SimonFB

Ok, ich werde mal schweren Herzens den nächtlichen Neustart deaktivieren - eine andere Möglichkeit gibt es wohl in der Tat nicht.

Festplattenspeicher kann vermutlich ausgeschlossen werden - auf allen Laufwerken sind mind. 80GB freier Speicher vorhanden.

Hallo liebe Gemeinde,

ich brauche mal einen Denkanstoß - mir gehen leider die Ideen aus, wo ich mit der Fehlersuche beginnen soll.

Zur Umgebung:

Standalone Exchange 2007, SP2, auf Windows 2008 Std x64, SP2.

Vorgelagert eine Securepoint RC300, als Mailrelay mit Viren- und Spamschutz.

Spamschutz auf der Firewall deckt nur die Blacklists ab, Inhaltsfilter läuft über Exchange.

Der MX-Eintrag liegt bei uns.

Zum Problem:

Nach einiger Laufzeit nimmt der Server keine Mails von der Firewall mehr an - ein simpler Serverneustart "behebt" das Problem für die nächsten 2-6 Tage.

In der Ereignisanzeige gibt es keinerlei Warnungen oder Fehler die mit diesem Problem im Zusammenhang stehen dürften.

Firewall-Logs sagen dann auch nur "Connection refused" - interner Mailverkehr ist nicht betroffen.

Wo kann ich anfangen zu suchen?

Viele Grüße,

Simon

OK, im Nachhinein gesehen hätte ich es auch selber ausprobieren können. Gefehlt hat also tatsächlich nur die Einstellung per Mailbox.

Trotzdem finde ich die entsprechenden MS-Artikel zum Thema sehr uneindeutig - sowohl in Deutsch als auch in Englisch.

Vielen Dank an Euch für die Denkansätze, mir wurde sehr geholfen! :)

Grüße,

Simon

Es gibt in Outlook ja die Möglichkeit, Nachrichten nach bestimmten Eigenschaften zu filtern.

An diesen Weg habe ich auch schon gedacht, habe aber erstmal Abstand davon genommen, weil es ja "Exchange-intern" auch automatisch gehen müsste.

Wenn das nicht klappt, werde ich auch so verfahren. Wäre nur ein bisschen mehr Aufwand, weil im Unternehmen min. 3 Office-Versionen zum Einsatz kommen, und dementsprechend die Gruppenrichtlinenobjekte angepasst werden müssten.

Man muß Greylisting nur mal richtig konfigurieren. ;)

Ich bin bei dem Thema recht neu und bin für Tipps offen ;)

In meiner Naivität habe ich gedacht, dass es die Sache der Senderseite ist, wann die Zustellung neu versucht wird - ich sperre ja nur ein oder zwei Minuten?

Antwort meiner Firewall als es aktiviert war:

reject=451 4.7.1 Greylisting in action, please come back in 00:01:00

Hast du den Junkfilter denn pro Postfach auch aktiviert? Ansonsten verschiebt da niemand was.

Teste doch mal per OWA, da sollte man den Haken am einfachsten erstmal setzen können.

Da war ich mir beim Informationen sammeln im Netz nicht sicher. Ich hatte es so verstanden:

1. Benutzereinstellungen überschreiben Organisationeinstellungen, wenn benutzerspezifisch nichts konfiguriert ist, greift Organisationseinstellung.

Ist das so falsch? Meine Mailboxkonfig ist dementsprechend nicht angepasst:

[PS] C:\Windows\system32>Get-Mailbox -Identity "Benutzer" | fl scl*,antispam*, identity


SCLDeleteThreshold     :
SCLDeleteEnabled       :
SCLRejectThreshold     :
SCLRejectEnabled       :
SCLQuarantineThreshold :
SCLQuarantineEnabled   :
SCLJunkThreshold       :
SCLJunkEnabled         :
AntispamBypassEnabled  : False
Identity               : local.domain/User/Nachname, Vorname

Muss ich also das Verschieben explizit für jede Mailbox aktivieren?

