testperson

Okay, ich bin erstmal überrascht. Auf dem RDSH habe ich rechts neben dem Infobereich direkt "Copilot in Windows". Auf Servern ohne RDSH Rolle ist das AppX Paket zwar da und installiert aber kein Copilot Icon.

Bin gerade per Inplace OS Upgrade über Windows Update auf die neueste Build 26063 hoch und tadaa: Copilot im Windows Server. Der erste Testserver war jetzt ein RDSH, wo ich Copilot ja durchaus sehe. Ich ahne aber schon, was mich gleich erwartet, wenn der erste Domain Controller das Upgrade hinter sich hat.

MeshCentral fand ich bis auf die nicht so intuitive Management Oberfläche echt gut. Leider ist es fraglich, wie es da weiter geht: Starting work at Microsoft (meshcentral2.blogspot.com) (Der letzte Blogbeitrag von Oktober 23 ließt sich allerdings wieder anders.) Das Code Signing scheint hier auch besser bedacht zu sein bzw. wird per default der Agent selfsigned signiert. MeshCentral ist ansonsten im Tactical RMM integriert und wird wohl von denen geforked(?) gemaintained. Allerdings ein komplettes RMM nur für Fernwartung.. Puh.. ;)

Das hatte ich in der Doku für die TCP Ports auch so gelesen. Allerdings bleibt dann 21116 udp (Installation :: Dokumentation für RustDesk): Das hat mich jedenfalls abgehalten überhaupt zu testen.

Hi, bei Rust Desk gefällt mir persönlich nicht, dass die Ports 21114-21119 tcp und der Port 21116 udp benötigt werden. Beim selber Hosten kommt dann noch dazu, dass man AFAIK auch selber fürs Code Signing zuständig ist. MeshCentral hatte mir bspw. ganz gut gefallen, wird aber wohl auch nicht mehr wirklich weiter gewartet. (Wobei es sich jetzt im Blog wieder anders ließt..) Bei meinem alten AG hatten wir ISL online in der selbst gehosteten Version. Das gab es damals noch als Kaufvariante. Gruß Jan

Hi, ich kenne/nutze PC Visit und ISL online. Ansonsten bietet Intune jetzt als Add-On Remote Help an. Ggfs. noch die in Win 10/11 integrierte Remotehilfe. Gruß Jan

Generell bin ich bei dir, würde die Edge Rolle allerdings auch zu den "Mailgateways" zählen.

Hi, Get-SendConnector | Select-Object Identity, Fqdn liefert in der EMS? (Generell _sollte_ doch vor dem Exchange noch ein Mailgateway stehen, kannst du da nicht (sinnvoller) drüber relayen?) Gruß Jan

Hi, AFAIK nein. Du bräuchtest hier eine Profillösung, die wie bspw. der Citrix UPM "Multi-Session Write-Back for Profile Containers" kann, was dann aber mit den Notebooks schwierig wird unter einen Hut zu bekommen. Die einfachste Lösung wäre wohl organisatorischer Natur: Die User arbeiten immer und ausschließlich in der VDI Umgebung. Gruß Jan

Das ist vom Aufwand nahezu egal. Aber ja, machen und (vorher) gleich noch einen weiterer DC dazu. DCs sind Rudeltiere. ;)

Hi, nice, die haben auch eine API. Danke @zahni Gruß Jan

Hi, nur aus Interesse: Was hat das für einen Hintergrund? Ansonsten für die Zeit Synchronisation in der Domäne: Zeitsynchronisation der Domäne - w32time - Zeitserver per GPO - Gruppenrichtlinien Gruß Jan

In der aktuellen Preview für Server (oder auch Win 11) bin ich gerade über Änderungen im "native LAPS" gestolpert: Announcing Windows 11 Insider Preview Build 26040 (Canary Channel) | Windows Insider Blog Erstellung eines verwalteten, lokalen Accounts inkl. "Zufallsgenerator" für ein Prefix des Accounts, welcher beim Passwortwechsel ebenfalls rotiert Die Passwortkomplexität kann jetzt leicht zu verwechselnde Zeichen auslassen; Kennwortsätze können automatisch generiert werden Ein "Image Rollback Detection Feature" wurde implementiert Im Personal Store der lokalen Hyper-V Hosts liegt ein Zertifikat "CLIUSR": Zertifikat gelöscht -> Keine Livemigration mit Authentifizierungsfehler Zertifikat wieder importiert -> Livemigration Im Hyper-V Manager, lässt sich die Livemigration allerdings nicht auf Kerberos konfigurieren. Die GUI vermeldet, dafür sei ein Domain-join nötig. Die PowerShell sagt: Get-VMHost | fl *auth* VirtualMachineMigrationAuthenticationType : 4 Ich hätte da "Kerberos" oder "CredSSP" erwartet, kann aber auch mit "4" leben. :)

