gelöscht

vor 2 Stunden schrieb addy0604:

Bei dem Pentest ging es lediglich darum von extern aus dem Internet zu prüfen, welche Schwachstellen die Systeme aufzeigen. Er hat uns lediglich darüber zu informieren und eine Einschätzung über die Risiken und Eintrittswahrscheinlichkeiten aufzuzeigen. Was wir mit den Informationen machen ist dann nicht sein Bier. 

Genau darum geht es mir: wenn man für mutmaßlich viel Geld einen Dienstleister einkauft um irgendwas zu prüfen und dokumentieren, dann aber die Ergebnisse nicht versteht oder die falschen Schlüsse daraus zieht, daraufhin Hilfe in einem Forum sucht weil in der Konsequenz, Mitarbeiter Ihr Outlook nicht mehr nutzen können, hat man definitiv etwas falsch gemacht. Sei es im Einkauf oder im Scope der Dienstleistung.

ASR

vor 16 Stunden schrieb NilsK:

Also, wo liegt jetzt das Problem? Und woher nehmen wir hier die Gewissheit, dass der Tester nicht gut arbeite?

Meine Erwartungshaltung wäre, dass er auch 2min investiert und validiert ob TLS1.0 auch aktiv verwendet wird. Mosern ohne die Zusammenhänge zu verstehen finde ich unzureichend. Wenn das nicht in seinem Dienstleistungsvertrag beinhaltet war, ist eben der Vertrag unzureichend besprochen und verhandelt worden, denn offensichtlich ist beim TO nicht das notwendige Know-How vorhanden um die Themen einschätzen zu können.

ASR

vor 1 Minute schrieb NorbertFe:

;) hätte...

genau :)

Oder jemanden fragen der sich mit sowas auskennt...

Diese "Penetrationstest" Typen die von sonst nichts eine Ahnung haben, werden gefühlt zu einer kleinen Pest.

ASR

Im Edge browser auf IOS hab ich immer die Option "Desktop Version anzeigen" (oder so ähnlich).

ASR

Man hätte ja auch nach dem serverseitigen Aktivieren von 1.1/1.2 und vor dem Deaktivieren von 1.0 sehen können, dass diverse Clients diverse Clients noch immer mit 1.0 verbinden.

ASR

vor einer Stunde schrieb testperson:

Da gibt es noch ein, zwei Ausnahmen: https://techcommunity.microsoft.com/t5/Outlook-Global-Customer-Service/How-Outlook-2016-utilizes-Exchange-Server-2016-FAST-Search/ba-p/381195

Ich würde dennoch die OST in einer ins Profil gemounteten VHDX bevorzugen.

Für max 40-50MB bei 3 Tage Cache? Nicht wirklich.

Würde auch die Desktop Search gar nicht auf dem Terminal Server aktivieren.

ASR

vor 3 Stunden schrieb testperson:

Für den Cache Mode würde ich dir ggfs. noch das empfehlen: https://support.citrix.com/article/CTX235347

das braucht es für Outlook 2016/Exchange 2016 nicht mehr, Outlook verwendet in der Kombination die Server Assisted Search

ASR

vor 16 Stunden schrieb CoolAce:

Das stimmt Exchange 2016 CU12 hab ich installiert . Die Leute arbeiten in einer Citrix Umgebung beim Kunden und haben keinen Cache Mode an. AV ist keiner installiert , die Mails die verschoben werden sind so im Schnitt 3 MB Groß

Der Prozess Outlook.exe hängt auch nicht, wird weiter ausgeführt . Alle Plugins hab ich schon deaktiviert

Aktiviere den Cache Mode und das Thema dürfte ziemlich sicher erledigt sein. Die letzten 3 Tage "cachen" dürfte schon genügen, das kannst Du per Policy setzen.

ASR

vor 2 Stunden schrieb MrCocktail:

und noch ein kleiner Hinweis, mach es statt über Sicherheitsgruppen über versteckte Verteiler, ...

Spätestens wenn du in die Cloud migrieren möchtest, tut es sonst weh ...

 

Nein, es muss eine "E-Mail-aktivierte universelle Security Gruppe" sein.

ASR

vor 1 Minute schrieb roccomarcy:

Nein, ist das der Reg-Key, den man vor dem UR manuell eingetragen hat?
Wenn ja, das hatte ich eh nicht.

Nein, der wurde vom Exchange Setup angelegt und muss in (Exchange 2010) manuell gelöscht werden: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581

Es ist auch kein Key sondern ein Value.

ASR

vor 8 Minuten schrieb RolfW:

Leider ist die Beschreibung im Artikel auch etwas dürftig...

Führt das Update dies (prepareAD) nicht selbst aus, wenn es benötigt wird?

Nein, nicht in Exchange 2010. 

ASR

vor 7 Minuten schrieb roccomarcy:

okay,

also das Update auf beiden Exchange Servern einspielen, neustarten und dann via LDP die Änderungen vornehmen.

Das wars?

Jemand hier der bei sich oder Kunden positive Erfahrungen mit dem Update gemacht hat? Oder gab es immer "Probleme"?

Den DisableLoopbackCheck RegValue hast Du gelöscht? Das ist auch ein manueller Task.

Die Passwort Änderung in OWA funktioniert wohl mit RU26 nicht mehr, dazu gibt es einen Workaround (wenn notwendig). Ansonsten wäre mir mit Ru26 nichts bekannt.

ASR

vor 4 Stunden schrieb roccomarcy:

• 
• 
• 

muss ich vor der Installation ein /prepareAD durchführen?

Muss das Computerkonto-Kennwort wirklich manuell zurückgesetzt werden?

