Het grote kleine-SysOps-vragen topic deel 1

[ Voor 4% gewijzigd door FastFred op 13-02-2024 17:06 ]

Onbekend schreef op zaterdag 17 februari 2024 @ 20:15:
Heeft iemand ervaring met het exporteren van e-mails uit "Windows 11 mail"?

Blijkbaar heeft het programma een eigen interpretatie van IMAP, en een groot gedeelte van de e-mails zijn gedownload en staan niet meer op de server.
En het programma heeft geen enkele mogelijkheid om e-mails te exporteren of te backuppen.

masauri schreef op maandag 26 februari 2024 @ 14:12:
Ik heb volgende vraag gekregen van één van onze softwareleveranciers:


***members only***


Aangezien het hier niet over een paar honderd euro gaat die men hiervoor vraagt wilde ik informeren of andere tweakers hier ervaring mee hebben en welke keuze hij of het management hierin gemaakt heeft.

D_Jeff schreef op maandag 4 maart 2024 @ 22:29:
Welke tools zouden jullie aanraden om uit te vinden welk apparaat een Windows AD account constant op slot gooit?

De een wijst naar een mailbox van Exchange on prem, de ander naar een IPhone, enz.

Drardollan schreef op dinsdag 5 maart 2024 @ 12:11:
Stomme vraag, maar ik krijg een vraag van een klant. In Outlook staat zijn mail adres als naam, maar de shared mailboxen staat wel gewoon de DisplayName die ingesteld in in M365. Voor zijn eigen account is uiteraard ook een DisplayName, maar Outlook lijkt dat niet te gebruiken.

Nooit naar gekeken omdat hij mij geen snars interesseert wat er staat, maar toen ik zocht naar een methode om dit te veranderen kwam ik niet ver. Als in, kan niks vinden.

Iemand een idee/ervaring?

Renegade666 schreef op dinsdag 5 maart 2024 @ 12:12:
[...]


je bedoelt aan de linker kant?

[ Voor 6% gewijzigd door Renegade666 op 05-03-2024 16:26 ]

Takkeding schreef op dinsdag 5 maart 2024 @ 13:27:
Kom deze tegen, dit lijkt het te doen zo vlug:
https://techcommunity.mic...me-in-outlook/m-p/1955663

D_Jeff schreef op zondag 10 maart 2024 @ 14:19:
Ik heb even wat suggesties (wilde schoten zijn ook prima, kan altijd nuttig zijn) nodig bij de volgende situatie:

Gebruiker klaagt bij het sluiten van Word dat Normal.dotm ergens opgeslagen moeten. Normal.dotm verplaatsen haalt niets uit

omgeving:
Windows Server 2022 RDS + FSlogix (oftewel office settings EN het profiel worden weggeschreven in een VHD-bestand)
Office 365 C2R - v2401 (mid feb'24)
Macro's zijn toegestaan (en nodig)

D_Jeff schreef op zondag 10 maart 2024 @ 14:19:
Ik heb even wat suggesties (wilde schoten zijn ook prima, kan altijd nuttig zijn) nodig bij de volgende situatie:

Gebruiker klaagt bij het sluiten van Word dat Normal.dotm ergens opgeslagen moeten. Normal.dotm verplaatsen haalt niets uit

omgeving:
Windows Server 2022 RDS + FSlogix (oftewel office settings EN het profiel worden weggeschreven in een VHD-bestand)
Office 365 C2R - v2401 (mid feb'24)
Macro's zijn toegestaan (en nodig)

Drardollan schreef op donderdag 14 maart 2024 @ 15:36:
Kleine technisch hersenspinseltje wat in mij opkomt.

Stel dat ik 3 fysieke servers heb met daarop de Hyper-V rol. Op die 3 servers wil ik 3 MSSQL servers hebben voor redundante databases middels Availability Groups. Hiervoor is de Failover Cluster rol nodig. Zover ik kan overzien zet je de FC rollen dan op de MSSQL servers, ofwel de virtuele machines. Want dat is de plek waar je dan zowel het failover cluster als de MSSQL hebt draaien.

