andrew

hello together Habe einen virtuellen Server 2012 R2 Server frisch aufgesetzt, auf welchem ich nun den ISS installieren und Wordpress obendrauf pflanzen möchte. Dazu habe ich => dass OS Server 2012 R2 mit allen Windows Updates versorgt, bis auf das hinterste und letzte ;) => in meine Domäne integriert (nur für die Installation, für das gestalten der Webseite > für Online Aufschaltung der Webseite für das weite, böse Internet wird dann der Webserver in ein eigenes VLAN gepflanzt) => IIS und CGI installiert (CGI wird gemäss Microsoft für PHP Anwendungen empfohlen, zu installieren) Der Link dazu ist hier: http://technet.microsoft.com/en-us/library/hh994592.aspx => Webplattform- Installer 5.0 auf dem soeben frisch aufgesetzten Webserver gestartet und Wordpress via Suchfunktion ausgewählt (die neuste Version, weil es mit dieser nicht klappte, dann noch der Versuch, via die älteren, Deutsche Wordpress 3.X Version) Problem Wenn Ihr diesen Link http://www.peterviola.com/installing-wordpress-php-and-mysql-on-windows-server-2012-r2/ öffnet, bitte scrollen, bis Ihr beim Abschnitt Choosing MySQL Root Password landet. So, nachdem ich gemäss dieser Anleitung das root Passwort definiert habe und die Installation fortsetze, erscheint kurze Zeit später genau wieder dieses Fenster, welches wieder das root Passwort will ? 1. Warum wird da für SQL ein Root Benutzer eingerichtet, welcher ich noch gar nirgends zuvor eröffnet habe? Gehe demnach davon aus, dass diese durch die Installation des MySQL mit installiert würde, mit Betonung auf würde, denn die MySQL Installation scheint das Problem zu sein, sie kann wie ich die Sache verstehe, NICHT abgeschlossen werden? Hat Jemand eine Idee, warum das root Passwort nicht akzeptiert wird? Egal, ob ich ein hammer kompliziertes oder eines, welches nur aus Zahlen besteht, generiere, es funktioniert nicht!

zuerst, was die Sophos Firewall Hilfe zum Thema CA (Signierungs- & Verifizierungs CA) sagt ;) Auf der Registerkarte Site-to-Site-VPN > Zertifikatverwaltung > CA können Sie neue Zertifizierungsstellen importieren. Eine Zertifizierungsstelle (CA, Certificate Authority) ist eine Organisation, die digitale Zertifikate für die Benutzung durch andere Parteien ausstellt. Eine CA attestiert, dass der im Zertifikat enthaltene öffentliche Schlüssel zur Person oder Organisation, zum Host oder einer anderen Instanz gehört, die/der im Zertifikat aufgeführt ist. Dies wird erreicht, indem bei der Signierungsanfrage das Zertifikat mit dem privaten Schlüssel des CA-eigenen Zertifikats signiert wird. Bemerkung dazu von mir: Da das Root Zertifikat mit dem Privaten Schlüssel aus Sicherheitsgründen NICHT exportiert werden soll, so müsste ich ja demnach das Zertifikat der SubCA (meiner Windows Server 2012 R2 CA) auf der Sophos Firewall importieren, damit meine Sophos Firewall auch als Signierungs CA fungieren könnte), ist anders gar nicht möglich (oder sehe ich da was falsch?) Solch eine CA wird deshalb auch als Signierungs-CA bezeichnet. Auf der UTM wurde die Signierungs-CA automatisch während der ersten Anmeldung an der UTM generiert, wobei die angegebenen Informationen verwendet wurden. Dadurch sind alle Zertifikate, die Sie auf der Registerkarte Zertifikate erzeugen, selbst-signierte Zertifikate, das bedeutet, dass Aussteller und Inhaber identisch sind. Alternativ können Sie jedoch eine Signierungs-CA eines Drittanbieters importieren. Darüber hinaus können Sie auch andere CA-Zertifikate verwenden, deren private Schlüssel unbekannt sind, um die Authentizität eines Hosts oder Benutzers zu überprüfen, der versucht, sich über IPsecCollapsed zu verbinden. Diese CA-Zertifikate wiederum werden als Verifizierungs-CAs bezeichnet und können auch auf dieser Registerkarte importiert werden Betreffend, ob der private Schlüssel meines SubCA Zertifkats auch exportierbar ist: Blöde Frage, wie teste ich das am einfachsten? Mit certutil, Befehl? Wenn ich die MMC öffne, das Snap-IN Zertifikate einfüge, das SubCA Zertifikat markiere und dann via rechte Maustaste auswähle, Alle Aufgaben/ exportieren, kann ich nur folgendes wählen => DER-codiert-binär X.509 (.CER) => Base-64-codiert X.509 (.CER) => Syntaxstandard kryptografischer Meldungen - "PKCS #7"-Zertifikate (.P7B) => alle anderen Optionen sind ausgegraut, unter anderem auch .pfx ?! ....

