Het grote kleine-SysOps-vragen topic deel 1

Renegade666 schreef op donderdag 15 december 2022 @ 21:28:
@Hero of Time

Die bejaarde heb ik geprobeerd om als jong ventje te laten praten, dus tls.1.2 staat wel aan😅

Kan wel aan staan, maar heb je ook verteld dat het niet met 1.0 moet gaan zeulen? Software, zeker die van MS, wil nog wel eens 1 poging doen en als dat mislukt, niets anders meer proberen. En je geeft aan dat er iets met TLS 1.0 is in de error, dus, zorg even dat dat echt uit staat.

Vandaar ook mijn vraag welk config-bestandje (oid) de applicatie gebruikt per server

Nieuwe 2022 server met SQL 2022 met applicatie.
Werkt prima op de server
Nieuwe citrix servers (maar nog niet klaar), start applicatie zonder issues.
citrix prod (2016) wil maar geen programma opstarten.

Er hangt geen certificaat aan( Sql), iig niet iets wat wij er aan hebben gezet. Maar dan is nog vreemd waarom 2022 wel verbind zonder issues, maar 2016 niet.

Ok, het werkt dus op de database/applicatieserver zelf
Het werkt op een vers ingerichte 2022
Het werkt niet op een al bestaande 2016

Er is door jou of je DBA geen certificaat aan SQL Server gehangen
De 2016 server geeft een foutmelding mbt TLS

Ergo, de 2016-server wil TLS gebruiken en de server ondersteunt dat niet (want geen certificaat) -> er lijkt iets in de config te staan dat TLS afdwingt?

Mocht er wel een certificaat aan hangen, dan is de vraag of je echt TLS 1.0 op de juiste manier en plek hebt aangezet, en/of je ODBC-driver op de 2016-server nieuw genoeg is om TLS 1.2 te snappen.

Paul schreef op donderdag 15 december 2022 @ 21:36:
Vandaar ook mijn vraag welk config-bestandje (oid) de applicatie gebruikt per server


[...]


[...]


Ok, het werkt dus op de database/applicatieserver zelf
Het werkt op een vers ingerichte 2022
Het werkt niet op een al bestaande 2016

Er is door jou of je DBA geen certificaat aan SQL Server gehangen
De 2016 server geeft een foutmelding mbt TLS

Ergo, de 2016-server wil TLS gebruiken en de server ondersteunt dat niet (want geen certificaat) -> er lijkt iets in de config te staan dat TLS afdwingt?

Mocht er wel een certificaat aan hangen, dan is de vraag of je echt TLS 1.0 op de juiste manier en plek hebt aangezet, en/of je ODBC-driver op de 2016-server nieuw genoeg is om TLS 1.2 te snappen.

Ik heb de laatste odbc drivers bij ms weggehaald. V18 geloof ik. Die zou het moeten doen.

De rest moet ik morgen na kijken, maar denk niet dat er iets word geforceerd qua tls.

Je kan iig nog naar https://techcommunity.mic...t-connections/ba-p/385860 kijken, voor extra debugging van wat je client gebruikt.

En anders even zelf zoeken hoe je TLS 1.0 en 1.1 kan uitschakelen via o.a. het register. Zag ook iets met IIS Crypto langs komen, maar geen idee wat dat precies kan/doet.

@Hero of Time
Iiscrypto al geprobeerd. Die doet de register instellingen voor je. Handmatig kan ook. Maar dit scheelt typen😇

Chipers kloppen ook??

@Tylen geen idee. Heb alles gewoon even aangezet en werkte nog niet.

Renegade666 schreef op donderdag 15 december 2022 @ 21:58:
@Tylen geen idee. Heb alles gewoon even aangezet en werkte nog niet.

Ik lees alleen tls versies. Maar als de ciphers niet overeenkomen gaat het ook niet werken.

@Tylen
Met iiscrypto alles zo aan en uit zetten. Dus de ciphers ook.

Duinkonijn schreef op dinsdag 13 december 2022 @ 16:29:
[...]

okee, top.. dus ik kan ook hufterig de kabel er uittrekken

Kun je gelijk testen of de contactgegevens van de NCV voor jouw organisatie kloppen

Ik heb een raadsel waar ik niet echt uit kom mede omdat ik er geen ervaring mee heb. Het issue is dat we een file server hebben voor een paar redirected folders. Voor de twee locaties is er een quota ingesteld en bij 90%, 95% en 100% gebruik krijgt de gebruiker regelmatig een email.

Nou zijn er iig twee gebruikers die een mail krijgen dat er op een locatie meer dan 90% van het quota wordt gebruikt. Maar, als ik in FSRM kijk, zegt 'ie dat het 63% is. Als ik de eigenschappen van de map opvraag voor hoeveel ruimte er in gebruik is, komt dit ook overeen, veel minder dan de 90% die het zou zijn.

Ik heb al de peak usage voor deze twee gebruikers gereset, zodat deze niet meer boven de 90% staat, o.a. om te zien of er toch nog een tijdelijke piek gebeurt, maar dat is niet het geval dacht ik (moet ik even nakijken morgen).

Wat zou nog meer een reden kunnen zijn dat gebruikers onterecht deze mail krijgen? Ze krijgen deze niet constant, zoals elk uur wat normaal is ingesteld in geval de gebruiker over het quota zit.

Hero of Time schreef op dinsdag 3 januari 2023 @ 21:46:
Wat zou nog meer een reden kunnen zijn dat gebruikers onterecht deze mail krijgen? Ze krijgen deze niet constant, zoals elk uur wat normaal is ingesteld in geval de gebruiker over het quota zit.

Ergens een applicatie die een scratch/temp file wegschrijft op de fileserver?

Hoewel ik een 'systeembeheerder' van beroep ben is deze vraag van persoonlijke aard: hoe zat het met Office op een RDS omgeving? Staat me iets van bij dat er een Enterprise E3 abo (of hoger) voor nodig is, omdat de rest weigerde te installeren binnen RDS.

Heb ik dat goed onthouden? En zo ja, is dat nog actueel?

jurroen schreef op woensdag 4 januari 2023 @ 01:00:
Hoewel ik een 'systeembeheerder' van beroep ben is deze vraag van persoonlijke aard: hoe zat het met Office op een RDS omgeving? Staat me iets van bij dat er een Enterprise E3 abo (of hoger) voor nodig is, omdat de rest weigerde te installeren binnen RDS.

Heb ik dat goed onthouden? En zo ja, is dat nog actueel?

Deploy Microsoft 365 Apps by using Remote Desktop Services

What you need to get started
The following is a list of prerequisites that you need to deploy Microsoft 365 Apps or the Project and Visio desktop apps with RDS:

One of the following plans:

• A Microsoft 365 (or Office 365) plan that includes Microsoft 365 Apps for enterprise.
• A Microsoft 365 Business Premium plan that includes Microsoft 365 Apps for business.
• For the Project and Visio desktop apps, a subscription plan that includes those products.

Eerste hit op Google.

Gr4mpyC3t schreef op woensdag 4 januari 2023 @ 01:27:
[...]


