M365 | Outlook kann nicht aus einem geteiltem Postfach senden

Veröffentlicht am von
Antwort

Bei einem Kunden sollte der Mail-Verteiler service@domain.de in ein geteiltes Postfach umgestellt werden. Wie inzwischen alle Kunden, war auch dieser in M365 unterwegs. Eigentlich keine große Sache, aber nach der Einrichtung funktionierte das Versenden von Mails aus dem Postfach nicht.

Der Fehler lautet [0x80070005-0x000004dc-0x00000524]

Ein NDR mit der folgenden Meldung wurde dem Absender zugestellt.

image

Ich hatte die Sache getestet, aber nur mit OWA und da hatte es funktioniert, also musste das Problem mit dem auf dem PC installierten Outlook zusammenhängen. Aus Sicht von Outlook hatte sich die Mailadresse service@domain.de nicht geändert, aber in M365 wurde sie gelöscht und über ein freigegebenes Postfach wieder zur Verfügung gestellt. Meine Idee war, dass möglicherweise die Offline-Adressbücher auf den PCs nicht aktuell waren.

Nachdem alle Offline-Adressbücher auf dem PCs gelöscht waren, funktionierten auch die geteilten Postfächer ohne Probleme. Zum Löschen muss Outlook beendet werden, beim Neustart werden die Adressbücher dann automatisch neu geladen.

:: Löschen der Offline-Adressbücher lokal auf dem PC
rd "%userprofile%\AppData\Local\Microsoft\Outlook\Offline Address Books" /s /q

Das geht natürlich bei geschlossenem Outlook auch remote.

image

Beide oben gezeigten Wege zeigen die Holzhammer-Methode, lassen sich dafür aber umso besser automatisieren.

Ein Paar Informationen rund um die Verwendung von geteilten Postfächern liefert Microsoft in diesem Artikel.

Ein weiterer Artikel, falls die Mails in den verteilten Postfächern nicht im Ordner gesendete Elemente landen ist auf WindowsPro zu finden.

Enjoy it, b!

Windows | Keine Anmeldung beim Konto möglich

Veröffentlicht am von
Antwort

Es gibt Fehler, die man sich nicht wünscht, die aber trotzdem passieren.

Eine Mitarbeiterin konnte sich nicht mehr an ihrem PC anmelden und wurde mit folgender Meldung konfrontiert.

image

Das Abmelden funktionierte und ein Blick in die Eingabeaufforderung zeigte, dass ihr Profil unter C:\Users\<Benutzername> nicht mehr existierte.

Offensichtlich oder wahrscheinlich wurde ihr Profil (aus welchen Gründen auch immer) gelöscht. Der Löschvorgang wurde jedoch nur auf Dateisystemebene durchgeführt. Benutzerprofile sollten immer über den folgenden Dialog gelöscht werden.

Systemeigenschaften / Erweitert/ Benutzerprofile/ Einstellungen …

image

Alternativ kann zur Automatisierung auch DelProf2 von Helge Klein verwendet werden. Das ist zwar kein offizielles Microsoft-Tool, hat aber bei mir in den letzten 15 Jahren problemlos funktioniert.

Wird das Profil nur im Dateisystem gelöscht, bleibt der entsprechende Eintrag in der Registry erhalten und verhindert das Anlegen eines neuen Profils bei der Anmeldung. Windows legt dann ein temporäres Profil an. Der eigentliche Eintrag, der angelegt werden soll, existiert bereits und hat die Endung .bak

image

:: Profil-Pfad in der Registry
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Falls dort ein Eintrag mit der Endung .bak vorhanden ist, sollte dieser mit allen Unterverzeichnissen gelöscht werden.

:: Profil-Pfad in der Registry mit der Erweiterung .bak
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1234567890-1234567890-1234567890-1112.bak

Nach dem Löschen des Eintrages funktioniert die Anmeldung problemlos und das Profil kann neu erstellt und konfiguriert werden. Wohl dem, der seine Ordner entweder mit OneDrive for Business gesichert hat oder den Dateiversionsverlauf nutzt. Wir kennen ja die Neigung der Nutzer alles auf dem Desktop zu speichern Winking smile

Enjoy it, b!