Vielleicht habe ich einen Überlegungsfehler gemacht, dachte, ich müsste das Zertifikat der SubCA exportieren, damit ich beispielsweise dieses auf meiner Sophos UTM Firewall importieren könnte Und: somit dann in der Lage gewesen wäre, Zertifikate auf der Sophos UTM Firewall zu generieren, welche mit Hilfe dieses Zertifikats signiert würden. Aber: Dieses Zertifikat beinhaltet keinen privaten Schlüssel, denn sonst hätte es ja noch das kleine Schlüssel Symbol in Zertifikat, oder? Dieses Schlüssel Symbol hat nur mein RootCA Zertifkat, welches ich bereits als .pfx vorliegend habe. Dachte mir dann, ok, dann importiere ich halt das Root Zertifikat mit dem Privaten Schlüssel auf meiner Sophos UTM Firewall (Dort gibt es unter Zertifikatverwaltung einen Punkt, der nennt sich: CA Importieren). Das geschützt Root Zertifikat mit privaten Schlüssel, welches ich als Passwortgeschützte .p12 Datei vorliegend habe, importierte ich wie beschrieben auf der Sophos UTM Firewall. Danach erstellte ich auf der Sophos UTM Firewall ein neues Zertifikat, welches nun meiner Meinung nach in einer mathematischen Beziehung zum Root Zertifikat mit privaten Schlüssel steht, korrekt? Warum das alles? Weil ich mit der Sophos UTM die Möglichkeit habe, um Benutzern Remote Zugriffe auf die Firewall bzw. auf mein Netzwerk zu gewähren, was ich zuerst mit SSL VPN Versucht hatte. Als ich ursprünglich auf einem PC via Benutzerportal der Sophos UTM Firewall den SSL VPN Client heruntergeladen hatte, danach versuchte, eine SSL VPN Verbindung von extern auf meine Sophos UTM Firewall herzustellen, scheiterte die Verbindung. Ich überprüfte das LOG File und stellte fest, dass ein ein SSL Handshake Problem gab. Genau das war der Grund für diese ganze Übung, eben ein Zertifikat meiner internen Windows Server 2012 R2 CA auf der Sophos UTM Firewall importieren zu wollen, damit auf der Sophos UTM eine CA vorhanden ist, welche Zertifikate signieren und oder prüfen kann, welche dann auf der Sophos UTM Firewall erstellt würden Und: im SSL VPN Paket, welches via User Portal von Benutzern heruntergeladen kann, in diesem SSL VPN Paket dann enthalten ist oder wäre. Was wiederum dann eine saubere SSL Kommunikation zwischen SSL VPN Client (darin enthalten wäre oder ist dann meiner Meinung nach eben ein SSL Zertifikat, welches auf der Sophos UTM zuvor von mir erstellt und von der CA auf der Sophos UTM signiert wurde) erlaubt. Natürlich hätte ich auch auf der Sophos UTM die vorkonfigurierten CAs belassen können, welche die Zertifikate signiert und oder verifiziert hätten, welche nachträglich auf der Sohpos UTM Firewall erstellt würden und somit auch in einer mathematischen Beziehung zu einander stehen würden, jedoch reizte mich eben die Möglichkeit, die Windows CA soweit verwenden zu können, dass ich die Zertifikate überall hin exportieren, importieren und verwenden kann, Dienste verifizieren usw. Das klappte nach meiner Übung dann schlussendlich auch, denn ich konnte mich nach dem => Import des RootCA im .p12 Format mit Privaten Schlüssel auf der Sophos UTM => dem danach erstellen eines SSL Zertifikats auf der Sophos UTM => dem angeben in der VPN Konfiguration der Sophos UTM, dass ich dieses soeben erstellte SSL Zertifikat verwenden will => dem Download des SSL VPN Pakets via User Portal von extern und dadurch auch durch den Erhalt des SSL Zertifikats (welches ich auf der Sophos UTM Firewall erstellt habe, welches dann durch das RootCA Zertifikat mit Privaten Schlüssel signiert wurde) => erfolgreich von extern eine SSL VPN Verbindung auf die Firewall herstellen, SSL Handshake kam ohne Fehlermeldungen zu Stande und somit war der verschlüsselte SSL Kanal perfekt (von extern, auf meine Sophos UTM Firewall) :-)

tatsächlich, der Befehl war soweit richtig, bis auf genau diesen Punkt hehe ... ach jeee, soweit habe ich soeben nicht überlegt, stimmt doch ... Nachdem ich den Befehl wie unten aufgeführt ist, ausgeführt habe, kam eine Passwort Abfrage: Dieses eingegeben, nochmals bestätigt Und: Das Stammzertifikat (wenn dieser Ausdruck hierfür korrekt ist?!) von meiner SubCA wurde nun Passwortgeschützt inkl. Privater Schlüssel im Format .pfx im Dateipfad C:\Temp\ mit dem Namen IT-NetX-SubCA.pfx abgelegt, goil ;) Für alle, die es interessiert, der Befehl lautete nun wie folgt: C:\Users\administrator.IT-NETX> certutil -exportPFX -Enterprise ca "790000000209b5d7a3183d2953000000000002" C:\Temp\IT-NetX-SubCA.pfx Weiterführende Infos von Microsoft sind hier erhältlich: http://technet.microsoft.com/library/cc772898.aspx#BKMK_display_certs Super, vielen Dank für den Denkanstoss :-) nun habe ich aber doch noch eine Frage, denn es erscheint noch folgende Meldung beim Export Vorgang: (fett hervorgehoben) Woran liegt das? ---------------------------------------- CA "Zwischenzertifizierungsstellen" ================ Zertifikat 1 ================ Seriennummer: 790000000209b5d7a3183d2953000000000002 Aussteller: CN=IT-NetX-RootCA, DC=it-netx, DC=local Nicht vor: 29.06.2014 00:18 Nicht nach: 29.06.2016 00:28 Antragsteller: CN=IT-Netx-SubCA, DC=it-netx, DC=local Version der Zertifizierungsstelle: V0.0 Zertifikatvorlagenname (Zertifikattyp): SubCA Kein Stammzertifikat Vorlage: SubCA, Untergeordnete Zertifizierungsstelle Zertifikathash(sha1): 74 85 a9 fe 58 05 88 33 84 95 68 43 60 b1 f2 cc 53 cd 30 8f Keine Informationen über den Schlüsselanbieter Das Zertifikat und der private Schlüssel für die Entschlüsselung wurden nicht gefunden. Verschlüsselungstest wurde durchgeführt Neues Kennwort für die Ausgabedatei C:\Temp\IT-NetX-SubCA.pfx: Neues Kennwort eingeben: ----------------------------------------------------

hello together versuche gerade, das Root Zertifikat der SubCA zu exportieren (.pfx File) 1. habe Powershell geöffnet 2. certutil -viewstore -Enterprise eingegeben, Enter 3. POP Fenster geht auf mit Titel: Zertifikatsspeicher anzeigen, darin enthalten zwei Zertifikate => IT-NetX-RootCA => IT-NetX-SubCA Möchte nun das Zertifikat "IT-NetX-SubCA" in ein .pfx File exportieren. Dachte, ich müsste diesen Befehl hier verwenden, da scheint aber was falsch zu sein, weiss aber nicht, wo ich was falsch mache Folgenden Befehl verwendet: C:\Users\administrator.IT-NETX> certutil -exportPFX -enterprise root "790000000209b5d7a3183d2953000000000002" C:\Temp\IT-NetX-SubCA.pfx Meldung: root "Vertrauenswürdige Stammzertifizierungsstellen" CertUtil: -exportPFX-Befehl ist fehlgeschlagen: 0x80090011 (-2146893807 NTE_NOT_FOUND) CertUtil: Das Objekt wurde nicht gefunden. PS C:\Users\administrator.IT-NETX> Bemerkung Öffne ich eine mmc, füge das Snap-In Zertifikate hinzu (Computer), dann finde ich unter => Vertrauenswürdige Stammzertifizierungsstellen => Zertifikate hier mein Stammzertifikat der untergeordneten CA vor?! ..... Danke für die Unterstützung :-)

