TobiasNYSE

Hi,

 

by Design ;) https://technet.microsoft.com/en-us/library/jj884078%28v=exchg.141%29.aspx

 

 

Gruß

Jan

 

Habe das kurz nach meinen Post auch in einen Blog gelesen, nun ist es offiziell per TechNet bestätigt - vielen Dank dafür!

 

Trotzdem ist die funktionslose Option im PullDownMenü in OWA mehr als merkwürdig/verwirrend/ärgerlich...

Auch ich muss leider den Thread nochmal auskramen,

 

vielen Dank erstmal für die bisherigen Hinweise, habe in OWA unter Sent Items die entsprechenden Settings gemacht (From mailbox).

Jetzt ist es allerdings so, dass die gesendete Mail in beiden Postfächern auftaucht, das dürfte doch nur bei der Einstellung "Sender and From Mailboxes" der Fall sein, oder?!

 

Exchange 2010 + Outlook 2010/2016

 

Weiß einer auf die schnelle wie dieses Verhalten zustande kommt?

Hi,

 

wozu dieses Konstrukt? Schau dir mal Split DNS an, das sollte vermutlich eleganter sein ;)

 

Gruß

Jan

 

 

THX Carl,

 

für den Hinweis, allerdings würde ich gerne mal die passenden CISCO Settings wissen, jeder einfache "Consumer Router" routet über die externe WAN-IP normalerweise wieder ins lokale Netz, man kann ja sogar die WAN-IP über ICMP  "an pingen", dies soll angeblich bei der ASA überhaupt nicht möglich sein?! Angeblich soll die Funktion "DNS Rewrite" die Lösung sein per DNS doctoring, klingt aber alles zu kompliziert wie ich finde...

Folgendes Szenario in der Praxis: Der ExSrv/OWA (https/443) soll über die externe Domain/IP aus dem internen Netz erreichbar sein. Momentan ist das Routing/Zugriff nur von außerhalb möglich, also über das "outside-interface". Gibt es eine einfache Möglichkeit auch über das "inside-Interface" das Routing durchzuführen oder muss ich da für jeden Port noch einmal extra Regeln für "inside-traffic" anlegen?

 

Vielen Dank für die evtl. Hilfe & Unterstützung

Danke für dein Tipp, habe das Problem bereits beheben können, dieses Kommando brachte die Lösung 

same-security-traffic permit intra-interface

http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/command/reference/cmd_ref/s1.html#wp1421315

Ich bin gerade dabei eine ASA 5505 für den Betrieb hinter einer FRITZ.Box 7390 zu konfigurieren.

 

Die ASA Ist über das "inside" Network mit der FRITZ über eine LAN verbindung verbunden. Die entsprechenden Ports wurden an die ASA weitergeleitet. Auf der ASA wurde der Remote Access eingerichtet, die FRITZ.Box über eine Static Route als Gateway eingetragen...

 

Die IPsec Verbindung  lässt erfreulicherweise auch über das Internet mittels eines BlackBerry VPN-Client  erstmal problemlos aufbauen. Allerdings kann ich nur die Routerkonfigurationsseite der ASA aufrufen alle weiteren Aufrufe in das lokale Netz werden nicht beantwortet.

 

LOG: 6 Nov 14 2014 14:58:03 302014 192.168.5.151 19174 192.168.5.250 80 Teardown TCP connection 2372 for inside:192.168.5.151/19174(LOCAL\t.fXXX) to inside:192.168.5.250/80 duration 0:00:00 bytes 0 Flow is a loopback (t.fXXX)

 

Diese Meldung entsteht wenn ich die Konfigurationsseite z.B. der FRITZ-Box aufrufe unter 192.168.5.250

Die CISCO ASA ist mir noch nicht so vertraut und stecke gerade fest, ich hoffe auf eine befreiende Idee Eurerseits, mit Dank im voraus!

 

Entschuldigung für die deutlichen Worte, aber Deine Aussagen sind absoluter BS.

• NPS ist ein Richtlinien Dienst und hat nichts mit dem genutzen VPN Protokoll zu tun
• Jedes System mit Internet-Anbindung ist ein potentielles Ziel - unabhängig von der Unternehmensgröße.
• Bei einem schlecht konfigurierten Hosterserver, wie ihn der TO betreibt oder betreiben will, ist es keine Frage ob, sondern nur wann er kompromittiert wird und fortan als C&C, Contenthost für fragwürdige Inhalte, Jumpbox etc. dient.

