Alle Aktivitäten

VPN outbound zu einer IPv4-Adresse: Kann ich nicht bestätigen. Ich habe einen 1&1-Anschluss mit einer DSLite-IPv4 und bisher keine Probleme gehabt. Meine Kunden und Arbeitgeber hatten sowohl SSL-VPN als auch IKEv2, beides ging.

Was ich gegen IPv6 habe? Das ich damit keine Verbindung ins Geschäft aufbauen oder von unterwegs auf meine private NAS zugreifen kann. IPv6 ist einfach der letzte Dreck, zumindest so wie es offenbar von den Providern umgesetzt wird. Die Probleme der Kollegen mit einem Kabelanschluss sind Warnung genug. Vor allem während Corona wurde das mehr als deutlich wie kastriert das Internet dadurch wird.

Kommt drauf an wo du wohnst - Und was du unter vernünftig verstehst… IPv4 werden die meisten privaten Anbieter kaum noch „verteilen“, die Ranges sind am Ende und die meisten Anbieter reservieren die für ihre gewerblichen Kunden Was hast du gegen IPv6? Mein Glasfaseranschluss hat mal 250 € netto gekostet, aktuell zahle ich 63€ für Gigabit symmetrisch… Allerdings ohne TV, habe Satellit (plus Netflix) Grüße von der Insel

Und das am heutigen Tage? 😂 das glaubst du doch selbst nicht.

Gibt es eigentlich noch zuverlässige, und halbwegs günstige Internetprovider bei denen man zuverlässig eine dynamische IPv4-Adresse bekommt? Hintergrund ist natürlich, dass ich als Admin oft Home Office mache und mich mittels VPN ins Geschäft verbinde. Da kann man IPv6 vergessen und ich lasse mich da auch auf keine Experiemnte ein. Damit ist Vodafone per se schonmal raus. Ich hatte erst an 1und1 gedacht, weil diese ja das Netz der Telekom nutzen, aber was man so ließt vergeben auch die standardmäßig nur eine IPv6-Adresse und selbst mit Bitten und Betteln ist da teilweise nichts zu machen. Da das Kabel-Fernsehen bei mir mit Ende des Nebenkostenprivileg über Kabel weg fällt muss der neue Anbieter auch Fernsehen anbieten. Ich habe und werde bei Vodafone keinen eigenen Vertrag abschließen. Momentan bin ich bei der Telekom und zahle rund 52€ für eine 100/40 Leitung und Magenta TV in SD Qualität. (Bei dem alten Kram den ich zu 99% gucke ist das auch völlig OK) Ich finde das zu teuer und suche daher was günstigeres und wenn ich alle zwei Jahre den Anbieter wechseln muss um sowas wie Neukundenboni oder Cashback kassieren zu können. Das Spiel mache ich ja auch bereits jährlich bei der Energieversogung. Von daher... Wenn jemand etwas empefehlen kann darf er es gerne mitteilen.

Kommt darauf an, was für Dich die "eigentliche" Replikation ist. Das hat mit der AD-Replikation vielleicht nichts zu tun, dafür aber mit der DFS-Replikation, denn die SYSVOL-Inhalte kommen nicht "mit der Macht" auf die anderen Domain Controller. Mit welchem DC Dein GP Editor verbunden ist, kannst Du direkt im Editor sehen:

Stimmt. Denn der hat sich die 2 Tage bei gutem Wetter eine Auszeit gegönnt. Ich war heute kurz vor Ort und habe die beiden DCs neu gestartet. Es war beiden tatsächlich ein Update vom Virenscanner (Panda) noch nicht fertig. Nach dem Neustart merkte man sofort, dass die beiden Geräte wieder wesentlich flotter auf Eingaben reagieren. Mir war auch so, dass ein DC erst mal so nicht viel an Resourcen benötigt. Das war damals bei Novell auch so. Das tückische hierbei war, dass der Virenschutz einen benötigten Neustart nicht angezeigt hatte. Anschließend habe ich das gleiche Verfahren auf beiden DCs wieder ausprobiert. Läuft! Beim Klick auf OK reagiert das Menü sofort. Das war vorher nicht der Fall. Man sah richtig, wie das manchmal klemmte. Jetzt habe ich zum Schluss aber trotzdem noch eine Frage: Wenn ich auf dem DC 1 den GPO-Editor öffne und dort etwas verändere, dann werden die Änderung ja auf dem SYSVOL geschrieben. Wird dann in diesem Fall auf dem SYSVOL vom DC 1 geschrieben? Also auf seine Festplatte? Oder kann man das gar nicht so genau sagen? Die Änderung ist doch auf allen DCs sofort verfügbar oder liege ich da falsch? Denn mit der eigentlichen Replikation hat dieses hier doch nichts zu tun.

