yabbax

ja, ich befürchte fast es leigt irgendwie an TrendMiro. Hatte alle Dienste von TrendMicro abgeschalten, und ich habe keine Fehlermeldung mehr erhalten über den Zeitraum von 2 Stunden. Jetzt habe ich nach und nach die Dienste von TrendMicro gestartet und beim Dienst "Trend Micro Security Agent Communicator" bekommt der Server einen timeout. Was auch noch dazu gekommen ist: Ich kann mich nicht mehr per RDP auf den Server loggen. Welche Dienste brauht denn RDP? Vorhin vor dem Neustart des Servers ging es noch:confused:

Ach so, noch ein Nachtrag: Gestern habe ich versch. Updates installiert von Microsoft. Soll ich diese wieder rückgängig machen? Ich habe es eben mal versucht eines zu deinstallieren, dann bringt er aber die Meldung, das evtl. andere Programme nicht mehr funktionieren würden, u.a. z.B. der Shadow Protect Service - was auch immer dieser ist und macht? Was meint ihr, deinstallierne oder lassen?

So, eseutil /r ist ohne Fehler durchgelaufen. Danach habe ich einen neustart des servers durchgeführt. dieser hat sehr lange gedauert. er hat verschiedene fehlermeldungen ins ereignisprotokoll geschrieben: und :confused: Unter Anwendung: und und noch verschiedene anmeldefehler zB. Momentan läuft der Informationspeicher nach dem Neustart wieder und ich mache einen .pst Export bei allen Nutzern ca. 20. wir haben dann momentan keinen Datenverlust. Muss dann noch die öffentlichen Ordner exportieren. Und was dann? Weitere Fehlersuche oder besser Neuinstallation des Exchange? danke euch. Gruß Thomas

danke für deine/eure Unterstützung. Ich gehe nach dem notfallplan unter MSXFAQ.DE - Exchange NOTFALL - Datenbank korrupt vor. Beim Starten des Exhcange Informationsspeichers habe ich gewartet bis die Fehlermeldung des Timeouts kam - hätte ich da noch länger warten sollen/müssen? Die einzige Felermeldung in der Ereignisanzeige ist Momentan mache ich ja nochmal ein esutil /r, damit ich wieder ein clean shutdown erhalte. Danach würde ich als erstes den Server neu starten, oder??? Gruß Thomas

So, da bin ich wieder, leider. Habe gestern abend noch ein eseutil /r E00 gemacht, das lief ohne Fehler durch. Danach noch schnell mal den Ordner MDBDATA esichert und heute morgen wollte ich den Exchange Informationsspeicher wieder starten. Bricht mit Fehler ab, der Dienst kann in der angeforderten Zeit nicht gestartet werden:confused: Was kann / soll ich als nächstes tun? Danke euch. Gruß Thomas

hi günther, alle dienste sind gestartet. sind die exhcnage dienste gestartet, so ist der server sowas von langsam. jedesmal wenn ich versuche den informationsspeicher zu beenden, hängt sich der diesnt auf, d.h. er beendet sich nicht richtig. Ich muss jedesmal den store.exe im taskmanager abschießen. hbe jetzt eine offline-sicherung der DB gemacht und führe nun den notfallplan von msxfaq durch. bisher erhalte ich beim priv.edb die meldung, das der state auf dirty steht (was ja auch richtig ist, wenn ich den abschieße). Probiere momentan ein eseutil /r aus, wobei es das erste mal für mich ist (ja ich weiss, asche über mein Haupt). was ich nicht verstehe: in der msxfaq steht, ich solle die logdateien die required sind angeben. es funktioniert aber nur der schalter eseutil /r E00 Was bedeuted denn dieses E00? Danke, Thomas

Hallo, habe soeben ein riesen Problem mit unserem SBS2003 Exchange 2003: In der Ereignisanzeige stand heute nachmittag, ein User habe zu viele elemente geöffnet (256). Das haben wir öfters. Ich mache dann immer einen Neustart des Informationsspeichers. Heute hat sich der Informationsspeicher aber beim beenden aufgehangen. also habe ich die stor.exe im task Manager abgeschossen. Leider ließ sich danach der Speicher nicht mehr neu starten. Also habe ich einen Neustart gemacht. Der hat EWIG gedauert und nun werden die Mails nicht mehr ausgeliefert sondern hängen in der Warteschlange. Zusätzlich erhalte ich im Ereignisprotokoll die Fehlermeldungen id 9791 Was kann ich machen? Danke euch. Gruß Thomas

Nein, es werden wirklich keine Warnungen/Fehler angezeigt. Ich habe nun folgendes geändert: Auf der externen NW-Karte kein DNS-Server mehr eingetragen. Dafür in den Weiterleitungen den Router, in meinem Fall den DLink Firewall. Abfrage nach der Rekursion schlägt allerdings weiterhin fehl. Irgendetwas stimmtda doch nicht, oder liege ich da falsch?

danke für deine Links - genau so ist es bei mir schon eingestellt. Habe mir die Netzwerkverbindungen vom SBS nochmals angesehen und noch ne Frage: Überkreuz ist klar, aber: Bei mir stehen diese DNS-Einträge auf der internen und auch auf der externen NW-Karte. Auf der externen müsste das Feld DNS-Server doch leer bleiben, oder sehe ich da was falsch?