 

 

Alter, ich falle ja hier gleich von Hocker... da ja hier vielleicht noch andere mitlesen und nicht komplett verbl0edet werden sollten:

 

zu 1. Eine PPTP VPN Verbindung richtet man seit SRV 2k8 natürlich über NPS ein: http://technet.microsoft.com/de-de/library/ff687676(v=ws.10).aspx

zu 2. Dieser Binsenweisheit stimme ich natürlich zu, aber wo liegt hier das Argument pro/contra  ob MS-CHAPv2/PPTP nun ausreichent Sicherheit bietet? 

zu 3. Einen dritten punkt sehe ich eigentlich nicht höchstens 2.1. Richtig, das währen u.a. die folgen wenn die hiesige Sicherheitslösung überwunden wird, aber auch hier, was hat das mit dem spezifischen Sicherheitsprofil von PPTP zu tun?

 

Ich würde ja hier gerne noch etwas schreiben um meiner Fassungslosigkeit Ausdruck zu verleihen... in der Tat, deutliche Worte bzgl. seiner selbst  :jau:

Reicht doch die Infektion eines Clients der sich per pptp anmeldet. Und mit Heide hat das wenig zu tun, die haben darüber nur schon mehrfach berichtet.

 

Richtig, aber dazu brauchts ja doch auch erstmal eine potenzielle Sicherheitslücke die ausgenutzt wird, und bei der Gelegenheit kann man ja auch gleich die Daten vor dem Tunnel abfangen, also auch PWs direkt auslesen oder die Zertifikate von IPSec, L2TP etc.

 

Der Heise Artikel wird aber gefunden und auch über wiki verlinkt, dementsprechend wird er oft als Argumentationsverstärker hergenommen. 

 

Was mich auch echt wundert, warum es hier noch kein PPTPv2 gibt quasi mit MS-CHAPv3...

 

100 MBit Down hast du auch bei KD. 6 MBit Upstream. 

 

Und das kommt auch wirklich an, die werben also nicht nur damit, von KD habe ich immer abgeraten, ist für mich son zweckentfremdetes Broadcastmedium was für den Zweck der beidseitigen DFÜ eigentlich nicht entwickelt wurde. Aber ich kenne nun doch vereinzelt welche die damit sehr zufrieden sind.

Ich hoffe ich bekomme nun endlich mal ein NGN mit VDSL-50 über VF, die kaufen sich ja nun wieder verstärkt über die Telekom ein, sieht ganz gut aus.  :)

pptp inkl. domänenanmeldung über ras... ist das nicht die "normale" VPN-Verbindung beim Server 2008 R2???? sorry, für die blöde frage

Quasi, nennt sich unter Srv.2k8 nur anders ..Netzwerkrichtlinien und ... NPS

 

PPTP kann seit spätestens 2012 problemlos geknackt werden. Es ist grob fahrlässig heute noch auf PPTP zu setzen.

Also ich halte das für deutlich übertrieben, weil heise unter Laborbedingungen ms-chap geknackt hat glauben alle pptp wäre offen wie ein scheunentor. Es benötigt ja immer noch einen sog. mitm angriff, da musst du erstmal in die Infrastruktur einbrechen also quasi ins RZ oder bei einem tk Anbieter auf schalten, das erfordert schon erheblichen Aufwand und kriminelle energie.Als dax30 unternehmen sollte man sicherlich auf etwas anderes setzen aber selbst diese security solutions hackt dann die nsa - oder wie seht ihr das?

Was idr. immer problemlos und komfortabel funktioniert ist PPTP inkl Domänenanmeldung über RAS, allerdings sind hier auch die eingeschränkten Sicherheitsaspekte zu beachten. 

 

Wie schon gesagt, Site to Site, Gateway to Gatewy über IPsec ist sicher eine handfeste Lösung, allerdings kein "Routercrap" kaufen wenn die Bandbreiten auch ausgenutzt werden sollen, sonst verhält sich das ähnlich wie mit der Softwarelösung...

 

daheim nen 100MBit-Downstream,

 

Wahnsinn, welches Übertragungsmedium hast du den da, ist ja beeindruckend FTTH oder VDSL Vec. etwa? Und wo, so in etwa  ;)

Aber um deine Frage zu beantworten hätte es gereicht, sich die Funktion eines Routers vor Augen zu führen. Geroutet wird was bekannt ist. Insofern ist es nur logisch, dass man ungewollte Wege per ACLs schließen muss.