M365 | Kalender in OWA teilen

Veröffentlicht am von
Antwort

Häufiger als man denkt, tun sich Mitarbeiter schwer damit, ihren Kalender über Outlook in der Organisation freizugeben. Wenn ich bei unterstützen muss, wähle ich den einfachen Weg über Outlook Web Access (OWA) https://outlook.office365.com

Hat die Anmeldung funktioniert, ist der Weg recht einfach. Nach der Auswahl des Kalenders (meist ist sowieso nur einer vorhanden) klickt man auf Teilen und kann damit mit der Freigabe des eigenen Kalender beginnen.

image

Die Eingabe der Mail-Adresse und Auswahl entsprechender Berechtigungen ist selbsterklärend.

image

Enjoy it, b!

M365 | Gesendete Mails in freigegebenen Postfächern

Veröffentlicht am von
2

Persönlich bin ich ein großer Freund der geteilten (freigegebenen) Postfächern wie man sie in Microsoft 365 anlegen kann. Wird aus einem geteilten Postfach heraus gesendet, landen die Mails aber im eigenen Ordner für “Sent Items” / gesendete Elemente, dass erschwert den Kollegen eine Übersicht, der über dieses Postfach erfolgten Kommunikation.

Darum wäre es sinnvoll, dass gesendete Mails in geteilten Postfächern auch dort in den Ordner für gesendete Elemente vorhanden sind.

Diesem Wunsch kann relativ einfach nachgekommen werden. Dazu sind die folgenden Schritte im Microsoft 365 Admin Center notwendig.

  1. Anmelden als M365 Administrator unter https://portal.office.com
  2. Öffnen des Bereichs Admin
  3. Unter Teams und Gruppen / Freigegebene Postfächer auf das entsprechende freigegebene Postfach klicken


    image

  4. Dort unter Gesendete Elemente / Bearbeiten auswählen und entsprechend die Optionen Als dieses Postfach gesendete Elemente kopieren und / oder Im Auftrag dieses Postfach gesendete Elemente kopieren und Speichern


    image

Enjoy it, b!

Netzwerkprobleme nach FRITZ!Box Update

Veröffentlicht am von
Antwort

Lässt man eine FRITZ!Box lange genug ohne Update, so erfolgt die Installation oftmals durch den Provider oder die FRITZ!Box selbst. Ist dazu keine Benachrichtigung eingestellt, steht man oft vor ungeahnten Problemen im Netzwerk.

Die FRITZ!Box 7580 bekam so ein Update, genau genommen die Version 07.30 des FRITZ!OS und dabei wurde in den IPv6-Einstellungen des Router Advertisement im LAN wieder aktiviert, welches ursprünglich abgeschaltet war.

image

Was ist danach genau passiert?

  • Die FRITZ!Box propagiert sich als Router und DNS im Netzwerk
  • Alle Windows-Systeme bekommen dadurch zusätzlich einen IPv6-DNS zugewiesen und arbeiten auch vorrangig mit diesem
  • Als erster DNS in der Liste der DNS-Server steht dann die FRITZ!Box mit ihrer IPv6-Adresse
  • Anfragen der Windows-Systeme für das lokale Netz laufen damit ins Leere, da sie an die FRITZ!Box per IPv6 gehen und diese vom lokalen Netzwerk keine oder ungenügend Informationen hat
  • Es kommt zu Problemen beim Zugriff auf SMB-Freigaben und so weiter

Dem Spuk beendet man, indem man den Haken wie unten im Bild wieder raus nimmt.

image

Wenn man die Ursache kennt, ist das Problem schnell gelöst. Ohne kontrollierte Installation von Updates bzw. einer Notifikation, dass es hier ein automatisches Update gegeben hat, stochert man einige Zeit im Dunkeln. Fragt man, ob es in der letzten Zeit irgendwelche Veränderungen gab, so ist die Antwort nein.

Könnte sich AVM endlich dazu durchringen eine bedingte-Weiterleitung (Conditional Forwarder) in die FRITZ!Box einzubauen, könnten alle Anfragen mit *.domain.local von der FRITZ!Box an einen der Domänen-Controller geschickt werden. Eine saubere Konfiguration von IPv6 im LAN ist nicht schwierig und würde in Verbindung mit dem Forwarder die Namensauflösung gegen solche (unter anderem nicht in den Release-Notes) beschriebenen Konfigurationsänderungen (ok, es war mehr ein Rücksetzen) unempfindlich machen.

