yabbax

ja, ich befürchte fast es leigt irgendwie an TrendMiro.

Hatte alle Dienste von TrendMicro abgeschalten, und ich habe keine Fehlermeldung mehr erhalten über den Zeitraum von 2 Stunden.

Jetzt habe ich nach und nach die Dienste von TrendMicro gestartet und beim Dienst "Trend Micro Security Agent Communicator" bekommt der Server einen timeout.

Was auch noch dazu gekommen ist: Ich kann mich nicht mehr per RDP auf den Server loggen. Welche Dienste brauht denn RDP? Vorhin vor dem Neustart des Servers ging es noch:confused:

Ach so, noch ein Nachtrag:

Gestern habe ich versch. Updates installiert von Microsoft. Soll ich diese wieder rückgängig machen?

Ich habe es eben mal versucht eines zu deinstallieren, dann bringt er aber die Meldung, das evtl. andere Programme nicht mehr funktionieren würden, u.a. z.B. der Shadow Protect Service - was auch immer dieser ist und macht?

Was meint ihr, deinstallierne oder lassen?

So,

eseutil /r ist ohne Fehler durchgelaufen.

Danach habe ich einen neustart des servers durchgeführt. dieser hat sehr lange gedauert.

er hat verschiedene fehlermeldungen ins ereignisprotokoll geschrieben:

Der TrendMicro Security Agent Communicator wurde aufgrund folgenden fehlers nicht gestartet:

Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.wurde nicht rechtzeitig gestartet.

und

Der start des dienstes dauert länger als 16 minuten bzw. dienst reagiert nicht mehr: master dienst trend micro messaging security agent und microsoft exchange informationsspeicher

:confused:

Beim starten von dienst "shadowProtect Service", hat ein anderer Dienstprozess die Verbindung hergestellt. Der Dienststeuerungs-Manager hat Prozess '2672' gestartet, und Prozess '2696' hat stattdessen die Verbindung hergestellt.

Unter Anwendung:

ID 8197

Fehler beim Initialisieren der Sitzung für den virtuellen Computer Mail. Die Fehlernummer lautet 0x8004011d. Stellen sie sicher, dass microsoft exchange store ausgeführt wird.

und

id 5

Unerwarteter MAPI Fehler. Der zurückgegebene Fehler ist 0x80004005

und noch verschiedene anmeldefehler zB.

ID 1022

Anmeldefehler bei Datenbank "Erste Speichergruppe\Postfachspeicher (MAIL) gefolgt vom Postfach eines Nutzers.

Momentan läuft der Informationspeicher nach dem Neustart wieder und ich mache einen .pst Export bei allen Nutzern ca. 20. wir haben dann momentan keinen Datenverlust.

Muss dann noch die öffentlichen Ordner exportieren.

Und was dann? Weitere Fehlersuche oder besser Neuinstallation des Exchange?

danke euch.

Gruß

Thomas

danke für deine/eure Unterstützung.

Ich gehe nach dem notfallplan unter MSXFAQ.DE - Exchange NOTFALL - Datenbank korrupt vor.

Beim Starten des Exhcange Informationsspeichers habe ich gewartet bis die Fehlermeldung des Timeouts kam - hätte ich da noch länger warten sollen/müssen?

Die einzige Felermeldung in der Ereignisanzeige ist

ID 8197

Fehler beim Initialisieren der Sitzung für den virtuellen Computer Mail. die Fehlernummer lautet 0x800401s. Stellen sie sicher, dass Microsoft Exchange Store ausgeführt wird.

Momentan mache ich ja nochmal ein esutil /r, damit ich wieder ein clean shutdown erhalte. Danach würde ich als erstes den Server neu starten, oder???

Gruß

Thomas

So, da bin ich wieder, leider.

Habe gestern abend noch ein eseutil /r E00 gemacht, das lief ohne Fehler durch. Danach noch schnell mal den Ordner MDBDATA esichert und heute morgen wollte ich den Exchange Informationsspeicher wieder starten. Bricht mit Fehler ab, der Dienst kann in der angeforderten Zeit nicht gestartet werden:confused:

Was kann / soll ich als nächstes tun?

