Alle Aktivitäten

Vielleicht auch der richtige Zeitpunkt, eine E-Mailarchivierung einzuführen. Alles Mails aus Strato direkt ins Archiv und mit neuen Exchangepostfächern starten.

Hi, denkbar wäre auch erst die IMAP Konten mit bspw. Audriga in die Exchange Postfächer zu synchronisieren und dann am Tag X den Schwenk zu machen. Somit hätten die User direkt ihre Inhalte im neuen Postfach. Gruß Jan

Moin, Beides lässt sich verbinden. Richte allen Usern Mailboxen in Exchange ein. Stelle dann das Mail-Routing um und verbinde die User. So ist der Empfang durchgehend möglich. Dann exportierte die alten Mailboxen und importiere sie in Exchange. Wahrscheinlich wird das sehr schnell gehen. Und wenn nicht, informierst du eben die User, die erst etwas später an der Reihe sind, dass es einen Tag länger braucht, bis sie ihre historischen Inhalte sehen. Gruß, Nils

danke

Würde auch definitiv davon abraten. Verursacht nur nen Haufen ndr und im Zweifel blockt dich strato weil du nen Haufen spam einlieferst und backscatter verursachst.

Möglich ist es schon, schön ist anders. Meinst Du nicht, dass Du 60 Postfächer auch übers Wochenende umgestellt bekommst? Um das ursprünglich Gewünschte umzusetzen, muss die Empfangsdomäne auf nicht authoritativ gesetzt werden und ein Sendeconnector für diese Domain angelegt werden, der auf Strato zeigt.

Hallo zusammen, zur Zeit benutzen bei uns in der Firma alle Mitarbeiter IMAP Postfächer von Strato. Nun möchten wir umziehen auf den hausinternen Exchange 2019. Ist es möglich,das der Exchange wenn ein Postfach nicht vorhanden ist die Email an Strato weiterleitet und dort das Postfach gesucht wird? der DNS MX eintrag zeigt auf den Exchange. Der soll prüfen ob der Empfänger auf den Exchange ist, wenn nicht soll die Email an Strato. Hintergrund ist folgender. Wir haben ca 60 Mitarbeiter die mit Postfächer bei Strato arbeiten. Ich wollte nun nach und nach die alten Emails von Strato sichern und in das Postfach auf den Exchange importieren. Wenn ich nun den DNS MX Eintrag auf den Exchange stelle, kommen da alle Emails an und alle nicht umgestellten mitarbeiter bekommen keine Emails bis sie auf den Exchange sind.

Moin, Die Anzahl der Anwender und deren geografische Verteilung spricht für mich ebenfalls nicht gegen, sondern für eine Remote-Lösung. Genau wie Evgenij kenne ich Beispiele, in denen auch CAD über eine Citrix-Verbindung gut funktioniert hat - die richtige Ausstattung vorausgesetzt. Alles, was mit Replikation oder Datenbanken "im Internet" zu tun hat, will man nicht, weil es einem schneller auf die Füße fällt, als man "WTF?!" sagen kann. Gruß, Nils PS. ja, ein reiner "Finde-ich-auch"-Post, schien mir hier aber angebracht.

Hi, evtl. wäre serverseitig eine Isolierung per Verbindungssicherheitsregel "Authentifizierung für ein- / ausgehend anfordern" noch ein Ansatz. Grob: Implemeting IPSec in Windows Domain – part 1 | Michael Firsov (wordpress.com) Implemeting IPSec in Windows Domain – part 2 | Michael Firsov (wordpress.com) Gruß Jan

Super Infos, Das werde ich mit den Herstellern mal absprechen. Besonders die Security Aspekte möchte ich nicht leichtfertig liegen lassen. LG & Danke !

Moin, kannst Du bitte den Link am Ende des letzten Posts entfernen? Checkt mit den Herstellern euerer SQL-Anwendungen, ob sie eine Azure SQL-Datenbank supporten würden. Kommt vermutlich billiger als einen dedizierten Server anzumieten, und es ist zumindest ein bisschen mehr Security vorgeschaltet als bei einem nackten SQL-Listener. Checkt mit den Herstellern, ob ein "Offline-Replikat" mit SQL Express o.Ä. möglich ist. Das wäre vermutlich die beste Lösung, aber vermutlich werden nicht alle drei Anwendungen das können. Ansonsten, wenn es so gar nicht anders geht: TLS am SQL-Listener erzwingen wäre ein guter erster Schritt, um die Credentials und die Daten wenigstens vor dem Abhören in Transit zu schützen. Idealerweise findet ihr eine Firewall, wo ein Mitarbeiter seine IP "on demand" freischalten kann (ich gehe jetzt davon aus, dass wenigstens einige der Quell-IPs dynamisch sind). Einen Port irgendwo im oberen Bereich für den Listener verwenden, um zumindest die "dummen" Angriffe auf Port 1433 nicht abwehren zu müssen. Lange Passwörter. Sehr lange Passwörter. Auch hier könnte die Anwendung euch einen Strich durch die Rechnung machen. Eigentlich bin ich bei @testperson - VDI, welcher Art auch immer, ist immer a. sicherer und b. robuster als Remote-Zugriff auf SQL. Und CAD über WAN haben wir mit Citrix HDX 3D Pro schon vor 13 Jahren gemacht. Und auch das kann man inzwischen mieten und muss nicht eine eigene Farm für 11 Leute bauen.