Das ist schon mal ein Denkfehler. Datenbankserver machen nix anderes als Datenbanken bereitzustellen. Rechenleistung für Anwendungen haben darauf nix verloren. Dazu gibts Applikationsserver. Das gilt sowohl in House als auch in der Cloud.

Womit Du natürlich Recht hast Warten wir mal entspannt auf den TO...

Vielleicht auch der richtige Zeitpunkt, eine E-Mailarchivierung einzuführen. Alles Mails aus Strato direkt ins Archiv und mit neuen Exchangepostfächern starten.

Hi, denkbar wäre auch erst die IMAP Konten mit bspw. Audriga in die Exchange Postfächer zu synchronisieren und dann am Tag X den Schwenk zu machen. Somit hätten die User direkt ihre Inhalte im neuen Postfach. Gruß Jan

Moin, Beides lässt sich verbinden. Richte allen Usern Mailboxen in Exchange ein. Stelle dann das Mail-Routing um und verbinde die User. So ist der Empfang durchgehend möglich. Dann exportierte die alten Mailboxen und importiere sie in Exchange. Wahrscheinlich wird das sehr schnell gehen. Und wenn nicht, informierst du eben die User, die erst etwas später an der Reihe sind, dass es einen Tag länger braucht, bis sie ihre historischen Inhalte sehen. Gruß, Nils

danke

Würde auch definitiv davon abraten. Verursacht nur nen Haufen ndr und im Zweifel blockt dich strato weil du nen Haufen spam einlieferst und backscatter verursachst.

Möglich ist es schon, schön ist anders. Meinst Du nicht, dass Du 60 Postfächer auch übers Wochenende umgestellt bekommst? Um das ursprünglich Gewünschte umzusetzen, muss die Empfangsdomäne auf nicht authoritativ gesetzt werden und ein Sendeconnector für diese Domain angelegt werden, der auf Strato zeigt.

Hallo zusammen, zur Zeit benutzen bei uns in der Firma alle Mitarbeiter IMAP Postfächer von Strato. Nun möchten wir umziehen auf den hausinternen Exchange 2019. Ist es möglich,das der Exchange wenn ein Postfach nicht vorhanden ist die Email an Strato weiterleitet und dort das Postfach gesucht wird? der DNS MX eintrag zeigt auf den Exchange. Der soll prüfen ob der Empfänger auf den Exchange ist, wenn nicht soll die Email an Strato. Hintergrund ist folgender. Wir haben ca 60 Mitarbeiter die mit Postfächer bei Strato arbeiten. Ich wollte nun nach und nach die alten Emails von Strato sichern und in das Postfach auf den Exchange importieren. Wenn ich nun den DNS MX Eintrag auf den Exchange stelle, kommen da alle Emails an und alle nicht umgestellten mitarbeiter bekommen keine Emails bis sie auf den Exchange sind.

Moin, Die Anzahl der Anwender und deren geografische Verteilung spricht für mich ebenfalls nicht gegen, sondern für eine Remote-Lösung. Genau wie Evgenij kenne ich Beispiele, in denen auch CAD über eine Citrix-Verbindung gut funktioniert hat - die richtige Ausstattung vorausgesetzt. Alles, was mit Replikation oder Datenbanken "im Internet" zu tun hat, will man nicht, weil es einem schneller auf die Füße fällt, als man "WTF?!" sagen kann. Gruß, Nils PS. ja, ein reiner "Finde-ich-auch"-Post, schien mir hier aber angebracht.

Hi, evtl. wäre serverseitig eine Isolierung per Verbindungssicherheitsregel "Authentifizierung für ein- / ausgehend anfordern" noch ein Ansatz. Grob: Implemeting IPSec in Windows Domain – part 1 | Michael Firsov (wordpress.com) Implemeting IPSec in Windows Domain – part 2 | Michael Firsov (wordpress.com) Gruß Jan

Super Infos, Das werde ich mit den Herstellern mal absprechen. Besonders die Security Aspekte möchte ich nicht leichtfertig liegen lassen. LG & Danke !