Hallo, ich habe ien Problem mit meinem SBS2003 Netzwerk mit folgender Konfiguration: Zur Redundanz habe ich einen zweiten DC Problem ist wie gesagt, Clientsanmeldung dauert beim Systemstart sehr lange (ca. 2-5 Minuten) und Verbindung zu Exchange bricht auf einmal ab bei unterschiedlichen Clients. Da ich die Ursache beim DNS vermute, habe ich mir dieses näher angesehen und zum Einen folgendes festgestellt: Wenn ich auf dem SBS2003 in den DNS-Eigenschaften Registerkarte "Überwachen" eine Rekursive Abfrae auf andere DNS-Server mache, kommt die Meldung fehlgeschlagen. Ich habe unter der Registerkarte "Weiterleitungen" die google DNS Server eingetragen (Internet geht auch, manchmal allerdings auch etwas langsam). Hier auch meine Frage: Sollte ich besser eine root-Zone einrichten oder besser doch Weiterleitungen? Die externe Karte vom SBS geht auf eine DLink DFL Firewall, die auch als Router dient. Wenn ich den gleichen Rekursiven Test auf meinem zweiten DNS-Server durchführe, funktioniert es, wenn ich bei "bevorzugter DNS-Server" in den NW-Einstellungen ihn selbst eintrage. Trage ich überkreuz ein, also den SBS 2003 als 1. DNS-Server, schlägt die Abfrage auch hier fehl. Momentan bin ich ehrlich gesagt etwas überfragt, wie denn nun die korrekten Einstellungen auf den beiden Servern sein sollte b ei dieser Konfig. Hoffe, es kann mir jemand helden... Danke euch im Aoraus. Gruß Thomas

danke, werde ich dann mal im bios nachsehen.

Halllo, habe mal eine wahrscheinlich ****e Frage: Habe einen dell Server mit raid controller. An diesem sind 3 Festplatten zu einem Raid 5 zusammengeschlossen. Nun ist meine Idee eine weitere Festplatte zu kaufen und diese an den sata-Port des mainboards zu hängen. Daruaf würde ich dann nämlich nochmal z.B. Systemabbilder sichern und die wären dann schnell zurückzusichern. Jetzt will ich natürlich nix riskieren und deshalb meine Fragen ob das geht? Oder sind diese sataPorts dann stillgelegt? Danke euch. Gruß Thomas

Es geht eher ums surfen auf webseiten. wir z.b. schauen uns logs an um zu erkunden wer auf unserer seite war 8z.B. kunden die wir jüngst kontaktiert haben). ****e frage: das mit dem abschalten der queue: lt. deinem link ist das doch in der warteschlange vorzunehmen. da kann ich aber nicht die warteschlange deaktivieren . irgendwie stehe ich auf dem schlauch... Acho so: Backscatter bedeuted doch NDRs werden zugestellt, oder? A ber dann müssten doch die empfänger der mails unsere domäne als adresse haben. Die haben aber eine fremde. ndrs werden doch nicht beim abgewiesenen relay-Versuch gesendet, oder etwa doch?

wir haben keinen reverse ptr für unsere domaene und dehslab werden einige mails nicht angenommen. unser chef will auch keinen eintrag, da dann z.b. kunden sehen könnten das wir auf deren seite waren. was spricht denn gegen einen smarthost? vielleicht kann ich meinen chef doch noch überzeugen... danke für den link, schaue ich mir gleich mal an.

Die mails erhalte ich direkt. wie kann ich die queue pausieren?

ich dachte mit dem diagnoseprotokll kann ich erkennen, welches nutzerkonto kompromittiert ist/wurde. Wie komme ich beim SMTP-Logging weiter? Ich kenne die IP des angreifers, will doch aber wissen wie dieser das macht...

nein, in der queue steht nichts. Ich habe jetzt mal das diagnoseprotokoll von smtp auf maximum gestellt. muss ich dazu irgendeinen dienst neu starten oder gehts ohne?

Ach so: Die Übermittlung der EMails erfolgt über den smarthost relay.medianet-world.de. Wenn ich mir eine dieser mails im nachrichtenverlauf ansehe, dann meine ich, die mail wurde zugestellt. der letzte eintrag lautet ich verstehe das nicht. ich habe kein offenes relay, das habe ich auch schon per cmd getestet. oder gibt es da noch andere möglichkeiten?