Danke euch.

Gruß

Thomas

hi günther,

alle dienste sind gestartet. sind die exhcnage dienste gestartet, so ist der server sowas von langsam.

jedesmal wenn ich versuche den informationsspeicher zu beenden, hängt sich der diesnt auf, d.h. er beendet sich nicht richtig.

Ich muss jedesmal den store.exe im taskmanager abschießen.

hbe jetzt eine offline-sicherung der DB gemacht und führe nun den notfallplan von msxfaq durch.

bisher erhalte ich beim priv.edb die meldung, das der state auf dirty steht (was ja auch richtig ist, wenn ich den abschieße).

Probiere momentan ein eseutil /r aus, wobei es das erste mal für mich ist (ja ich weiss, asche über mein Haupt).

was ich nicht verstehe: in der msxfaq steht, ich solle die logdateien die required sind angeben. es funktioniert aber nur der schalter eseutil /r E00

Was bedeuted denn dieses E00?

Danke, Thomas

Hallo,

habe soeben ein riesen Problem mit unserem SBS2003 Exchange 2003:

In der Ereignisanzeige stand heute nachmittag, ein User habe zu viele elemente geöffnet (256). Das haben wir öfters. Ich mache dann immer einen Neustart des Informationsspeichers. Heute hat sich der Informationsspeicher aber beim beenden aufgehangen. also habe ich die stor.exe im task Manager abgeschossen.

Leider ließ sich danach der Speicher nicht mehr neu starten. Also habe ich einen Neustart gemacht. Der hat EWIG gedauert und nun werden die Mails nicht mehr ausgeliefert sondern hängen in der Warteschlange.

Zusätzlich erhalte ich im Ereignisprotokoll die Fehlermeldungen id 9791

die bereinigung der deliveredto-Tabelle für ...Postfachspeicher wurde unterbrochen, weil der Verisonspeicher des Datenbankmoduls zu groß wurde

Was kann ich machen?

Danke euch.

Gruß

Thomas

Nein, es werden wirklich keine Warnungen/Fehler angezeigt.

Ich habe nun folgendes geändert: Auf der externen NW-Karte kein DNS-Server mehr eingetragen.

Dafür in den Weiterleitungen den Router, in meinem Fall den DLink Firewall.

Abfrage nach der Rekursion schlägt allerdings weiterhin fehl. Irgendetwas stimmtda doch nicht, oder liege ich da falsch?

danke für deine Links - genau so ist es bei mir schon eingestellt.

Habe mir die Netzwerkverbindungen vom SBS nochmals angesehen und noch ne Frage:

Überkreuz ist klar, aber: Bei mir stehen diese DNS-Einträge auf der internen und auch auf der externen NW-Karte.

Auf der externen müsste das Feld DNS-Server doch leer bleiben, oder sehe ich da was falsch?

Hallo,

ich habe ien Problem mit meinem SBS2003 Netzwerk mit folgender Konfiguration:

SBS 2003 Premium

mit Exchange 2003, ISA 2004 Standard

interne und externe NW

 

DNS läuft auf SBS, DHCP habe ich deaktiviert (läuft auf anderen Server)

Zur Redundanz habe ich einen zweiten DC

Server 2003 Standard

DNS und DHCP aktiviert

Problem ist wie gesagt, Clientsanmeldung dauert beim Systemstart sehr lange (ca. 2-5 Minuten) und Verbindung zu Exchange bricht auf einmal ab bei unterschiedlichen Clients.

Da ich die Ursache beim DNS vermute, habe ich mir dieses näher angesehen und zum Einen folgendes festgestellt:

Wenn ich auf dem SBS2003 in den DNS-Eigenschaften Registerkarte "Überwachen" eine Rekursive Abfrae auf andere DNS-Server mache, kommt die Meldung fehlgeschlagen.

Ich habe unter der Registerkarte "Weiterleitungen" die google DNS Server eingetragen (Internet geht auch, manchmal allerdings auch etwas langsam).