Ein interessanter Beitrag, mit anderen Worten ,alles geht in Richtung Office 365, weltweit werden bald aus deinen genannten Gründen in vielen Szenarien auf die Online Office Version wechseln müssen? Tönt alles wunderbar, nehmen wir doch wieder Dein Beispiel mit dem Bagger, welcher die Internetleitung blöderweise flach legt Und: Ein Kunde hat per Default, wenn er nur eine derart kleine Firma ist, einen Server hat, vielleicht 10 Angestellte beschäftigt, keine redundante Internetleitung. Was geschieht also, wenn die Internetleitung Tod ist? Wie sieht es dann mit den 10 Mitarbeitern aus, können die noch arbeiten, mit diesem schönen Office 365? :-)

rechnet mir doch bitte mal vor, warum Hosted Exchange im Falle mit 8 Mitarbeitern, die Schweizer Preise kennt Ihr ja nun, billiger sein soll, als wenn ich zum Beispiel für den Nekunden 1. 1x Exchange Server Standard 2013 für 1'114.00 SFr. 2. 8x Exchange Std User CAL 2013, Level A für 122.00 SFr. 3. Als Beispiel rechne ich mit 4 Arbeitsstunden für die Exchange Installation, mit der Installation aller Updates und der Konfiguration. Die Benutzer haben hierbei je 1 persönliches Benutzer Postfach, können den Kalender gegenseitig freigeben Und: nutzen auch ActiveSync Bemerkung Es geht nun nicht darum, zu diskutieren, ob die 4 Stunden Exchangen Arbeiten, beginnend mit der Exchange 2013 Software inkl. sonstiges der Realität entsprechen, es geht darum, dass wir plus Minus, Minus Plus hierfür auch einen Wert in SFr. ermitteln können ,also demnach 4x 180.00SFr. Stundenlohn (Fantasie Zahl) = 720.00 SFr. Quizfrage, nochmals Warum sollte Hosted Exchange in diesem Beispiel der normalen Exchange Installation vorgezogen werden und warum, mir bitte vorrechnen und begründen *grins* Ich behaupte hier, auf dieses Beispiel bezogen, dass der Kunde ab rund 18 Monaten die 8 Hosted Exchange Postfächer amortisiert hat Und: Ab dem 19 Monat nur noch jeden Monat 152.00 SFr. drauflegt, ist das im Sinne des Kunden? Möchtest Du/ Ihr wirklich in diesem Szenario dem Kunden die Hosted Exchange Lösung unterbreiten? Ich nicht !!!

=> warum soll die Sophos UTM den ausgehenden Mailverkehr des Exchange Servers NICHT filtern? Wegen der Prozessor Power? Hast Du schon mal geprüft, wie viel Prozessor Power zusätzlich eine Sophos UTM Firewall aufwenden muss, damit Sie den ausgehenden Mailverkehre des Exchange auch ausgehend filtert? Finde, wenn die Sophos UTM Firewall schon die Möglichkeit bietet, nicht nur eingehenden Mailverkehr zu scannen, was spricht dagegen, auch den ausgehenden Mailverkehr des Exchange Servers zu filtern? => gebe Dir recht, dass man auf jedem Client bzw. auch Server einen entsprechenden Antivirus Client am Laufen haben sollte, Frage: Wer sagt mir, dass dann alles sauber ist? => besteht nicht ggf. die Chance/ Möglichkeit, dass bei zusätzlicher ausgehender Mailfilterung eine doppelte Sicherheit vorhanden ist? => beruhigt es den Empfänger ggf. nicht auch, wenn zusätzlich in den ausgehenden Mails ganz unten in der Signatur steht: Mails wurden von Sophos UTM auf Schadsoftware gescannt? :-)

Ciao Daniel Unser Schweizer Händler, wo wir Server, Firewalls usw. beziehen, hat zurzeit in Bezug auf das Sophos UTM Produkt folgende Promo Aktion, welche bis März 2015 läuft: => Mailfilterung, FullGuard Lizenz, als Beispiel dient eine UTM 110 (das kleinste Modell) > Die Filterlösung lautet: UTM 110 FullGuard Net/ Web /Email/ Webserver/ Wirel - Dauer: der komplette Filterschutz ist für die Dauer von 36 Monaten - Der unverbindliche Kundenpreis liegt bei rund 1'777.00 SFr. => die Sophos UTM Hardware Firewall Box kostet rund 789.00 SFr. So, wenn man nun diese Promo Aktion nutzt, so kauft man diesen => FullGurd Filter für 36 Monate zum Preis von 1'777.00 SFr. => bekommt dabei die Sophos UTM Hardware Box zum Preis von rund 789.00 SFr. gratis dazu :-) Cluster mit Sophos UTM, gerechnet mit dieser Promo Aktion (Kosten/ Nutzen Verhältnis) So, möchte man nun zum Beispiel einen => Active - Pasiv Cluster mit dieser Lösung, so muss man zusätzlich noch eine Sophos UTM Hardware Box für diese 789.00 SFr. kaufen und auch bezahlen. => Active - Active Cluster mit dieser Promo Lösung bedeutet, 2x die FullGuard Software Lizenz kaufen Und: dabei 2x die Sophos UTM Hardware Box geschenkt bekommen, bedeutet: 2x 789.00 SFr. = 1'578.00 SFr. eingespart! => Weil der Kunde nie mehr zu einer solchen, günstigen Firewall Cluster Lösung kommen wird, zumindest nicht mit Sophos UTM, so habe ich Ihm gleich diese Variante auch auf die Offerte gepflanzt :-) => und ebenfalls habe ich Ihm auch eine Backup Internetleitung von der Swisscom offeriert - Aufschaltzeit zwischen 7 - 10 Tage - ist das kleinst mögliche Internet Abo, was Swisscom zurzeit anbietet (Download 10'000 Mbit/s. Upload1'000 Mbit/s) - bietet Ausfallsicherheit als zweiter, unabhängiger Internetanbieter - Kosten: 49.00 SFr./ Monat Und: Weil der Kunde auch noch die Sophos Endpoint Lösung will, => auch die Sophos Endpoint Antivirus Lösung auf die Offerte gepflanzt. => Vorteil: zentrale Verwaltung auf der FW, es muss nicht eine separate Verwaltungs Sofwware auf einem Server installiert werden => die Sophos UTM Firewall wird somit zur zentralen Verwaltungsstelle :-) => Preis für Sophos Endpoint: bis 10 Benutzer, 36 Monate für 915.00 SFr. Dann gäbe es natürlich auch noch die Möglichkeit, die Sophos UTM Firewall als VM auf einem System laufen zu lassen, da sind die Preise dann auch wieder etwas anders Betreffend Hosted Exchange Anscheinend sind ist das Preis Leistungsverhältnis nicht ganz das gleiche wie in Deutschland Bei der Swisscom als Beispiel erhält man folgendes => Speicherplatz 2.5 GB pro Postfach => E-Mail auf den mobilen Endgeräten => Terminplanung im Team => Gemeinsames Adressbuch => 5 Alias E-Mail Adressen => 2 Alias Domain Namen => OWA => im Preis ist auch eine Outlook Client Lizenz => Preis für 1 E-Maildaresse (Postfach) pro Monat = 19.00 SFr. Heisst, hat XY Mitarbeiter mal den Preis für ein Postfach/ Monat von 19.00 SFr. = XY Franken/ Monat. Wenn wir hier mit der Zahl 8 arbeiten, da 8 Mitarbeiter, so ergäbe dies 8x 19.00 SFr. = 152.00 SFr. / Monat So, rechnet man nun die Kosten für => die Exchange Lizenz => 8 Exchange CALs => plus die Arbeit, den Exchange zu konfigurieren und teilt diesen Betrag durch 152.00 SFr., so bedeutet das, dass der Kunde nach spätestens 18 Monaten die soeben genannten Kosten amortisiert hätte, alles was über diese 18 Monate hinausläuft bedeutet dann für den Kunden zusätzliche Kosten, jeden Monat zusätzlich 152.00 SFr. für 8 Hosted Exchange Postfächer ... Fazit Hosted Exchange kann meiner Meinung nach im ersten Augenblick interessant wirken, weil der Kunde bzw. der IT- Dienstleister wohl nicht mit den SLAs eines Providers mithalten kann, nicht die gleiche IT- Landschaft im Hintergrund haben wird, damit Exchange genauso Ausfallsicher wäre (behaupte ich mal), aber ab dem Monat XY hat der Kunde die Hosted Exchange kosten amortisiert und zahlt danach mit jedem Monat je nach Anzahl Mitarbeiter, welche eben ein entsprechendes Postfach haben müssen, diesen Betrag (Summe aller Postfächer pro Monat) zusätzlich, dies Monat für Monat. Darum finde ich es sinnvoller, dass ein Kunde von Anfang an etwas Geld investiert, damit dann aber seine Rechnung beglichen hat und nicht jeden Monat wieder für Hosted Exchange Postfächer bezahlen darf :-) (dies wie erwähnt ab Monat XY) Natürlich unter der Berücksichtigung, wie lange seine Mails ausfallen dürfen (Ausfallzeit) Und: demnach müsste man dann halt die Rechnung wieder von vorne anfangen und ausrechnen, was es für so ein KMU Unternehmen kosten würde, wenn man den Exchange oder den Hyper- V Server (mit Exchange drauf) redundant auslegen würde :-)