Zou het dan technisch mogelijk zijn om het failover cluster op de onderliggende fysieke servers te draaien en op de virtuele machines enkel de MSSQL? En als dat mogelijk is, zou hier een voordeel aan zitten?

L0g0ff schreef op donderdag 14 maart 2024 @ 17:49:
[...]

Als je SQL Server databases wilt laten draaien met failover mogelijkheden, zet je de failover cluster (FC) rol en de SQL Server samen op je virtuele machines (VM's), niet op je fysieke servers. Dit is omdat de hele setup van SQL Server Availability Groups specifiek ontworpen is om binnen die VM's te werken. Als je de FC rol op de fysieke servers zou zetten, zou het technisch misschien kunnen, maar het maakt alles onnodig ingewikkeld en je verliest de controle over hoe je databases omgaan met storingen en failovers. Dus, kort gezegd: FC en SQL samen op de VM's houden is de weg naar een leven met minder hoofdpijn

Harmen schreef op vrijdag 15 maart 2024 @ 15:32:
Vreemd probleem hier op kantoor. (Ik vraag dit voor een collega ) Sindskort veel werkplekken voorzien van LG Ultrawides met ingebouwde dock (Realtek chip RTL8153).

Renegade666 schreef op vrijdag 15 maart 2024 @ 20:15:
@Harmen

Geen firmware beschikbaar voor de dock?

Vergelijkbaars met de HP G5's, die hadden ook vele netwerk issues in een bepaalde firmware. nieuwere versie, probleem weg.

[ Voor 7% gewijzigd door Harmen op 15-03-2024 20:24 ]

D_Jeff schreef op dinsdag 26 maart 2024 @ 21:24:
@Drardollan Als je de luxe hebt, maak er dan 1024MB van
Nadeel? minder ruimte voor de C of D schijf

Drardollan schreef op dinsdag 26 maart 2024 @ 21:28:
[...]

Aan ruimte geen gebrek
Nieuwe servers worden uitgerust met een berg 1.6TB NVMe drives. En 400GB was al voldoende geweest

Maar vind 1GB wel fors, maar dat is puur gevoel denk ik.

D_Jeff schreef op dinsdag 26 maart 2024 @ 21:31:
[...]

Ooit paste het op een floppy en in 2024 past het ineens niet meer op een cd-rom.
Ik heb zelf even aan 2GB zitten denken voor sommige servers (5 a 6 jaar TTL met 'set and forget')

HellBeast schreef op donderdag 28 maart 2024 @ 14:49:
Ben af en toe wel klaar met al die vage Microsoft problemen.

Ik ben al 1,5 dag bezig om een probleem te troubleshooten op een Windows Server 2022. Die wil geen CU updates meer installeren 0x80073701. Na alle Windows Update reset procedures en SFC en DISM commando's geprobeerd te hebben heb ik heel de CBS.log doorgespit. Staat er: Package_for_ServicingStack_2334~31bf3856ad364e35~amd64~~20348.2334.1.1, Identifier: KB5035970 [HRESULT = 0x80073701 - ERROR_SXS_ASSEMBLY_MISSING]

Feitelijk dus deze update weer downloaden van de Microsoft catalog website. Uitpakken met 7Zip en met DISM een add-package doen. Maar.....

Deze KB bestaat niet. Niet te vinden op de Windows Catalog website en ga ik erop googlen dan heb ik 4 hits.

In plaats van deze update een aantal .Net updates opnieuw geïnstalleerd, maar helaas pindakaas.

[ Voor 3% gewijzigd door Duinkonijn op 28-03-2024 15:51 ]

Duinkonijn schreef op donderdag 28 maart 2024 @ 15:50:
[...]

https://answers.microsoft...df-407f-b3e9-1d9c5108790a

En

Het grote kleine-SysOps-vragen topic deel 1

HellBeast schreef op donderdag 28 maart 2024 @ 15:58:
[...]


De server heeft geen Windows recovery partitie. Zou die update zijn gefailed en daardoor de problemen hebben veroorzaakt?

HellBeast schreef op donderdag 28 maart 2024 @ 15:58:
[...]


De server heeft geen Windows recovery partitie. Zou die update zijn gefailed en daardoor de problemen hebben veroorzaakt?