Andere Hersteller bieten so eine Möglichkeit und eine Reihe weiterer Optionen zur Konfiguration des DNS auf dem Router an.

Möglicher Weise kommt im neuen Jahr noch der eine oder andere “FRITZ!Box-Networking” Blog, da diese Geräte viel häufiger in gewerblichen Umgebungen anzutreffen sind, als man glaubt. Was genau genommen auch nichts ausmacht, wenn man sich der Einschränkungen und Eigenarten bewusst ist.

Ich wünsche Euch ein entspanntes und wenig stressbehaftetes Jahr 2024 in der IT!

Enjoy it, b!

Default Domain Policy | Fehlende Remote Installation Services in der GPO

Veröffentlicht am von
Antwort

Eigentlich habe ich die Default Domain Policy in den Active Directory Domains (AD) meiner Kunden nie verändert. Jetzt, da ich durch den Verlust meines geliebten Small Business Servers vermehrt den Synology Directory Server einsetze (sagen wir einfach mal Samba dazu) bin ich beim Aufräumen auf eine veränderte Default Domain Policy gestoßen. Deren Einstellung wurden im Zuge einer Migration auf den Windows Small Business Server erweitert (Remote Installation in der User Configuration).

image

Von den Zeitstempeln (Created und Modified) würde das passen.

image

Ein Löschen der Einträge war leider nicht möglich, da diese nicht im Editor (gpedit) angezeigt wurden. Schließlich konnte ich aber die dazugehörige Richtlinien-Datei mit der GUID {31B2F340-016D-11D2-945F-00C04FB984F9} im SysVol finden und die Default Domain Policy bereinigen.

image

Man kann auch mit einem dir nachschauen, ob die Einstellungen dort wirklich zu finden sind (just to be sure).

image

Gelöscht wird über eine mit administrativen Rechten ausgeführte cmd.exe oder PowerShell und zwar der USER\Microsoft\Remote Installation Ordner und nicht die Policy selbst!

:: Löschen des Ordners "Remote Install" in der Policy
rd "\\synology-nas\sysvol\mydomain.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\USER\Microsoft\Remote Install" /s /q

Nochmals und aus gegebenem Anlass, nicht die Policy löschen da es sich auch noch um die Default Domain Policy handelt und dcgpofix nur auf einem Windows Domain Controller ausgeführt werden kann, der ja in diesem Fall nicht vorhanden ist.

Enjoy it, b!

Outlook speichert gesendete Mails im falschen Ordner

Veröffentlicht am von
Antwort

Wird Outlook (der installierte Client auf dem PC, nicht OWA) mit mehreren Postfächern konfiguriert, dann kann es vorkommen das gesendete Mails im falschen Sent Items Ordner (Gesendete Elemente) erscheinen.

Damit das nicht passiert, muss sichergestellt werden das die Standard-Outlook-Mail-Adresse und die Standard-Outlook-Dateidatei zum gleichen Konto gehören.

image

Als Standard-Outlook-Datendatei wird hier fälschlicher Weise die vom zweiten (untern) Konto verwendet.

image

Korrigiert kann das Problem mit einem Klick auf Set as Default korrigiert werden.

image

Enjoy it, b!

Adobe Creative Cloud Windows Explorer Erweiterung

Veröffentlicht am von
Antwort

Für alle, denen die Erweiterung des Windows Explorer um den Ordner “Creative Cloud Files” auf den Sa… geht, hier ein kleines Skript, was den Spuk wieder rückgängig macht.

image

Das Skript im Kontext des Benutzer ausführen, der die Erweiterung als störend empfindet. Es handelt sich ja um einen Eintrag unter HKEY_CURRENT_USER und damit brauchen wir keine Admin-Berechtigungen.

Enjoy Adobe, b!

Synology L2TP-VPN mit Windows

Veröffentlicht am von
Antwort

Der Synology VPN Server bietet eine einfache und vor allem kostenlose Möglichkeit gesicherte Zugänge ins lokale Netzwerk herzustellen.

Der größte Vorteil ist, dass auf einem Windows-System keine zusätzliche Software installiert werden muss, es genügen ein oder zwei Einstellungen in der Registry und die Konfiguration des VPN-Tunnels per PowerShell. Vor allem wird die Geschwindigkeit des Windows Systems nicht beeinflusst, wie das zum Beispiel bei einem Lancom Advanced VPN-Client der Fall ist, mit dem sich der Startvorgang von Windows deutlich verlängert.