3 ist aber schon heftig. ;) Da dürften häufiger auch mal False Positives dabei sein.

3 ist heftig, ist klar. Dient aber auch ein bisschen zum Testen. Das dutzend Viagra-Mails heute morgen hat aber auch nur eine SCL von 4 bekommen, würde also bei einer Threshold von 4 nicht verschoben werden...?!

Gruß,

Simon

Hallo allerseits,

ich habe ein dringendes Problem mit meinem SPAM-Filter und hoffe, dass sich jemand findet, der mir auch beim 113. Beitrag dieser Art Hilfe leistet :)

Kurz zur Vorgeschichte: Netzwerk mit ~100 Benutzern, E-Mails wurden bisher über Ken via POP3 abgeholt und unserem Exchange 2007 übergeben. Spam-Filterung ist also bisher beim Provider (Strato) geschehen. Da es aber zunehmend Problem mit dem Abruf gab, wurde sehr kurzfristig der MX-Eintrag umgelegt, so dass wir jetzt selber Mailserver "spielen".

Zur Umgebung: Exchange 2007, SP2, aktueller Patchstand (auch beim IMF). Vorgelagert eine Firewall (Securepoint) als Mail-Relay mit Virenschutz. Ein paar Tage war auf der Firewall Greylisting (2 Minuten) aktivert - als erster Spam-Schutz sehr effektiv, allerdings gab es teilweise sehr große Verzögerungen (>6 Stunden) im Mailverkehr. Für den Kunden nicht hinnehmbar, Greylisting ist also erstmal wieder aus.

Das Problem: Soweit ich das sehen kann, wird Spam von der Transport-Rolle (Inhaltsfilter) erkannt und markiert, aber von der Mailboxrolle nicht in Junk-Mail verschoben.

SCLJunkTreshold ist auf "3" gesetzt, eine Mail (Header folgt) mit SCL von 4 landet trotzdem im Posteingang.

Schwellwerte zum Blocken, Isolieren oder Löschen sind vorerst nicht gesetzt, Mails sollen zu den Benutzern.

Der Einsatz vom Outlook-eigenen Filter scheidet aufgrund von Exchange-Online-Modus aus.

Received: from firewall.domain.local (192.168.3.10) by mail01.domain.local (192.168.3.7)
with Microsoft SMTP Server id 8.2.254.0; Wed, 23 Jun 2010 04:51:34 +0200
Received: from %IP DES SPAMMERS% ([%IP DES SPAMMERS%])	by firewall.domain.local
(8.14.4/8.14.4) with SMTP id o5N2pVa3015465	for
<benutzer@meinedomain.com>; Wed, 23 Jun 2010 04:51:33 +0200
Date: Wed, 23 Jun 2010 04:51:31 +0200
Message-ID: <201006230251.o5N2pVa3015465@firewall.domain.local>
From: <benutzer@meinedomain.com>
To: <benutzer@meinedomain.com>
Subject: %benutzer% VIAGRA ? Official Site -93%
MIME-Version: 1.0
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: 7bit
Return-Path: benutzer@meinedomain.com
X-MS-Exchange-Organization-PRD: meinedomain.com
X-MS-Exchange-Organization-SenderIdResult: None
Received-SPF: None (MAIL01.domain.local: benutzer@meinedomain.com does not  designate permitted sender hosts)
X-MS-Exchange-Organization-SCL: 4
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.9021.476;SID:SenderIDStatus None;OrigIP:192.168.3.10

Absender-E-Mail-Adresse ist gefälscht und gleich der Empfänger-Adresse.

Vielen Dank im Vorraus für Eure Mühe!

Gruß,

Simon

Bringt keine Besserung.

Hätte ich aber auch nicht verstanden - da er die IP zum Namen nicht auflösen kann, kann er auch nicht 'merken', dass sich der Server im ausgeschlossenen Subnetz befindet.

Hallo alle zusammen,

ich fürchte der Titel ist nicht richtig sinnvoll, hat aber einfach zu wenig Zeichen um das Problem zusammenzufassen. :)

Problem:

Von Clients die den Proxy benutzen, ist kein Zugriff auf http(s)://fqdn-des-servers möglich, während http(s)://Net-Bios-Name funktioniert.