Deploy Microsoft 365 Apps by using Remote Desktop Services

What you need to get started
The following is a list of prerequisites that you need to deploy Microsoft 365 Apps or the Project and Visio desktop apps with RDS:

One of the following plans:

• A Microsoft 365 (or Office 365) plan that includes Microsoft 365 Apps for enterprise.
• A Microsoft 365 Business Premium plan that includes Microsoft 365 Apps for business.
• For the Project and Visio desktop apps, a subscription plan that includes those products.

Eerste hit op Google.

Dank! Ik ga nu een hoekje opzoeken om mij te schamen.

jurroen schreef op woensdag 4 januari 2023 @ 01:35:
[...]


Dank! Ik ga nu een hoekje opzoeken om mij te schamen.

Succes! (Met het configureren dan, schamen is nergens voor nodig)

Ter aanvulling, ik gebruik onderstaand overzicht altijd om de verschillende licenties te vergelijken:
https://www.infusedinnova...-365-licensing-comparison

Arfman schreef op dinsdag 3 januari 2023 @ 23:19:
[...]

Ergens een applicatie die een scratch/temp file wegschrijft op de fileserver?

Ik ben erachter wat het was. En het is idd iets vergelijkbaars met dit. De betreffende gebruikers waarbij dit gebeurde loggen in op onze Citrix omgeving waar we Ivanti bovenop gebruiken. Die slaat z'n gebruikersinstellingen op op dezelfde locatie als waar we het bureaublad heen sturen. En de manier waarop het de instellingen e.d. opslaat is dat het een tijdelijk bestand maakt en de oude verwijdert om de nieuwe te hernoemen. Of overschrijft, whatever.

Prima dat het zo gedaan wordt en alles, maar er waren bij de gebruikers 2 bestanden die behoorlijk groot waren, tot zelfs 1,5 GB of groter. Wat blijkt: hier worden de appdata mappen van Chrome en Firefox in opgeslagen. Zonder uitzondering voor de cache mappen. Dat heb ik nu alsnog ingericht en dat reduceerde de boel enorm.

ff ander vraagje tussendoor, heeft iemand een tip wat is de goedkoopste vm is welke je in een azure vlan/subnet kan draaien om te pingen.

Hier nu een vlan/subnet in azure ingeregeld en via een vpn verbonden met het on premise netwerk.

Nu wil ik als eerste een heel simpel zo goedkoop mogelijk vm of iets runnen in dit azure vlan, zodat ik die in de prtg monitoring kan pingen. Om zo de meest basic manier te monitoren of 'ons' private azure subnetje online is.

[ Voor 5% gewijzigd door Thijs B op 04-01-2023 20:34 ]

Thijs B schreef op woensdag 4 januari 2023 @ 20:32:
ff ander vraagje tussendoor, heeft iemand een tip wat is de goedkoopste vm is welke je in een azure vlan/subnet kan draaien om te pingen.

Hier nu een vlan/subnet in azure ingeregeld en via een vpn verbonden met het on premise netwerk.

Nu wil ik als eerste een heel simpel zo goedkoop mogelijk vm of iets runnen in dit azure vlan, zodat ik die in de prtg monitoring kan pingen. Om zo de meest basic manier te monitoren of 'ons' private azure subnetje online is.

Wat wil je controleren dan? Of je VPN-tunnel nog online is?

En als je dan toch al een Azure Virtual Network hebt, draaien daar dan niet al VM's in die je kunt gebruiken voor deze check? Een extra virtual machine (hoe goedkoop ook) lijkt me minder geschikt.

[ Voor 8% gewijzigd door Gr4mpyC3t op 04-01-2023 20:42 ]

Gr4mpyC3t schreef op woensdag 4 januari 2023 @ 20:41:
[...]


Wat wil je controleren dan? Of je VPN-tunnel nog online is?

En als je dan toch al een Azure Virtual Network hebt, draaien daar dan niet al VM's in die je kunt gebruiken voor deze check? Een extra virtual machine (hoe goedkoop ook) lijkt me minder geschikt.

ja idd gewoon een ping of de vpn en het azure vmnet bereikbaar is, we hebben nog niets in azure draaien maar zijn wel alles aan het inregelen om op een later moment te gaan gebruiken.

Dus een heeeeul goedkoop linux vm zou hiervoor handig zijn.

Ik had eerst even een windows 11 vm aangezet en schok al beetje van de prijs bijna 80 euro per maand en waar ik ook niets van begreep dat ik moest aangeven of ik daarvoor een licentie heb.

Ik was in de veronderstelling dat je elke windows vm in azure kon aangooien en dat daarmee automatisch de licentie in de prijs zit.

Thijs B schreef op woensdag 4 januari 2023 @ 20:48:
[...]

ja idd gewoon een ping of de vpn en het azure vmnet bereikbaar is, we hebben nog niets in azure draaien maar zijn wel alles aan het inregelen om op een later moment te gaan gebruiken.

Het mooiste zou eigenlijk zijn om je eens te verdiepen in Azure Monitor en dan specifiek de metrics. Als je die daar dan verzamelt kun je ze vervolgens ook makkelijker naar PRTG sturen. Hoe dat precies vanuit PRTG werkt heb ik niet heel veel ervaring mee.

Als je voor de snelle optie wil gaan kun je kijken naar de Azure VM Comparison. Je hebt al een Basic_A0 met Linux of Windows Server (Core) voor 12,41 euro per maand.

Dus een heeeeul goedkoop linux vm zou hiervoor handig zijn.

Ik had eerst even een windows 11 vm aangezet en schok al beetje van de prijs bijna 80 euro per maand en waar ik ook niets van begreep dat ik moest aangeven of ik daarvoor een licentie heb.

Ik was in de veronderstelling dat je elke windows vm in azure kon aangooien en dat daarmee automatisch de licentie in de prijs zit.

Volgens mij zit Windows Server in de prijs inbegrepen, maar voor Windows 11 heb je ook een gebruikerslicentie nodig inderdaad.

Hey, ik zit me al een tijdje suf te zoeken maar heb er vooralsnog geen oplossing voor gevonden.

Een Intune Kiosk Mode heeft de neiging na elk programma dat kan geopend worden, meteen na het afsluiten van dat programma terug het Start-menu te tonen.

Liefst zou ik hebben dat die gewoon het vorige programma blijft tonen. In dit geval opent hij vanuit een PPT een PDF document om te printen. Na het sluiten van de pdf, zou de ppt terug on top moeten komen. Echter komt dat het Start menu terug naar voren...

Iemand een idee hoe dit te remedieren ?

Gr4mpyC3t schreef op woensdag 4 januari 2023 @ 21:37:
[...]


Het mooiste zou eigenlijk zijn om je eens te verdiepen in Azure Monitor en dan specifiek de metrics. Als je die daar dan verzamelt kun je ze vervolgens ook makkelijker naar PRTG sturen. Hoe dat precies vanuit PRTG werkt heb ik niet heel veel ervaring mee.

Als je voor de snelle optie wil gaan kun je kijken naar de Azure VM Comparison. Je hebt al een Basic_A0 met Linux of Windows Server (Core) voor 12,41 euro per maand.