[ Voor 12% gewijzigd door Harmen op 03-04-2024 12:15 ]

Harmen schreef op woensdag 3 april 2024 @ 09:30:
Ben terug bij een oude opdrachtgever, mag mij naast Vmware beheer ook bezig gaan houden met Veeam backup. Ik zou graag de backup jobs inzichtelijk willen krijgen, heb al een excel sheet met een export van de jobs. Men heeft meerdere soorten backups (+/- 75 jobs), backup/snap/backup copy etc naar meerdere repositories. (Sans)

Edit, ik ga kijken naar Veeam One. Eerst maar even upgraden naar v12.1

Equator schreef op woensdag 3 april 2024 @ 09:52:
[...]
Het is voor mij al weer even geleden, maar ik meen dat de meeste ASR policies niet voor Windows Server waren. Je kan eventueel gebruik maken van de Secure Score recommendations die MS zelf geeft voor servers.

Hero of Time schreef op zaterdag 13 april 2024 @ 21:51:
Klinkt als een probleem op de 5 GHz band. Bovendien, als je een gloednieuwe laptop hebt en het enige wat je aan wifi hebt is a/b/g, dan heb je een antieke wifi kaart erin zitten. Vandaag de dag zou ik ook nog N, AC en AX verwachten.

joopv schreef op maandag 15 april 2024 @ 10:28:
Afgelopen vrijdagochtend rond 10 uur gingen bij onze klanten (wij zijn B2B IT dienstverlener) een heleboel site-to-site VPN tunnels down. Diverse locaties, diverse klanten, diverse merken en modellen apparatuur (cisco en fortinet).

Ipsec phase1 kwan niet eens op, het *leek* er op dat udp 500 verkeer ergens op internet gedropt werd. Zaterdag rond 2 uur leek alles weer te werken.

Zijn er meer gelijke ervaringen? Of is er een andere plek waar ik deze vraag beter kan stellen?

Hero of Time schreef op zaterdag 13 april 2024 @ 23:59:
Het probleem kan extreem lokaal zijn. Als in, de driver die geïnstalleerd is gaat over z'n giechel als het gebruikt wordt. Ga dus eens kijken naar een andere driver.

Mocht je dat gek vinden, ik heb bij m'n eerste werk een laptop gehad die een BSOD gaf wanneer er een Youtube video werd gestart via wifi. Voor alle andere dingen was er niks aan de hand en bedraad werkte ook prima. Driver update en probleem opgelost.

Mantis schreef op dinsdag 2 april 2024 @ 14:23:
Zijn er nog sysadmins die naar Defender for Endpoint Server migreren?

Wij zijn nu bezig onze on-prem servers via 'Managed by MDE' te onboarden. Maar ik zie in de Intune back-end dat er geen baseline security policies beschikbaar zijn voor Windows Server.
Wanneer je een nieuwe policy aanmaakt, is dit volledig from scratch maar wij willen gewoon starten met de settings die volgens MS best practice zijn.
Voor Defender AV vind ik wel wat baseline settings online maar bijvoorbeeld rond ASR is er weinig te vinden op server niveau.

Hoe doen jullie dat?

jordeeeh schreef op woensdag 17 april 2024 @ 13:35:
Zijn er hier ook mensen die gebruik maken van FSLogix i.c.m. het Invoke-FslShrinkDisk script?
Ik loop er tegenaan dat de Last modified date wordt gewijzigd op moment dat het script wordt gedraaid.
Hierdoor zijn de .vhdx bestanden nooit ouder dan xx dagen en worden deze dus niet opgeschoond.

Dit probleem wordt ook genoemd onder de issues waarbij anderen het wel werkbaar hebben gekregen na een wijziging in het script. Echter wordt nergens precies uitgelegd wat nou gewijzigd moet worden.
https://github.com/FSLogix/Invoke-FslShrinkDisk/issues/31

Mijn kennis van PowerShell is helaas niet goed genoeg om met wat ik in de reacties lees zelf te wijzigen in het script.
Is er misschien iemand die dit zelf gebruikt en heeft weten op te lossen?