 

Ich habe es geahnt, Du hältst mich für latent blö.d, außerdem war das nicht die Frage Herr Untertan...

Der Router muss auch als Firewall konfiguriert werden. Dann kannst Du darauf entscheiden, von welchem Interface an welches Interface welcher Datenverkehr geroutet und welcher geblockt werden soll.

 

... wir evtl. wohl darauf hinauslaufen, ich weiß, dass beim CISCO Traffic über Source/Destination IPs mit Denys versehen werden können, wird bei steigender Tunnelanzahl natürlich schnell unübersichtlich (bei 5 Gateways sind das schon 40 Rules)

 

Na ja, OK dann werde ich um eine Pre-Sales Anfrage an CISCO bzw. einer Evaluation wohl nicht vorbeikommen - danke für deine Hinweise.

 

 

 

Ist das WAN wirklich WAN oder hat es einen bestimmten Grund, dass du private IP Class C Adressbereiche im "WAN" nutzt?

 

JA!, WAN ist WAN, Wahnsinn oder, welcher geniale Problemlösungsansatz könnte sich hinter Deiner Frage verbergen, klär mich auf, bitte  :confused:

... bin mir gerade etwas unsicher und will mich nochmal absichern.

 

Es soll folgendes Szenario aufgebaut werden, hier ein beispiel Ausschnitt:

 

 

                                    LAN-1: 192.168.1.0/24

                                                     |

                                                     |

                                       IPSec VPN Gateway

                                                     |

                                                     |

           ---------------------------------------------------------------------

           |                                         |                                           |

           |                                         |                                           |

           |                                         |                                           |

WAN-1:192.168.2.0/24   WAN-2: 192.168.3.0/24   WAN-3: 192.168.4.0/24

 

 

1: Hierbei entsteht natürlich ein gewolltes Routing von von LAN-1 zu (WAN-1, WAN-2, WAN-3)

2. Was nun aber keinesfalls möglich sein darf ist ein Routig der WAN Netze untereinander (d.h. das WAN-1 Zugriff auf WAN-2 erhält, usw.), die WAN Netze müssen untereinander strickt getrennt bleiben. Zum Einsatz soll evtl. ein CISCO RV180 kommen.

 

Frage: Was machen Consumer oder SMB Router in der Regel per default, routen sie die WAN-VPN-Tunnel untereinander? Die Funktion, wie beim W-LAN üblich, "Client Security Separation" kenne ich hier nicht.

 

Ich hoffe es ist soweit alles verständlich... vielen Dank schon mal für euer Mithilfe...

Kurze Frage hoffe ich...

 

... welche Konfiguration muss man vornehmen, damit der DNS-Server die Computernamen der AD-Domäne auflöst, wenn die Anfrage aus einem weitern zweiten Subnetz gestellt wird?

 

Netz A: 192.168.1.0/24

Netz B: 192.168.2.0/24

 

DNS-Server Netz A (SBS 2011):

IP: 192.168.1.2

 

Client aus Netz B (W7): 

IP 192.168.2.101

SG 192.168.2.1

DNS 192.168.1.2 

 

Ein Ping aus dem Netz B zum Server des Netzes A klappt einwandfrei nur über den Servernamen klappt es nicht - andere Domains z.B. Google.de werden einwandfrei aufgelöst. Die beiden Subnetze sind über VPN-Router verbunden!

 

PS: Unter AD-Standorte wurde das Subnetz auch schon eingetragen, was fehlt da noch? 

 

Vielen Dank schon mal im voraus ;-)

 

Für das Protokoll:

 

 Wie komme ich an die "Recoverable Items" aus Dumster 1.0 heran?

 

Hiermit: DigiScope http://www.lucid8.com/product/digiscope.asp 

Funktioniert sehr gut, die E-Mails konnte ich auffinden, scheinbar ist es mit Windows Bordmitteln nicht möglich.

Vielen Dank, lese ich mir durch...

 

Also ich bin mir ziemlich sicher, dass der Benutzer die E-Mails aus dem Bereich "Gelöschte Elemente wiederherstellen" nicht gelöscht hat, dafür ist diese Funktion zu unbekannt, und ich traue dieses Vorgehen dem Benutzer nicht zu! 