Mooi ik heb een simpel linux vm gevonden die 3,60euro per maand doet en idd je kan alles in azure monitoren, maar nog geen idee hoe dus ik begin bij de basis en dat is een simpele ping naar een ip

Sysops vraagje aangezien ik weet dat er hier betere emailbeheerders zitten dan die van ons (da's de directeur, is ook IT'er maar tegenwoordig andere prio's ):
We hebben een aantal rooms aangemaakt. Die hebben hun eigen kalender. Ik kan de room toevoegen, maar alleen zien dat die resource "busy" is. Nou hoef ik niet te weten waar een afspraak om gaat, maar zou wel graag kunnen zien wie de room geboekt heeft. Reden: zoveel rooms hebben we niet, en dan kunnen we switchen indien nodig.

Maar hoe zorg ik ervoor dat ik wel busy en user zie, maar niet het onderwerp? Ik hoef namelijk niet te weten waar een gesprek om gaat

Office365 OnMircosoft btw

The Eagle schreef op vrijdag 13 januari 2023 @ 09:11:
Sysops vraagje aangezien ik weet dat er hier betere emailbeheerders zitten dan die van ons (da's de directeur, is ook IT'er maar tegenwoordig andere prio's ):
We hebben een aantal rooms aangemaakt. Die hebben hun eigen kalender. Ik kan de room toevoegen, maar alleen zien dat die resource "busy" is. Nou hoef ik niet te weten waar een afspraak om gaat, maar zou wel graag kunnen zien wie de room geboekt heeft. Reden: zoveel rooms hebben we niet, en dan kunnen we switchen indien nodig.

Maar hoe zorg ik ervoor dat ik wel busy en user zie, maar niet het onderwerp? Ik hoef namelijk niet te weten waar een gesprek om gaat

Office365 OnMircosoft btw

Denk dat je beter even in het M365 topic kan vragen: Het algemene Microsoft 365 topic

Drardollan schreef op vrijdag 13 januari 2023 @ 09:23:
[...]


Denk dat je beter even in het M365 topic kan vragen: Het algemene Microsoft 365 topic

Ik kom daar (met reden: niet nodig) nooit, dus ik kende het niet.
Maar dank, ik ga daar mijn licht even opsteken

The Eagle schreef op vrijdag 13 januari 2023 @ 13:20:
[...]

Ik kom daar (met reden: niet nodig) nooit, dus ik kende het niet.
Maar dank, ik ga daar mijn licht even opsteken

Ik ook niet, heb het topic pas recent ontdekt

Drardollan schreef op vrijdag 13 januari 2023 @ 14:04:
[...]

Ik ook niet, heb het topic pas recent ontdekt

ik ook

Als je een machine hebt die standaard met Win11 home/pro komt, kan ik die key dan ook gebruiken voor:
Format disk - Install Win10 (home/pro) ?

Ik weet dat de andere kant uit prima gaat (win 7 -> win 10: check ; Win 10 -> Win 11: check).

D_Jeff schreef op zondag 15 januari 2023 @ 14:19:
Als je een machine hebt die standaard met Win11 home/pro komt, kan ik die key dan ook gebruiken voor:
Format disk - Install Win10 (home/pro) ?

Ik weet dat de andere kant uit prima gaat (win 7 -> win 10: check ; Win 10 -> Win 11: check).

Ja. De sleutel zit in je BIOS en deze wordt uitgelezen door Windows. (Uitgaande van OEM).
(Get-WmiObject -query ‘select * from SoftwareLicensingService’).OA3xOriginalProductKey

FREAKJAM schreef op zondag 15 januari 2023 @ 14:24:
[...]


Ja. De sleutel zit in je BIOS en deze wordt uitgelezen door Windows. (Uitgaande van OEM).
(Get-WmiObject -query ‘select * from SoftwareLicensingService’).OA3xOriginalProductKey

Gaat indd om een OEM-systeem
Maar als de downgrade op die manier werkt, zou dat wel fijn zijn

Why windows 10 ipv 11???

@Tylen
Misschien software die niet werkt?

Zo 1 had ik laatst iig.. w10 geen issue, 11, ja dat is te nieuw en werkt niet..

Of niet getest = niet gesupport = geen implementatie

Ja dat snap ik. Maar ging er vanuit dat het om een thuis laptoppie ging.

Tylen schreef op zondag 15 januari 2023 @ 18:40:
Ja dat snap ik. Maar ging er vanuit dat het om een thuis laptoppie ging.

systeembeheerders doen niet aan thuis lappies

Tylen schreef op zondag 15 januari 2023 @ 14:54:
Why windows 10 ipv 11???

"Combine when taskbar is full" danwel "Never combine"...

Wij zitten binnenkort met een naamswijziging en ons domein zal dus veranderen.
Op dit moment hebben we username@domein.com als UPN en voornaam.naam@domein.com als default email adres. Volgens MS is dit geen best practice maar we hebben daar eigenlijk nog nooit problemen mee ondervonden.
Indien we dit toch zouden willen rechttrekken, hoe gaan jullie dan om met naamwijzigingen?
We hebben zo'n 30-tal Azure AD SAML integraties en nu is het wijzigen van email een non-event. Wanneer ook de UPN mee verandert, moeten we achterliggend alle accounts in elke SSO integratie wijzigen.

@Mantis een van de redenen waarom het een best-practise is om de UPN gelijk te hebben aan het email adres (of vice versa), is omdat er op sommige plekken bij MS producten om het 'email adres' gevraagd wordt, maar feitelijk de UPN nodig is. In jouw geval vult men dan voornaam.achternaam@domein.com in, maar dat zal dan telkens een fout opleveren, omdat er eigenlijk username@domein.com ingevuld moet worden. En dat is dus niet altijd even duidelijk. Tenzij men ondertussen al zo gewend is aan dat feit en als A niet werkt, maar B ingevuld wordt.

Als je @domein.com verandert, wat is dan het exacte probleem met de SAML integraties? Die moet je dan ook opnieuw instellen.

Hero of Time schreef op maandag 16 januari 2023 @ 19:25:
@Mantis een van de redenen waarom het een best-practise is om de UPN gelijk te hebben aan het email adres (of vice versa), is omdat er op sommige plekken bij MS producten om het 'email adres' gevraagd wordt, maar feitelijk de UPN nodig is. In jouw geval vult men dan voornaam.achternaam@domein.com in, maar dat zal dan telkens een fout opleveren, omdat er eigenlijk username@domein.com ingevuld moet worden. En dat is dus niet altijd even duidelijk. Tenzij men ondertussen al zo gewend is aan dat feit en als A niet werkt, maar B ingevuld wordt.

Als je @domein.com verandert, wat is dan het exacte probleem met de SAML integraties? Die moet je dan ook opnieuw instellen.

Je kunt tegenwoordig ook instellen dat je met je e-mail adres kunt inloggen als je een afwijkende UPN hebt.

holygame schreef op maandag 16 januari 2023 @ 20:19:
[...]

