Squire

Heute erst gemacht ... VM instant Recovery ... 30sec dann lief die Maschine. Sie wird auf dem ESX registriert und Veeam hängt seinen Backupspeicher quasi in den ESX. Die Maschine ist voll funktionsfähig und kann dann per StorageVMotion auf das SAN oder den Serverstorage geschoben werden. Ich denk mal, es macht Sinn, wenn Du Dich da mal ein wenig mehr mit Veeam beschäftigst. Sprich für den Notebetrieb (wenn Du davon ausgehst, dass Dein richtiger Server innerhalb von 4h wiederhergestellt ist) kann man die VM im Publish Mode auf dem Backup Store betreiben. Du musst Dir allerdings Gedanken machen, wie Du die geschichte mit geänderten Daten handhaben willst ... Wie schon geschrieben - es reicht ein kleiner Server mit ausreichend CPU & RAM um die VM zu starten. Plattenplatz wird für das Publishing nicht groß benötigt. Veeam selbst würde ich da einer eigenen Maschine betreiben ... Kollegen hatten das schon erwähnt - das muss ja kein nagelneuer Server sein ... prinzipiell reicht auch einer aus Zweitvermarktung (Leasing Rückläufer)

doch genau so zu deinen Clients ... ich wette mal, die haben SSDs verbaut. Die fahren schlicht zu schnell hoch, das Netzwerk ist noch nicht so weit. Du kannst per GPO setzen, dass die Kisten erst aufs Netzwerk warten sollen

@Nobbyaushb: Reddoxx ... machen die dann auch Mailgateway in ihrem RZ und reichen die Mails ins interne Netz weiter (so wie das Retarus macht) oder ist das ne Appliance, die man bei sich hinstellt?

@mwiederkehr er hat NICHT gezahlt. Aber er macht jetzt auch nichts ... ist anscheinend alles nicht so wichtig

so ... kleines Update ... nach dem Chat mit dem Hacker hatte dieser die Lösegeldforderung halbiert auf $2000. Der Kunde hat weiterhin max. $150 geboten. Sprich ist nicht auf das Angebot eingegangen. Seinen Aussagen nach ist jetzt alles nicht so schlimm ... sie können arbeiten (ERP läuft, Emails sind halbwegs da. Grafikdateien wären ok ... Office Dateien ... Schrott. Er wurschtelt weiter ... will erst noch Freunde fragen wegen neuen System ... Die Arbeit für das Angebot spar ich mir bei dieser Gesinnungslage ... Meine Rechnung hat er bezahlt - für mich ist das jetzt abgeschlossen Fazit: Den Schuß vor oder besser in den Bug hat er immer noch nicht verstanden. Das liegt jetzt alles in seiner Verantwortung ... ich bin raus!

ich schreib im Thread noch was dazu ...

Vorsicht... 4h Carepack bedeutet nicht das nach 4h der Server wieder läuft! Du hast i. d. R. I halb der 4h dein Ersatzteil. Kann aber trotzdem länger dauern... Schau Dir mal das Kleingedruckte an. Früher gab es noch Call to repair Packs... Die waren schweineteuer und beinhalteten eine garantierte Reparaturzeit. Das habt ihr zu 100%iger Sicherheit nicht. Nebenbei auf einem Hyper-V Host hat nix anderes zu Laufen! Ich hatte erst zum Jahresende einen Kunden, der gemeint hat, dass er so wenig wie nur irgendmöglich Geld ausgeben will... Das rächt sich früher oder später definitiv. Nochmal mein Rat: Holt euch einen kleinen Server als Notfallkiste und lässt Veeam meinetwegen auf einem Desktop laufen... Das was ihr jetzt macht... Verzeih die Direktheit ist absoluter Murks!

