Garant

Hi, kurze Rückmeldung zu dem Problem bzgl. Teams. Nach erneutem Durchlaufen des Hybrid-Assistenten wird nun auch der Kalender in Teams wieder angezeigt bzw. mit Daten gefüllt.

Nein, ging auch nicht. Hab jetzt mit iisreset die Einstellung(en) anscheinend zum übernehmen bekommen und es geht wieder. Hallo, ich habe zu o.g. Ews-Konfiguration noch eine Frage. Wie müsste diese aussehen, wenn man mit dem Hybrid Connector von Microsoft arbeitet, damit der Teams Kalender sichtbar ist? Das war mal gegeben aber seit einigen Tagen funktioniert dieser nicht mehr.

Hi, wir haben das Problem, dass der Abwesenheitsassistent, Kalender und Suche nicht mehr geht. Es handelt sich um Exchange 2016, Outlook 2016, voll gepatched. Kollegen haben heute Vormittag die Konfiguration Set-OrganizationConfig angepasst und die EwsAllowList mit den Useragents für Teams erweitert. EwsAllowOutlook war null. Ich habe die Konfiguration jetzt zurückgenommen, aber Outlook möchte immer noch keinen Abwesenheitsassistenten öffnen. Get-OrganizationConfig | Select-Object Ews* EwsAllowEntourage : EwsAllowList : EwsAllowMacOutlook : EwsAllowOutlook : EwsApplicationAccessPolicy : EwsBlockList : EwsEnabled : True Kann es sein, dass es dauert, bis die Einstellung übernommen wird? Oder lässt sich das beschleunigen?

Hallo nochmal, ich würde die Anpassung die Tage durchführen - dazu würde ich das Skript zur Konfiguration der Exchange URLs vom Franky nutzen. Wären damit alle erschlagen oder fehlt in dem Skript noch eine URL? Exchange 2016: URLs und Hostnamen per PowerShell konfigurieren - Frankys Web Ich würde das neue Zertifikat einspielen und dann zum Abend/Wochenende die URL anpassen - bei den Anwendern dürfte ja erstmal nichts passieren, oder? Outlook sollte diese Einstellung ja automatisch erhalten und die mobilen Endgeräte müsste man manuell im Laufe der Zeit anpassen.

Hi Norbert, danke für den ersten Einwand. Was hast du denn so bei deiner Umgebung an Konfiguration gesetzt?

Hallo, zweites Thema in kurzer Zeit - aber bin grad im Lauf. Wir haben diverse (einzelne) Benutzer, die sich mit dem Active-Directory verbinden um was auszulesen die von MFP-Geräten verwendet werden Shared Mailboxen im Exchange Wie handhabt Ihr das? Habt Ihr dort spez. Richtlinien drauf, dass diese sich nicht am System anmelden dürfen? Ich würde diese gerne weiter einschränken, dass die zwar für Ihre eigentliche Aufgabe verwendet werden dürfen, aber für die Anmeldung am System z.B. unterbunden sind.

Hallo, was ist aktuell Best-Practice für die Kennwortrichtlinie von Domänen-Benutzern? Aktuell sind wir bei 10 Zeichen und es dürfen die letzten drei wiederkehrenden Passwörter nicht verwendet werden. Wir würden diese gerne auf mindestens 12 Zeichen anheben. Wie handhabt Ihr dies in euren Umgebungen? Wenn möglich würde ich gerne vers. Richtlinie an vers. Benutzer verteilen, da es zum Teil "kritischerer" Benutzer gibt, die ggf. stärkere Kennwörter verwenden sollen.

Guten Morgen, habt Ihr noch einen Ansatz zu der Frage bzgl. der Prüfung, ob die DCs anfällig oder geschützt sind?

Ich habe nochmal nachgefragt, wie das technisch genau realisiert wurde. Vielleicht werden wir/ich dann schlauer. Gibt es dann eine Möglichkeit zu prüfen, ob meine DCs geschützt sind?

Einer der 2016er - von dem auch die o.g. Screenshots stammen.

Hallo Norbert, eine Appliance, die sich im Netz wie die restlichen Systeme befunden hat. Über eine Angriffskette konnte der Zugriff erlangt werden. Unter anderem konnte durch das Erraten eines Passworts eines Benutzers, der Benutzer für diese SChwachstelle herangezogen werden. So geht es jedenfalls aus dem Bericht hervor. Es wird die IP eines Domänen-Controllers angezeigt und der entsprechende CVE-Vermerk.

Hi, nein - mehrere DCs (alle 2016, leider noch ein 2012er). Die sind vom Stand der Updates aber alle gleich und soweit ich es überblicken konnte, fehlt auf allen der Eintrag in der Registrierung. Folgend ein Screenshot zur besseren Übersicht der Updates.

Hi, also auf dem Domain-Controller sind diverse CU-Updates aus diesem installiert, auch der aktuelle aus April 2024. Der Pentest hat mir rausgeworfen, dass er über die Schwachstelle, beschrieben in CVE-2021-42278/noPac, einen Impact zu verzeichnen hatte. Weitere techn. Details darüber weiss ich leider nicht.

Hallo, Ende 2021 kam die Sicherheitslücke mit o.g. CVE-Nummer hoch. Microsoft hat im November via CU-Update ein Fix dafür bereitgestellt. Dieser Fix sollte doch auch in den darauf gekommenen CUs enthalten sein, oder? Die Frage zielt daher, da ich via Pentest auf die Lücke aufmerksam gemacht wurde. Laut Übersicht der installierten Updates habe ich zwar 2021-11 nicht installiert, aber die späteren Updates. KB5008380—Authentication updates (CVE-2021-42287) - Microsoft Support Da wäre jetzt die Frage - muss ich das CU aus 2021-11 manuell nachinstallieren? Ein einzelnes Patch dazu habe ich nicht gefunden.

Okay, d.h. für ein Jahr nochmal ein SAN-Zertifikat für owa/autodiscover.domaenea.de und owa/autodiscover.domaeneb.de ausstellen? Ein Wildcard-Zertifikat für *.domaeneb.de habe ich bereits in Verwendung. Wäre vermutlich am 'schlauesten', um blöde Fehlermeldungen bzgl. des Zertifikats zur vermeiden. Spätestens im kommenden Jahr wäre es dann rausgewachsen.