Je kunt tegenwoordig ook instellen dat je met je e-mail adres kunt inloggen als je een afwijkende UPN hebt.

Waar dan? Want overal staat al doodleuk "email address" bij inlogschermen. Terwijl er dan eigenlijk keihard gelogen wordt over wat er nou werkelijk verwacht wordt.

En dan bedoel ik niet bij SAML koppelingen, maar bij diensten van MS zelf.

[ Voor 9% gewijzigd door Hero of Time op 16-01-2023 20:24 ]

Hero of Time schreef op maandag 16 januari 2023 @ 20:23:
[...]

Waar dan? Want overal staat al doodleuk "email address" bij inlogschermen. Terwijl er dan eigenlijk keihard gelogen wordt over wat er nou werkelijk verwacht wordt.

En dan bedoel ik niet bij SAML koppelingen, maar bij diensten van MS zelf.

Sign-in to Azure AD with email as an alternate login ID (Preview)

https://learn.microsoft.c...tication-use-email-signin

Het is in preview, dus waarschijnlijk niet voor iedereen beschikbaar en er zijn ook wat beperkingen. Het lost het uiteindelijke probleem niet 100% op, want er zijn dus nog steeds situaties waarbij de UPN nodig is ipv het email adres. En je kan er bij MS vanuit gaan dat er dan alsnog staat 'Voer email adres in'.

Hero of Time schreef op maandag 16 januari 2023 @ 19:25:
Als je @domein.com verandert, wat is dan het exacte probleem met de SAML integraties? Die moet je dan ook opnieuw instellen.

Ik bedoelde eerder het issue wanneer we naar voornaam.achternaam@ zouden gaan ipv username@.
Bij elke wijziging van de achternaam moet je dan 30 achterliggende SSO integraties juist zetten voor die persoon bij de 3rd-party.

Mantis schreef op maandag 16 januari 2023 @ 21:31:
[...]

Ik bedoelde eerder het issue wanneer we naar voornaam.achternaam@ zouden gaan ipv username@.
Bij elke wijziging van de achternaam moet je dan 30 achterliggende SSO integraties juist zetten voor die persoon bij de 3rd-party.

Daar hebben we op verschillende plekken herhaaldelijk over gediscussieerd wat te doen met naamswijzigingen. Het is een punt dat je als beleid moet maken en men moet dat dan maar accepteren. Want je blijft niet bezig als ze in de tijd dat ze bij jullie werken meerdere keren trouwen en scheiden.

Overigens zou je ook eens moeten gaan nadenken over je SAML koppelingen als je voor elke poep en scheet op meerdere plekken wat moet aanpassen. Waar is SSO dan voor? Je wilt juist 1 plek hebben waar de boel beheert wordt, niet voor elke koppeling nog eens extra werk. Dan ben je gewoon fout bezig met de inrichting en kan je net zo goed geen SSO/SAML toepassen.

Hero of Time schreef op maandag 16 januari 2023 @ 21:37:
[...]
Overigens zou je ook eens moeten gaan nadenken over je SAML koppelingen als je voor elke poep en scheet op meerdere plekken wat moet aanpassen. Waar is SSO dan voor? Je wilt juist 1 plek hebben waar de boel beheert wordt, niet voor elke koppeling nog eens extra werk. Dan ben je gewoon fout bezig met de inrichting en kan je net zo goed geen SSO/SAML toepassen.

Vandaar dus mijn vraag
Nu hebben we dat probleem niet maar als UPN/email adres kan wijzigen, hoe pakken anderen dat achterliggend aan. Niet elke third party heeft SCIM support.

Ik denk nu om alle SAML koppelingen waar de Name ID een UPN/email adres is te wijzigen naar een user.extensionattribute waar het originele UPN naar weggeschreven wordt. Dit blijft dan onveranderd bij naamwijzigingen.

@Mantis hoe geef je nu aan dat een gebruiker via een bepaalde SAML koppeling inlogt wel of geen toegang krijgt? Dat is leidend en als je AzureAD Plan 1 of hoger hebt, kan je groepen gebruiken voor het toekennen van applicaties/SAML toegang.

In alle gevallen zou je helemaal niet aan UPN vs email hoeven denken.

Hero of Time schreef op maandag 16 januari 2023 @ 21:31:
Het is in preview, dus waarschijnlijk niet voor iedereen beschikbaar en er zijn ook wat beperkingen. Het lost het uiteindelijke probleem niet 100% op, want er zijn dus nog steeds situaties waarbij de UPN nodig is ipv het email adres. En je kan er bij MS vanuit gaan dat er dan alsnog staat 'Voer email adres in'.

Ik gebruik het al bijna een jaar, werkt prima. Gebruikers hebben instructie gehad dat ze kunnen inloggen met inlog@domein.nl of hele.mailadres@domein.nl. Geeft nooit vragen en MS geeft bij de meeste inlogschermen de vraag voor mail adres.

Ik heb nog niet meegemaakt dat de UPN nodig was.

Hero of Time schreef op dinsdag 17 januari 2023 @ 18:54:
@Mantis hoe geef je nu aan dat een gebruiker via een bepaalde SAML koppeling inlogt wel of geen toegang krijgt? Dat is leidend en als je AzureAD Plan 1 of hoger hebt, kan je groepen gebruiken voor het toekennen van applicaties/SAML toegang.

In alle gevallen zou je helemaal niet aan UPN vs email hoeven denken.

Toegang gebeurt inderdaad met groepen.

Het gaat mij om een mogelijke mismatch met de user account in het achterliggend platform (bv Atlassian) waar nog de oude UPN als account staat. Die user identifier koppeling dus in de attributes & claims:


Maar ondertussen hebben we intern besproken om zowel UPN als default email naar username@domain.com te brengen en beide dus nooit wijzigen. Mogelijks probleem opgelost. Dank voor de feedback allen

Ik zoek een manier om m`n pc gegevens(uuid,Mac,computer naam) in een MDT database te krijgen zonder een import systeem als mdtdb.ps1 te gebruiken.


Weet iemand hoe ik dat moet doen?

[ Voor 7% gewijzigd door Duinkonijn op 24-01-2023 16:36 ]

Duinkonijn schreef op dinsdag 24 januari 2023 @ 14:27:
Ik zoek een manier om m`n pc gegevens(uuid,Mac,computer naam) in een MDT database te krijgen zonder een import systeem als mdtdb.ps1 te gebruiken.


Weet iemand hoe ik dat moet doen?

Via een script en dan SQL commands gebruiken om tegen je MDT database aan te praten

Error bij klant in Teams die ik nog niet eerder gezien heb en maar weinig over vinden kan.

Betreft een Team in onze 365 tenant. Daar zitten 3 van onze mensen in en 1 klant als gast. Daar staat een Excel file in die men af en toe bijwerkt.

Dat werkt al maanden goed, maar nu krijgt die klant dus in die Excel de error "The server you are trying to access is using an authentication protocol not supported by this version of Office"

Als ik die foutmelding logisch benader heeft die klant een (te) oude versie van Office/Teams?