Moin, ja danke - SMB ist es dann doch Ich mache mich mal an einen Test mit iPerf. Vielen Dank !

Moin, mit "SBS" meinst Du hoffentlich "SMB"? SMB ist für WAN nicht ausgelegt, hat aber in den neueren Dialekten einige Optimierungen, die automatisch greifen. Bevor Du dich also beim Troubleshooting auf VPN konzentrierst: Ist es Dir möglich, ein wirklichen Netzwerk-Geschwindigkeitstest, z.B. mit iPerf, zu machen? Wenn Du auch da diese Unterschiede feststellst, dann kann man schauen, wo man bei VPN ansetzen kann. Gibt es da die Unterschiede nicht, dann ist es Dein SMB-Protokoll, das für die stark variable Performance sorgt. Auch da gibt es Stellschrauben, die würde ich aber ohne Not nicht bemühen.

Es handelt sich um drei verschiedene Anwendungen. Keine davon ist selbst entwickelt. Die primäre Anwendung ist von Trimble. Dies ist ein CAD Zeichenprogramm. Diese läuft aktuell als Client Version auf allen Mitarbeiterclients und greift auf eine gemeinsame SQL Datenbank zu. Der dazugehörige Server wurde bisher eher als Datenspeicher genutzt, ohne eigene Rechenleistung für die Anwendungen zu stellen. Da dies nun für die "externen" Mitarbeiter ebenfalls zur Verfügung stehen soll, kam meine Frage nach dem SQL-Online Server auf. Schonmal vorab vielen Dank für eure Zeit und ein schönes Wochenende !https://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAE

Stimmt, da war was. Dann muss man, wenn es aus irgendeinem Grund nicht möglich ist, das Default-Verhalten auf Block zu setzen, alle unerwünschten Ranges explizit blockieren. Viel Spaß damit - aber mit viel Aufwand ist auch das machbar. Ob's sinnvoll ist, ist eine andere Frage. Je nachdem, wie das Netz segmentiert ist, würde ich als Konzept-Vorschlag noch den RD Gateway einwerfen, aber das hat wieder Abhängigkeiten, die man bedenken muss.

Auch dafür kann es Lösungen geben. Vorerst ja. Ansonsten braucht man wohl deutlich mehr Informationen zur Anwendung. Ist die selbst entwickelt oder um welche Anwendung handelt es sich?

Moin, First things first - ich würde "etwas aus den Lot" erst mal bei den naheliegenden Dingen suchen. Updates, die nicht abgeschlossen sind. Virenscanner mit falscher Konfiguration. Kaputte Treiber. Software, die sich nicht benimmt. In der beschrieben Situation wird sich sicher im Event Log und im Process Monitor was finden. Es geht mir ja nicht darum, deine Erfahrung in Zweifel zu ziehen oder dich bloßzustellen - aber in kleinen und mittleren Umgebungen sind es typischerweise nun mal sehr "irdische" Probleme, mit denen man zu tun hat. Der Verdacht, dass "das AD" zu viel Last verursache, lässt sich so gut wie nie erhärten. Gruß, Nils

Moin an Board, Samstag, kein Kaffee. Wer mag, der Vollautomat ist bestückt Happy Star-Wars-Day - May be the force with you! Und ich melde mich ab, bis etwa zum 13.5. - tschö!

Kennt die Windows-FW eine "Reihenfolge"? Wenn ich das richtig verstehe, ist die Regel-Rangfolge nicht ganz so einfach: https://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/rules (die Formulierung "more specific rules take precedence" finde ich herzerfrischend. Wie ist das, wenn bei einer ein Set von IP-Ranges steht und bei der anderen ein Set von Ports?) Eine explizite Block-Regel gewinnt wohl immer, daher müsste man grundsätzlich für Inbound _und_ Outbound "Block" als Standard einstellen und dann per Allow gezielt wieder öffnen.

