FrankCarius

Ok., hab noch mal nachgeschaut und da hat sich wohl echt was verändert. Das passiert, wenn man länger nicht mehr mit Clients zu tun hatte. Danke für den Weckruf. Aber nun kenne ich ja in dem Thema wieder jemanden, den ich fragen kann

Für Konferenzräume gibt es extra eine "MeetingRoom Lizenz" https://tomtalks.blog/2018/12/new-office-365-meeting-room-system-licence-subscription-for-microsoft-teams-and-skype-room-systems/ SFBOnlinePlan2 wird angeblich bald nicht mehr verkauft. Für Telefone alleine gibt es auch eine Lizenz: Set up the Common Area Phone license for Microsoft Teams https://docs.microsoft.com/de-de/microsoftteams/set-up-common-area-phones

Und wenn wir beim "Legal" sind. Wenn das ein "Revisionstool" ist, dann prüft mal eure Revisionsvorlagen. Wenn 4 Leute mit dem gleichen Usernamen in dem Tool etwas machen, dann kann man nicht mehr nachvollziehen, wer es denn tatsächlich war. Das widerspricht dem Grundprinzip einer "Revisionssicherheit". Damit lassen sich die Lizenzkosten dann ganz schnell argumentieren. und wenn das Programm etwas taugt, dann kann es über Lock-Dateien zuverlässig sicherstellen, dass es nur einmal auf dem Computr läuft, egal wie viele RDS-Sessions es sind.

Wenn die Systeme in der Schule gut konfiguriert sind, dann hast du ein paar Watt strom mehr verbraucht durch CPU-last und eine ZIP-Bombe ist eine spezielle Datei, die beim Auspacken sehr sehr viel größer wird. Also wenn ich dir so eine "Minidatei" per Mail sende und du die dann auspackst, dann schreibt sie im schlimmsten Fall die Festplatte voll. eine 34Gb Textdatei ist quasi das Ergebnis einer "ZIP-Bombe" Wenn ihr nun, wie in vielen Schulen gar keinen eigenen PC habt, sondern per Thin Client auf einem Terminal Server gemeinsam arbeitet und der nun voll ist, dann kann keiner mehr arbeiten. Das kann ein erfahrener Admin aber lösen. Aber es kostet halt Zeit. Und eure Lehrer sollen euch was beibringen und nicht euer Kindermädchen sein. Vor allem sind sie keine IT-Fachleute. Was da nun rauskommt, muss dein Rektor entscheiden. Vielleicht hast du aber auch einfach nicht zugehört, was die Schule dir gesagt hat. Es gibt KEINEN Grund auf einem Schulsystem eigenständig Programme herunter zu laden und zu installieren oder ZIP-Bomben zu bauen. Wenn die Schule zur "Schadensbehebung" jemanden kommen lassen musste und das ein paar Stunden gedauert hat, dann kann das schon etwas kosten. 30-50€/PC-Technikerstunde kommen da schnell zusammen und es kann auch mal ein paar Stunden dauern. Fakt ist, dass du die Geräte nicht bestimmungsgemäß verwendet hast. Im Strafgesetz ist auch ein "Versuchter Einbruch" strafbar, auch wenn man nichts geklaut hat. Verweis wäre zu viel aber unter den Tisch kehren kann das ein Rektor auch nicht.