das stimmt. Das Kostenverhältnis muss stimmen Und: es macht Sinn, dort eine Redundanz einzubringen, wo der Kunden am meisten Nutzen daraus ziehen kann und eben, das Kostenverhältnis aus Sicht des Kunden Sinn macht. Genau, auch ist die Überwachung nicht zu verachten, wenn genau der Punkt eintrifft wie Du es nennst, Robert. Die Überwachung ist nicht zu unterschätzen, im Gegenteil. Ich bin für eine proaktive Überwachung, Probleme erkennen, bevor Sie grossen Schaden anrichten, um schlussendlich so auch dem Kunden ggf. viel Ärger, Geld und Zeit ersparen zu können ;) Aber auch da: es gibt zig Freeware Lösungen, es gibt zig kostenpflichtige Lösungen Und: Man müsste dann auch noch die Zeit haben, um sich selber das notwendige Wissen anzueignen, damit man den grössten, möglichen Nutzen aus der Überwachungssoftware holen kann. Wir haben beispielsweise die Swisscom, die hat auch für Überwachungszwecke ein hammer mässig starkes Programm im Einsatz. Ich kenne einen Techniker, der muss mit diesem Programm Workstations überwachen Und: ist oder war am Anfang schlicht und ergreifend überfordert, so derart viele Möglichkeiten habe diese Überwachungs Software geboten. Ja es sei sogar so gewesen, dann man fast erschlagen wurde, von der Vielfalt an Funktionen, welches dieses Überwachungsprogramm bietet. der Techniker muss zum Beispiel eine CAD Station eines Kunden überwachen, da der Ausfall dieser Arbeitsstation extrem kostspielig wäre. Der Techniker hat aber in diesem speziellen Fall das Glück, dass er bei der grossen Swisscom arbeitet, welche die Mitarbeiter auch in wirklich allem unterstützt. Arbeite auch in einem Kleinbetrieb, da hätte ich noch zig Wünsche und Vorstellungen, wie und was ich gerne bei Kunden installieren würde, von Monitoring über redundante Hyper-V Lösungen und und .. Dies würde in meinem speziellen Fall aber wiederum voraussetzen, dass ich quasi in allen Bereich einigermassen fit bin, möchte den Horizont erweitern, die Möglichkeiten von Exchange bei den Kundeninstallationen besser nutzen und nicht nur Postfächer einrichten, Kalenderfreigaben einrichten usw. , so bräuchte ich hierzu viel mehr Zeit, um im Exchange Bereich ein Hirsch zu werden, daneben habe ich aber noch zig andere Bereiche, in welchen ich auch noch Bedarf habe :-) Möchte ich dann zum Beispiel noch Überwachungssysteme bei Kunden einführen, ja, so würde das ja bedeuten ,dass ich erst mal hierfür wieder Zeit investieren müsste, ggf. sogar eine Schulung, wer weiss, wie komplex dann das Überwachungssystem wäre und woher würde ich die Zeit nehmen? Wer würde mir hierfür das Geld bezahlen? Das ist dann wiederum ein anderes Thema, das eine zieht halt leider das andere nach, so ist es oft im Leben :-)

