Punkte aus meinem Eingangspost und noch etwas mehr habe ich als Dienstleistung mit/bei Norbert eingekauft und wurden von uns gemeinsam umgesetzt. Dies soll jetzt keine Werbung für Norbert oder seinem Arbeitgeber sein, ich kann allerdings dennoch mal einen Dank aussprechen, dass die gesamte Umsetzung reibungslos und ohne Ausfall/Störung des laufenden Betrieb erfolgt ist. Das wird nun niemanden weiterhelfen, der in Zukunft vor ähnlichen Problemen stehen wird und bricht natürlich etwas die Idee eines Forums. Aber bei den Brocken an Themen kann ich eigentlich nur dazu raten einen Dienstleister aufzusuchen, der sein Handwerk versteht. Schont am Ende auf allen Seiten die Nerven und auch den Geldbeutel. Gruß

Guten Morgen zusammen, wir mussten auf diversen Systemen feststellen, dass der Speicherplatz auf den Arbeitsplätzen zu Neige geht. Abhilfe schafft die Bereinigung via Datenträgerbereinigung. Da ich nun keine Lust habe dieses auf den ganzen Maschinen manuell durchzuführen, wäre meine Frage, ob folgender Weg sinnvoll ist? => Profil via /sageset erstellen. => Registry-Einstellungen exportieren. => Batch mit Registry-Einstellungen sowie cleanmgr-Ausführung erstellen. => Batch via Aufgabenplanung regelmäßig ausführen lassen (Verteilung via Gruppenrichtlinie) Für (bessere) Vorschläge bin ich offen ..

Hallo, folgende Anforderung hat jetzt nur bedingt was mit Active-Directory zu tun, aber ich habe die Hoffnung, das jemanden so ein Szenario schon einmal vor dir Füße gefallen ist. Ich habe eine Anwendung, in dieser Anwendung kann ich Benutzer hinterlegen und in der Benutzerkonfiguration sagen, dass dieser Benutzer sich mit einem AD/LDAP-Server authentifizieren soll. Das haben wir bereits durchgeführt für DomäneA. Jetzt kommen wir zum spannenden Teil - nun sollen in der Anwendung Benutzer aus DomäneB aufgenommen werden, die Anwendung lässt aber nur die Konfiguration eines LDAP-Servers für alle Benutzer zu. Mein Gedanke wäre nun eine Art LDAP-Proxy in der Anwendung zu hinterlegen. Auf diesem Proxy wird dann konfiguriert, wenn die Anmeldung für BenutzerDomäneA kommt, geht es an die DCs von DomäneA. Bei BenutzerDomäneB natürlich an BenutzerDomäneB. Vielen Dank vorab und ein schönes Wochenende.

Guten Morgen zusammen, ich habe mit NorbertFe auf anderer Ebene Kontakt aufgenommen, um die Probleme außerhalb des Forum zu lösen. Ergebnisse kann ich nachgelagert in den Thread packen, solang von Norbert nichts dagegen spricht. Den Einwand von cj_berlin habe ich berücksichtigt und mir/uns für kommende Veranstaltung im Juli einen Slot reserviert. Ich denke in der Kombination werden sich die Themen gut lösen lassen und auch das Wissen Inhouse stärken. Gruß

Okay, grad nochmal geschaut - tatsächlich steht der Wert auf 1. Das heißt für mich erstmal oben genannte LAN Manager Auth anpassen und danach Extended Protection konfigurieren, right?

Ja, das hast du gesagt. Aber was bedeutet das im Detail? Ich hatte ja einen Auszug aus der GPO oben gepostet und einen Screenshot aus der Registry. Bin ich damit auf der 'sicheren' Seite für EP? Oder lauf ich damit auf ein Problem? Laut GPO ist NTLM v2 ja aktiv, wenn ausgehandelt?

Moin, ich hab mir das mal etwas angeschaut - muss auf jeden Fall auf meinem Exchange TLS 1.2 via Skript aktivieren. Bin dann über div. Beiträge bei Microsoft darüber gestolpert, dass das bei den Clients auch aktiv sein muss. Das sollte es aber ja eh per se - oder muss ich hier auch was vorbereiten? Wenn ich die üblichen PS-Skripts abfeuere, dann kommt aus der Registry auf dem Client nichts zurück. Kann ich das irgendwo valide prüfen? Und es wird wohl NTLM v2 vorrausgesetzt. Ich habe via Gruppenrichtlinie ja noch folgendes konfiguriert. Laut Registry wird am Client auch NTLM v2 verwendet.