Oder in Worten: http://server geht, http://server.domaene.local geht nicht.

Problem tritt nur auf, wenn der Proxy-Server aktiviert ist - schnell wird ersichtlich, dass der Client(?) nicht erkennt, dass es sich um eine lokale Adresse handelt, die nicht über den Proxy DNS-technisch abgefragt werden kann.

So, erste Frage:

muss eigentlich der Client erkennen, dass es sich um eine lokale Adresse handelt und den Proxy von vornherein nicht kontaktieren, oder geht die erste Anfrage sowieso an den Proxy, der dann 'entscheidet', worum es sich handelt?

Ein bisschen was zur Umgebung:

-Das Häkchen für "Proxyserver für lokale Adressen umgehen" ist natürlich gesetzt.

-Clients sind sehr hetrogen, zwischen Windows 2000 und Windows 7.

-DNS-Auflösung ist in beiden Richtungen fehlerfrei. UNC-Zugriff oder Pings auf den jeweiligen FQDN sind kein Problem.

-Proxy ist eine Securepoint RC300 mit Softwareversion 10.

-DNS und Domain laufen auf 2 Servern, einmal Win 2003 (dort ist auch der GC) und einmal Win 2008 (ist der primäre DNS).

Frage 2:

Welche Stellschrauben habe ich eigentlich?

Clientseitig beibringen, dass domaene.ads lokal ist?

Der Securepoint beibringen, dass "" lokal ist?

Der Securepoint einen der internen DNS-Server geben? Geht das überhaupt?

Achso, bevor Fragen kommen: Das .ads ist nicht auf meinem Mist gewachsen...

Bin ein bisschen ratlos, und hoffe auf eure Rat :)

Gruß,

Simon

So, ich bin vorsichtig optimistisch das Problem behoben zu haben.

Wenn es funktioniert hat (die Dame hat schon Feierabend), schreibe ich am Montag gerne die Lösung hier hin. Sieht leider doch nach einem Fehler in unserer Konfiguration aus.

Schönes Wochenende!

Nur dieser Benutzer?

Ja, sieht so aus. Mit einem anderen Account konnte ich an einen der abgelehnten Empfänger versenden.

Nur dieser Empfänger?

Nein, verschiedene Empfänger in einer Domain, und auch andere Domains.

Nur Mails mit bestimmtem Inhalt? Alle Mails?

Wenn mein Benutzer an eine Empfängerdomain schickt, zu der er nicht senden kann, scheint es egal zu sein, was der Inhalt der Mail ist.

Kann es sein, dass das nur Mails betrifft, die eine URL im Mailbody enthalten? Sprich ist das irgendwie einzugrenzen?

Es handelt sich aufgrund der Signatur um eine HTML-Nachricht, wegen des Firmenlogos ist naturgemäß auch eine URL enthalten. Ich werde mal veranlassen, eine Nur-Text-Nachricht zu senden.

Danke schon mal für die Mühe!

Simon

Ist dieses Problem also sicher (auch) extern zu suchen?

Mich wundert halt, dass die anderen 95 Benutzer bisher keine Probleme berichtet haben.

Gruß,

Simon

Hallo zusammen,

ich stehe vor einem großen Rätsel, und ich hoffe, dass mir noch jemand einen Denkansatz geben kann um mein Problem zu lösen.

Problem: Ein Benutzer kann an verschiedene externe Empfängerdomains keine E-Mails senden, offenbar tritt das Problem nur auf, wenn der Empfänger (wie wir) bei Strato ist. Strato streitet jeglichen Zusammenhang ab.