das stimmt, da gebe ich Dir voll und ganz recht Robert. Weil ich zu denen gehören möchte, welche möglichst immer, wann möglich, die Kundenbedürfnisse versucht zu verstehen und demnach eine passende Lösung offeriert und den Kunden versucht über Vor und Nachteile zu informieren, werde ich Ihm auch als Option eine Backup Internetleitung offerieren. Leider ist halt das Problem bei kleinen Kunden wie in diesem Beispiel gut veranschaulicht, dass dann oft das Geld oder das Verständnis fehlt, um nicht nur "Teilbereiche" redundant absichern zu müssen, sondern dass im Prinzip jede Komponente (Switch, FW, Internet, Server) redundant ausgelegt sein sollten. Weil aber viele so Kleinkunden dann für solche Szenarien auch entsprechend mehr Geld ausgeben müssten Und: ein Kunde sowieso von vorne herein das Gefühl hat, die IT sei nur ein MUSS, ein übel, von welchem Sie keinen direkten Nutzen ziehen könnten, so ist es oft auch nicht einfach, einer solchen Kundenansicht entgegen zu treten, um den Kunden klar zu machen, dass es überhaupt sinnvoll ist, überhaupt am Anfang ein wenig Geld in die Finger zu nehmen, damit Sie auf einem stabilen Fundament aufbauen können. Es gibt Kunden, die Fragen sich bei allem und jedem, für was Sie das überhaupt brauche, schon angefangen beim Server :-) Dann kommt leider hinzu, dass viele Kleinkunden blöderweise, fälschlicherweise den Bereich IT in Ihrer Finanzbuchhaltung gar nicht oder falsch berechnen, viel zu wenig hierfür an Geld reservieren und man dann stets erstaunt ist, was es kostet, um einen Server inklusive Arbeitsplätze etc. aufzusetzen, in das Netz einzubinden und und und ... Ich schweife vom eigentlichen Thema hier ab, aber ich fand es soeben wichtig, den wichtigen Punkt, wo Du angesprochen hast (Internet auch redundant auslegen), den roten Faden weiter zu spinnen, noch einen Schritt weiter zu gehen, als "nur" zusätzlich auch noch das Internet redundant auszulegen :-) P.S. Um diesen übel etwas entgegen zu wirken mache ich es in solchen Situationen oft so, dass man dann halt, dass das Service Pack, also die Garantie/ Support Leistungen in Bezug auf die Serverhardware dann einigermassen gut abgedeckt sind. Es gibt viele Kunden, denen reicht das, wenn man Ihnen sagt, ach wissen Sie, je nach je kann es Stunden dauern, bis Ihr wieder einen funktionsfähigen Server hat (je nach Fall) oder eben halt noch länger Und: Wir müssen dann halt als IT- Dienstleister schauen, dass wir ggf. die längeren Ausfallzeiten abfangen können und wenn es wirklich sein sollte, selber eine Maschine organisieren, dem Kunden hinpflanzen und den Restore auf diese Maschine vornehmen (als Notnagel, habe ich auch schon erlebt :-)

der sendende Mailserver versucht innerhalb 18 Stunden (oder so) die Mails immer wieder erneut zuzustellen, korrekt? (darum würden die Mails nicht verloren gehen) Richtig, der Kunde könnte keine Mails mehr senden und empfangen, wenn die FW defekt würde, da danach kein Internet mehr Und: Der oder die Angestellten via Outlook Mails senden und der SBS 2011 via POP Connector abholt und wenn keine Interleitung da wäre, würde auch das Abholen der Mails via SBS POP Connector nicht funktionieren. Der Kunde könnte auch nicht argumentieren, drallalaa, ich kann die Mails ja via Provider (Webmail) abholen, da auch hierfür eine Internetleitung den Angestellten den Webzugang ermöglichten müsste, was ja bei einer defekten Firewall somit auch nicht weiterhelfen würde :-) RobertWi, ich stimme Dir zu und danke für die Anregungen - habe gerade nicht an alle Argumente gedacht, welche ich gegen das Argument des Kunden, er wolle noch POP Konten behalten aus Gründen der "Ausfallsicherheit" gleich einfliessen lassen kann (darum melde ich mich ja hier auf dem Board :-)) Danke auch Dir NorbertFe für die Anregungen ;)

hello together Szenario, ein Kunde mit ca. 8 Benutzern Ist Zustand FW und Mailzustellung Ein Kunde hat zurzeit einen => SBS 2011 im Einsatz => Exchange Version ist demnach 2010 => Mails werden via SBS POP Connector abgeholt => FW Produkt = zurzeit ist eine MonoWall im Einsatz Ziel, Vorschlag FW und Mailzustellung (bereits dem Kunde so mündlich vorkommuniziert worden) => Sophos UTM Lösung mit Fullguard Filter (alle Filter, auch Mailfilterung) => Sophos UTM soll bestehende FW ersetzen, den Mailverkehr filtern und danach intern dem Exchange zustellen => Umgekehrt das selbe in grün beim Mailversand, der Exchange soll die Mails an den SmartHost (Sophos UTM) weiterleiten, Mail auf Schadsoftware prüfen und versenden. => darum mein Vorschlag vorgängig an den Kunden: anstatt weiterhin auf POP Konten setzen, die Mailumstellung von POP auf SMTP vornehmen. Das ist der Ist Zustand bzw. war mein Vorschlag an den Kunden Antwort Kunde: => Was passiert, wenn die Sophos UTM HW Box "abraucht", einen technischen Defekt erleidet? => Sicherheit Mailzustellung? Antwort von mir: => die Sophos UTM Hardware Box im Active Active Cluster betreiben! Wenn eine HW Box ausfällt, übernimmt die andere HW Firewall, Mails werden weiterhin angenommen. => Sicherheit Mailzustellung: wäre bei einem Active Active Cluster in Bezug auf die HW Box gelöst, jedoch kommen weitere Faktoren dazu, Faktoren wie - Internet Leitung, wenn diese ausfällt, bringt auch das Clustern einer FW nichts! > Backup Internetleitung angebracht (Kosten!) - SBS 2011 Server = ein Mailserver 2010, was geschehe denn, wenn dieser abliege? da hätten wir zurzeit auch keine Ausfallsicherheit, ein Backup, klaro, aber bis der SBS 2011 im schlimmsten Fall auf eine neue HW aufgespielt wird (Restore), die neue HW zuerst beschaffen werden müsste und und ..da vergehen Stunden, ja noch mehr (wenn wir vom Worst Case Szenario ausgehen > habe ich alles selber schon erlebt und das Service Pack auf der Hardware des Servers nicht alles abdeckt (aus Kostengründen vielleicht hier nicht die besten Leistungen im Service Pack integriert sind) - dann haben wir die Switches, was würde passieren, wenn die oder der Switch abliegt? dann würde die Sophos UTM auch nichts bringen, wenn diese den Server nicht erreichen kann. Kurz, Fazit, Fakt => Kunde will aus diesen Gründen bei der jetzigen POP Lösung bleiben => die FW muss gemäss Kunde ersetzt werden, da will er eine Offerte für die Sophos UTM Firewall haben, das ist Fakt! :-) Frage an die Community Bringt mir Argumente, welche für die Mailzustellung von POP auf SMTP sprchen oder Fakten, welche in diesem Szenario dagegen sprechen und die Aussage des Kunden bestätigen, sprich, eine Befürwortung von POP und somit ein belassen der aktuellen Lösung zur Folge hätten Achtung pro und contra Lager Zu beachten gilt aber die aktuelle Kundenumgebung Und: Dass zurzeit im Moment für den Kunden nur der FW Wechsel in Frage kommt, dass man am Besten alles Ausfallsicher bauen müsste weiss der Kunde, habe oben ja alle Punkte (mehr oder weniger) aufgeführt (und dem Kunden auch schon mal mündlich weiss gemacht). Dies ist aber wie immer eine Kostenfrage, darum will der Kunde wohl auch bei seinen "doofen" POP Konten (sorry an alle POP Freunde) bleiben :-( Wie Ihr merkt, ich bin ein POP Konten Gegner :-) Danke für eure Meinungen, auch wenn es schon zig tausend mal besprochen wurde, aber jede Kundeumgebung ist individuell :-)