Ich habe Exchange 2016 mit aktuellstem CU im Einsatz.

Hi Norbert, erstmal vielen Dank für die schnelle Antwort. Wenn ich mir deine Liste anschaue, dann kann ich einen Großteil davon ohne größere Ängste umsetzen. Ich würde, wenn von eurer Sicht nichts dagegen spricht, mit den Encryption Types anfangen. Dann SMB v1 deaktivieren (ggf. vorher auf vers. DCs/Servern testen) sowie das LAN Manager Authentication Level anpassen. Im weiteren Schritt das Funktionslevel anpassen und zum Schluss das Passwort für krbtgt anpassen. Was meinst du mit innerhalb von 8h problemlos 2x ändern? Reicht es nicht, wenn ich es einmal ändere und die Domänen-Controller replizieren sich? Kann ich auf dem Exchange nachvollziehen, ob EP aktiv ist? Ich weiß, dass das mit einem Update reingekommen ist - habe hier aber manuell nichts aktiviert. Bzgl. der Protected Groups - wir haben hier schon vers. Benutzergruppen (Server/Client/Verzeichnisdienst).

Hallo, ich hatte vor kurzem erst ein Thema bzgl. SMB Signierung im Forum erstellt. Die Anpassung dazu habe ich noch nicht umgesetzt, da ich mit dem Tool pingcastle einen Bericht des aktuellen IST-Zustand gezogen haben. Dabei sind folgende Punkte herausgekommen, die ich nun Stück für Stück abarbeiten möchte. Ausgangslage (kopiert aus verlinktem Thema): Windows Server 2016 / 2019 (mehrere Domain-Controller, Dateiserver, App-Server, usw) Exchange 2016 Windows 10 Pro verteilt über vers. Standorte pingcastle-Ergebnisse: Gesamtstruktur und Domänenfunktionsebene von 2012 auf 2016 anheben. SMB v1 aktiviert auf den Domain-Controllern. LAN Manager Authentication Level SMB Signierung administrative Konten in Protected Group hinzufügen (Tier0-Administratoren) Änderung krbtgt Passwort Benutzergruppe "Authentifizierte Benutzer" ist Mitglied von Pre-Windows 2000 Encryption Types für Kerberos anpassen - aktuell ist dort noch DES-CBC-CRC, DES-CBC-MD5 aktiviert. Meine Frage hier bezieht sich auf die Reihenfolge und Kritikalität der Themen. Gibt es eine sinnvolle Reihenfolge die Änderungen durchzuführen oder kann ich nacheinander weg die Anpassung(en) durchführen?

Gibt es denn eine Reihenfolge, die man einhalten sollte? Das Problem könnte mir ja abends wieder ereilen, wenn ich die Settings aktiviere aber umliegende Systeme evtl. gar nicht mehr die GPO abrufen können. Oder ist die Vermutung quatsch?

Guten Morgen, ich habe die Richtlinie nun aktiviert (gehabt) und musste Sie leider zurücksetzen, da reihenweise Zugänge im AD (aufgrund zu vieler Fehlanmeldungen) gesperrt wurden. Ehrlicherweise muss ich sagen, dass die GPO auch heute Vormittag zum Tagesbeginn aktiviert bzw. geändert habe. Liegt es ggf. daran, dass die GPO noch nicht von allen Systemen übernommen wurden? Auf dem DC wurden Fehler wie 12294 verzeichnet. Das Konto von XXX in der SAM-Datenbank konnte aufgrund eines Ressourcenfehlers, z. B. ein Schreibfehler auf der Festplatte, nicht gesperrt werden. Der Fehlercode ist in den Fehlerdaten zu finden. Konten werden nach mehrmaliger falscher Kennworteingabe gesperrt. Setzen Sie deshalb das Kennwort für dieses Konto zurück.

Da hast du natürlich vollkommen Recht. Das macht den Test natürlich obsolet. Das heißt für mich ist der Weg in der DDP und DDCP die Konfiguration wie folgt zu setzen. Microsoft network client: Digitally sign communications (always) = enabled Microsoft network client: Digitally sign communications (if server agrees) = enabled Microsoft network server: Digitally sign communications (always) = enabled Microsoft network server: Digitally sign communications (if client agrees) = enabeld Risiko hattet Ihr ja nun als Gering eingestuft (bei aktuellen Systemen).

Du meinst, weil in der DDP die Konfiguration "wenn Client/Server" zustimmt auf aktiviert gesetzt ist? Gilt dann aktuell nur nicht für die DCs, oder? Dort ist es ja via DDCP deaktiviert.