(Vielleicht verstehen wir uns hier evtl. falsch)

 

So sieht die Kaskade in dem Falle doch aus "Gesendete Objekte" >DEL> "Gelöschte Objekte" >DEL> "Gelöschte Elemente wiederherstellen" >hier wurde nicht gelöscht> endgültig weg

 

Ich schätze dass hier, mit an 100% grenzender Wahrscheinlichkeit, kein "endgültiger Löschvorgang" durchgeführt wurde!

 

Ich glaube es besteht doch noch Hoffnung  :) ...any ideas?

 

[Ergänzung]

Ok, habe den Artikel mal kurz überflogen, bestätigt meine Theorie, ich kann meine Frage präzisieren - Wie komme ich an die "Recoverable Items" aus Dumster 1.0 heran?

ja scheiße... Ergebnis 2x False.

 

ABER es besteht trotzdem bei diesem Postfach die Möglichkeit über Outlook, über die Funktion "Gelöschte Elemente wiederherstellen", auf 14 Tage alte Mails zurückzugreifen - der Misst muss doch physisch irgendwo aufzufinden sein! 

 

Angenommen ich vollziehe einen "Bare Metal Restore" auf das entsprechende Datum und Verbinde Outlook mit dem besagten Postfach, müsste ich doch rückwirkend auf die "Gelöschten Elemente" Zugreifen können - rein theoretisch?! 

Allgemeines Szenario:

Benutzer hat vor ca. 5 Monaten unerlaubt E-Mails weitergeleitet und diese sofort aus "gesendete Objekte" und anschließend aus dem Ordner "gelöschte Elemente" gelöscht! Diese E-Mails müssen nun wiederhergestellt werden.

 

Was bisher geschah:

Datenwiederherstellung, mit 1 Tag Abstand zum Löschdatum, in eine ExSrv. RecoveryDatabase, Status Clean Shutdown, und in der ExSrv. MMC Online (2010 SP2) - soweit alles wunderbar. 

 

Das Problem:

Wie komme ich an die "wiederherstellbaren Elemente" http://technet.microsoft.com/de-de/library/ee364755(v=exchg.141).aspx des Benutzerpostfaches?

 

Habe schon einige Lösungsansätze recherchiert, evaluiert und getestet aber ich sehe kein Licht....am Ende des Tunnels :confused:

Jetzt die Frage an alle ExSrv. Experten, habt Ihr ne Kerze oder sogar ein Scheinwerfer - Im voraus danke ich für Eure Unterstützung.

Gibt es Möglichkeiten, trotz der benötigten Rechtevergabe "vollständiger Postfachzugriff", den Postfachzugriff dezidiert zu beschränken um so z.B. das löschen von E-Mails verhindern.

 

Vielen Dank im voraus für Eure Unterstützung

 

 

Problem solved!

 

... mit unseren Vermutungen waren wir schon verdammt nah dran - über Microsoft Update wurde in beiden fällen "MS Security Essential" mitinstalliert bzw. aktualisiert!

 

Da ich aber explizit keine dezidierte Virenlösung für Exchange installiert habe, ist für mich der erste Lösungsansatz von "NorbertFe" sofort ausgeschieden - wenn einem die eigene Heuristik ein Schnippchen schlägt ;)

 

Vielen Dank an alle, besonders an "NorbertFe"

Ich habe diverse Exchange 2003 Server draussen, die bis unter den Scheitel gepatcht sind, und bei keinem hat sich bisher ein User beschwert, dass sein IPhone o.ä. nicht mehr funktioniert.

 

Es gibt eine Besonderheit bei diesen beiden Servern, diese sind vor einigen Jahren nach "Methode 2" umkonfiguriert worden.

 

Exchange ActiveSync und Outlook Mobile Access-Fehler auftreten, wenn SSL oder formularbasierte Authentifizierung für Exchange Server 2003 erforderlich ist.

 

 

Der MS Remote Connectivity Analyzer gibt folgende Meldungen aus:

 

Exchange ActiveSync wird von ExRCA getestet.

Fehler beim Testen von Exchange ActiveSync.

 

Testschritte

 

Attempting to resolve the host name ***** in DNS.

The host name resolved successfully.

 

Testing TCP port 443 on host ***** to ensure it's listening and open.

The port was opened successfully.

Testing the SSL certificate to make sure it's valid.