hello together Hat Jemand von euch OfficeScan 11 von Trend Micro im Einsatz? Ja, dann kannst Du mir vielleicht sagen, warum ich beim Punkt "Control Manager Server Settings" nicht in der Lage bin, die Verbindung erfolgreich zu testen, damit ich nachträglich den Server registrieren kann ;) Folgende Fehlermeldung erscheint: "Cannot connect to the Control Manager Server or the Proxy Server. Please check your Network Settings and make sure the Network Connection between the entity and the Control Manager Server or the Proxy Server is available." Des Weiteren habe ich folgende Einstellungen unter dem Punkt "Control Manager Settings" vorgenommen => Connection Settings Entitiy Display Name: NETXSRV04_OSCE (NETXSRV04 ist der hostname des Servers mit IIS 8 > Server 2012 R2) => Control Manager Server Settings Server FQDN or IP address: officescan.domain.local Port 443 Hacken bei "Connect using HTTPS => Web Server authentication username: Feld habe ich leer gelassen Passwort: Feld habe ich leer gelassen der FQDN (A-Record) officescan.domain.local ist sowohl im SSL Zertifikat wie auch auf dem DNS Server eingerichtet => beim Aufruf von https://officescan.domain.local:4343/officescan/console/html/cgi/cgiChkMasterPwd.exe keine Zertifikatsmeldungen. habe das Zertifikat via meine interne Sub CA erstellt Und: als Test habe ich auch das vom OfficeScan11 erstellte Zertifikat (bei der Installation wurde ein SSL Zertifikat erstellt, auch auf den FQDN officescan.domain.local) einmal dem virtuellen Verzeichnis OfficeScan in den Bindungen beim Port 4343 hinterlegt, den ISS resetet, jedoch half dies auch nichts > Test Verbindung konnte nicht aufgebaut werden) Teste gerade die Trial OfficeScan11 Version, da diese Antiviren Lösung extrem gute Ergebnisse in der letzten Ausgabe der Zeitschrift com! erziehlt hat, aber eben, testen kann ich die Software ja nur, wenn ich Sie auch sauber installieren kann, nicht wahr :-) Das man den Control Manager aber registrieren kann und muss, scheint wohl eine Bedingung zu sein, um überhaupt sonst dann irgend was schlaues mit dieser Software anfangen zu können, sofern ich dies richtig verstanden habe. Vielen Dank für hilfreiche Tipps ;)

1. sorry das ich falsch zitiert habe, das tut mir also aufrichtig leid, wird nicht mehr vorkommen, bin zum Glück nicht lernresistent! 2. jetzt ist alles klar, jetzt habe ich es wirklich definitiv verstanden, genial und vielen Dank für das Verständnis. Dies war doch nun jetzt wirklich nicht so schwierig zum Verstehen, zumindest dann nicht, wenn man die Materie verstanden hat. Viele jammern doch immer, das Microsoft Lizenzierungssystem sei hochgradig komplex?! ;)

soweit ist alles klar, danke vielmal. Und wie sieht es mit Systembenutzern oder Administratoren aus, welche ja zum Teil schon mit dem OS mitgeliefert werden oder zum Teil auch händisch angelegt werden müssen, für Backup Dienste, für sonstige Dienste. Die müssen demnach nicht auch zusätzlich lizenziert werden, ist das korrekt? Das heisst, ich muss wirklich im Endeffekt nur Wissen, wie viele physische Menschen wollen effektiv Serverdienste in Anspruch nehmen, egal auf wie vielen Server, jeder Mensch braucht Minimum 1 Server CAL, alle anderen zusätzlichen Benutzer können mir Wurst sein, da kann ich so viele Systembenutzer erstellen (für Systemdienste) oder zusätzliche Admin Accounts, das muss mich demnach nicht kümmern, ist das so? ;) alle Erklärungen hier war ja für die Server 2012 Std Version Wie sind es mit den anderen Betriebssystemen aus? Server 2008? SBS 2011 resp. SBS 2008 Ist es hier auch so, dass wenn ein Benutzer eine Server 2008 Benutzer CAL hat, berechtigt ist, auf X Server = oder kleiner als Version Server 2008 zuzugreifen?

sehr interessant, werde mir alle Artikel nun genau durchlesen. Vielen Dank für die Inputs

1. jede CAL einem Benutzer oder einem Gerät zuweisen = sind damit die Geräte beziehungsweise die User CALs gemeint? Als Beispiel: Wenn ich einen Drucker habe, der mit 1 Server 2012 kommuniziert, zwecks Spooling, so muss ich aus Sicht des Druckers eine Geräte Lizenz kaufen? Wenn ich als Benutzer auf 1 Server 2012 zugreife, einen x beliebigen Dienst oder mehrere in Anspruch nehme, so brauche ich hierfür eine Server 2012 CAL Lizenz, also eine Benutzer Lizenz (wenn ich Benutzer und nicht Geräte lizenzieren will), so korrekt oder? Warum brauche ich denn in diesem Beispiel hier nur 6 Server CALs und nicht 18, da drei Server Und: die Benutzer doch Dienste von jedem Server in Anspruch nehmen? "und jede Externe Connector-Lizenz einem Lizenzierten Server.", was ist mit Externe Connector Lizenz gemeint? Kannst du das etwas präzisieren, ein praktisches Beispiel machen? Habe Deine Argumentation (noch) nicht ganz verstanden ;) P.S. Ja genau, die 6 Benutzer brauchen noch 6 Exchange Benutzer CALs