Ich würde es gerne vorab einmal testen in einer kleineren Umgebung, bevor ich das über alle Systeme ausrolle. Daher die Frage, wie ich das angehen könnte. Also ob ich einfach ein neues GPO-Objekt baue, die Einstellungen dort hinterlege und an eine bestimmte OU hänge.

Hi Norbert, die von dir genannte Konfiguration erfolgt in der DDP? Und die aktuellen Einstellungen aus der DDCP entferne ich bzw. setze ich auf "Nicht konfiguriert" zurück, oder wie wird damit umgegangen? Könnte ich die Settings ggf. erstmal in einem kleinen Bereich testen, sodass ich die Einstellungen in eine sep. GPO packe und diese auf einen Teilbereich von Systemen (z.B. ein Standort) linke?

Hi, könntet Ihr mir noch eine Empfehlung geben, wie die Konfiguration der beiden Richtlinien am besten angepasst werden sollten? Also sozusagen die Zielkonfiguration.

Hi NorbertFe, das sollte ich ausschließen können. Die Randsysteme (NAS, usw) sind soweit aktuell. Vor-Windows 10 Systeme haben wir auch nicht im Einsatz. Das heißt ich könnte die beiden Richtlinien anpassen - was wäre da die aktuelle Konfiguration? Hi cj_berlin, das Thema der "Performance" habe ich auch schon gelesen - allerdings würde ich erstmal behaupten, dass sich das nicht bemerkbar macht. Wir haben relativ potente Systeme.

Guten Morgen zusammen, folgende Ausgangslage: Windows Server 2016 / 2019 (mehrere Domain-Controller, Dateiserver, App-Server, usw) Exchange 2016 Windows 10 Pro verteilt über vers. Standorte Ich musste mit erschrecken feststellen, dass die SMB Signierung nicht aktiviert ist. Das Problem würde ich unter anderem gerne beheben, jedoch bin ich am überlegen, was das für Auswirkungen auf den Betrieb haben könnte. Die aktuelle Konfiguration ist wie folgt. Default Domain Policy: Default Domain Controller Policy: Meine Frage wäre nun, aktiviere ich die Signierung über die o.g. Policys oder baue ich mir für die stufenweise Aktivierung Richtlinien und verlinke diese auf Systeme der einzelnen Standorte. Ich denke aber, ich müsste den Schalter "komplett" umlegen, da bei der stufenweisen Anpassung die DDCP nicht berücksichtigt werden kann. Vielleicht könntet Ihr mir den Tip geben, auf was ich die Richtlinien in den jeweiligen GPOs setzen müsste.

Moin, das hatte ich ja gemacht - Default ist Port 25 und ich hab 2525 genommen. Kann aber auch sonst irgendwas eingeben, das mag er nicht. Er stört sich daran, dass auf dem neuen Connector und halt auf dem vorhandenen (Default) das Binding auf 0.0.0.0/255.255.255.255 sitzt.

Ich habe erstmal nur einen anderen Port für den Connector ausgewählt und den IP-Bereich im Standard belassen (0.0.0.0/255.255.255.255).

Guten Morgen, ich wollte unter Exchange 2016 einen zusätzlichen Empfangsconnector konfigurieren, welcher über "besondere" bzw. abweichende Einstellungen (anderer Port, Tarpit, usw) zum Default verfügt. Leider lässt sich dieser nicht konfigurieren, da ich immer folgende Fehlermeldung erhalte. Die Clients bzw. Anwendungen, die diesen Connector verwenden soll, verwenden immer eine unterschiedliche Absender-IP, daher kann ich das darauf nicht eingrenzen. Es spielt auch keine Rolle ob Hub- oder Frontend-. Wie lässt sich das Problem am "elegantesten" umgehen? :)

Hallo zusammen, wie in den anderen Threads bereits besprochen, wurde ein Exchange 2010 zu Exchange 2016 migriert. Das hat auch ohne (größere) Probleme funktioniert. Ich habe allerdings bei einem Postfach das Problem, dass Outlook immer wieder nach dem Passwort fragt und den Anwender nicht in das Postfach lässt. Das ist eine etwas "besondere" Konstellation, da sich de Anwender in einer anderen Domäne befindet als die restlichen Mitarbeiter. Nichts desto trotz sollte über Outlook Anywhere aber eine Verbindung möglich sein, oder? Als Auth-Protokolle ist NTLM konfiguriert und Basic deaktiviert. Mit anderen Profilen funktioniert es wunderbar (die sich aber auch in der selben Domäne befinden). Danke