[ Voor 5% gewijzigd door FastFred op 25-01-2023 12:02 ]

FastFred schreef op woensdag 25 januari 2023 @ 11:52:
Error bij klant in Teams die ik nog niet eerder gezien heb en maar weinig over vinden kan.

Betreft een Team in onze 365 tenant. Daar zitten 3 van onze mensen in en 1 klant als gast. Daar staat een Excel file in die men af en toe bijwerkt.

Dat werkt al maanden goed, maar nu krijgt die klant dus in die Excel de error "The server you are trying to access is using an authentication protocol not supported by this version of Office"

Als ik die foutmelding logisch benader heeft die klant een (te) oude versie van Office/Teams?

Je weet dat er vanmorgen een storing is bij zo ongeveer alle Microsoft 365 diensten die nog niet afgemeld is door Microsoft?

@Drardollan weet ik, dit issue speelt al sinds vorige week

FastFred schreef op woensdag 25 januari 2023 @ 12:31:
@Drardollan weet ik, dit issue speelt al sinds vorige week

Ah, dat was niet duidelijk.

Welke Office versie hebben we het over? Teams client lijkt mij niet zo belangrijk in deze, ik zou verwachten dat als die te oud is dat deze helemaal niet werkt.

Ik zou mijn geld erop inzetten dat het komt door het uitschakelen van Basic Authentication.

https://techcommunity.mic...ne-time-s-up/ba-p/3695312

In early January 2023, we will permanently turn off Basic auth for multiple protocols for many Exchange Online tenants.

Hmm, wel bericht over gehad vorig jaar inderdaad, maar geen monthly report zoals men zei dat ik zou krijgen en ook niet de 7-dagen notice dat Basic Auth er op onze tenant uit gaat...

Maar goed, als Basic Auth bij ons uit staat, moet die klant dus zorgen dat ze in hun tenant overstappen op OAuth2 en dat ze software gebruiken die dat ondersteunt.

EDIT: wij hebben nog Basic Auth aanstaan.

[ Voor 14% gewijzigd door FastFred op 25-01-2023 14:18 ]

Suck it ESET! Bij de systeemvereisten zetten dat alleen Ubuntu en Mint worden ondersteund en geen Debian, dan beweren dat het 'spoofen' van een versie niets uit zal halen omdat daar niet op wordt gecontroleerd. Stelletje leugenaars!

Installeer een Debian Stable VM, gooi er Eset AV in en het activeert zonder gedoe. Kijkende naar de verschillen kom ik uit bij os-release waar een VERSION en VERSION_ID in staan bij Stable, maar niet bij Testing/Unstable. Dus, toegevoegd en een nummer ingevuld en gaan.

Nou nog uitzoeken of Eset of iets anders dat als afhankelijkheid meekomt verantwoordelijk is voor regelmatig apt-get update draaien.

Windows updates, altijd feest.

+- 70 servers in beheer bij een klant. 69 goed gegaan in zowel ACCE als PROD. 1 server vind zichzelf te belangrijk en wilt KB5022286 maar niet installeren, naja wel installeren maar tijdens de reboot besluit die toch van niet.

mr.DJ95 schreef op zondag 29 januari 2023 @ 13:18:
Windows updates, altijd feest.

+- 70 servers in beheer bij een klant. 69 goed gegaan in zowel ACCE als PROD. 1 server vind zichzelf te belangrijk en wilt KB5022286 maar niet installeren, naja wel installeren maar tijdens de reboot besluit die toch van niet.

offline injecteren?

afkloppen, de laatste tijd hobbeld het hier zonder problemen

[ Voor 7% gewijzigd door Duinkonijn op 29-01-2023 14:00 ]

Duinkonijn schreef op zondag 29 januari 2023 @ 13:58:
[...]

offline injecteren?

Heb hem binnengehaald vanuit de catalog voor offline install. installatie gaat zonder problemen. Machine slikt hem ook goed tot hij wilt herstarten. Dan krijg ik de reverting updates melding.

mr.DJ95 schreef op zondag 29 januari 2023 @ 14:00:
[...]


Heb hem binnengehaald vanuit de catalog voor offline install. installatie gaat zonder problemen. Machine slikt hem ook goed tot hij wilt herstarten. Dan krijg ik de reverting updates melding.

met offline bedoel ik volledig offline. via DISM installeren

Duinkonijn schreef op zondag 29 januari 2023 @ 14:01:
[...]

met offline bedoel ik volledig offline. via DISM installeren

Ah derp, Nee helaas hier ook geen succes. Morgen maar even een plan de campagne maken. Als het een brakke update was geweest zou die inmiddels wel superseeded zijn lijkt me.

SFC /Scannow deed ook niks, dit was in het verleden nog wel eens de magische oplossing bij deze specifieke klant.

mr.DJ95 schreef op zondag 29 januari 2023 @ 15:57:
[...]


Ah derp, Nee helaas hier ook geen succes. Morgen maar even een plan de campagne maken. Als het een brakke update was geweest zou die inmiddels wel superseeded zijn lijkt me.

SFC /Scannow deed ook niks, dit was in het verleden nog wel eens de magische oplossing bij deze specifieke klant.

[Afbeelding]

[Afbeelding]

Aanname dat de boel tenminste Windows 10 22H2 / Win server 2016 (1603) is:

- Dot Net is tenminste 4.8
- Windows Update service stack is niet ouder dan 1 jaar?
- Indien een update voor MS SQL: Handmatig uitvoeren, SQL-DB services onder uit schoppen, reboot
- Indien een update voor MS Exh 2013 / 2016: Heb je ergens noodpatches draaien? zoja, regedit en succes met de sloophamer (vergeet de backup niet)
- Indien VMWare tools update: heb je VC-redist v2012, v2015 EN v2015-2022 draaien?

* D_Jeff heeft de nodige ervaringen met Windows servers die puberaal gedrag vertonen

hij bleef bij 5,6% hangen, wat doet hij bij een 2e run direct daarna?

Andere opties nog:
Dism /Image:C:\offline /Cleanup-Image /StartComponentCleanup
Dism /Image:C:\offline /Cleanup-Image /RestoreHealth
Dism /Image:C:\offline /Cleanup-Image /StartComponentCleanup /ResetBase

en dan opnieuw inlezen

Hopelijk hebben we hier wat citrix experts, want ik kom er niet uit...


Nieuwe citrix omgeving, laatste versie (7.9 volgens mij) die te downloaden zijn .
Alles zover in gericht met FSlogix en de nodige applicaties. Maar loop tegen enkele issues en hopelijk heeft iemand de gouden tip
4 Sessie hosts actief.
Alles 2022 Standaard, up to date

-Office die gestart word via all APP, is bij sommige wel geactiveerd, bij andere niet. Terwijl als je naar de desktop gaat, dan werkt het wel gewoon. Via SSO ingesteld en een MFA uitzondering in 365.
Via de app blijft er ergens buiten beeld wat staan, waardoor de software "vastloop".
Geld dus ook voor outlook, indien eerste keer instellen, werkt niet, maakt geen connectie met Exchange online en kan geen verbinding maken, maar dan via desktop instellen, afmelden en dan outlook starten via portal, werkt het weer prima.
Servers zijn bekend in Azure AD (hybrid Join) en MFA is dus uitgezonderd (extern adres). Dat laatste fixte eerst het probleem, maar is weer terug..