Hallo, ich habe seit heute morgen in den Logfiles eine große anzahl an Einträgen folgender art entdeckt: oder Und das im großen Maße, also der Logfile exchsrv\mail.log ist momentan 80MB groß. Wir haben hier einen SBS2003 mit ISA 2004 Standard im Einsatz. Dieser hat 2 NW-Karten extern und intern. Ein offenes relay habe ich nicht, das habe ich mit abuse.com getestet. Was kann ich tun, bzw. wie erkenne ich, ob die mails über meinen server versendet wurden - aus den logfiles werde ich nicht ganz schlau. wie ist die weitere Vorgehensweise - ich würde jetzt erstmal allen verkehr von dieser IP sperren. Danke und Gruß Thomas

Der SBS hat 2 NW-Karten, eine für die intenren Clients und eine geht an den DSL Anschluss. Das ganze mit der ISA2004 abgesichert. Die Client haben alle den SBS als Standardgateway eingetragen, da dieser den Traffic routet. Brauchst du noch mehr?

Hallo, ich habe ein Problemchen und komme trotz Internetsuche nicht wirklich weiter: Ich habe einen SBS2003 (192.168.20.1) im Einsatz und einen zweiten DC (192.168.20.6) (auch mit DNS-Server und auch als 2. DHCP Server) - also möglichst alles redundant. Problem: Wenn SBS2003 down, geht neben keinem Email auch kein Internet. Idee: Ipcop als "Backup"-Router (192.168.20.8) Mein Problem: Trage ich beim zweiten DC als StandardGW den ipcop ein, erhalte ich Internetzugriff, daraus schließe ich ipcop als Router funktioniert. Da aber normalerweise der SBS2003 als Standardgateway beim DC2 eingetragen ist, habe ich zusätzlich eine persisten Route beim DC2 eingetragen (0.0.0.0 mask 0.0.0.0 192.168.20.8) mit einer höheren Metric als die des SBS. Jetzt dachte ich, wenn der SBS nicht erreichbar ist (habe interne NW-Karte deaktiviert), würde der DC2 automatisch die zweite Route nutzen. Tuts aber nicht:confused: auf dem DC2 ist unter regdit HKLM->System->CurrentControlSet->TCPIP->Parameters der Eintrag DeadGWDetectDefault=1 gesetzt und unter dem entsprechenden Interface der Eintrag EnableDeadGWDetect=1 . Den Eintrag EnableDeadGWDetect habe ich au schon direkt unter Parameters gesetzt, hat abr keine Verbesserung gebracht. Mache ich da grundlegend was falsch? Danke und Gruß Thomas

Hallo, ich habe hier eine SBS2003 Domäne mit einem Server 2003 als zusätzlichen DC. Der SBS2003 ist der Zeitserver und holt sich die Zeit von extern. Wenn ich auf einer cmd nun w32tm /monitor eingebe, so erhalte ich als Meldung, das der zweite DC unter NTP: einen offset vom SBS2003 hat. Dürfte es diesen Offset geben oder muss der nicht zwingend 0.0000000 sein? Wenn das nicht "normal" ist, wie kann ich diese Zeit angleichen? Danke und Gruß Thomas

Hallo, da sich bis jetzt noch keiner gemeldet hat, hier nochmal Infos über den Stand der Dinge: Folgenden Fehler erhalte ich in der Ereignis-Anzeige und bekomme diesen auch nicht weg:confused: Ich habe zwischenzeitlich in der internen Zertifizierungsstelle ein neues Zertifizierungsstellenzertifikat angefordert. Dennoch kommt immer noch der Fehler. zusätzlich habe ich ein neues Webserverzertifikat erstellt und dieses dem virtuellen Standardserver, dem IIS und dem Weblistener im ISA zugewiesen. Stand jetzt ist: Die eMails kommen wieder alle direkt bei uns an. Soweit so gut. Jetzt habe ich allerdings noch das Problem mit dem obigen Fehler (ich habe keine ahnung mehr was ich noch tun könnte ausser komplette Neuinstallation der Zertifikatsdienste). Zusätzlich funktioniert kein VPN über Zertifikate mehr. Ich habe das neue Zertifizierungsstellenzertifikat auf den Client importiert und installiert. Beim Verbindungsversuch erhalte ich: Vorher hat das alles funktioniert (L2TP/IPSEC). Jetzt geht nur noch VPN L2TP mschap2 - besser als ncihts aber nicht zufriedenstellend. HAt jemand eine Idee woran meine Fehler leigen könnten? Danke euch, Gruß Thomas

Ok, da ich ja noch keine weitere antowrt bisher erhalten habe, hier meine weiteren Nachforschungen: Ein Benutzer hatte mal anscheinend das gleiche Problem. Es schreibt, es wäre beim bzw. nach dem erneuern eines Zertifikats aufgetreten. Dann schreibt er, er hat das Zertifikat vom virtuellen Stadardserver entfernt, das dort aus Versehen (automatisch) mit angelegt worden ist. Auch ich habe dort ein Zertifikat. Allerdings bin ich nun unsicher, ob ih das so einfach entfernen kann (nicht das es noch schlimmer wird). Wofür ist dieses überhaupt notwendig= Ich habe doch eines beim ISA beim Listener und eines beim IIS bei der Standardwebseite.

Ich habe noch einen Fehler entdeckt: In der Ereignisanzeige kommt der Fehler Wo finde ich dieses Zertifikat? In der mmc Zertifizierungstelle oder in Zertifikate (lokaler Computer)?? Das verstehe ich nicht ganz.