Konfiguration:

Exchange 2007 Version 8.0 (Build 685.24), Rollen: Hub-Transport, Clientzugriff, Postfach

Betriebsystem: Windows 2003 R2 x64 , Sp2

Empfang der Mails über KEN!, Versand über Smarthost (Strato)

Wenn der Empfang der Mails fehlschlägt, kommt eine Mail zurück:

Fehler bei der Zustellung der Nachricht an folgende Empfänger oder Verteilerlisten:

 

empfaenger@empfaengerdomain.de

Ihre Nachricht wurde aufgrund von Sicherheitsrichtlinien nicht zugestellt. Microsoft Exchange versucht nicht, diese Nachricht erneut für Sie zuzustellen. Wenden Sie sich mit dem folgenden Diagnosetext an Ihren Systemadministrator.

 

Die folgende Organisation hat Ihre Nachricht zurückgewiesen: mailin.rzone.de [81.169.145.101].

 

Diagnoseinformationen für Administratoren:

 

Generierender Server: mo-p06-ob.rzone.de

 

empfaenger@empfaengerdomain.de

mailin.rzone.de [81.169.145.101] #<mailin.rzone.de [81.169.145.101] #5.7.1 SMTP; 550 5.7.1 Blocked by policy (B-URL)> #SMTP#

 

Ursprüngliche Nachrichtenkopfzeilen:

 

X-RZG-AUTH: :OmkWZkGmf98Hv+c+KwgHt0/IXoQAFkhycCy6ByJWFP3gWQPB3ikfAno/EtsvthNpJm/cGA==

X-RZG-CLASS-ID: mo00

Received: from senderdomaene.com ([meineFesteIP]) by post.strato.de (mrclete

mo56) (RZmta 20.5) with (RC4-MD5 encrypted) ESMTP id 500a92l7K7KiND for

<empfaenger@empfaengerdomain.de>; Thu, 20 Aug 2009 09:34:57 +0200 (MEST)

Received: from mailserver.localDomain.ads ([192.168.3.4]) by mailserver.localDomain.ads

([192.168.3.4]) with mapi; Thu, 20 Aug 2009 09:34:50 +0200

From: "Nachname, Vorname" <sender@senderdomaene.com >

To: "empfaenger@empfaengerdomain.de" <empfaenger@empfaengerdomain.de>

Date: Thu, 20 Aug 2009 09:34:47 +0200

Subject: WG: 04.09.09

Thread-Topic: 04.09.09

Thread-Index: AcogHwwZT3E8eOtkReCj3h4YkPnQMgAuApwgACPH4SA=

Message-ID: <5F54892CC6C81F4884CE04BED444F7FA044C80B6B6@mailserver.localDomain.ads>

Accept-Language: de-DE

Content-Language: de-DE

X-MS-Has-Attach: yes

X-MS-TNEF-Correlator:

acceptlanguage: de-DE

Content-Type: multipart/related;

boundary="_004_5F54892CC6C81F4884CE04BED444F7FA044C80B6B6wserverskpads_";

type="multipart/alternative"

MIME-Version: 1.0

Hinweis: meineFesteIP ist nicht die IP der Senderdomäne, sondern die von unserem ISP. Der MX-Eintrag liegt bei Strato.

OpenRelay-Test, sowie Abfrage diverser Blacklisten ergaben keine Probleme hinsichtlich Spam.

Ich freue mich auf Eure Ideen

So, ich war nun vor Ort. Nslookup funktioniert in der Tat auch vom Client aus fehlerfrei.

Ich habe inzwischen auch eure Vorschläge ausprobiert. Wenn ich ein neues Profil anlege, sozusagen exklusiv für XP, dauert das Laden kaum 15 sek.

Ich habe auch die Logfiles vom Anmeldeprozess, sowohl für das XP-Profil als auch für ein gewöhnliches.

Bei dem 'kaputten' Profil fällt als erstes ins Auge: das Laden dauert 4:21. Satte drei Minuten davon entfallen auf ein Event:

Time Sub Routine Message Text

18:43:23 LibMain Process Name: C:\WINNT\system32\rundll32.exe

18:46:23 ProcessPrgrams Finished waiting for <C:\WINNT\system32\rundll32.exe C:\WINNT\system32\shell32.dll, Control_RunDLL input.dll,,/u>

Auch ansonsten sind da noch einige Sachen komisch, aber ich wollte euch das komplette Log erstmal ersparen, ist dank 'verbose' recht lang geworden.

