testperson

Hi, gibt es auch eine Fehlermeldung bzw. was findet sich im Eventlog (Applications and services > Microsoft > Windows > Hyper-V VMMS)? BTW.: Gibt es Gründe für eine Gen 1 VM? Gruß Jan

Hi, in der Theorie sollte der Softmatch über den UPN machbar sein, wenn du im Tenant vorher den Dirsync abschaltest. Da in meinen ersten Tests der Softmatch nie wollte, mache ich seid dem immer den Hardmatch über die "immutableId". Den Wert der "immutableId" der online User kannst du allerdings auch nur ändern, wenn der Dirsync abgeschaltet ist bzw. wenn du im alten AD den User aus dem Syncscope nimmst und diesen online somit löscht. Nach dem Widerherstellen aus dem Papierkorb wäre das dann ein "online only User" und du könntest die "immutableId" setzen. In grob: # Im on-premises AD: $ObjectGuId = (Get-ADUser -Identity "username").ObjectGUID $immutableID = [System.Convert]::ToBase64String($ObjectGuId.ToByteArray()) $immutableID # Entra Id: Set-AzureADUser -ObjectId "<User>@<Domain>.<Tld>" -ImmutableId "$immutableID" HTH Jan

Neue FSLogix Version 25.04 ist da und fixed wohl die Problemchen: FSLogix Release 25.04 is now generally available! | Microsoft Community Hub

Mit nur diesem einem Windows Server könnte man ja auf dem Blech Hyper-V oder einen anderen Virtualisierer der Wahl nutzen und ("kostenlos") zwei VMs draus zaubern. Wenn man dann schon virtualisiert, lassen sich mit einer weiteren Lizenz zwei weitere Windows VMs betreiben usw. usf.

Hi, hast du die Einstellungen im Druckertreiber unter "Allgemein" -> "Einstellungen" oder "Erweitert" -> "Standardwerte" vorgenommen? "Standardwerte" wäre hier die korrekte Stelle. Den Domain Controller als Print Server missbrauchen ist doch recht suboptimal (siehe bspw. Print Nightmare). Gruß Jan

Das geht definitiv. Bzw. ging es zumindest "zuletzt" noch. Ich suche gleich einmal nach dem Code Schnipsel.

Jetzt bleibt die Frage, wie erfolgsversprechend die externe Weiterleitung im Kontext "SPF" / "DKIM" / "DMARC" ist. :)

Hi, was sagt denn Get-RemoteDomain | fl * zu "AutoForwardEnabled"? Gruß Jan

Hi, sollte nicht weiterhin die Lizenzierung von "unlimited" on-premies Exchange Server (+ Sharepoint und Skype for Business) inkl. CALs* per M365 E3 / E5 möglich sein? (Inkl. Win 11 Enterprise sowie Apps for Enterprise + Entra Id P1 + Intune + Defender P1) Gruß Jan *) Sind da dann nicht sogar die Windows Server CALs mit drin?

Evtl. jetzt (schon) beachten und direkt angehen: Host Europe wechselt auch zur Microsoft 365/CloudBorns IT- und Windows-Blog

Intune. Im etwas weiter oben verlinkten Beitrag, war der "UseNewOutlook" übrigens schon drin. :-)

Da bin ich bei dir. Allerdings wäre das der Grund, warum die User gesynced werden (sollten). Ohne Sync habe ich dann online ja keinen Mailuser (Kontakt). Das könntest du dadurch abfangen, dass du "Register security information" per Conditional Access bspw. nur aus trusted Locations erlaubst.

Wenn wir beim Thema "Lizenzen" sind, müssten die User aber doch mindestens eine Entra Id P1 Lizenz haben, da sie an der Anmeldung mittels Conditional Access gehindert werden. Ein Grund wäre hier doch, falls sie eine Mailbox auf dem lokalen Exchange haben sollten. Ansonsten müsste man die akzeptierte(n) Domäne(n) ja auf non-authoritative konfigurieren.

Okay, wir reden nicht über "SecPol", wir reden über Conditonal Access Policies. Ist der Sync User in der "AllUser_NoLicence"? Falls ja, würde ich ihn aus dem dynamischen Filter ausschließen und testen. Ansonsten mit "What If" oder den Sign In Logs einmal prüfen, ob es tatsächlich an dieser Policy scheitert.