Moin, kannst Du bitte den Link am Ende des letzten Posts entfernen? Checkt mit den Herstellern euerer SQL-Anwendungen, ob sie eine Azure SQL-Datenbank supporten würden. Kommt vermutlich billiger als einen dedizierten Server anzumieten, und es ist zumindest ein bisschen mehr Security vorgeschaltet als bei einem nackten SQL-Listener. Checkt mit den Herstellern, ob ein "Offline-Replikat" mit SQL Express o.Ä. möglich ist. Das wäre vermutlich die beste Lösung, aber vermutlich werden nicht alle drei Anwendungen das können. Ansonsten, wenn es so gar nicht anders geht: TLS am SQL-Listener erzwingen wäre ein guter erster Schritt, um die Credentials und die Daten wenigstens vor dem Abhören in Transit zu schützen. Idealerweise findet ihr eine Firewall, wo ein Mitarbeiter seine IP "on demand" freischalten kann (ich gehe jetzt davon aus, dass wenigstens einige der Quell-IPs dynamisch sind). Einen Port irgendwo im oberen Bereich für den Listener verwenden, um zumindest die "dummen" Angriffe auf Port 1433 nicht abwehren zu müssen. Lange Passwörter. Sehr lange Passwörter. Auch hier könnte die Anwendung euch einen Strich durch die Rechnung machen. Eigentlich bin ich bei @testperson - VDI, welcher Art auch immer, ist immer a. sicherer und b. robuster als Remote-Zugriff auf SQL. Und CAD über WAN haben wir mit Citrix HDX 3D Pro schon vor 13 Jahren gemacht. Und auch das kann man inzwischen mieten und muss nicht eine eigene Farm für 11 Leute bauen.

Moin, ja danke - SMB ist es dann doch Ich mache mich mal an einen Test mit iPerf. Vielen Dank !

Moin, mit "SBS" meinst Du hoffentlich "SMB"? SMB ist für WAN nicht ausgelegt, hat aber in den neueren Dialekten einige Optimierungen, die automatisch greifen. Bevor Du dich also beim Troubleshooting auf VPN konzentrierst: Ist es Dir möglich, ein wirklichen Netzwerk-Geschwindigkeitstest, z.B. mit iPerf, zu machen? Wenn Du auch da diese Unterschiede feststellst, dann kann man schauen, wo man bei VPN ansetzen kann. Gibt es da die Unterschiede nicht, dann ist es Dein SMB-Protokoll, das für die stark variable Performance sorgt. Auch da gibt es Stellschrauben, die würde ich aber ohne Not nicht bemühen.

Es handelt sich um drei verschiedene Anwendungen. Keine davon ist selbst entwickelt. Die primäre Anwendung ist von Trimble. Dies ist ein CAD Zeichenprogramm. Diese läuft aktuell als Client Version auf allen Mitarbeiterclients und greift auf eine gemeinsame SQL Datenbank zu. Der dazugehörige Server wurde bisher eher als Datenspeicher genutzt, ohne eigene Rechenleistung für die Anwendungen zu stellen. Da dies nun für die "externen" Mitarbeiter ebenfalls zur Verfügung stehen soll, kam meine Frage nach dem SQL-Online Server auf. Schonmal vorab vielen Dank für eure Zeit und ein schönes Wochenende !https://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAEhttps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwjYzav1tvOFAxVgrmgJHVlfDgsYABABGgJ3Zg&ase=2&gclid=EAIaIQobChMI2M2r9bbzhQMVYK5oCR1ZXw4LEAAYASAAEgI35fD_BwE&ohost=www.google.com&cid=CAASJeRoV_VGxYjNs4oiwpdE2XWWFe413mrIyzppmamSDrCXF-s19aQ&sig=AOD64_2x8sOvicXDJc3l28c5J1VmmCd_9g&q&nis=4&adurl&ved=2ahUKEwia2KX1tvOFAxXyQvEDHUKVBHMQ0Qx6BAgGEAE

Stimmt, da war was. Dann muss man, wenn es aus irgendeinem Grund nicht möglich ist, das Default-Verhalten auf Block zu setzen, alle unerwünschten Ranges explizit blockieren. Viel Spaß damit - aber mit viel Aufwand ist auch das machbar. Ob's sinnvoll ist, ist eine andere Frage. Je nachdem, wie das Netz segmentiert ist, würde ich als Konzept-Vorschlag noch den RD Gateway einwerfen, aber das hat wieder Abhängigkeiten, die man bedenken muss.

Auch dafür kann es Lösungen geben. Vorerst ja. Ansonsten braucht man wohl deutlich mehr Informationen zur Anwendung. Ist die selbst entwickelt oder um welche Anwendung handelt es sich?