 

Nein und nein. Die notwendigen Änderungen in der Domain Partition müssen mit LDP.exe manuell gemacht werden: https://support.microsoft.com/en-us/help/4490059/using-shared-permissions-model-to-run-exchange-server

Das Zurücksetzen des Computer Kennworts ist optional.

ASR

Am 3/22/2019 um 15:45 schrieb OwaPro19:

Chrome im Incognito-Mode hat perfekt funktioniert. Danke für den Tipp und komisch, dass das ohne Incognito nicht funktioniert.

Nein, nicht komisch: nur im Icognito-Mode gibt der Browser seinen User-Agent als "mobile browser" nicht an den Server. Dann bekommt er das Standard OWA zurück.

ASR

Die Themen haben nichts miteinander zu tun. Funktioniert der Kalender Zugriff wenn Du die MailboxPermissions explizit an einen User vergibst? Funktioniert der EWS Zugriff grundsätzlich mit Outlook 2016, also z.B. der Out of Office Assistant?

Outlook 2016 greift auf freigegebene Kalender per EWS zu, bin nicht sicher ob das in Outlook 2010 auch schon so war. Im Zweifel musst Du dazu eben mal einen Fiddler Trace auf einem der betroffenen Clients machen, dann siehst Du schon woran und warum es scheitert.

ASR

Na dann mach es per Shell. Vermutlich dürfte der einzige Workaround sein, den Exchange Server fest mit einem der DCs zu verdrahten, also Set-ExchangeServer -StaticDomainController -StaticGlobalCatalog. Hast Du mehrere AD Sites mit DCs?

Das würde ich aber definitiv nicht empfehlen.

ASR

Das ist möglich, hängt aber vom Browser ab: in Chrome sollte das mit dem "Incognito Mode" gehen, ich verwende den Edge auf IOS, dort gibt es die Option "View desktop site". Ob man damit dann aber noch vernünftig arbeiten kann, könnte bezweifelt werden.

Letztlich kommt es darauf an was der mobile Browser als User-Agent an Exchange übergibt.

ASR

Verschiebe alle Arbitration Mailboxen nach 2016 und stelle sicher dass alle Datenbanken gemounted sind.

Die Warnung kann auch auftreten wenn für das New-Mailbox und das Set-Calenderprocessing CMDLet unterschiedliche DCs verwendet werden. Lege mal per PowerShell eine Geräte Mailbox an und verwende den -DomainController Parameter. Klappt es dann?

ASR

Marcel, Du hast hier zwei Themen in einer Frage. Zu der Warnung: sind alle Datenbanken in Exchange 2016 gemounted, insbesondere die, auf denen die Arbitration Mailboxes liegen? Sind alle "alten" 2010 Arbitration Mailboxen schon nach 2016 verschoben?

Was liefert: Get-Mailbox -Arbitration | FL id*,*database*

?

ASR

Hallo,

ja, im Send-Connector. Set-Sendconnector -fqdn mail.domain.com

https://docs.microsoft.com/en-us/powershell/module/exchange/mail-flow/set-sendconnector?view=exchange-ps

ASR

vor 11 Stunden schrieb Dirk-HH-83:

 

 

Wenn der Versicherungsgeber nun eine Mail sendet und feststellt das der erste nicht "TLS fähig ist", probiert er es dann automatisch beim sekundären MX

Normalerweise nein. Die MX mit niedrigerer Priorität werden nur verwendet, wenn der erste (höhere) überhaupt nicht erreichbar ist.

Der Plan hört sich auch nicht nach einem guten Workaround an. Wie Norbert geschrieben hat, ist ein öffentliches Zertifikat nicht zwingend erforderlich.

Daneben verwenden viel SPAM Versender bewusst den zweiten MX, das wäre in Deiner Konfiguration ein willkommenes Loch für SPAM/Phishing etc. -> Lösche den zweiten MX ASAP und korrigiere die TLS Einstellungen auf dem Gateway.

ASR

vor 57 Minuten schrieb john23:

Was oben nicht klar as Frage formuliert ist, ist die Umlaufprotokollierung im DAG dann direkt aktiv? Oder muss ich da noch was für machen außer häckchen?

 

Zeitverzögert? Erst nach schwenk?

AFAIK braucht es seit Exchange 2013 kein Dismount/Mount mehr wenn die Umlaufprotokollierung  aktiviert wird.

Aber das siehst Du ja wenn die Logs nach und nach "verschwinden"?

BTW: mit lagged copies wird die Umlaufprotokollierung immer aktiviert.

ASR

orkon, bei dem Exchange 2010 ist entweder,

a) die Web basierte OAB Verteilung nicht an

b) sie funktioniert nicht

Schau mal ob die OAB Dateien in C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\OAB\OAB_GUID

vorhanden sind und versuche dann mal per Web Browser auf das vDir zuzugreifen.

Wenn Sie nicht da sind, aktiviere die Web basierte Verteilung in der EMC.

ASR

Kalenderabfragen kannst Du über das Microsoft Federeation Gateway ermöglichen. Syncronisation ginge z.B. per Quest Migration Manager for Exchange.

Macht das Sinn: eher nein. Norbert hat recht.

ASR

Gerade eben schrieb Javoproductions:

und warum funktioniert es dann, owa geht auch von extern

Auf einen 100PS Golf 285er Reifen drauf machen geht auch - irgendwie. Vom Hersteller trotzdem und aus gutem Grund nicht unterstützt.

ASR

Exchange 2016 ist mit Windows Server 2019 nicht supported. Werder als Plattform für die Installation noch als Domain Controller.

End of story.

ASR