Garant

Hi, kurze Rückmeldung zu dem Problem bzgl. Teams. Nach erneutem Durchlaufen des Hybrid-Assistenten wird nun auch der Kalender in Teams wieder angezeigt bzw. mit Daten gefüllt.

Nein, ging auch nicht. Hab jetzt mit iisreset die Einstellung(en) anscheinend zum übernehmen bekommen und es geht wieder. Hallo, ich habe zu o.g. Ews-Konfiguration noch eine Frage. Wie müsste diese aussehen, wenn man mit dem Hybrid Connector von Microsoft arbeitet, damit der Teams Kalender sichtbar ist? Das war mal gegeben aber seit einigen Tagen funktioniert dieser nicht mehr.

Hi, wir haben das Problem, dass der Abwesenheitsassistent, Kalender und Suche nicht mehr geht. Es handelt sich um Exchange 2016, Outlook 2016, voll gepatched. Kollegen haben heute Vormittag die Konfiguration Set-OrganizationConfig angepasst und die EwsAllowList mit den Useragents für Teams erweitert. EwsAllowOutlook war null. Ich habe die Konfiguration jetzt zurückgenommen, aber Outlook möchte immer noch keinen Abwesenheitsassistenten öffnen. Get-OrganizationConfig | Select-Object Ews* EwsAllowEntourage : EwsAllowList : EwsAllowMacOutlook : EwsAllowOutlook : EwsApplicationAccessPolicy : EwsBlockList : EwsEnabled : True Kann es sein, dass es dauert, bis die Einstellung übernommen wird? Oder lässt sich das beschleunigen?

Hallo nochmal, ich würde die Anpassung die Tage durchführen - dazu würde ich das Skript zur Konfiguration der Exchange URLs vom Franky nutzen. Wären damit alle erschlagen oder fehlt in dem Skript noch eine URL? Exchange 2016: URLs und Hostnamen per PowerShell konfigurieren - Frankys Web Ich würde das neue Zertifikat einspielen und dann zum Abend/Wochenende die URL anpassen - bei den Anwendern dürfte ja erstmal nichts passieren, oder? Outlook sollte diese Einstellung ja automatisch erhalten und die mobilen Endgeräte müsste man manuell im Laufe der Zeit anpassen.

Hi Norbert, danke für den ersten Einwand. Was hast du denn so bei deiner Umgebung an Konfiguration gesetzt?

Hallo, zweites Thema in kurzer Zeit - aber bin grad im Lauf. Wir haben diverse (einzelne) Benutzer, die sich mit dem Active-Directory verbinden um was auszulesen die von MFP-Geräten verwendet werden Shared Mailboxen im Exchange Wie handhabt Ihr das? Habt Ihr dort spez. Richtlinien drauf, dass diese sich nicht am System anmelden dürfen? Ich würde diese gerne weiter einschränken, dass die zwar für Ihre eigentliche Aufgabe verwendet werden dürfen, aber für die Anmeldung am System z.B. unterbunden sind.

Hallo, was ist aktuell Best-Practice für die Kennwortrichtlinie von Domänen-Benutzern? Aktuell sind wir bei 10 Zeichen und es dürfen die letzten drei wiederkehrenden Passwörter nicht verwendet werden. Wir würden diese gerne auf mindestens 12 Zeichen anheben. Wie handhabt Ihr dies in euren Umgebungen? Wenn möglich würde ich gerne vers. Richtlinie an vers. Benutzer verteilen, da es zum Teil "kritischerer" Benutzer gibt, die ggf. stärkere Kennwörter verwenden sollen.

Guten Morgen, habt Ihr noch einen Ansatz zu der Frage bzgl. der Prüfung, ob die DCs anfällig oder geschützt sind?

Ich habe nochmal nachgefragt, wie das technisch genau realisiert wurde. Vielleicht werden wir/ich dann schlauer. Gibt es dann eine Möglichkeit zu prüfen, ob meine DCs geschützt sind?

Einer der 2016er - von dem auch die o.g. Screenshots stammen.

Hallo Norbert, eine Appliance, die sich im Netz wie die restlichen Systeme befunden hat. Über eine Angriffskette konnte der Zugriff erlangt werden. Unter anderem konnte durch das Erraten eines Passworts eines Benutzers, der Benutzer für diese SChwachstelle herangezogen werden. So geht es jedenfalls aus dem Bericht hervor. Es wird die IP eines Domänen-Controllers angezeigt und der entsprechende CVE-Vermerk.

Hi, nein - mehrere DCs (alle 2016, leider noch ein 2012er). Die sind vom Stand der Updates aber alle gleich und soweit ich es überblicken konnte, fehlt auf allen der Eintrag in der Registrierung. Folgend ein Screenshot zur besseren Übersicht der Updates.

Hi, also auf dem Domain-Controller sind diverse CU-Updates aus diesem installiert, auch der aktuelle aus April 2024. Der Pentest hat mir rausgeworfen, dass er über die Schwachstelle, beschrieben in CVE-2021-42278/noPac, einen Impact zu verzeichnen hatte. Weitere techn. Details darüber weiss ich leider nicht.