hello together Möchte das Thema Lizenzierung kurz neu aufrollen ;) Habe fast die Konstellation, möchte Wissen, wie viele CALS und Lizenzen ich da brauche: 1 physicher Hyper-V Host 1 virtueller Server 20112 mit Exchange 2013 1 virtueller Server 2012 mit Microsoft SQL Server 2014 Express Gemäss der, den Antworten hier und meiner Meinung nach betreffend Lizenzen (nicht CALs) sehe ich folgende Lizenzierung für die 3 Server 2012 Betriebssysteme vor 1 physischer Host (Hyper-V) = 1 x Server 2012 Standard Lizenz, es wird nur die Hyper-V Rolle installiert und konfiguriert 1 virtueller Server 2012 mit Exchange (ist "gratis", muss ich nicht extra lizenzieren, da in einer Server 2012 Std. Lizenz 3 Server lizenziert werden dürfen) 1 virtuelle Server 2012 (SQL 2014 Express) (ist "gratis", muss ich nicht extra lizenzieren, da in einer Server 2012 Std. Lizenz 3 Server lizenziert werden dürfen) anders ausgedrückt mit einer Server 2012 Standard Lizenz darf ich 1 physischen Hyper-V Host lizenzieren, wenn nur die Hyper- V Rolle installiert und konfiguriert wird 2 virtuelle Server 2012 lizenzieren ist das so mal korrekt? Betreffend CALs Bleiben wir bei diesem Beispiel Nehmen wir an, der Kunde hat 6 Benutzer Wie viele Server 2012 CALs brauche ich? A 6 Server 2012 CALs, weil die 6 Benutzer ja die Rolle Hyper-V Benutzen (es wird doch immer argumentiert, dass das Benutzen des Dienstes lizenziert werden müsse) und somit "nur" die Zugriffe auf den Hyper-V Host lizenziert wären und würden, weil dadurch auch Zugriffe im Weitesten Sinne auf die VMs erfolgen?! oder B 18 Server 2012 CALs, weil 6 Zugriffe auf den Hyper-V Server erfolgen (und der Dienst Hyper-V in Anspruch genommen wird) 6 weitere Zugriffe auf die Dienste des Server 2012 OS, weil auf diesem Exchange Server 2013 läuft und die 6 Benutzer diese Exchange Dienste, ggf. vielleicht ja noch weitere Dienste wie DNS in Anspruch nehmen würden? und nochmals 6 weitere Zugriffe als lizenzpflichtig angeschaut werden (aus Microsoft Sicht), weil die 6 Benutzer ja auch die Dienste des SQL Servers in Anspruch nehmen, weil auf dem zweiten virtuellen Server 2012 ja der SQL 2014 Express läuft und die SQL Dienste auf dem zweiten virtuellen Server 2012 als lizenzpflichtig angesehen werden?! ggf. könnte es ja noch sein, dass auf einem der beiden oder beiden virtuellen Server 2012 weitere Dienste (früher oder später) aktiviert werden, zum Beispiel kann auf einem der beiden virtuellen Server 2012 den DC installieren. Also würden die Benutzer ja auch die Active Directory Dienste in Anspruch nehmen und somit könnte man ja nun argumentieren, die 6 Benutzer brauchen nicht nur den Hyper-V Dienst des Hyper-V Hosts, sondern auch die AD Dienste auf einem virtuellen Server 2012 und somit auch wieder Server 2012 Dienste (wären schon 2 mal 6 Server CALs) Andersherum müsste man ja sagen, wenn eine Firma 6 Benutzer hat, wäre es ja "Blödsinn", wenn man dann quasi sagen würde, die 6 Benutzer greifen insgesamt auf 3 Server zu (oder benutzen Dienste von allen 3 Servern) und darum 3x6 CALs = eine fette Zahl von sagenhaften 18 Server CALs :-) Wie sieht es auch mit Administratoren Benutzern und Systembenutzern, wird da unterschieden zwischen OS mitgelieferten System Benutzern und Administratoren? Und in diesem Beispiel hier, wie viele CALs braucht man da? 6, 8 oder 11? (6 + 2 + 3 = 11) oder eben dann noch mehr, wenn die Server CALs wirklich pro Server wären (weil ein Server ohne Dienste, welche von Benutzer benutzt würden sinnlos wäre, für was dann ein Server?) 6 AD Kontos werden eingerichtet, da 6 physische Menschen Zugriff auf die Server brauchen 2 AD Administratoren sind vorhanden, einer vom OS per Installation mitgebracht (als Beispiel), einer von Hand erstellt 3 AD Benutzerkonten im AD erstellt, welche aber nur für Systemdienste verwendet werden, für Backup Dienste usw. Zum Schluss kämen natürlich noch > die Exchange Dienste hinzu, 6 Exchange CALs > der SQL Server 2014 Express muss man aber nicht lizenzieren oder? P.S. Habe mich extra ein wenig doof angestellt, weil in meinem Augen die Argumentation, mit CALs lizenziere man den Dienst, welchen man auf einem Server benutze, doch etwas "gumig" ist, oder findet Ihr nicht? Eben, ich benutze ja hier von 3 Servern Dienste? Was heisst, pro Benutzer, Admins, Systembenutzer, vom OS mitgebrachte Systembenutzer und oder Admins, müssen die auch lizenziert werden? Dies ist mir nicht wirklich klar, danke für das Aufklären Und Argumentieren, warum es denn so und nicht anders ist ;)

sehr spannende Inputs, werde mich bei Gelegenheit mir etwas mehr Zeit nehmen und ALLE Artikel von Dir, welche Du mir netterweise hier gepostet hast, genau durchlesen :-) Vielen Dank für den Input, interessant.

Von Windows Phone habe ich schon gehört, aber nur gehört - besitze keines :-) (noch nicht) Vielen Dank für die Links Betreffend http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx Im Titel steht SHA2 and Windows, jedoch ist da leider das neuste OS Server 2012 bzw. Server 2012R2 mit welchem auch ich per Zufall hier Probleme in Bezug auf Schannel Fehlermeldungen in der Ereignisanzeige geschildert habe nicht aufgeführt! Frage Hast du mir einen aktuellen Post, wo aktuelle OS und deren SHA2 Kompatibilität (bzw. Hashalgorithmus SHA512) aufgezeigt werden? Auch der zweite Link von Dir ist nicht viel neuer, stammt aus dem Jahre 2011. Da ist die Rede von Windows XP, welches seit kurzem nicht mehr supportet wird oder von Server 2003 Hast Du meinen Beitrag gelesen und per Zufall mitbekommen, auf welchem System mein Exchange 2013 läuft? auf keinem der hier genannten OS, welche in deinen beiden Links sind! Aber danke dennoch und eben, wenn Du noch was betreffend SHA2 Kompatibilität (bzw. Hashalgorithmus SHA512) für Server 2012 und Server 2012 R2 hast, würde ich mich extrem freuen, Du bist ja an der Quelle, wenn Du verstehst was ich meine :-)