-1 App (tot nu toe bekend) valt om de zoveel minuten terug naar de taakbalk, minimaliseert dus. Deze app is ook te via de leverancier met citrix te gebruiken (andere klant heeft dat), en die hebben het zelfde issue.
Nu las ik dat de Workspace APP vanaf 2206 deze issues heeft, en staat dat de nieuwere versie dat heeft opgelost, maar zover als ik weet is dat 2212. En is voor mij toe ook nog niet te reproduceren.
En ook weinig over te vinden, behalve antieke artikelen...

-En nu de vreemdste. Hier hebben zowel de oude (opeens), als nieuwe omgeving last van.
Er is al een tijdje gewerkt in de nieuwe en wil een andere app starten, dan krijgt hij een melding:
Kan niet verbinden met de server, geeft fout door aan systeembeheer. (geen fouttekst beschikbaar)
Oude omgeving is niks op aangepast.
Is op clients met 2216, maar ook op oudere. Echter mijn laptop en mijn collega's krijgen deze melding totaal
niet. Kunnen het dus ook reproduceren bij ons.
De ene keer krijg hij de melding via chrome, pakt hij edge er bij en dan werkt het wel, maar later is het weer anders om. Ik heb hem nu even gevraagd om FF er bij te pakken om de browser even uit te sluiten (is onderliggend wel wat hetzelfde, FF niet)
Hier kunnen we ook niks over vinden, en zonder foutmelding/code is het ook best lastig. Vanuit de Director zien we dus ook niks.

Ook qua GPO is niks die dingen aanpast opeens, en zijn er uberhaupt niet voor de desktops.
Krijg nu langzaam neigingen om Citrix te deinstalleren en gewoon verder gaan met RDS+Gateway/RDweb, grote kans dat het wel werkt marja, is niet bepaald bij de tijd (al 10 jaar niet echt veranderd)

heb je misschien licentie meldingen logs van de client?

Kwam toevallig vandaag op een paar servers in de event viewer een melding tegen dat er iets met Azure AD niet werkte. Zoeken op de error gaf iets meer duidelijkheid, het systeem wilde wat met Azure AD Hybrid Join doen. Maar dat zou alleen voor clients moeten zijn, niet voor servers. In ieder geval wat de error veroorzaakte. We hebben geen systemen die we syncen met AAD Connect.

Wat zou de reden kunnen zijn dat servers regelmatig wat met Azure AD willen doen, terwijl er geen config voor is (naar mijn weten)? De oudste melding die we tegen kwamen, was van augustus, voordat ik bij dit bedrijf kwam werken.

Hero of Time schreef op dinsdag 31 januari 2023 @ 19:45:
Kwam toevallig vandaag op een paar servers in de event viewer een melding tegen dat er iets met Azure AD niet werkte. Zoeken op de error gaf iets meer duidelijkheid, het systeem wilde wat met Azure AD Hybrid Join doen. Maar dat zou alleen voor clients moeten zijn, niet voor servers. In ieder geval wat de error veroorzaakte. We hebben geen systemen die we syncen met AAD Connect.

Wat zou de reden kunnen zijn dat servers regelmatig wat met Azure AD willen doen, terwijl er geen config voor is (naar mijn weten)? De oudste melding die we tegen kwamen, was van augustus, voordat ik bij dit bedrijf kwam werken.

Wat voor OS servers? geen gpo toevallig aanstaan die wil registreren in Azure? misschien een office pakket die inlogt?

Duinkonijn schreef op dinsdag 31 januari 2023 @ 20:05:
[...]

Wat voor OS servers? geen gpo toevallig aanstaan die wil registreren in Azure? misschien een office pakket die inlogt?

Server 2019 DC print server, ander die AADC draait, onze management server met 2019 DC. Er is geen directe correlatie met wat het draait en het wel of niet tonen van de errors in de event viewer, elke server die ik toevallig bekeek had het.

deze op deny zetten? https://learn.microsoft.c...ically-using-group-policy
Enable automatic MDM enrollment using default Azure AD credentials op disabled

[ Voor 22% gewijzigd door Duinkonijn op 31-01-2023 20:17 ]

Morgen zal ik kijken of er iets is ingesteld daarmee, als ik de tijd heb.

Hero of Time schreef op dinsdag 31 januari 2023 @ 21:21:
Morgen zal ik kijken of er iets is ingesteld daarmee, als ik de tijd heb.

Ik weet niet of die setting per ongeluk enabeled heeft gestaan en nog na ebt.. daarom disabled

Ook geen idee. Standaard doen shares het ook niet op onze Server template image en dat zou door m'n voorganger moeten komen die _iets_ heeft gedaan en het heeft gesloopt. Dat kan ook door een zwervend policy kunnen zijn dat er ooit was, maar niet meer wordt toegepast.

Heerlijk, half gebakken image.
Ik zou zeggen, start van nul

[ Voor 34% gewijzigd door Duinkonijn op 01-02-2023 08:59 ]

Dat is wel een idee idd. De share error is relatief simpel op te lossen door een protocol in de NIC eigenschappen even uit te zetten en weer aan.

Heb mbt AAD hybrid join gedoe even gezocht. Er is een scheduled task op elke server, blijkbaar by default, ver weggestopt onder Workplace Join die bij login en elk uur erna gaat proberen om het OS bij AAD aan te melden. Voorafgaand zie ik wel een paar SSL errors over certificaat verlopen, maar waar dat over gaat, geen flauw idee want er wordt geen hostnaam genoemd of wat dan ook.

Ik geef het dan maar de classificatie "fuck you MS en je brakke bagger shit" en laat het lekker voor wat het is.

Hero of Time schreef op woensdag 1 februari 2023 @ 19:19:
Dat is wel een idee idd. De share error is relatief simpel op te lossen door een protocol in de NIC eigenschappen even uit te zetten en weer aan.

Heb mbt AAD hybrid join gedoe even gezocht. Er is een scheduled task op elke server, blijkbaar by default, ver weggestopt onder Workplace Join die bij login en elk uur erna gaat proberen om het OS bij AAD aan te melden. Voorafgaand zie ik wel een paar SSL errors over certificaat verlopen, maar waar dat over gaat, geen flauw idee want er wordt geen hostnaam genoemd of wat dan ook.

Ik geef het dan maar de classificatie "fuck you MS en je brakke bagger shit" en laat het lekker voor wat het is.

Weet je zeker dat het geen backdoor is?

Duinkonijn schreef op woensdag 1 februari 2023 @ 20:03:
[...]

Weet je zeker dat het geen backdoor is?

Die geplande taak? Zeker, want online wordt het genoemd, MS heeft het gedocumenteerd staan ergens en het staat onder de MS tree van de taakplanner. Zou je op je eigen systemen ook moeten hebben.

Hi,

Ik ben benieuwd (en hoop) dat er iemand hier is die mij verder kan helpen met Exchange 2016 probleem.