In diesem Blog geht es um die Einrichtung des VPN unter Windows. Damit der VPN-Server funktioniert, müssen die folgenden Punkte berücksichtigt werden:

  • Öffentliche IPv4-Adresse des Routers muss über einen DynDNS-Dienst erreichbar sein. Auch wenn eine feste IP-Adresse vom Provider vorhanden ist, empfehle ich deren Maskierung über einen DNS-Namen!
  • Der VPN-Server muss auf dem Synology NAS installiert und konfiguriert sein
  • Die Ports 500, 4500 und 1701 müssen für UDP vom Router auf das Synology NAS weitergeleitet werden

Hier der Screenshot einer FRITZ!Box mit den Weiterleitungen für L2TP, auf die interne IP-Adresse des Synology NAS (und damit dem VPN-Server) mit 172.16.16.13

image

Einmalig zu konfigurierende Einstellungen für das L2TP-VPN unter Windows

Microsoft beschreibt in diesem Artikel, mögliche Werte für die Konfiguration. Nach meiner Erfahrung befinden sich fast immer, sowohl der VPN-Client (also das Windows System) als auch das Synology NAS (und damit der VPN-Server) hinter einer mit NAT umgesetzten Umgebung. Darum habe ich den Wert 2 als Default in meinem Skript verwendet.

PowerShell L2TP-VPN Registry-Setting

Auszuführen ist der Code mit erweiterten Rechten in einer PowerShell-Sitzung (elevated), was aber im Skript ebenfalls abgeprüft wird. Nach dem Setzen des Wertes ist ein Neustart von Windows sinnvoll. Danach können von jedem Benutzer eigene, auf L2TP basierende VPN-Tunnels erstellt werden.

Erstellen eines L2TP basierten VPN-Tunnels

Der VPN-Zugang kann natürlich in den VPN-Einstellungen von Windows “durchgeklickt” werden, vor allem bei mehreren Benutzern und einfacher, ist die Verwendung der PowerShell und des folgenden Skriptes.

image

Zur Ausführung des Skriptes sind die folgenden Punkte zu beachten.

  • Das Skript wird im Benutzer-Kontext ausgeführt und ist individuell für jeden Benutzer anzupassen
  • Dafür sind ist die Variabel $User entweder mit einem Benutzer aus der Domäne zu belegen oder mit einem lokalen Benutzer auf dem Synology NAS. Ist ein AD / Domäne vorhanden, empfiehlt es sich diese zu verwenden, da dann das gleiche Passwort wie zur Anmeldung verwendet werden kann. Darüber hinaus bitte immer nur den Benutzernamen eintragen, die Domäne ist nicht notwendig

Generell sind für alle Benutzer die einen Zugang per VPN erhalten sollen, die folgenden Einstellungen zu treffen:

  • $ServerAddress = Ein über DNS (DynDNS) auflösbarer Name der vom Provider zugewiesenen IPv4 Adresse, die Konfiguration des DyDns-Providers kann man auf dem Router, dem Synology NAS oder einem anderen Endgerät durchführen
  • $L2tpPsk = Der im Synology VPN-Server hinterlegte Pre-Shared Key

Der Pre-Shared Key ist auf dem VPN-Server hinterlegt und muss auch in allen Konfigurationen auf den Endgeräten verwendet werden, er ist also immer gleich. Wer bei der Einrichtung einen hinreichend langen Key erstellen will, kann sich der auskommentierten Zeile 13 und PowerShell bedienen.

image

Damit ist die Konfiguration auch schon fertig, nun stellt sich nur die Frage was tun, wenn der Zugang nicht funktioniert?

Update 01.05.2024

Will man ein L2TP-VPN von einem Apple IOS Device nutzen (iPad Pro), dann darf der Pre-Shared Key nicht länger als 128 Zeichen sein. Thanks Apple for this unnecessary limitation. Sonst klappt die Verbindung nicht!

Das hat übrigens nichts mit diesen Support-Artikel von Apple zu tun. Dieser besagt lediglich, dass die Option Enable SHA-254 compatible mode (96Bit) nicht aktiviert werden darf.