Tylen schreef op woensdag 17 april 2024 @ 14:04:
[...]


Opschonen van de fslogix containers kan ook heel handig met dit script: https://www.jeroentielen....ontainers-cleanup-script/

1
2
3
4
5
6

Unable to find type [Microsoft.ActiveDirectory.Management.ADIdentityNotFoundException].
At C:\Batch\CleanFSLogixContainers.ps1:128 char:11
+     Catch [Microsoft.ActiveDirectory.Management.ADIdentityNotFoundExc ...
+           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Microsoft.Activ...tFoundException:TypeName) [], RuntimeException
    + FullyQualifiedErrorId : TypeNotFound

Hero of Time schreef op woensdag 17 april 2024 @ 16:16:
@jordeeeh heb je wel RSAT for Powershell geïnstalleerd staan op die server waar het script moet draaien?

[ Voor 24% gewijzigd door Illegal_Alien op 18-04-2024 11:15 ]

Korakal schreef op vrijdag 19 april 2024 @ 15:13:
Heeft er iemand een bruikbare tip voor mij voor het volgende?
Ik krijg soms van klanten toegang tot hun Microsoft 365 omgeving, waarbij ik alleen mijn e-mailadres krijg doorgegeven en een link naar https://passwordreset.microsoftonline.com/
Wij hebben in onze hybrid (ADDS + Entra ID, gesynct) omgeving af en toe externen die toegang moeten krijgen en ik zou graag deze zelfde manier inzetten. Self Service Password reset is toegestaan voor alle gebruikers en er is password writeback. Ik heb vandaag geprobeerd om een account in de lokale AD aan te maken (voorzien van telefoonnummer en usageLocation) en deze wordt gesynct naar Entra ID. Er is een licentie (Azure AD Premium P1) aan het account toegekend. Zodra ik echter een password reset probeer uit te voeren via eerdergenoemde url krijg ik een SSPR_0014 error: 'aanvullende beveiligingsgegevens zijn nodig om uw wachtwoord opnieuw in te stellen.'
Op zich klinkt het logisch, want die zijn nog nooit geregistreerd - het is een nieuwe user. Hoe ga ik uit deze loop komen voor nieuwe users?

Gr4mpyC3t schreef op vrijdag 19 april 2024 @ 15:33:
[...]


Is er een directe reden om een account aan te maken in de eigen tenant? Microsoft Entra ID heeft namelijk B2B Collaboration.

Jij wordt uitgenodigd op je eigen mailadres door de klant en kan daarmee 'hoppen' naar de tenant van klant. Weet alleen niet of dat werkbaar is voor jou omdat je ook ADDS vermeldt.

[ Voor 15% gewijzigd door ralpje op 19-04-2024 16:49 ]

Korakal schreef op vrijdag 19 april 2024 @ 17:35:
Ja ik vermoed dat het inderdaad al geprovisioned is, want ik moet altijd wel overal mijn telefoonnummer doorgeven en zodra ik een password reset doe vóór eerste ingebruikname, dan krijg ik in de SSPR flow een bevestiging per SMS. Dus die hoek zal het zitten, @ralpje
Ik heb alleen werkelijk geen idee hoe ik een nieuw account alvast kan SSPR provisionen zonder de nieuwe gebruiker daarmee lastig te vallen voordat 'ie z'n account heeft gekregen. Er moet een manier zijn, maar hoe?

Korakal schreef op vrijdag 19 april 2024 @ 15:53:
[...]
ja, die is er - rechtentoekenning in de lokale omgeving/ADDS. We maken dus echt een account voor die personen aan zoals dat ook voor collega's zou gelden, maar dan met beperkte rechten.


[...]

Nee, ik doel echt op een account binnen omgevingen van onze klanten; ik doe veel projectwerk (niet M365 gerelateerd) en daar zijn altijd wel eigen accounts voor nodig - ik heb nog nooit ergens een B2B toewijzing gekregen.

1
2

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExemptFileTypeDownloadWarnings]
"1"="{\"file_extension\": \"rtf\", \"domains\": [\"*\"]}"

[ Voor 5% gewijzigd door Renegade666 op 22-04-2024 11:38 ]

Wolf87 schreef op maandag 22 april 2024 @ 11:55:
Revese proxy ertussen met SSL termination?