Hi, wo hast du denn hier eine "SecPol" erstellt bzw. was verstehst du hier gerade unter "SecPol"? Und wie steht es um den "On-Premises Directory Synchronization Service Account"? Gruß Jan

Hi, ich würde auch bei der Message Delivery Restriction mein Glück mal mit der PowerShell versuchen. Evtl. ist es generell nicht die ungeschickteste Idee, es direkt mit dem Public Folder in einer Verteilerliste und "Set-Mailbox ... -AcceptMessagesOnlyFromDLMembers <Verteilerliste>" zu erledigen. Configure message delivery restrictions for a mailbox in Exchange Online | Microsoft Learn Set-Mailbox (ExchangePowerShell) | Microsoft Learn HTH Jan

Für Exchange online gibt es jetzt weitere Optionen: Enable or disable access to Outlook for Windows | Microsoft Learn Wenn ich den Artikel (so früh am Morgen) richtig lese, sollte Get-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -OneWinNativeOutlookEnabled $false genügen. Alternativ geht es auch pro Mailbox: Set-CASMailbox -Identity colin@contoso.onmicrosoft.com -OneWinNativeOutlookEnabled $false Oooahhhh... Der Download vom neuen Outlook ist dann noch möglich, es endet dann in:

So. Zwei Spaß und Spiel Domains (eine mit MTA-STS, die andere ohne) sind für Inbound SMTP DANE konfiguriert. Bei der dritten Domain im Bunde warte ich mal noch die restlichen 6,5 Tage. Für .de Domains benötigt der selfHOST Support dann übrigens: DNSSEC Schlüssel Flags DNSSEC Schlüssel Protokoll DNSSEC Algorithmus Öffentlicher Schlüssel Für .it und .cloud Domains (wie oben geschrieben): DNSSEC KeyTag DNSSEC Algorithmus DNSSEC Digest Typ DNSSEC Digest

Hi, da es bei Server 2025 Domain Controllern Probleme mit der Netzwerkerkennung gibt und es scheinbar (auch) mit Anpassung der IPv6 Konfiguration zusammenhängt, ist es hier vielleicht auch das "Problem": When is Network Profile Issue for Domain Controllers going to be at least acknowledged? | Microsoft Community Hub Gruß Jan

DNSSEC funktioniert (scheinbar) schonmal. Die Domain ist bei selfHOST registriert und die DNS Zone liegt bei Azure. Hab den Support angeschrieben und die brauchen dann nur die Infos aus dem oben verlinkten Artikel und richten das dann ein. # Punkt 6 aus # https://learn.microsoft.com/en-us/azure/dns/dnssec-how-to?tabs=sign-portal#sign-a-zone-with-dnssec Key Tag: 4535 Algorithm: 13 Digest Type: 2 Digest: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001 Morgen dann mal in Ruhe mit How SMTP DNS-based Authentication of Named Entities (DANE) secures email communications | Microsoft Learn weitermachen. Wobei ich da wohl nach dem ersten Überfliegen recht zügig 7 Tage Pause machen muss..

Da ist man heute nochmal im Azure DNS Portal und stolpert über "DNSSEC". Scheinbar ist das Anfang des Jahres live gegangen: How to sign your Azure Public DNS zone with DNSSEC | Microsoft Learn Jetzt muss ich nur noch den Prozess für .it in Erfahrung bringen.

Sei mir bitte nicht böse, aber bei den hier aufkommenden und fehlenden (absoluten) Basics, solltet ihr das evtl. nochmal überdenken. Alternativ holt euch doch einen Dienstleister dazu, der euch hier einmal unterstützt und das alles evtl. mit euch gerade zieht. Mit Exchange 2016 (oder auch 2019) müsst ihr ja eh einen Plan für "ab Oktober 2025" haben.

Hi, naja, "null sender" / "empty sender" ist halt ein leerer "Absender" (<>). Ihr doktort da jetzt ein halbes Jahr dran rum. Für die Zeit (Geld) hätte man wohl reichlich viel feste IP beim ISP bekommen. Alternativ wäre es ja auch denkbar sich irgendwo in einer (private) Cloud ein entsprechendes Mail Relay aufzusetzen / bereitstellen zu lassen. Gruß Jan

LAPS unter Windows Server 2025 / Windows 11 24H2 hat da eine bzw. zwei (drei) coole, neue Funktion(en): Kennwörter ohne "leicht zu verwechselnde" Zeichen erstellen (+ besser lesbare Schriftart im ADUC) Kennwortsätze bzw. Passphrases sind möglich (Verwaltung des lokalen Adminkontos, der dann pro Device ebenfalls einmalig ist)

Hi, falls der Domain User mit lokalen Adminrechten in der Gruppe der "Protected Users" ist, dann ist das so. Gruß Jan