TobiasNYSE

http://www.baltimoremick.com/blog/2007/01/16/starttls-exchange-2003-and-lotus-domino-server/ ... Zertifikat des Virtuellen SMTP Server entfernt... WTF

… jetzt brauche ich doch mal Hilfe von außen – ich hoffe Ihr könnt mir vielleicht einen wertvollen Hinweis zur Fehlersuche geben. Seit einigen Monaten hat sich unser „Mailproblem“, welches vereinzelt schon seit ein paar Jahren auftritt, immer mehr verschärft. Es wurde wiederholt berichtet das vereinzelte e-mails in unserem Postfach nicht angekommen sind. Des weiteren erhielt der Versender keine Hinweis auf eine evtl. fehlerhafte Zustellung – die Mails sind einfach im nirvana verschwunden. Schätzungsweise werden 98% Prozent der e-mails korrekt zugestellt es handelt sich also nicht um ein generelles Problem, allerdings lässt sich mittlerweile das Problem, seit dem sich ausgeweitet hat, replizieren. Von gewissen Versendern lassen sich permanent keine e-mails empfangen – unter anderem nun auch von „googlemail.com“ – der Versand von weiteren Webmailanbietern z.B. GMX oder „all-inkl“ funktionier einwandfrei! Nun zu den Serverdaten: - Virtualisierter ExSrv. 2003 auf aktuellen Updatestand - DSL 3000 Anbindung mit statischer IP die nicht geblacklistet ist - KEINE Spamfilter installiert und aktiviert – auch die Exchange Filterdienste sind alle deaktiviert. Ich habe die wenigen Fehlermeldungen der Versender nun ausgewertet und es tauchte öfters ein Problem mit der TLS Verschlüsselung auf, entweder wurde die Verbindung unterbrochen (rude) oder der TLS Handshake schlug fehl. Zumindest eine erste Spur Ich habe das Gefühl, dass sich gewisse Mailserverkombinationen nicht vertragen bzw. der Datentransfer über TLS fehlschlägt bzw. nicht möglich ist. Siehe SMTP Log Man sieht hier sehr gut das über TLS kein Datenaustausch zustande kommt, oder – aber warum? Also nach EHLO > STARTTLS > STARTTLS > STARTTLS kommt QUIT Aber warum zum Teufel wird hier von „google“ und co. Keine Fehlermeldung generiert? Ich vermute, dass die fehlerhafte Mailzustellung über die Monate und Jahre sich proportional mit dem TLS Einsatz im Mailverkehr gesteigert hat. Hier der SMTP Log über google.com: 2011-09-20 15:29:05 209.85.161.54 mail-fx0-f54.google.com SMTPSVC1 NG-SERVER-02 192.168.3.200 0 EHLO - +mail-fx0-f54.google.com 250 0 250 28 0 SMTP - - - - 2011-09-20 15:29:05 209.85.161.54 mail-fx0-f54.google.com SMTPSVC1 NG-SERVER-02 192.168.3.200 0 STARTTLS - - 220 0 0 8 0 SMTP - - - - 2011-09-20 15:29:05 209.85.161.54 mail-fx0-f54.google.com SMTPSVC1 NG-SERVER-02 192.168.3.200 0 STARTTLS - - 220 0 29 8 0 SMTP - - - - 2011-09-20 15:29:05 209.85.161.54 mail-fx0-f54.google.com SMTPSVC1 NG-SERVER-02 192.168.3.200 0 STARTTLS - mail-fx0-f54.google.com 503 997 29 8 30 SMTP - - - - 2011-09-20 15:29:05 209.85.161.54 mail-fx0-f54.google.com SMTPSVC1 NG-SERVER-02 192.168.3.200 0 QUIT - mail-fx0-f54.google.com 240 120 29 8 30 SMTP - - - - Hier der von GMX: 2011-09-20 15:28:26 213.165.64.23 mailout-de.gmx.net SMTPSVC1 NG-SERVER-02 192.168.3.200 0 HELO - +mailout-de.gmx.net 250 0 54 23 0 SMTP - - - - 2011-09-20 15:28:26 213.165.64.23 mailout-de.gmx.net SMTPSVC1 NG-SERVER-02 192.168.3.200 0 MAIL - +FROM:< ***@gmx.ch> 250 0 36 23 110 SMTP - - - - 2011-09-20 15:28:26 213.165.64.23 mailout-de.gmx.net SMTPSVC1 NG-SERVER-02 192.168.3.200 0 RCPT - +TO:<mail@****.com> 250 0 47 44 10 SMTP - - - - 2011-09-20 15:28:26 213.165.64.23 mailout-de.gmx.net SMTPSVC1 NG-SERVER-02 192.168.3.200 0 DATA - +<20110920152825.132790@gmx.net> 250 0 115 1961 311 SMTP - - - - 2011-09-20 15:28:26 213.165.64.23 mailout-de.gmx.net SMTPSVC1 NG-SERVER-02 192.168.3.200 0 QUIT - mailout-de.gmx.net 240 581 75 4 10 SMTP - - - -

...ich glaube Ihr verwechselt da was - mich hat nur die Verwendung, der für mich neu definierten Begrifflichkeit "Uplink", verwundert. Bezeichnete diese in meinem Wortschatz bisher nur die Verbindung zwischen "Hub & Switches" untereinander!

... mit Uplink :confused:

... wurde unter den VPN-Eigenschaften unter: "Optionen/Wähloptionen > die Windows-Anmeldedomäne Einbeziehen" angehakt?

... zumindest bei MS-Srv. 2003 ist das normal. Es wird vom RAS-Dienst die Anzahl an Adressen reserviert, die auch im RAS-MMC als max. Anzahl an "RAS-Verbindungsports" angegeben wurde (10).