Moment ... versteh ich das richtig ... ihr habt Veeam auf dem Server in einer VM laufen, den ihr mit Veeam sichert? Wenn ja - macht euch erst mal Gedanken um ein sinnvolles Backup/Restore/Ausfallkonzept. Mit dieser Konstellation ist das so jedenfall m.E. nicht möglich Einfach mal kurz überdenken - was kostet euch der Ausfall über ein bis zwei Tage? Und ich würde bei weitem nicht nur einen Hardware Ausfall im Hinterkopf haben - da gibt es auch andere Dinge, die ein vernünftiges Ausfallkonzept/Restore nötig machen ...

die Problematik, dass manchmal nach einem Neustart die Exchange Dienste nicht hoch gestartet wurden hatte ich an einigen Standorten auch. Ich lasse jetzt einfach über den Taskplaner nach dem Neustart mit zwei Minuten Verzögerung ein Powershell Script laufen, dass alle nötigen Exchange Dienste startet. Seit dem ist Ruhe! (Problem ist manchmal, dass die VMs einfach zu schnell starten - die liegen auf einem SAN SSD Storage - und deshalb sind manche Systemdienste die Exchange benötigt einfach noch nicht komplett gestartet ... (Das Powershell Script kann ich morgen gerne posten, wenn es gewünscht wird)

wo ist dann das Problem? Veeam kann doch das Backup der VM mounten und direkt vom Backup starten. Damit ist im Restore Fall das innerhalb weniger Minuten wieder verfügbar. Du brauchst halt eine Maschine, auf der Veeam die VM publishen kann (ich geh jetzt nicht davon aus, dass Du nur einen einzigen physikalischen Server hast)

Wenn eh Veeam im Haus verwendet wird ... welche Edition/Programm - Du schreibst was von backup & replication? Sind die Server dann virtualisiert?

Eine Sophos UTM als Gateway/Firewall/Spamfilter/etc ... und F-Secure auf dem Exchange. Spamfilter der Sophos ist gut und der Exchange steht nicht mehr im Internet

der ist aber in der lokalen Admin Gruppe des PCs drinnen! sollen die beiden "Unternehmens weit" oder nur auf ihrem PC Administrative Rechte haben. wenn Letzteres, dann sollte ein zweites Konto lokal in die Admingruppe.

wenn das Übertragen einer der Rollen schief geht bleibt die einfach auf dem alten DC - nix passiert - Fehler beheben und noch mal verschieben GC = Global Catalog Thema Angst - deshalb Sicherung mit Systemstate (mit einem Backupprogramm Deiner Wahl oder mit Windows backup)

mal ne blöde Frage ... warum das ganze Gezuppe? Für die Übertragung der FSMO Rollen ist das alles absolut nicht notwendig. Das geht im laufenden Betrieb ohne dass irgendwas heruntergefahren werden muss. Haben wir schon oft in unseren Domänen gemacht. Wichtig ist einzig eine vernünftige Sicherung des Systemstates (dafür reicht Windows Backup) ... FSMO Rollen per Powershell auf den neuen DC holen ... wenn alles durch ist - kannst Du noch mal eine Sicherheits-Kaffeetasse trinken und dann die Replikation prüfen. Wenn der 16er schon DC ist kannst Du jederzeit auch den GC dafür aktivieren ... Wenn die Eventlogs sauber sind ... mit dcpromo den alten 2k3 demoten - DNS bereinigen und fertig. Aber Du hast recht, man kann aus allem ein halbjähriges Projekt machen ...

17 heißt bedingt geschäftsfähig ... ab 18 kannst Du tun und lassen was du willst und dir leisten kannst. Vorher ... Pech!

um es abzukürzen - solange Du den Internetzugang Deiner Eltern verwendest kannst Du machen was Du willst - sie sitzen am längeren Hebel. Du kannst ein eigenes Netz machen, aber das hilft Dir nicht. Finde dich damit ab Zitat aus der letztjährigen Dr. Who Silvester Folge: Wifi down, Mobile down, TV streaming down - Mother: We have to do a conversation. Kids: A WHAT?

nun, wenn Deine Eltern Deine Geräte in der Fritzbox gesperrt haben, dann hat das wahrscheinlich einen Grund. Ich würde vorschlagen, Du redest mit ihnen!

@zahni: Yep - schon auf der ersten Seite

Ich hatte so was ähnliches zu Windows 2008r2 Zeiten. Ich hab dann ein kleines Tool gefunden, nannte sich unlocker.exe Der Ordner hatte sich auch über Zeiten nicht löschen lassen, damit ging es dann. Ordner damit ausgewählt und anschließend ließ er sich löschen Das hier war das... http://www.emptyloop.com/unlocker/ gerade gemerkt, dass die Download Links ins Leere laufen .. gibt es aber noch bei Computer Bild oder Chip zum herunterladen https://www.computerbild.de/download/Unlocker-6399684.html

wie ist denn die Lease Dauer auf den beiden DHCPs eingestellt?