Situatie schets van de omgeving

Internet -> zorg provider-> firewall -> externe netscaler (geen ssl offloading) -> interne netscaler (met smtp relay-> 4 DAG exchange servers. In november is het toen verlopen SSL certificaat vernieuwd en geplaatst op de exchange servers en netscaler (IMAPS). Server OS Windows 2012R2 met Exchange Server 2016 CU23.

Sinds 26 december (2e kerstdag) zijn er 2 exchange servers niet meer bereikbaar vanaf beide netscalers die in een SSL LB port groep zitten op de netscaler. Dit is zowel op de interne als externe netscaler het geval.
Gisteravond is daar uit het niets een 3e exchange server bijgekomen, waardoor er nu nog maar 1 exchange server bereikbaar is op port 443.
Wanneer ik in de eventvwr kijk op de exchange servers die niet meer bereikbaar zijn, vind ik onderstaande terug.

SSL Certificate Settings deleted for endpoint : intern ip adres:443 .
SSL Certificate Settings created by an admin process for endpoint : intern ip adres:443 .
SSL Certificate Settings deleted for endpoint : 127.0.0.1:443 .
SSL Certificate Settings created by an admin process for endpoint : 127.0.0.1:443
SSL Certificate Settings deleted for endpoint : 0.0.0.0:443 .
SSL Certificate Settings created by an admin process for endpoint : 0.0.0.0:443 ..
SSL Certificate Settings deleted for endpoint : 127.0.0.1:443 .
SSL Certificate Settings created by an admin process for endpoint : 127.0.0.1:443 .
SSL Certificate Settings deleted for endpoint : 0.0.0.0:443 .
SSL Certificate Settings created by an admin process for endpoint : 0.0.0.0:443 .

Enkele seconde er na is terug te vinden in de logging van de netscalers dat de servers down zijn gegaan op port 443.

Tevens vind ik ook onderstaande melding terug in de eventvwr, die elk kwartier wordt gemeld:
Microsoft Exchange could not find a certificate that contains the domain name ... in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector Default Frontend ... If the connector's FQDN is not specified, the computer's FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.

Dit is ook het geval op die ene server die op dit moment nog wel wordt gezien door de netscalers.

Ik heb zo'n beetje alle hits en artikelen die op internet zijn te vinden uitgeprobeerd. Nieuwe self signed certifaten aangemaakt, opnieuw het SSL certificaat geimporteerd en daar de services aan gekoppeld. Nog gekeken en gespeeld met TLS aangezien TLS 1.0 en TLS 1.1 afgelopen jaar zijn uitgezet. Geen resultaat.

Ik link het issue aan de meldingen die zijn te vinden in de eventvwr die ik hierboven heb geplaats aangezien enkele seconden later de servers down zijn gegaan op de netscaler. Servers communiceren onderling wel zonder problemen. Op 26 december zijn er geen werkzaamheden geweest van collega's net als gisteravond en ik weet ook niet echt wat het is geweest wat deze actie heeft getriggerd?
Ik heb het zelf (nog) niet in de hoek van de netscalers gezocht omdat ze beide hetzelfde gedrag vertonen en de windows event meldingen er aan vooraf zijn gegaan.

Het SSL certificaat is begin november vervangen en daarna is er nog gemonitord of er problemen waren, deze waren er niet. Ook geen meldingen in de eventvwr die ik nu wel tegen kom.


Iemand hier die nog een gouden tip of idee heeft?! Wordt zeker gewaardeerd!

[ Voor 4% gewijzigd door sjorremans op 01-02-2023 20:31 ]

Welke monitor heb je in je netscaler op je servicegroup staan?

Hero of Time schreef op woensdag 1 februari 2023 @ 20:06:
[...]

Die geplande taak? Zeker, want online wordt het genoemd, MS heeft het gedocumenteerd staan ergens en het staat onder de MS tree van de taakplanner. Zou je op je eigen systemen ook moeten hebben.

Oké, kwam op mij over van… het doet iets met X maar ik weet niet precies wat

Zijn er eigenlijk goede resources om te leren hoe een infrastructuur er zou moeten uitzien anno 2023? Ik kan het moeilijk verwoorden maar stel dat je de taak krijgt om je huidige infrastructuur te herzien en vanaf nu gebruik te maken van zaken zoals GitOps, waar begin je in godsnaam?

Ik kom vaak tutorials tegen van hoe je een bepaalde tool moet gebruiken, denk Terraform, Docker/Kubernetes, en krijg je snelle Quick starts maar dan heb je nog altijd geen idee hoe de architectuur er best uitziet.

Hilarisch dat ik vaak hierover nadenk in mijn slaap (je zou denken zoals een programmeer debugt in zijn slaap) en deze ochtend kreeg ik een mailtje van roadmap.sh dat er een nieuwe roadmap genaamd https://roadmap.sh/system-design. En dit lijkt wel een beetje te leunen naar wat ik op zoek ben.

Nog andere tips die minder high level zijn?

@sjorremans Heb je je certificaten gekoppeld aan je Exchange diensten??

https://learn.microsoft.c...tificate?view=exchange-ps
https://learn.microsoft.c...tificate?view=exchange-ps

asing schreef op donderdag 2 februari 2023 @ 08:59:
@sjorremans Heb je je certificaten gekoppeld aan je Exchange diensten??

https://learn.microsoft.c...tificate?view=exchange-ps
https://learn.microsoft.c...tificate?view=exchange-ps

Jazeker.nieuwe SSL certificaat geimporteerd met onderstaand commando:
mport-ExchangeCertificate -Server "Servernaam" -FileData ([System.IO.File]::ReadAllBytes('\\servernaam\cert$\certificaatnaam.pfx')) -PrivateKeyExportable:$true -Password (ConvertTo-SecureString -String 'Wachtwoord' -AsPlainText -Force)

Daarna de exchange diensten gekoppeld via ECP.

sjorremans schreef op donderdag 2 februari 2023 @ 09:28:
[...]


Jazeker.nieuwe SSL certificaat geimporteerd met onderstaand commando:
mport-ExchangeCertificate -Server "Servernaam" -FileData ([System.IO.File]::ReadAllBytes('\\servernaam\cert$\certificaatnaam.pfx')) -PrivateKeyExportable:$true -Password (ConvertTo-SecureString -String 'Wachtwoord' -AsPlainText -Force)

Daarna de exchange diensten gekoppeld via ECP.

Als je EventID 12014 is (Microsoft Exchange could not find a certificate that contains the domain name ... in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector Default Frontend ... If the connector's FQDN is not specified, the computer's FQDN is used. )

Dan moet je het toch ergens in die hoek zoeken. Er klopt iets niet met de certificaten.

asing schreef op donderdag 2 februari 2023 @ 09:44:
[...]

Als je EventID 12014 is (Microsoft Exchange could not find a certificate that contains the domain name ... in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector Default Frontend ... If the connector's FQDN is not specified, the computer's FQDN is used. )

Dan moet je het toch ergens in die hoek zoeken. Er klopt iets niet met de certificaten.

