Microsoft 365 – ugg.li Schnelle Hilfe für schnelle Admins

Microsoft 365 Exchange online: SMTP-Relay sendet nicht mehr „SendAsDenied“ und „not allowed to send as“

Veröffentlicht am April 20, 2023 von weed — 1 Kommentar ↓

„Auf einmal“ sendet ein SMTP-Relay Server nicht mehr alle E-Mails raus. Im (IIS-SMTP-) Log findet sich dieser Fehler:

SendAsDenied; <NAME> not allowed to send as <NAME>; STOREDRV.Submission.Exception:SendAsDeniedException.MapiExceptionSendAsDenied; Failed to process message due to a permanent exception with message [BeginDiagnosticData]Cannot submit message.

Wobei <NAME> ein Alias des Relay-Benutzers ist. Der Benutzer darf also nicht mehr als er selbst senden.

Lösung

Microsoft hat, natürlich ohne große Ankündigung, die implizite „Senden-Als“ Berechtigung für Aliase einer Mailbox entfernt. Man muss diese im Exchange Admin-Center einfach wieder aktivieren.

Das geht unter Einstellungen > Nachrichtenfluss > „Senden von Aliasnamen aktivieren“

… und schon kann der Nutzer wieder mit einem beliebigen Alias E-Mails (via SMTP) versenden.

Word Fehlermeldung „Die Arbeitsdatei konnte von Word nicht erstellt werden. Überprüfen Sie die TEMP-Umgebungsvariable“

Veröffentlicht am Februar 23, 2023 von weed — 1 Kommentar ↓

Auf einer RDS Farm durften wir soeben diesen Fehler suchen. Einige Benutzer erhielten beim Versuch Word-Dateien im Explorer via Doppelklick zu öffnen die Meldung:

Irreführend: „Überprüfen Sie die TEMP-Umgebungsvariable“

Die Arbeitsdatei konnte von Word nicht erstellt werden. Überprüfen Sie die TEMP-Umgebungsvariable.

Außerdem dauert es extrem lange, bis Word die Datei(en) öffnet. Das funktioniert, dauert nur wahnsinnig lange.

Lösung

Mit der %TEMP% Variable und dem Temp-Pfad hat diese Meldung in der Regel nicht viel zu tun. Der Fehler wird auch nicht von Word selbst verursacht, sondern von der Vorschau für Word-Dateien im Explorer. Selbige holt sich einen veralteten Verweis aus der Registry für einen Vorschauhandler, den es nicht mehr gibt.

Die folgenden Schlüssel sind in der Regel (bis auf Unterschlüssel) leer, enthalten also keine Werte. Wen dem so ist, einfach den ganzen Schlüssel mit Unterschlüsseln löschen, der Fehler ist dann sofort weg.

HKEY_CLASSES_ROOT\CLSID\{84F66100-FF7C-4fb4-B0C0-02CD7FB668FE}  (Word)
HKEY_CLASSES_ROOT\CLSID\{65235197-874B-4A07-BDC5-E65EA825B718}  (PPT)
HKEY_CLASSES_ROOT\CLSID\{00020827-0000-0000-C000-000000000046}  (Excel)

Man muss nicht neu starten, nur den „hängenden “ Word-Prozess beenden. Danach funktionieren sowohl Vorschau als auch Word wieder ohne Fehler.

Wenn das noch nicht zum Erfolg führt, lont ein Blick in die ShellFolder-Pfade. Diese müssen stimmen, sonst verrutschen Office-Tools gerne mal im Pfad.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Name: Cache
Soll-Wert: %userprofile%\AppData\Local\Microsoft\Windows\INetCache

Der Pfad muss natürlich auch existieren und der Nutzer muss dort schreiben dürfen.

PIN zurücksetzen Fehler“CAA2000B“ auf AzureAD „registered“ Geräten nach Office 365 Installation

Veröffentlicht am Januar 30, 2023 von weed — Keine Kommentare ↓

Man registriert sein Windows-Gerät, auch den Home-PC, automatisch ins Microsot 365 AzureAD eines Unternehmens, indem man nach einer Office 365 Installation den Haken bei „Verwaltung meines Gerätes durch meine Organisation zulassen“ nicht entfernt. Alternativ kann man auch links unten auf den „unsichtbaren“ Button „Nein, nur bei dieser App anmelden“ klicken.

Wenn man sein Gerät registiert hat taucht es auch nach wenigen Cloudmomenten im AzureAD Device Manager auf:

Und bekommt von dort einige Richtlinien. Vor allem die Sicherheitsrichtlinien greifen dann auf dem Gerät – machmal ist das bei „Privat-PCs“ etwas überraschend.