Troubleshooting, Allgemeine Checks (DNS und Ports)

Ein korrekt über das Skript angelegter VPN-Zugang taucht als zusätzlicher WAN Miniport (L2TP) Adapter in den Netzwerkverbindungen auf, konfiguriert man mehrere Zugänge, dann gibt es auch mehrere Netzwerkverbindungen.

image

Prüfen ob von Windows aus der Synology VPN Server per nslookup auflösbar ist.

Nochmalige Prüfung on die drei UDP-Ports wirklich auf das NAS zeigen und ob auch wirklich UDP und nicht TCP verwendet wurde. Die Portnummern sind, nochmals zur Vollständigkeit 500, 4500 und 1701

Troubleshooting, Fehler 787

Für den Fall, dass der Aufbau des VPNs mit einem Fehler 787 fehlschlägt, ist ebenfalls in einer PowerShell-Sitzung mit erweiterten Rechten der unten stehende Code zur Ausführung zu bringen. Die dort beschriebene Änderung hat Microsoft ebenfalls in einem Artikel dokumentiert.

image

Bisher musste ich diesen Wert nur 2x setzen, daher habe ich ihn im Skript, das als Download zur Verfügung steht deaktiviert.

Troubleshooting, die Namensauflösung durch den Tunnel funktioniert nicht

Bei einem aufgebauten VPN-Tunnel funktioniert die Auflösung der dahinter liegenden DNS-Namen nicht. Der Grund dafür ist relativ einfach, Windows verwendet den DNS-Server mit dem Netzwerkadapter mit der kleinsten InterfaceMetric.

image

Wird nun der VPN-Verbindung die niedrigste InterfaceMetric zugewiesen, dann gehen die Abfragen des DNS durch den Tunnel.

image

Abfragen und ändern der InterfaceMetric kann man über die folgenden beiden PowerShell-Befehle erreichen.

image

Damit wird der, auf dem VPN-Server konfigurierte DNS verwendet und eine Verwendung und Abfrage von Namen als FQDN ist möglich.

Die niedrige InterfaceMetric für den VPN-Netzwerkadapter spielt im Betrieb ohne VPN keine Rolle, da dann der Netzwerkadapter deaktiviert ist.

Für und wider dem Synology VPN Server

Der Synology VPN Server hat eine Reihe von Eigenschaften die bekannt sein sollten, bevor man sich für diese Lösung entscheidet.

  1. Es ist nicht möglich ein Site-2-Site VPN zu erstellen, dass behält Synology seinen Routern vor
  2. Die Verwendung von DNS-Splittunneling ist nicht möglich, auch das geht nur mit Synology Routern (oder natürlich alternativen VPN-Lösungen)
  3. Wireguard ist schneller

Warum verwende ich dann trotzdem den Synology VPN Server?

  • Er ist kostenlos
  • Windows ist als VPN-Client einfach per PowerShell zu konfiguieren und es muss kein Agent installiert werden. Damit entfallen Updates und es werden Sicherheitsrisiken reduziert

Enjoy it, b!

LSA 40970 | Fehlende SPNs im Synology Directory

Veröffentlicht am von
Antwort

Hier geht es nicht nur um den Synology Directory Server, sondern auch um ein Problem in einer Samba-Domain allgemein. Letztendlich basiert der Synology Directory Server auf Samba und damit kann für eine Fehleranalyse und Behebung auf die Informationen im Samba-Wiki zurück gegriffen werden und natürlich auch (mit einer gewissen Vorsicht) die RSAT-Active Directory Tools vom Microsoft zum Einsatz kommen.

Hier noch ein Hinweis in eigener Sache:
Es handelt sich hier um eine Test/Labor-Umgebung, allerdings aus einem Kundenumfeld, darum habe ich die Namen entsprechend ersetzt.

Nach einer Reihe von Reparaturen in der Labor-Domain dslab.local, zeigte ein Computer die folgende Warnung im Ereignissprotokoll.

image

Da die Domain zwei DCs hat, war es kein großes Ding die SPNs beider Systeme miteinander zu vergleichen und tatsächlich fehlten dem nc-nas-11 eine Vielzahl von SPNs, die auf dem nc-ncs-14 zu finden waren.

image

Gegenüber den Einträgen des nc-nas-14 ist das recht spärlich Smile

image

Nachdem die fehlenden SPNs, analog zu den Einträgen des nc-nas-14 mit setspn registriert waren, verschwand auch der LSA 40970 im Ereignisprotokoll.

Enjoy it, b!