> Der Signaturalgorithmus ist sha512RSA > Schlüssellänge des Öffentlichen Schlüssels ist RSA (2048 Bits) Effektiv könnte hier das Problem gelegen haben, dass nach dem Anmelden via ECP Admin Seite eine weisse Seite erschien, weil Server 2012 (und R2) anscheinend auch noch nicht SHA512 unterstützt, was mich sehr, sehr verwundert. Ob der Grund wohl wirklich nur bei der ggf. "hohen Rechenleistung" liegt, welche durch das Verschlüsseln dadurch entsteht? Dazu habe ich noch folgende spannende Artikel gefunden: http://www.frankysweb.de/windows-mobile-6-0x80072f0d/ (hier werden Probleme mit Windows Mobile gezeigt, wenn der Hashalgorithmus beim Erstellen einer internen PKI SHA512 gewählt wird) Beim Erstellen einer internen PKI folgt beim Punkt Privater Schlüssel/ Kryptografie der Punkt: "Geben Sie die Kryptografie Optionen an" Hier hatte ich übrigens SHA512 gewählt und mein Root Zertifikat mit RSA (4096 Bits) erstellt Der Franky hatte hier beim ersten Mal, als er seine PKI erstellt hat, auch nicht SHA1 sondern gleich SHA512 verwendet Und: Hatte eben wie soeben im Link zu lesen ist, anscheinend mit Windows Mobile Geräten Problemen, dass diese wiederum anscheinend mit einem solchen "hohen" Hashalgorithmus nicht kompatibel waren oder vielleicht immer noch nicht sind?! Oder hier, Probleme mit Lync http://social.technet.microsoft.com/Forums/windowsserver/en-US/857c6804-8ce1-4f09-b657-00554055da16/tls-12-and-sha512?forum=winserversecurity Da hat er in der internen PKI auch als Hashalgorithmus SHA512 und nicht SHA1, nicht SHA256, nicht SHA384 verwendet (die Schüssellänge weiss ich nicht oder habe ich im Artikel vielleicht übersehen, welche er verwendete) Er respektive seine Firma geriet wurde dadurch auch mit unerwünschten Effekten, Problemen konfrontiert, ich zitiere einen Teil davon: ------------------- Lync 2013 is an example: Microsoft TechNet: Lync 2013 Certificate Infrastructure Requirements SHA512 support is on the list. Real world examples with SHA512: SChannel Errors on Lync Server Preventing Client Logon Lync Front End Server not starting because of certificate issue Well and this one I just discovered: Lync 2013 client cannot connect to the lync pool! ------------------- Ansonsten, wenn es Jemanden interessieren sollte, den ganzen Artikel nehmen und ggf. dazu ein Kaffee geniessen, vielleicht in der Pause oder so :-) zu meinem Problem hier, dass ich ja nach dem Einloggen via https://meinedomain.ch/ecp dann eine weisse Seite zu Gesicht bekam, hat schlussendlich wohl das kumulative Update CU6 und ggf. noch die paar wenigen, restlichen Windows Updates (ca. 33 an der Zahl) geholfen. Tatsache war, dass gerade nach dem Aufspielen des CU6 und einem Neustart des Exchange 2013 und dem erneuten Testen via ECP Seite (ob noch weisse Seite kommen, nach Login) wieder die weisse Seite erschienen war. Komisch war dann aber, als ich mich dann via OWA einloggte (weiss nicht mehr, ob ich dies auch mit dem Administrator tat) oder zuerst gleich mit einem 0815 Account OWA testete, klappte das Login via OWA. Denn dies war vor dem Einspielen des CU6 auch nicht der Fall, obwohl OWA per Standard für jeden Benutzer freigeschaltet ist Und: der 0815 Benutzer selbstverständlich auch über ein Postfach verfügt :-) nach diesem erfolgreichen Login via OWA klappe dann interessanterweise auch das Login via ECP :-) Jedoch kämpfe ich nach wie vor mit Schannel Fehlermeldungen, obwohl ich dem Exchange Server, also dem darunter liegenden OS (Server 2012 R2) beigebracht habe, dass es nun auch SHA512 als Hashalgorithmus kennen und akzeptieren soll, dies obwohl ich genau wie im diesem Artikel hier http://www.michaelm.info/blog/?p=1273 einen bzw. beide Registrierungsschlüssel ergänzt habe > RSA/SHA512 > ECDSA/SHA512 Das nun nach wie vor Schannel Fehlermeldungen erscheinen, ist mir nicht klar. Naja, wenigstens klappt nun OWA, ECP (keine weisse Seite mehr) Und: Ich muss nicht meine PKI Rolle deinstallieren und neu installieren, denn den Hashalgorithmus kann man nicht einfach so schnell, schnell bei einer PKI ändern. Bei mir ist ja alles in einem Labor, da ist das ja nicht so tragisch, aber in einer Firma würde dies wieder ganz anders aussehen (inkl. Konsequenzen) Zumal SHA1 ja längstens geknackt wurde und steinalt ist, verstehe ich nicht, warum beispielweise bestimmte Mobile Geräte, ja sogar der Server 2012R2 SHA512 per Standard nicht implementiert hat denn sha512 kann sogar, gemäss diesem Artikel hier auch Performance Gewinne bringen, siehe hier: https://community.emc.com/community/edn/rsashare/blog/2010/11/01/sha-2-algorithms-when-sha-512-is-more-secure-and-faster P.S. Norbert, ja sogar funktioniert nun Sophos UTM mit WAF (Web Application Firewall) für meinen Exchange 2013 (OWA), jedoch ActiveSync nicht (oder noch nicht, muss noch üben und auch hier noch den Fehler finden)

Habe soeben mich daran gemacht, das CU6 zu downloaden und installieren. Unter dem Punkt "Probleme, die behoben werden" gibt es eine sehr interessante Zeile, ziemlich weit unten in dieser, doch eher langen Liste (da musste Microsoft wieder viel nachbessern, dass die Liste so lange ausfällt) :-) Ein Problem, was mit CU 6 für Exchange 2013 behoben wird lautet: "2971270 Leere Seite nach der Anmeldung an Exchange Server 2013 BK (ehemals ECP)" Was sagt mir das? Vollgas CU6 installieren, um genau dieses Problem nun zu beheben Und: Vielleicht sind dann auch die tonnenweise vielen Schannel Meldungen in der Ereignisanzeige weg, wer weiss? :-) NEWS folgen selbstverständlich, as soon, as possible

nein, das Wort "nicht", welches ich ggf. öfters als "normal" hier benutzt habe, hat keine tiefere Bedeutung :-) Was sagst Du nun zu meiner Auslegung und Zusammenfassung meines Problems, meiner doch nun ziemlich genau geschilderten Problemstellung? Eine Idee Norbert und/ oder Jemand anderes hierfür eine Erklärung oder noch besser, eine Lösung? ;-) Danke für das oder die konstruktive(n) Feedback(s) *smile*