... schon mal versucht per UNC Pfad auf den Drucker zu zugreifen (\\Computername\Freigabename)?

... hm nutzt Ihre eine Verbindung über einen ExSrv. HTTP Proxy?

... unter WSrv. 2003 gibt es die Faxdienste, unter 2008 sollte die es mit Sicherheit auch noch geben ... Es wird dann in Folge ein Faxdrucker installiert und auf dem Server freigegeben, den die Client nutzen können. Faxnummern lassen sich aus dem Windows Adressbuch ebenfalls einfügen. Solltet Ihr auch einen ExSrv. betreiben, so besteht hier schon von hause aus die Möglichkeit eingehende Faxe entsprechenden Postfächern zuzustellen.

... nutze doch einfach die Windows Faxdienste, sind in WSrv.2003 schon mit dabei - dann noch ein anständiger TAPI-Treiber für das Modem und wir sind glücklich ;)

...würde einfach mal die Domain *microsoft.com zu den Vertrauenswürdigen Seiten im IE 8.0 hinzufügen.

... ok, zu langsam ;) wird der Inhalt denn auch repliziert?

... das wird wohl nicht reichen, MS ist das Problem bekannt Problembehandlung bei fehlenden SYSVOL- und NETLOGON-Freigaben auf Windows 2000-Domänencontrollern

... schonmal mit "checkdisk" (chkdsk) die Festplatte auf Konsistenz geprüft?

... wurden die Mailadressen (oder domains) der Freemailer Accounts in der "Empfängerrichtlinie" eingetragen?

.. man kann auch einen low prior versand wählen kostet dann "nur" ca. 51,00 $ ... sollte jemand aus Berlin Chlb. könnte mann über eine Sammelbestellung nachdenken - bräuchte auch was aus´m MCP-Store

... genau, oder die adresse 192.168.1.1 setzen.

... also eine ständige VPN-Verbindung würde ich softwarebasiert nicht anraten, da PPTP nicht unbedingt sicher ist, und IPSec kann konfigurationstechnisch eine echte Herausvorderung werden (NAT). Würde einfach mal schauen ob man über "ebay" 2 VPN Router günstig erstehen könnte, ich bevorzuge hier die NETGEAR Pro Reihe. Wichtig: am besten identische Geräte kaufen

... sieht soweit ganz gut aus, dein Subnet mit der Netzadresse: 172.20.232.128 besitzt die Brodcastadresse 172.20.232.255. Bei der BC Adresse 172.20.255.255 handelt es sich um ein anderes Netz, (NA:172.20.255.128), da du ja die Subnetadresse 255.255.255.128 verwendest (und nicht die 255.255.0.0) Ich würde aber noch den "Primärern WINS-Server verweis" auf den LANCOM Router aus der IP-Config. entfernen. Denke hier hängt es an der ISA Config. würde auch empfehlen wenn möglich den ISA Server vom SBS zu trennen, am besten physisch, oder aber zumindest logisch in eine VM. Aus sicherheitsgründen auf jedenfall anzuraten, am besten in eine DMZ MS Support: Client computers cannot access external resources, and event ID 14147 appears in the Application log in ISA Server 2006, ISA Server 2004, Microsoft Forefront Threat Management Gateway, Medium Business Edition, or Windows Essential Business Server 200 Sehr gute ISA FAQ von einem MVP: DMZ

... wie lautet denn die IP-Client configurations

... kannst Du den Datenträger in der Datenträgerverw. initialisieren?

Nur bei diesen Policies? Werden ansonsten die GPO´s auf die Clients angewendet (DNS richtig konfiguriert) ?

Problem gelöst, habe ein kürzeres Password gesetzt vorh. 45 stellig - war wohl zu lang :suspect: MS CHAP V2 und MPPE 128 Bit ist also mit WM5.0 machbar - der Terminaldienst läuft auch gut - nun kann ich die Server auch über den PDA administrieren, geile sache :jau:

Prost. . . . . . weiß einer von euch welche Authentifizierungsmetoden und Verschlüsselungen mit WM5 machbar ist? Es geht um eine VPN-PPTP Verbindung mit einem W2003 Server der MS CHAP v2 erfordert, sowie 128 Bit MPPE. Mit XP Clients funktioniert die VPN Verbindung einwandfrei. Auch eine Test VPN Verbindung mit dem FSC LOOX N520 (WM5.0) zu einem XP Client funktioniert, allerdings weis ich nicht welche Verschlüsselung und Authentifizierung da ausgehandelt wurde. Jetzt eben die Frage, was ist mit WM5.0 machbar - bzw. mit welchem VPN Client (drittanbieter) ist das realisierbar (PPTP, MS-CHAP V2, MPPE 128Bit) :confused: Vielen Dank schonmal. . .

Wie kann ich verhindern – trotz gesetzter GPO (Änderung des Hintergrundes verhindern) – das der Desktophintergrund verändert wird? Es ist nämlich weiterhin möglich z.B. über die Bild und Faxanzeige über das Kontextmenü das Hintergrundbild zu ändern, auch im IE. ist dies mit beliebigen Bildern auch über das Kontextmenü möglich. Die Festlegung des HB über die Aktive Desktop GPO´s ist auch ungünstig, da das Bild dann sehr unsauber aussieht wenn es nicht der Bildschirmauflösung entspricht. Des weiteren sind die Desktopschriften dann nicht mehr transparent. Jetzt die Frage an euch - was kann man da machen (gibts alternative ADM Templates dafür?) . . .schonmal vielen Dank für euere Hinweise :)