[ Voor 29% gewijzigd door Wolf87 op 22-04-2024 12:00 ]

Wolf87 schreef op maandag 22 april 2024 @ 11:57:
Heb je al geprobeerd in about:config om dom.block_download_insecure op False te zetten?

https://github.com/mozilla/policy-templates/issues/1091

[ Voor 7% gewijzigd door Renegade666 op 22-04-2024 12:12 ]

Renegade666 schreef op maandag 22 april 2024 @ 12:08:
[...]
Helaas, bji de gebruiker stond deze ook al op false. dus dat is het niet

[ Voor 4% gewijzigd door asing op 22-04-2024 12:32 ]

asing schreef op maandag 22 april 2024 @ 12:31:
[...]

Wat je kan proberen is om de URL van het bestand (http://server/map/bestand.rtf) in WGET te knallen en dan zien of je het bestand wel netjes binnen krijgt.

Als dat zo is, dan moet je je HTTP server voorzien van een certificaat. Geen idee wie die webserver beheert maar iemand moet daar iets gaan doen .

Renegade666 schreef op maandag 22 april 2024 @ 13:11:
[...]


dat gaat helaas niet lukken, het bestand word pas gegenegeerd als er op de knop gedrukt word.
Zal morgenmiddag nog wel even kijken, vanmiddag eerst even andere uitdagingen.

asing schreef op maandag 22 april 2024 @ 13:52:
[...]

Lastige deze. De bouwers van de browsers zijn hard aan het werk om de browsers zo veilig mogelijk te maken. Niet alleen keren ze zich steeds harder tegen onveilige websites, ook verouderde webtechnieken worden niet meer geaccepteerd. Als je met maatwerk werkt loop je op een gegeven moment een risico dat je maatwerk ineens niet meer werkt. Ik geloof dat je dat moment nu te pakken hebt.

En nu het niet meer werkt komen ze aan jouw hoofd zeuren. Want jij bent de IT-er. En jij kan dit oplossen hopen ze.

Renegade666 schreef op maandag 22 april 2024 @ 13:57:
[...]


je gaat door voor de koelkast


Ja, en ik roep het al tijden dat hij het beter geregeld moet hebben, maar doet niks.
Gebruikt nog een oude apache omgeving etc.
Gelukkig is het alleen maar intern, maar ben wel klaar mee.
Zal morgen kijken als ik een reverse proxy kan bouwen, en een SAN cert kan regelen (zijn 3 interne sites).
Alleen zal hij de naam moeten aanpassen, hij gebruikt een toplevel domein wat niet kan... (geen local, maar zelf wat bedacht..)
Zal dan worden app1.klantdomein.nl, app2.klantdomein.nl...

@Hero of Time
Zal morgen kijken, maar acht de kans klein.

* asing doet koelkast met speciaalbier vullen

Duinkonijn schreef op maandag 22 april 2024 @ 16:04:
Kleine CA, is zo opgebouwd…. Alleen de policies aan passen dat het root cert over twintig jaar verloopt en de website 15 jaar

asing schreef op maandag 22 april 2024 @ 14:38:
Even zonder gein, ik snap dat dit aan alle kanten frustrerend is. Je zou een interne CA kunnen inrichten. Het nadeel daarvan is dat iedere client moet worden voorzien van een root en intermediate certificaat om het certificaat van de website te controleren. Dat geeft weer extra werk met browsers omdat bijvoorbeeld Firefox niet standaard in de Certificate store van Windows kijkt. Plus, je moet weer regelmatig certificaten vervangen en de bedoeling is minder werk, niet méér werk.

Een andere oplossing is Let's Encrypt. Daarvoor heb je een machine nodig met Apache of een andere Webserver. Ook heb je toegang nodig tot de DNS server van je domein. De machine moet weer vanaf internet bereikbaar zijn op poort 80. Vervolgens moet je het zo inregelen dat alle namen die je gecheckt wil hebben (app1.domein.nl, app2.domein.nl) in de DNS staan en bereikbaar zijn op de machine die ik eerder noemde.