Ich schreib es auch noch mal hier, damit alles was davon haben. Federation per Skype for Business braucht 1. DNS . der Edge-Server muss _sipfederationtls._tcp.<domain> auflösen können Also auf dem Client mal den Status einer befreundeten Domain abfragen und wenn da nichts kommt dann auf den Edge gehen und "IPCONFIG /DISPLAYDNS" machen und schauen, ob er das auflösen konnte. NeIn ? dann die DNS-Auflösung mal von hand machen z.B. "NSLOOKUP -q=SRV _sipfederationtls._tcp.netatwork.de" sollte einen sip.netatwork.de mit 5061 liefern 2. Damit ist auch klar, dass Federation per 5061 geht. Also einfach mal ein TELNET sip.netatwork.de 5061 machen. man sollte einen Connect hin bekommen. 3 Es kann aber auch immer noch "intern" ein Problem sein. Also Konfiguration in Skype (Federation Route, Federation Domains etc) Daher auf auf dem Client mal das UCCAPILOG nach den INVITE/REGISTER-Paketen vom Client an die gegenstelle suchen und dann die Antwort dazu suchen. Siehe auch https://www.msxfaq.de/skype_for_business/tools/microsoft/keyholedebugging.htm. 4. auch die Gegenseite "Prüft" bei Federation das Zertifikat (MTLS). hat man also eine RootCA, die ausreichend vertrauenswürdig ist ? Wurde die vielleicht mit der Verlängernug gewechselt. Sind die Intermediate Certs etc korrekt installiert ? Geht mal nicht davon aus, dass ein Edge Server sich per "RootCa Auto Enrollment" alle rootCAs der Welt holen darf. Die Dinger stehen in der DMZ und da ist Surfen nicht immer erlaubt. Soweit mal ein paar grundlegende Dinge

Das mit dem Ping stimmt nur zum Teil Die erste Anfrage ist eine DNS-Anfrage nach der Domain, in der der Computer um die Domain Controller zu finden. Aber dann startet der Client einen ICMP-Ping an die gelieferten Adressen um die Laufzeit zu messen und sich dann mit dem zu verbinden, der am schnellsten Geantwortet hat. Das ist auch der Grund, warum ein Server mit einschalten der Datei/Druckdienste (SYSVOL/NETLOGON) auch per PING in der Firewall freigeschaltet wird. Er wendet sich dann an den "Netztechnisch" nächsten DC um dort dann mit seiner IP-Adresse zu fragen, in welcher SITE er ist und dann holt er sich die DCs, die für diese Site sich im DNS eintragen haben. Insofern: Der Erstkontakt ist nicht zu verhindern. man könnte aber die "PING Erreichbarkeit" natürlich auf die lokalen DCs beschränken. Aber das ist eigentlich ein Problem da es nur wenige Pakete sind, bis der Client seine Site gefunden hat. Frank

Ich versuch es mal in Kurz. Office 365 bietet seit 1.12.2015 auch Telefoniefunktionen an Die erforderliche Lizenzkomponente ist "CloudPBX". damit kann ein Cloud User eine Rufnummer bekommen (aber noch nicht telefonieren!!) nur weil du dir eine TK-Anlage kaufst, hast du noch keine Amtsleitung. CloudPBX ist ein AdditionalLicense z.B. für E3 User oder in E5 enthalten (E4 wird nicht mehr aktiv vermarktet) Wenn man nu auch mit dem "alten" Telefonnetz kommunizieren will, dann braucht man eine Verbindung zum TK-Netz. Da gibt es zwei Optionen 1. Microsoft stellt den Trunk bereit (PSTN Trunk Lizenz. mit 2000 Minuten/User national. (ca 12 US$ aktuell) oder International für 24 US$. Das Angebot gibt es aber noch NICHT in Deutschland. 2. Du machst selbst den PSTN-Trunk bei dir zuhause mit einem lokalen Lync/SFB Server und Hybrid. 3. Es wird einen Cloud Connector geben, um quasi ohne lokale SFB-Installation einen PSTN Trunk aufzubauen ein SIP-Trunk von PureIP, Sipgfate, Telekom o.ä. direkt in die Cloud gibt es nicht. Server in Deutschland ? na ja wir haben Amsterdam und Dublin und Österreich. Ich wüsste nicht, dass in DE noch was kurzfristig kommt. die DE-Cloud ist was anderes Und dann gibt es noch Broadcast Meetings. Die gehen heute schon einfach mit einem E1 oder höher Paket Und zuletzt gibt es noch PSTNDialIn in bestehende Konferenzen. da gibt es weltweit in 45 Ländern entsprechende Einwahlnummern. Verkauft wird das in 15 Ländern. Auch in DE. Hilft das etwas ?

Also Split-DNS für eine externe Domäne ist eigentlich nichts ungewöhnliches. Auch mit Office 365. Ich würde auf dem Client das Logging einschalten und dann im Textfile schauen, was er versucht und was ihn stört. http://www.msxfaq.de/lync/tools/keyholedebugging.htm Frank