Hat wer Ideen wie ich das Problem angehen kann? Gefunden ist es ja zum Glück nun!

Gruß aus Berlin, Simon

nslookup funktioniert sowohl 'vorwärts' als auch 'rückwärts' vom Client aus für den Server und für andere Clients. Ist es dabei schlimm, das ein anderer Adressraum angegeben ist?

Beispiel (vom Server aus):

nslookup ku08
Server:  x01.jwgoethe.local
Address:  192.168.1.1

Name:    ku08.JWGOETHE.local
Address:  192.168.0.33

(Der Server (X01) hat die Bereiche 192.168.0.0/24 und 192.168.1.0/24, Clients sind in 0.x)

Ein neues Profil habe ich in der Tat noch nicht getestet, das werde ich sofort probieren wenn ich das nächste Mal vor Ort bin. Spätestens dann werde ich Bericht erstatten.

Aber vielen Dank schon mal für eure Mühe!

Aber Achtung wem du damit was zeigen willst, der Einsatz von Wireshark & Co ist leider nicht legal!

Hallo,

ich bin mit meinem Wissen mal wieder am Ende und hoffe auf eure Hilfe!

Folgende Situation:

Netzwerk mit Windows 2003 Server als PDC, ca 60 Clients mit Windows 2000, neuerdings 12 Stück mit Windows XP.

Problem: Das Laden der servergespeicherten Profile dauert unter XP gut 5 Minuten, bei 2000 ist die Anmeldung in unter 30 Sekunden durch.

Wenn ich mich als Administrator an den XP-Rechnern anmelde, taucht dieses Problem (trotz ebenfalls servergespeichertem Profil) nicht auf. Die User haben ein gemeinsames Profil, sprich: jeder hat eine eigene Anmeldung, aber der Profilpfad ist der gleiche. Dieses Profil ist mandatory, der Rest geht über Ordnerumleitung. Die DNS-Auflösung an den Clients scheint fehlerfrei, der PDC ist via DHCP zugewiesen primärer DNS-Server.

Im Netz habe ich oft gefunden: PC neu in Domäne aufnehmen - hat aber auch nicht geholfen.

Wo kann ich anfangen das Problem zu suchen? Was braucht ihr noch an Informationen?

Besten Dank im Vorraus,

Simon

Ja, leider geht es um einen lesenden Zugriff - sprich: kopieren.

Das Ereigniss liegt ja auch in der Vergangenheit (wahrscheinlich in den letzten ~5 Tagen). Von daher bin ich für Vorschläge für zukünftige Sicherheitsmaßnahmen zwar dankbar, zu dem konkreten Problem helfen sie aber leider nicht.

Hallo,

ich habe folgendes Problem:

Es sind sensible Daten in Umlauf geraten, die nur auf unserem Windowsserver verfügbar waren. Ein Angriff von Aussen kann ausgeschlossen werden, es müsste also ein berechtigter User die Daten kopiert haben.

Kann ich irgendwie nachvollziehen, wer lesend auf die Daten zugegriffen hat?

Dateisystem ist NTFS, Betriebssystem Win 2003 Server mit aktuellen Patches. Berechtigte Benutzer haben Zugriff via Netzlaufwerk.

Hoffentlich das richtige Forum, oder wäre es doch Windows Allgemein?

Gruß aus Berlin,

Simon

Kann mir keiner helfen? Ist das Problem zu trivial?

Meine Recherche im Forum und im www hat leider nicht viel ergeben.

Gruß, Simon

Hallo,

für diese Anwendung wrde ich 'Directupdate' nehmen, läuft sehr zuverlässig was die Updates anbelangt, ist stabil und resourcenschonend.

Läuft als Dienst unter 2000/2003.

Gruß aus Berlin,

Simon

Hallo,

ich habe einen Windows 2003 SBS mit Exchange 2003. Mails landen bei 1und1, werden per Pop3-Connecor-Manager abgerufen (10 Postfächer) und dann in die Exchange-Postfächer verteilt.