Hier auch meine Frage: Sollte ich besser eine root-Zone einrichten oder besser doch Weiterleitungen?

Die externe Karte vom SBS geht auf eine DLink DFL Firewall, die auch als Router dient.

Wenn ich den gleichen Rekursiven Test auf meinem zweiten DNS-Server durchführe, funktioniert es, wenn ich bei "bevorzugter DNS-Server" in den NW-Einstellungen ihn selbst eintrage. Trage ich überkreuz ein, also den SBS 2003 als 1. DNS-Server, schlägt die Abfrage auch hier fehl.

Momentan bin ich ehrlich gesagt etwas überfragt, wie denn nun die korrekten Einstellungen auf den beiden Servern sein sollte b ei dieser Konfig.

Hoffe, es kann mir jemand helden...

Danke euch im Aoraus.

Gruß

Thomas

danke, werde ich dann mal im bios nachsehen.

Halllo,

habe mal eine wahrscheinlich ****e Frage:

Habe einen dell Server mit raid controller. An diesem sind 3 Festplatten zu einem Raid 5 zusammengeschlossen.

Nun ist meine Idee eine weitere Festplatte zu kaufen und diese an den sata-Port des mainboards zu hängen. Daruaf würde ich dann nämlich nochmal z.B. Systemabbilder sichern und die wären dann schnell zurückzusichern.

Jetzt will ich natürlich nix riskieren und deshalb meine Fragen ob das geht? Oder sind diese sataPorts dann stillgelegt?

Danke euch.

Gruß

Thomas

Es geht eher ums surfen auf webseiten. wir z.b. schauen uns logs an um zu erkunden wer auf unserer seite war 8z.B. kunden die wir jüngst kontaktiert haben).

****e frage: das mit dem abschalten der queue: lt. deinem link ist das doch in der warteschlange vorzunehmen. da kann ich aber nicht die warteschlange deaktivieren . irgendwie stehe ich auf dem schlauch...

Acho so: Backscatter bedeuted doch NDRs werden zugestellt, oder? A ber dann müssten doch die empfänger der mails unsere domäne als adresse haben. Die haben aber eine fremde. ndrs werden doch nicht beim abgewiesenen relay-Versuch gesendet, oder etwa doch?

wir haben keinen reverse ptr für unsere domaene und dehslab werden einige mails nicht angenommen. unser chef will auch keinen eintrag, da dann z.b. kunden sehen könnten das wir auf deren seite waren.

was spricht denn gegen einen smarthost? vielleicht kann ich meinen chef doch noch überzeugen...

danke für den link, schaue ich mir gleich mal an.

Die mails erhalte ich direkt. wie kann ich die queue pausieren?

ich dachte mit dem diagnoseprotokll kann ich erkennen, welches nutzerkonto kompromittiert ist/wurde.

Wie komme ich beim SMTP-Logging weiter? Ich kenne die IP des angreifers, will doch aber wissen wie dieser das macht...

nein, in der queue steht nichts.

Ich habe jetzt mal das diagnoseprotokoll von smtp auf maximum gestellt. muss ich dazu irgendeinen dienst neu starten oder gehts ohne?

Ach so: Die Übermittlung der EMails erfolgt über den smarthost relay.medianet-world.de.

Wenn ich mir eine dieser mails im nachrichtenverlauf ansehe, dann meine ich, die mail wurde zugestellt. der letzte eintrag lautet

Nachricht mittels SMTP an relay... übermittelt

ich verstehe das nicht. ich habe kein offenes relay, das habe ich auch schon per cmd getestet. oder gibt es da noch andere möglichkeiten?

