testperson

Hi, es geht (ein wenig) in die Richtung von @cj_berlins Tipp #1: Was soll der RODC denn verbessern bzw. welches Problem gibt es denn zu lösen? Gruß Jan

Wenn der Registrykey nicht da ist, sollte jetzt bzw. seit dem 01.10.2022 auch egal sein. Aus deinem Link oben: Hat die Appliance(?) vielleicht einfach nur die Domain Controller nach dem Key abgesucht und moniert, dass diese nicht da sind?

Hi, denkbar wäre auch erst die IMAP Konten mit bspw. Audriga in die Exchange Postfächer zu synchronisieren und dann am Tag X den Schwenk zu machen. Somit hätten die User direkt ihre Inhalte im neuen Postfach. Gruß Jan

Hi, evtl. wäre serverseitig eine Isolierung per Verbindungssicherheitsregel "Authentifizierung für ein- / ausgehend anfordern" noch ein Ansatz. Grob: Implemeting IPSec in Windows Domain – part 1 | Michael Firsov (wordpress.com) Implemeting IPSec in Windows Domain – part 2 | Michael Firsov (wordpress.com) Gruß Jan

Auch dafür kann es Lösungen geben. Vorerst ja. Ansonsten braucht man wohl deutlich mehr Informationen zur Anwendung. Ist die selbst entwickelt oder um welche Anwendung handelt es sich?

Hi, den Aufwand "nur" für einen externen Mitarbeiter? Holt den Mitarbeiter per virtuellem Desktop / Terminalserver zu den Daten und nicht die Daten zum Mitarbeitern. Gruß Jan

Hi, am Ende des Imports kannst du doch auf den Button "Ereignisanzeige öffnen" (o.ä.) klicken. Was findet sich denn dort an Fehlern? Gruß Jan

Wenn die Policy (GPS: Select RDP transport protocols (gpsearch.azurewebsites.net)) gesetzt ist oder der entsprechende Registry Key (reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v "SelectTransport" /d 1 /t REG_DWORD) gestzt wurde, müssen die Terminalserver einmal gebootet werden.

Ja

Die User dürfen also in HKLM in den Policies Zweig schreiben? Wenn du es pro Client verwalten willst: GPS: Turn Off UDP On Client (gpsearch.azurewebsites.net) Wenn du es an den RDSHs zentral verwalten willst: GPS: Select RDP transport protocols (gpsearch.azurewebsites.net)

Hi, ich blicke nicht 100 % durch. Kann dir aber erstmal nur dazu raten, dass Gateway davor zu betreiben und von dort direkt an den jeweils richtigen Exchange zustellen zu lassen. Gruß Jan

UDP deaktivieren da die Leitung sch*iße ist: (Mit Citrix haben wir mit Adaptive Transport / EDT ("unter RDP" -> UDP) nahezu keine Probleme. Wenn ist Vodafone bzw. einer der Provider die jetzt Vodafone sind mit den Consumer / günstigen Business Tarifen im Spiel.)

Im Endeffekt ist das beim Citrix Zugriff so, wie ihr es gerne für M365 hättet? Externer Zugriff auf Citrix bedingt einen zweiten Faktor und "der Rest" darf nur aus internen Netzen zugreifen? Die kleinstmögliche Option ist der Entra ID P1: Pläne und Preise für Microsoft Entra | Microsoft Security Unter Umständen kann es aber auch Sinn machen in Richtung Enterprise Mobility + Security E3 zu gucken und die Benefits von Intune inkludiert zu haben: Preisoptionen für Enterprise Mobility + Security (microsoft.com) Vielleicht macht es aber auch (für eine Teilmenge) Sinn einen noch ganz anderen Plan zu wählen, der je nachdem Entra ID P1 und ggfs. weitere Features inkludiert. Das könnte _vielleicht_ ein M365 Business Premium sein. Schaut euch einfach an, welcher Plan was inkludiert und was davon für euch hilfreich ist. Im Anschluss dann: "Choose wisely."

Hi, ich bin mir unsicher, ob es hier nicht kurz und schmerzlos sinnvoller wäre, mit den Usern in ein M365 Business Premium / Standard oder je nachdem Office 365 E3 zu wechseln und damit "alles abzufrühstücken". Wenn es unbedingt ein gekauftes Office sein soll, dann eben einen M365 Business Basic Plan für die User nehmen. Gruß Jan

Hi, die "Citrix Umgebung" ist aber doch vermutlich ebenfalls per 2FA gesichert? Könnten ihr hier dann nicht "konsolidieren" und einfach am Netscaler Gateway die Microsoft 2FA bspw. per RADIUS anbinden und dadurch dann im M365 Bereich zusätzlich von Conditional Access profitieren? Sofern die Lizenzierung von Global Secure Access wie in der derzeitigen Preview bleibt, hättet ihr damit durch den Entra ID Plan 1 später noch weitere interessante Optionen: What is Global Secure Access (preview)? - Global Secure Access | Microsoft Learn Gruß Jan

Bei selbst gehosteten Alternativen wäre ggfs. Jitsi noch ein Kandidat. Als Teilnehmer war ich jetzt in mehreren Meetings dabei und habe nichts vermisst. Wäre für nen "schnellen PoC" in der Hetzner Cloud als Cloud App verfügbar.

Manch ein CU wollte vor der Installation auch schon zwei oder drei Reboots bevor es glücklich war.

@Gu4rdi4n: Ggfs. anonymisierst du den ersten Codeblock noch.

You get what you pay for.

Zumal im Bereich "Modern Hybrid" so gesehen ja ein Reverse Proxy in Azure bereitgestellt wird.

AFAIK hat(te) der Artikel dazu Interpretationsspielraum. Die Aussage war aber meine ich, dass jegliche Reverse Proxys mit Pre-Authentication nicht unterstützt werden.

Hi, verteile dann direkt noch den Registry Key um mDNS abzuschalten: HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters EnableMDNS DWORD 0 REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters" /v " EnableMDNS" /t REG_DWORD /d "0" /f Gruß Jan

Hi, alternativer Ansatz: Testclient und Testuser in TestOU(s) ohne Policies schieben und dann nach und nach die Policies verlinken. HTH Jan

Hi, die Rolle "Reviewer" beinhaltet nicht das Recht zum Erstellen von Elementen. Da es für die Kollegin einen expliziten Eintrag gibt, greift der Rest AFAIK nicht. Gruß Jan

Hi, das kommt mir bekannt vor. Kannst du mal prüfen, ob es folgende Keys gibt und diese (exportieren und dann) löschen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msedge.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msedgewebview2.exe Gruß Jan