Stimmt alles. Was aber auch stimmt: Wir tendieren dazu, die "Last" und damit das Sizing eines DC an der Größe der Physik festzumachen. Das ist aber nur die halbe Wahrheit. Die Menge an Objekten in AD hat mit der Physik zwar "regelmäßig" direkt zu tun, aber nicht zwingend. Beispiel? Gerne Ich hab irgendwann spaßeshalber in einer Umgebung mit 2 DCs, 2 Membern und 5 Usern 15.000 Sites und 50.000 Subnetze angelegt. Ergebnis: Domäne nahezu unbedienbar. Die reale Umgebung hat sich dabei nicht verändert, nur der Inhalt von AD. Netlogon/LSASS 100% CPU, KCC/ISTG werden nicht mehr fertig. Wenn ich damit in ein Forum gehe, weil meine dsa.msc fast unbedienbar ist: "Die Umgebung ist klein, nur 2 DCs und ne Handvoll Computer und User". Vielleicht lief mal ein Skript Amok und hat 2 Mio. User angelegt? Vielleicht gibt es endlose Gruppenverschachtelungen? "Etwas aus dem Lot" @NilsK ist da die zutreffende Formulierung, aber bisher kam vom TO nichts dazu. Und damit verweise ich wieder auf meinen Post oben: GPMC Debug Logging könnte helfen. Korrekte AV-Exceptions könnten helfen. Prüfen der DFS-Replikation (nicht dcdiag/repadmin!) könnte helfen. Und wenn man wüßte, welche Prozesse die 30% CPU verursachen, könnte das auch helfen. "Virenschutz" ist mir da zu pauschal - ist es ein bestimmtes Modul?

Moin Jan, danke für deine stets schnelle Rückmeldung. Da war die Uhrzeit in meiner Formulierung der Fehler.. Wir sind 11 Mitarbeiter auf mehreren Kontinenten. Dubai, Südafrika, USA sind primär vertreten. edit: die Anwendungen sind sehr Grafiklastig, wo die Verbindung nicht gut genug war, um ein RDP zu betreiben. (Details in meinem VPN Post) Bleibst du bei der Anzahl bei "den Mitarbeitern zu den Daten" ?

Hi, den Aufwand "nur" für einen externen Mitarbeiter? Holt den Mitarbeiter per virtuellem Desktop / Terminalserver zu den Daten und nicht die Daten zum Mitarbeitern. Gruß Jan

Guten Abend, wir haben einen Mobile VPN with IKEv2 mit unserer WatchGuard eingesetzt. Alle Nutzer sind gleich eingerichtet und haben keine Restriktionen. Es fallen gravierende Unterschiede in der Geschwindigkeit auf. Hier haben Nutzer (insbesondere MacOS) teils die 10-fachen Geschwindigkeiten und Downloadraten von Daten (ca. 50mbit/s) anstatt von anderen, primär Windows, Usern. Hier sind die Geschwindkeiten teilweise unter 1mbit/s. Es wird viel auf geteilte Ordner mit SBS zugegriffen. Die VPNs sind nativ nicht dafür ausgelegt, aber eine gewisse Grundgeschwindkeit sollte ja machbar sein. Als VPN Client wird entweder Windows nativ oder OpenVPN genutzt. Das Zertifikat für die Nutzer ist jeweils gleich und zeigt stark unterschiedliche Performance. Die Clients und deren Verbindung kann nahezu gleich und sehr gut bewertet werden (500Mbit/s Up- und Download ohne VPN). Gibt es hier gewisse Hebel, welche direkt bei der Einrichtung übersehen worden sein könnten und wir ausbessern können? Danke und Gruß!

Guten Abend zusammen, für unseren externen Mitarbeiter möchten wir die SQL Datenbank, welche die Projektdaten unserer Programme verwaltet, verfügbar machen. Derzeit haben wir 3 on-premise Server, die jeweils VM mit Windows Server 2022 laufen haben und davon 2 SQL Server für unterschiedliche Anwendungen. Aus sicherheitsgründen haben wir uns nie für eine "online" Datenbank entscheiden wollen. Nun scheint der Schritt unausweichlich, da die Geschwindigkeit über VPN nicht darstellbar ist. (Interessanterweise haben wir hier drastische Unterschiede, welche ich in einem separaten Post darstelle). Folgende Fragen an die Schwarmintelligenz: Wir planen einen dedizierten Server anzumieten, um die on-premise Server umzuziehen. Welchen Aufbau und Umsetzung für die SQL Server sind zu empfehlen? Vielen Dank & Grüße!

Moin, wenn die Default-Regel in beiden Fällen auf "verweigern" steht, dann musst Du für den Zugriff auf den Server die zulässigen Quell-IPs angeben und für den Zugriff von diesem Server aus die zulässigen Ziel-IPs. Ports sind in beiden Fällen 3389 TCP + UDP. Wenn die Default-Regel auf "zulassen" steht, gehört das ganze Konzept auf den Prüfstand und nicht nur RDP, Aber für RDP müsstest Du dann zwei Regeln haben: eine wie oben und eine, die RDP zumacht, aber tiefer in der Reihenfolge steht.