Hallo,

ich habe seit heute morgen in den Logfiles eine große anzahl an Einträgen folgender art entdeckt:

2011-5-17 22:58:42 GMT 88.43.246.96 User - MAIL 192.168.30.10 acapece2@cfl.rr.com 1024 MAILlDPHpNwqeq5Z3Jj00000343@mail.domaene.de 3 0 7530 50 2011-5-17 22:58:35 GMT 0 Version: 6.0.3790.4675 - Unauthorized Access Notice alerts@Citibank.com -

oder

2011-5-17 23:4:8 GMT 88.43.246.96 User relay.medianet-world.de MAIL 192.168.30.10 addy22633@windstream.net 1031 MAILuN4joBHChgS86aR00000358@mail.domaene.de 3 0 7530 50 2011-5-17 23:3:59 GMT 0 Version: 6.0.3790.4675 - Unauthorized Access Notice alerts@Citibank.com -

Und das im großen Maße, also der Logfile exchsrv\mail.log ist momentan 80MB groß.

2011-05-17 18:15:19 88.43.246.96 User DATA <MAILgzDgtZKpjE5aHaZ000000d4@mail.domaene.de> 129 7534

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 220+relay.medianet-world.de+ESMTP 33 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand EHLO mail.domaene.de 4 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 220+relay.medianet-world.de+ESMTP 33 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand EHLO mail.domaene.de 4 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 250-relay.medianet-world.de 27 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand RCPT TO:<chastings@doanepetcare.com> 4 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand RCPT TO:<chastings@centurytel.net> 4 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand RCPT TO:<chastings@excite.com> 4 0

2011-05-17 18:15:19 88.43.246.96 User QUIT User 65 4

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 221+relay.medianet-world.de 27 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 250+ok 6 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 250+ok 6 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand DATA - 4 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 354+go+ahead 12 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 250+ok+1305656117+qp+81323 26 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand QUIT - 4 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 221+relay.medianet-world.de 27 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 220+relay.medianet-world.de+ESMTP 33 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand EHLO mail.domaene.de 4 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 220+relay.medianet-world.de+ESMTP 33 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand EHLO mail.domaene.de 4 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 250-relay.medianet-world.de 27 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand QUIT - 4 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 250-relay.medianet-world.de 27 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand QUIT - 4 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 221+relay.medianet-world.de 27 0

2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 221+relay.medianet-world.de 27

Wir haben hier einen SBS2003 mit ISA 2004 Standard im Einsatz. Dieser hat 2 NW-Karten extern und intern.

Ein offenes relay habe ich nicht, das habe ich mit abuse.com getestet. Was kann ich tun, bzw. wie erkenne ich, ob die mails über meinen server versendet wurden - aus den logfiles werde ich nicht ganz schlau.

wie ist die weitere Vorgehensweise - ich würde jetzt erstmal allen verkehr von dieser IP sperren.

Danke und Gruß

Thomas

Der SBS hat 2 NW-Karten, eine für die intenren Clients und eine geht an den DSL Anschluss. Das ganze mit der ISA2004 abgesichert.

Die Client haben alle den SBS als Standardgateway eingetragen, da dieser den Traffic routet.

Brauchst du noch mehr?

Hallo,

ich habe ein Problemchen und komme trotz Internetsuche nicht wirklich weiter:

Ich habe einen SBS2003 (192.168.20.1) im Einsatz und einen zweiten DC (192.168.20.6) (auch mit DNS-Server und auch als 2. DHCP Server) - also möglichst alles redundant.

Problem: Wenn SBS2003 down, geht neben keinem Email auch kein Internet.

Idee: Ipcop als "Backup"-Router (192.168.20.8)

Mein Problem:

Trage ich beim zweiten DC als StandardGW den ipcop ein, erhalte ich Internetzugriff, daraus schließe ich ipcop als Router funktioniert.

Da aber normalerweise der SBS2003 als Standardgateway beim DC2 eingetragen ist, habe ich zusätzlich eine persisten Route beim DC2 eingetragen (0.0.0.0 mask 0.0.0.0 192.168.20.8) mit einer höheren Metric als die des SBS.

Jetzt dachte ich, wenn der SBS nicht erreichbar ist (habe interne NW-Karte deaktiviert), würde der DC2 automatisch die zweite Route nutzen.

Tuts aber nicht:confused:

auf dem DC2 ist unter regdit HKLM->System->CurrentControlSet->TCPIP->Parameters der Eintrag

DeadGWDetectDefault=1

gesetzt und unter dem entsprechenden Interface der Eintrag

EnableDeadGWDetect=1

.