Wenn ich Kerberos komplett blocke, lässt sich der Cluster Manager nur öffnen, wenn die Cluster Ressource auf dem eigenen Node liegt. Öffnet man den Cluster Manager auf Node1, schiebt die Cluster Ressource auf Node2 und öffnet dort den Manager, lässt sich problemlos von beiden Knoten das Cluster bedienen. Was gar nicht funktioniert - egal ob Kerberos only oder mit NTLM, ist die VM Konsole einer VM auf dem anderen Knoten zu öffnen. (Das wird aber vermutlich daran liegen, dass ich das noch nicht umgesetzt habe (Remotely manage Hyper-V hosts | Microsoft Learn)). "Incoming NTLM" auf "Deny all domain accounts" oder "Allow all" und folgende Ausnahmen scheinen laut Eventlog das Minimum zu sein Auf Knoten ADLESS-HV01: RPCSS/ADLESS-HV02 RPCSS/ADLESS-HV02.workgroup.cluster host/ADLESS-HV02 host/ADLESS-HV02.workgroup.cluster MSServerClusterMgmtAPI/adless-cluster02 MSServerClusterMgmtAPI/adless-cluster02.workgroup.cluster cifs/ADLESS-HV02 cifs/ADLESS-HV02.workgroup.cluster Auf Knoten ADLESS-HV02: RPCSS/ADLESS-HV01 RPCSS/ADLESS-HV01.workgroup.cluster host/ADLESS-HV01 host/ADLESS-HV01.workgroup.cluster MSServerClusterMgmtAPI/adless-cluster01 MSServerClusterMgmtAPI/adless-cluster01.workgroup.cluster cifs/ADLESS-HV01 cifs/ADLESS-HV01.workgroup.cluster

Konntest du den Cluster Kerberos-only erstellen? Bei mir war eine Validierung mit aktiviertem NTLM blocking nicht möglich. Jetzt "im Betrieb" ist Kerberos-only kein Problem.

Dann schreibe notfalls die SID in die "GptTmpl.inf" unter "\\%USERDNSDOMAIN%\sysvol\%USERDNSDOMAIN%\Policies\{Id des GPOs}\Machine\Microsoft\Windows NT\SecEdit" ... SeServiceLogonRight = *S-1-5-80-0 ... Ggfs. kannst du auch einen "Dummy Eintrag" in der GPMC hinzufügen und im Anschluss diesen in der Datei einfach durch die SID ersetzen.

Hi, was findet sich denn derzeit bei euch in "SeServiceLogonRight", was ist passiert und welche Probleme gibt es? User Rights Assignment - Windows Security | Microsoft Learn Log on as a service - Windows Security | Microsoft Learn Gruß Jan

Hi, wäre es im Rahmen des Möglichen, dass du die Hinweise zur Extended Protection (Exchange Server support for Windows Extended Protection | Microsoft Learn) hättest vor dem Update beachten sollen? Gruß Jan

Hi, was ist das denn für ein Terminalserver OS? Bei Server 2016 habe ich sehr häufig Probleme mit dem Benachrichtungscenter und diversen Apps erlebt. Hast du mal den Holzammer getestet und ein komplett neues Profil für einen betroffenen User angelegt? Gruß Jan

Hi, AFAIK wurde in Chrome bzw. den Browsern(?) eine Anpassung gemacht, dass das nicht mehr geht. Bin mir aber nich 100 % sicher. Es kann auch sein, dass Wildcards nicht mehr gehen. Ich habe es jedenfalls aufgegeben, den Prompt zu unterdrücken. Wäre es evtl. möglich, einfach die Citrix Workspace App per GPO zu konfigurieren und nicht über den Browser zu gehen? Gruß Jan

Wo brauchst du das Update? Ob das Kerberos, NTML oder was ganz anderes ist? Oder einfach nur, ob es jetzt auch ein Hyper-V Failover Cluster domainless inkl. Live Migration lauffähig ist?

Hi, evtl. traefik? Ansonsten würde ich fast behaupten, dass das mit dem Citrix Netscaler machbar sein sollte. Wobei ich mich in dem Bereich am Netscaler nicht auskenne. ;) Gruß Jan

Welcher DNS Server ist denn im Einsatz? Sollten da nicht entsprechende Fehler protokolliert werden?

Hi, das CNO und die Nodes benötigen die Berechtigung für das DNS Update (Schreiben(?) / Vollzugriff(?)) des Eintrages "Cluster Name". Gruß Jan

Wenn ich mir das CVE-2024-21410 (CVE-2024-21410 - Security Update Guide - Microsoft - Microsoft Exchange Server Elevation of Privilege Vulnerability) ansehe, ist ohne aktivierte EP wohl keine Lösung...