Hallo, Ende 2021 kam die Sicherheitslücke mit o.g. CVE-Nummer hoch. Microsoft hat im November via CU-Update ein Fix dafür bereitgestellt. Dieser Fix sollte doch auch in den darauf gekommenen CUs enthalten sein, oder? Die Frage zielt daher, da ich via Pentest auf die Lücke aufmerksam gemacht wurde. Laut Übersicht der installierten Updates habe ich zwar 2021-11 nicht installiert, aber die späteren Updates. KB5008380—Authentication updates (CVE-2021-42287) - Microsoft Support Da wäre jetzt die Frage - muss ich das CU aus 2021-11 manuell nachinstallieren? Ein einzelnes Patch dazu habe ich nicht gefunden.

Okay, d.h. für ein Jahr nochmal ein SAN-Zertifikat für owa/autodiscover.domaenea.de und owa/autodiscover.domaeneb.de ausstellen? Ein Wildcard-Zertifikat für *.domaeneb.de habe ich bereits in Verwendung. Wäre vermutlich am 'schlauesten', um blöde Fehlermeldungen bzgl. des Zertifikats zur vermeiden. Spätestens im kommenden Jahr wäre es dann rausgewachsen.

Hallo, ich habe Exchange 2016 on Prem im Einsatz. Aktuell sind div. Verzeichnisse so konfiguriert, dass diese int. und ext. auf owa.DomaeneA.de lauschen. Diese Domaene ist aber nicht mehr aktuell und soll umgestellt werden, sodass alles auf owa.domaeneb.de hoeren soll. Lässt sich dieses Vorhaben 'einfach' umsetzen, wenn ich natürlich auch über ein entsprechende https-Zertifikat verfüge? Einzig wo ich manuell anpassen müsste wäre die Konfiguration der mobilen Endgeräte (iOS), oder? Outlook + Co müssten sich diese Konfiguration via AD holen?

Hallo zusammen, wir hatten heute Vormittag das Problem, dass Exchange die E-Mails nicht mehr den Postfächern zugeordnet hat. Das Gateway hat die Meldung "insufficient system resources" zurückerhalten. Nach kurzem Google hat sich herausgestellt, dass wir wohl auf ein Speicherplatz-Limit vom Transportdienst gelaufen sind. Ich habe diesen dann angehalten, der Festplatte mehr Speicherplatz zugewiesen, und wieder gestartet. Die ausstehenden E-Mails wurden zugestellt. Jetzt habe ich noch eine mail.que mit ca. 75GB Größe liegen - kann ich diese 'einfach' löschen oder bereinigt sich diese von selbst? Via Get-Queue habe ich alle MessageCounts auf 0 und der Zeitstempel der mail.que hat bei heute Vormittag ~ 10 Uhr aufgehört (dort habe ich den Transportdienst neugestartet). /Update: Es handelt sich um ein aktuellen Server 2016 mit Exchange 2016 und aktuellen Updates. Außerdem ist es der einzige Server.

Ich habe im HQ zwei DCs, korrekt und an 'größeren' Standorten einen eigenen DC. Manche Standorte haben keinen Domain-Controller. Habe die GPO angepasst und konnte jetzt erfolgreich den neuen DC promoten. Vielen Dank dafür und allen einen schönen Feierabend!

ca. 700 User, aber auf vers. Standorte aufgeteilt. An einem Standort steht noch der 2012 R2, der soll ersetzt werden und dann wollte ich DFL anheben. Warum?

8 Stück Ich füge das mal hinzu und gebe Rückmeldung.

Hi, er war erst kein Member, da trat der Fehler auf. Dann habe ich diesen testweise als Member hinzugefügt, selber Fehler. IPv4 und Co sowie Uhrzeit passt. Das heißt ich sollte in der DDCP mal die Gruppe Administratoren hinzufügen? Schiefgehen sollte dabei ja nichts, oder?

Moin, ich habe noch einen Server 2012 R2, den ich gerne jetzt ersetzen möchte bzw. auch muss. :) Die restlichen DCs sind alle Server 2016. DomainMode : Windows2012R2Domain ForestMode : Windows2012R2Forest

Hallo zusammen, ich wollte einen neuen Server zu einem Domänen-Controller heraufstufen. Leider erhalte ich bei der Vorabüberprüfung durch den Assistenten folgende Fehlermeldung: Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird Ich habe jetzt etwas recherchiert und festgestellt, dass in der Default Domain Controller Policy folgendes (nicht) konfiguriert ist. Ich vermute hier die Wurzel allen Übels, kann mir aber nicht erklären, warum da nichts hinterlegt ist. Was für eine Gruppe müsste hier korrekterweise konfiguriert sein? Es gibt bei uns keine "besonderen" Konfigurationen. Administratoren?

Danke!

Hallo, ich bin mir sicher, dass ich o.g. Vorhaben auch selber zusammenschreiben oder mir aus dem Internet suchen kann. Aber vielleicht hat ja jemand ein passendes Skript parat, womit ich regelmäßig den UPN mit der primären E-Mailadresse abgleichen kann. Hintergrund ist, dass ich das für die Azure-Dienste benötige.