Fehler CAA2000B (AADSTS500014)

Standardmäßig tritt beim zurücksetzen der Windows-Hello PIN auf dem PC nach dem Azure AD Registrierungsvorgang dieser Fehler auf:

Es ist ein Problem aufgetreten

wir konnten sie nicht anmelden. Falls dieser Fehler weiterhin besteht, wenden Sie sich an den Systemadministrator, und geben Sie den Fehlercode an: CAA2000B.

Das liegt daran, das der Administrator die „App“ die die Zugangs-PIN ändern will erst zu „seinem“ Azure AD hinzufügen und bestötigen muss.

Lösung

1. Die PIN-Reset Web-App „Service“ aufrufen und als Globaler Administrator anmelden. Am einfachten mit GENAU diesem Link:

https://login.windows.net/common/oauth2/authorize?response_type=code&client_id=b8456c59-1230-44c7-a4a2-99b085333e84&resource=https%3A%2F%2Fgraph.windows.net&redirect_uri=https%3A%2F%2Fcred.microsoft.com&state=e9191523-6c2f-4f1d-a4f9-c36f26f89df0&prompt=admin_consent

2. Die PIN-Reset Web-App „Client“ aufrufen und als Globaler Administrator anmelden. Am einfachten mit GENAU diesem Link:

https://login.windows.net/common/oauth2/authorize?response_type=code&client_id=9115dd05-fad5-4f9c-acc7-305d08b1b04e&resource=https%3A%2F%2Fcred.microsoft.com%2F&redirect_uri=ms-appx-web%3A%2F%2FMicrosoft.AAD.BrokerPlugin%2F9115dd05-fad5-4f9c-acc7-305d08b1b04e&state=6765f8c5-f4a7-4029-b667-46a6776ad611&prompt=admin_consent

2. Im folgenden Assistenten in BEIDEN Fällen die App „Microsoft Pin Reset Service Production“ (Client und Service) bestätigen:

„Microsoft PIN Reste Service Production“ für Windows Hello erlauben

Ob das geklappt hat kann man danach sofort im Microsoft Entra Admin Center überprüfen:

Ins AzureAD einloggen via https://entra.microsoft.com/
Azure Active Directory > Anwendungen > Unternehmensanwendungen > Alle Anwendungen > „PIN“ suchen

Es sollten dort nun zwei Apps auftauchen:

Und schon (nach dem nächsten Neustart mit Internet) funktioniert das PIN-Ändern wieder wie vorher.

Wenn der Vorgang trotzdem noch fehlschlägt, hilft oft ein Blick in das Cloud App Security Dashboard für Anwendungen; möglicherweise hat hier anderer Admin das OAUTH dieser Apps vielleicht blockiert …

Windows Defender schützt nun auch gegen COVID-19

Veröffentlicht am Oktober 19, 2022 von weed — Keine Kommentare ↓

Der Windows Defender hat scheinbar einige neue Tricks gelernt 😂

Gemeint ist natürlich nicht der „Corona Virus“, sondern der Schutz von Home-Office PCs …

Office 365 gemeinsamer Kalender („Shared Mailbox“) wird in Outlook doppelt angezeigt

Veröffentlicht am Oktober 13, 2022 von weed — Keine Kommentare ↓

Wenn im Outlook 365 unter „Freigegebene Kalender“ Kalender doppelt angezeigt werden, oder ein Kalender an zwei Orten gleichzeitig (zum Beispiel „Meine Kalender“ und nochmal als „Freigegebener Kalender“) auftaucht, liegt das warscheinlich an einem Refresh-Effekt im Cache Mode von Outlook.

Das Problem gibt es erst seit Office 2010 („Microsoft has confirmed this to be a Problem“), das wird sicher ganz bald gepatcht 🤦‍♂️

Lösung

Die doppelten Einträge passieren, wenn ein Benutzer Vollzugriff auf ein anderes Postfach hat.

Das Postfach wird -normalerweise- via Automount am Client eingebunden. Weil das gerne mal einen Moment dauert, wird das Postfach oft in Outlook manuell hinzugefügt oder via „Ordner eines anderen Benutzer öffnen“ angezeigt. Mit der darauf folgenden Synchronisierung des Adressbuches erscheint der doppelte Eintrag.

Ein Outlook-Start via

outlook /resetsharedFolders

behebt den Efekt sofort.

Lösung

Lösung

Fehler CAA2000B (AADSTS500014)

Lösung

Lösung

❤️