@zahni: Öffentliche IP sind bei Vodafone durchaus üblich. Auf dem Firmenhandy mit T-Mobile wird genattet @Dirk-HH-83: Verwende halt einen DynDNS Anbieter. Dann kannst Du auf den Namen gehen

@speer: RDP war von extern nicht offen - Angriffsvektor habe ich oben beschrieben. Da gibt es nix zu rütteln. Die Eventlog Einträge (IP, Name und Zeit sprechen eine deutliche Sprache). Die Frage nach Office und Macros stellt sich nicht, da das Unternehmen nicht mit MS Office arbeitet. Außerdem war ist zur Zeit noch Betriebsruhe ... da war niemand der klicken konnte! @mcse2020: Es ist definitiv RAPID V2/V3 - das haben mehrere Tools auch so zurückgemeldet. Mehrere unverfängliche Dateien wurden zusammen mit dem Kunden durch die gängigen Analysetools geprüft. Und Rapid V2/V3 ist zur Zeit nicht decryptierbar. @MurdocX: Der Kunde braucht alles frisch ... vorhandene Soft und Hardware sind für die Tonne. Dell PowerEdge Server (Tower) mit entsprechenden HDDS, Speicher und Servicelevel, Win 2019 + Cals, Virenschutz, Email Archivierungssoftware, Backup, Hardware Firewall. Dienstleistung für Installation, Übernahme ERP etc. extra. War erstmal eine grobe Überschlagskalkulation. Supportlaufzeiten der Software und Hardware auf 3 bzw. 5 Jahre ... Rechnet man das auf 5 Jahre sind die Kosten bei überschaubaren 2000€ pro Jahr. Das sollte einem seine Unternehmenssicherheit wert sein.

Hallo zusammen, kurzes Fazit der Geschichte: Es war ein direkter Hackerangriff aus dem russischen Raum. Im Eventlog wurden russische IPs und russische Rechnernamen (in kyrillischer Schrift) bei RDP Verbindungen protokolliert. (Trojaner, Viren oder sonstiges waren nicht im Spiel) Der mutmaßliche Angriffsvektor ist folgender: Auf der Fritzbox waren eingehend Ports für POP3/IMAP geöffnet. Dahinter lag der steinalte HMailserver von 2013 mit allen seitdem offenen Lücken (OpenSSL Bibliothek von 2013, inkl Heartbleed Bug, SSL3, TLS1, etc...). Der HMail lief dann auch noch als LocalSystem ... perfekt für den/die Hacker. Die waren dann über mehrere Tage zugange. Am 26.12. wurden alle Schattenkopien und bak-Files auf dem System gelöscht und die Ransomware Rapid V2/V3 aktiviert. Glücklicherweise war/ist die Kiste nicht sonderlich schnell (Raid ohne Batteriecache), so dass nicht alles verschlüsselt wurde. Die manuell gestartete Randsomware war anscheinend nur im Speicher aktiv und wurde durch einen Serverreboot durch den Kunden (bevor ich kontaktiert wurde) unterbrochen ... Glück im Unglück die SQL DB ist unbeschädigt und das ERP funktioniert. @Dr.Melzer: Der Kunde hat doch russische Bekannte und versucht jetzt über Chat auf russisch zu verhandeln - mal sehen was rauskommt. Ich werde jetzt ein Konzept und Angebot für ein neues System unterbreiten - ob das umgesetzt wird ist allerdings fraglich (Hardware, Software und Lizenzen dürfte bei unter 10 T€ liegen ... da kam schon die Ansage ... wir sind ein kleines Unternehmen, das ist aber sehr viel Geld für uns ... naja ... ich sag mal so ... Da hat jemand den Schuß nicht gehört) ... Fazit: Nicht gewartete und alte Software können zu katastrophalen Auswirkungen führen. Die eigentlichen Kosten des Vorfalls werden sich erst in der nächsten Zeit zeigen ...

@XP-Fan: nope ... Fritzbox mit aktivierten myFritz