Den Eintrag

EnableDeadGWDetect

habe ich au schon direkt unter Parameters gesetzt, hat abr keine Verbesserung gebracht.

Mache ich da grundlegend was falsch?

Danke und Gruß

Thomas

Hallo,

ich habe hier eine SBS2003 Domäne mit einem Server 2003 als zusätzlichen DC.

Der SBS2003 ist der Zeitserver und holt sich die Zeit von extern.

Wenn ich auf einer cmd nun w32tm /monitor eingebe, so erhalte ich als Meldung, das der zweite DC unter NTP: einen offset vom SBS2003 hat.

Dürfte es diesen Offset geben oder muss der nicht zwingend 0.0000000 sein? Wenn das nicht "normal" ist, wie kann ich diese Zeit angleichen?

Danke und Gruß

Thomas

Hallo,

da sich bis jetzt noch keiner gemeldet hat, hier nochmal Infos über den Stand der Dinge:

Folgenden Fehler erhalte ich in der Ereignis-Anzeige und bekomme diesen auch nicht weg:confused:

Quelle: Microsoft ISA Server-Steuerung

ID: 12260

Schwerwiegender Fehler bei dem Versuch, auf den privaten Zertifikatschlüssel "Interne Zertifizierungsstelle" zuzugreifen.

Ich habe zwischenzeitlich in der internen Zertifizierungsstelle ein neues Zertifizierungsstellenzertifikat angefordert. Dennoch kommt immer noch der Fehler.

zusätzlich habe ich ein neues Webserverzertifikat erstellt und dieses dem virtuellen Standardserver, dem IIS und dem Weblistener im ISA zugewiesen.

Stand jetzt ist: Die eMails kommen wieder alle direkt bei uns an.

Soweit so gut.

Jetzt habe ich allerdings noch das Problem mit dem obigen Fehler (ich habe keine ahnung mehr was ich noch tun könnte ausser komplette Neuinstallation der Zertifikatsdienste).

Zusätzlich funktioniert kein VPN über Zertifikate mehr. Ich habe das neue Zertifizierungsstellenzertifikat auf den Client importiert und installiert.

Beim Verbindungsversuch erhalte ich:

Benutzername und Kennwort werden überprüft...

Fehler 691: Die Remoteverbindung wurde verweigert, weil die angegebene Kombination aus Benutzername und Kennwort nicht erkannt wird oder weil das ausgewählte Authentifizierungsprotokoll nicht für den RAS-Server zulässig ist.

Vorher hat das alles funktioniert (L2TP/IPSEC). Jetzt geht nur noch VPN L2TP mschap2 - besser als ncihts aber nicht zufriedenstellend.

HAt jemand eine Idee woran meine Fehler leigen könnten?

Danke euch,

Gruß

Thomas

Ok, da ich ja noch keine weitere antowrt bisher erhalten habe, hier meine weiteren Nachforschungen:

Ein Benutzer hatte mal anscheinend das gleiche Problem. Es schreibt, es wäre beim bzw. nach dem erneuern eines Zertifikats aufgetreten. Dann schreibt er, er hat das Zertifikat vom virtuellen Stadardserver entfernt, das dort aus Versehen (automatisch) mit angelegt worden ist.

Auch ich habe dort ein Zertifikat. Allerdings bin ich nun unsicher, ob ih das so einfach entfernen kann (nicht das es noch schlimmer wird). Wofür ist dieses überhaupt notwendig= Ich habe doch eines beim ISA beim Listener und eines beim IIS bei der Standardwebseite.

Ich habe noch einen Fehler entdeckt:

In der Ereignisanzeige kommt der Fehler

Quelle: Microsoft ISA Server-Steuerung

ID: 12260

Schwerwiegender Fehler bei dem Versuch, auf den privaten Zertifikatschlüssel "Interne Zertifizierungsstelle" zuzugreifen.

Wo finde ich dieses Zertifikat? In der mmc Zertifizierungstelle oder in Zertifikate (lokaler Computer)??

Das verstehe ich nicht ganz.