In meiner Abwesehnheit gab es Fehler im Exchangeserver (niemand weiß genau was es war) und es wurde ein Disaster-Recovery gemacht.

Seit dem bekommen alle Leute die Mails an diesen Server schicken einen Statusbericht vom Postmaster, dass die Mail nicht angekommen sei. Die E-Mail-Adresse an die nicht gesendet werden kann ist immer mspop3connector.adresse@domain.de. Die Mails kommen aber an. Scheinbar werden die Mails im Server 'verdoppelt', einmal mit dem Zusatz von Pop3, die ursprüngliche wird übertragen, die Kopie hat einen unbekannten Empfänger und für den wird der Unzustellbarkeitsbericht verschickt.

Tracking einer Nachricht sieht folgendermaßen aus:

SMTP: Nachricht an erweiterten Warteschlangenmechanismus übermittelt

SMTP: Nachrichtenübermittlung an erweiterten Warteschlangenmechanismus begonnen

SMTP: Nachricht an Kategorisierungsmodul übermittelt

SMTP: Die Nachricht wurde kategorisiert und zur Weiterleitung in die Warteschlange gestellt.

SMTP: Unzustellbarkeitsbericht wurde erstellt

[...]

SMTP: Nachricht lokal an mehrere Empfänger übermittelt

Nachricht lokal an Informationsspeicher an adresse@doman.de übermittelt

Dank und Gruß,

Simon

Vielen Dank erstmal, dass sich jemand meinem Problem annimmt :)

Die Benutzer sind definitv in dem Container, auf den ich die GPO verknüpft habe. Wie gesagt, wenn ich darin neue Benutzer anlege, funktionieren die GPOs auch, wenn ich Benutzer in die OU verschiebe, greifen die GPOs auch nicht. Wie gesagt bringt auch "gpupdate /force" keine Abhilfe.

Gruß, Simon

Kann mir keiner helfen?

Wenn ich einen neuen Benutzer im Container anlege, greifen die neuen GP's. Aber die neuen GP's werden auch nach "gpupdate /force" nicht auf die vorhandenen Benutzer angewendet!

Das Problem muss doch jemand kennen... ?!

Gruß aus Berlin, Simon

Hallo,

ich habe folgendes Problem:

Ich habe eine Windows 2003 Domäne mit Windows 2000 Clients. Habe nun für verschiedene Container in der AD-Benutzerverwaltung Gruppenrichtlinen gesetzt, die das Ändern der Proxyeinstellungen im IE verhindern.

Dies will ich nun rückgängig machen.

Ich habe im ersten Schritt pro Container die GP auf "deaktiviert" gesetzt, als das keine Wirkung zeigte, habe ich die GP gelöscht und durch eine "Blankoversion" ersetzt. Auch dies funktionierte nicht. Nun habe ich die "Default Domain Policy", die das Ändern nicht verbietet, auf "Kein Vorrang" gesetzt, so dass diese ja eigentlich verbindlich sein sollte.

Nach jedem dieser Schritte habe ich "gpupdate" ausgeführt, offenbar produziert dies keine Fehler.

Ergebniss ist leider dasselbe.

Wer hat eine Idee?

Vielen Dank im Vorraus,

Simon

Vielen herzlichen Dank schon mal für Deine Bemühungen!

Wie weiter oben schon geschrieben:

Der Netlogon-Dienst produziert mir alle 2 Stunden folgenden Fehler:

Ereignistyp: Warnung

Ereignisquelle: NETLOGON

Ereigniskategorie: Keine

Ereigniskennung: 5781

Datum: 20.02.2005

Zeit: 18:02:34

Benutzer: Nicht zutreffend

Computer: SRV01

Beschreibung:

Die dynamische Registrierung oder die Aufhebung der Registrierung eines oder mehrerer DNS-Einträge ist fehlgeschlagen, da keine DNS-Server verfügbar sind.

Daten:

0000: 2a 23 00 00 *#..