Die melding is inderdaad bijzonder, alleen blijf ik het wel apart vinden dat er nog 1 server wel goed werkt en 1 server pas deze week mee is gestopt.

Rond de periode dat de eerste 2 servers er mee zijn gestopt, is de periode geweest dat de selfsigned certificaten verlopen zijn en zijn vervangen, wellicht dat het hier ook mee te maken heeft..?

sjorremans schreef op donderdag 2 februari 2023 @ 09:51:
[...]


Die melding is inderdaad bijzonder, alleen blijf ik het wel apart vinden dat er nog 1 server wel goed werkt en 1 server pas deze week mee is gestopt.

Rond de periode dat de eerste 2 servers er mee zijn gestopt, is de periode geweest dat de selfsigned certificaten verlopen zijn en zijn vervangen, wellicht dat het hier ook mee te maken heeft..?

Ik zou beginnen met get-exchangecertificate | fl op de verschillende servers om te zien wat er op dit moment gebruikt wordt. Als het goed is geeft dat wat meer inzicht.

asing schreef op donderdag 2 februari 2023 @ 09:55:
[...]

Ik zou beginnen met get-exchangecertificate | fl op de verschillende servers om te zien wat er op dit moment gebruikt wordt. Als het goed is geeft dat wat meer inzicht.

Dan krijg ik ik een lang overzicht met alle certificaten die op de server staan, inclusief het externe SSL certificaat.

Subject : CN=servernaam
Issuer : CN=servernaam
Thumbprint :*****
FriendlyName :
NotBefore : 1-2-2023 09:02:19
NotAfter : 1-2-2028 09:02:19
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Subject : CN=***, O=***, S=***, C=NL, OID.2.5.4.15=Private Organization, OID.1.3.6.1.4.1.311.60.2.1.3=NL, SERIALNUMBER=***
Issuer : CN=Sectigo RSA Extended Validation Secure Server CA, O=Sectigo Limited, L=Salford, S=Greater Manchester, C=GB
Thumbprint : ******
FriendlyName :
NotBefore : 3-11-2022 01:00:00
NotAfter : 5-12-2023 00:59:59
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid...}

Heb vanmorgen nogmaals een nieuw self-signed certificaat gemaakt volgens deze stappen op bovenstaande server:
https://ehloergosum.com/2...oft-exchange-certificate/

Mag helaas niet helpen of baten.

Ik mis iets in je output. Het zou er ongeveer zo uit moeten zien:

SSL certificaat
[PS] C:\WINDOWS\system32>Get-ExchangeCertificate -Thumbprint 71FDA7792BD19887FDE1BBC9EDB38B20A109D000 |fl

AccessRules :
CertificateDomains : Alle domeinen namen die gebruikt worden voor e-mail.
IsSelfSigned : False
Issuer : CN=Sectigo RSA Extended Validation Secure Server CA, O=Sectigo Limited, L=Salford, S=Greater Manchester, C=GB
NotAfter : 5-12-2023 00:59:59
NotBefore : 3-11-2022 01:00:00
PublicKeySize : 2048
RootCAType : ThirdParty
SerialNumber : 0092DB60F99F13C7090C86DD2C5185CE6D
Services : IMAP, POP, UM, IIS, SMTP, UMCallRouter
Status : Valid
Subject : CN=***, O=***, ***, C=NL, OID.2.5.4.15=Private
Organization, OID.1.3.6.1.4.1.311.60.2.1.3=NL, SERIALNUMBER=41235021
Thumbprint : 71FDA7792BD19887FDE1BBC9EDB38B20A109D000

Self-signed certificaat
[PS] C:\WINDOWS\system32>Get-ExchangeCertificate -Thumbprint AF430739F19ABE0A264D1A3DEA015FE40A0B38DA |fl


AccessRules :
CertificateDomains : {servernaam, fqdn naam}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=Servernaam
NotAfter : 1-2-2028 09:02:19
NotBefore : 1-2-2023 09:02:19
PublicKeySize : 2048
RootCAType : Registry
SerialNumber : 55BC94BE87B1B8B04B6278E1BD4D708A
Services : IIS, SMTP
Status : Valid
Subject : CN=Servernaam
Thumbprint : AF430739F19ABE0A264D1A3DEA015FE40A0B38DA

[ Voor 27% gewijzigd door sjorremans op 02-02-2023 10:35 ]

Check! Je hebt niet per ongeluk andere certificaten die ook op die services staan?

Er staan verder nog een aantal Exchange Delegation Federation certificaten op waar de service SMTP aan hangt, verder geen andere certificaten zichtbaar.

Dat ziet er dus goed uit. Als je op de FQDN met HTTPS kan verbinden naar alle 4 de servers dan is er geen probleem op je servers maar zit het iets verder in de keten.

Net nog even getest voor de zekerheid en ik kan vanaf een management station (als voorbeeld) naar alle 4 de servers verbinding maken naar https://fqdn/ecp. Wel met een certificaat error van het SSL certificaat maar ik weet niet of dat zo hoort te zijn met mijn gebrekkige kennis van exchange

sjorremans schreef op donderdag 2 februari 2023 @ 11:55:
Wel met een certificaat error van het SSL certificaat

Nou, kom maar !

asing schreef op donderdag 2 februari 2023 @ 12:05:
[...]


Nou, kom maar !

Your connection is not private
Attackers might be trying to steal your information from servernaam)(for example, passwords, messages, or credit cards). Learn more
NET::ERR_CERT_COMMON_NAME_INVALID
Subject: fqdn certificaat

Issuer: Sectigo RSA Extended Validation Secure Server CA

Expires on: Dec 5, 2023

Current date: Feb 2, 2023

sjorremans schreef op donderdag 2 februari 2023 @ 12:12:
[...]


Your connection is not private
Attackers might be trying to steal your information from servernaam)(for example, passwords, messages, or credit cards). Learn more
NET::ERR_CERT_COMMON_NAME_INVALID
Subject: fqdn certificaat

Issuer: Sectigo RSA Extended Validation Secure Server CA

Expires on: Dec 5, 2023

Current date: Feb 2, 2023

Ik denk dat je verzuimd hebt om je certificaten aan te vragen met een SubjectAlternateName (SAN). Daar gaan steeds meer browsers foutmeldingen op geven.

Als je met https://10.1.2.3/ecp of https://interne-servernaam/ecp naar die servers gaat dan klopt dat, als je per server je hosts-bestand aanpast en er met https://fqdn/ecp naartoe gaat dan zou je geen certificaat-error moeten krijgen

Paul schreef op donderdag 2 februari 2023 @ 12:17:
Als je met https://10.1.2.3/ecp of https://interne-servernaam/ecp naar die servers gaat dan klopt dat, als je per server je hosts-bestand aanpast en er met https://fqdn/ecp naartoe gaat dan zou je geen certificaat-error moeten krijgen

@sjorremans meldt in een paar posts hierboven dat hij verbindt met https://fqdn/ecp.

De vraag is natuurlijk even naar welk IP adres dat FQDN resolved en waar je dan uit komt. Exchange zelf of iets voor Exchange?

[ Voor 12% gewijzigd door asing op 02-02-2023 12:20 ]