The certificate passed all validation requirements.

 

Die IIS-Konfiguration Wird im Hinblick auf die Clientzertifikatsauthentifizierung überprüft.

Keine Clientzertifikatsauthentifizierung erkannt.

 

HTTP-Authentifizierungsmethoden werden für URL https://***/Microsoft-Server-ActiveSync/ getestet.

Die HTTP-Authentifizierungsmethoden sind richtig.

 

Es wird versucht, eine ActiveSync-Sitzung mit dem Server zu starten.

 

Fehler beim Testen der Exchange ActiveSync-Sitzung.

 

Es wird versucht, einen OPTIONS-Befehl an den Server zu senden.

Die OPTIONS-Antwort wurde erfolgreich empfangen und ist gültig.

 

Es wird versucht, den Befehl 'FolderSync' in der Exchange ActiveSync-Sitzung auszuführen.

Der Befehl 'FolderSync' wurde erfolgreich ausgeführt.

 

Es wird versucht, für den Ordner 'Posteingang' die erste Synchronisierung auszuführen. Diese erste Synchronisierung gibt keine Daten zurück.

Fehler beim Testen des Synchronisierungsbefehls.

 

Ausnahmedetails:

Nachricht: The operation has timed out

Typ: System.Net.WebException

Stacktrace:

at System.Net.HttpWebRequest.GetResponse()

at Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.ActiveSyncSyncTest.PerformTestReally()

... vielen Dank schon mal für die schnelle Antwort.

 

Leider trifft dieses Szenario nicht zu - es ist kein Virenscanner installiert.

 

Wie schon erwähnt gibt es einen direkten Zusammenhang mit den Updateprozess

 

Dieses Problem tritt übrigens auch bei einem weiteren unabhängigen Servern auf, der eine ähnliche Konfiguration besitzt (ExSrv 2003 auf 2K3). Auch hier trat mit sehr großer Wahrscheinlichkeit das Problem nach der Updateroutine auf!

... folgendes Szenario (ExSrv 2003 auf 2K3):

 

Symptom zeigte sich erstmalig nach dem einspielen diverser Updates über "Microsoft Update" besteht fortwährend und äußert sich dahingehend, dass die Synchronisierung mit "Mobile Devices" nicht mehr richtig funktioniert.

 

Symptome:

 

Auf einem iPhone 4G verläuft der Anmeldeprozess erfolgreich, Ordnerstruktur mit den Unterordner des Exchange-Postfaches sichtbar, allerdings sind keine Inhalte bzw. Mails sichtbar.

Ähnlich verhält es sich auf einem BlackBerry PlayBook (Tablet), Ordnerstruktur sichtbar aber es werden keine Inhalte (E-Mails) übertragen.

 

Die Synchronisation mit Outlook funktioniert einwandfrei, auch über HTTP/RPC

 

Leider lässt sich nicht mehr so einfach rekonstruieren welches Update diesen Fehler verursacht, da zu diesem Zeitpunkt zahlreiche Updates eingespielt wurden.

Das Releasedatum des Updates muss auf jeden Fall zwischen dem 29.12.2011 und dem 20.07.2012 liegen.

 

Meine große Hoffnung besteht nun darin, dass jemand von Euch vielleicht ein Tipp zur weiteren Eingrenzung hat, bzw. denselben, oder eine ähnlichen Fall lösen konnte.

... Danke, kommt mir bekannt vor aber irgendwas ging da nicht, glaube es gibt keinen PPTP Support, oder?!

Hallo MCSE-Board User,

 

ich bin auf der Suche nach einer speziellen VPN-Client-Software (Manager) für die Verwaltung von zahlreichen VPN-Verbindungen unter W7.

 

Folgende Eigenschaften und Fähigkeiten sollte die Sofware bieten:

 

- anlegen von PPTP/IPSec VPN-Profilen

- Im- und Export von PPTP/IPSec VPN-Profilen

- Passwortgeschützter Zugang zur VPN-Software

 

Das war es eigentlich schon mit den wichtigsten "Features", ich hoffe Ihr habt da einen Tipp für mich ;-)

 

Alternativ würde mich interessieren ob jemand noch eine Möglichkeit kennt einzelne VPN-Verbindungen unter W7 zu Ex- und Importieren - der vollständige Export über die "rasphone.pbk" ist mir bekannt

 

Viele Güße