Dutch_OnE

Super und an Alle vielen lieben Dank.

Das ergibt Sinn und öffnet mir vor allem neue Sichtweisen. Danke Norbert.

In meinem Szenario sind Exchange und Mail-Virenscanner mit Spamfunktion auf dem selben Server. Kann man die Software von F-Secure E-Mail und Server Security V15 von der Sicherheit als akzeptabel betrachten und würde es die Sicherheit erhöhen, wenn der Virenschutz auf einem vorgelagerten Server in einer DMZ ausgeführt wird?

Ersteinmal möchte ich mich bei allen hier bedanken. Da eine der beiden VMs, sowie das Host System sehr viel Leerlauf haben, sollte sich das Sharing gut aufteilen und zu keinen Leistungsproblemen führen. SLAs mit Performance Garantien sind nicht vorhanden.

Alles klar. Vielen Dank.

Moin,

wenn ich den Link hier richtig verstanden habe:

Virtuelle CPUs (vCPU) für VMs unter VMware und Hyper-V konfigurieren | WindowsPro

kann ich mit meinem "Spielsystem" 

1 CPU, 4 Kerne, 4 logische Prozessoren

2 VMs jeweils 4 vCPUs zuteilen oder gibt das mit Überbuchung Probleme?

Gruß DO

OK, unten in den Berechtigungen. Sorry, die habe ich nicht betrachtet.

vor 30 Minuten schrieb NorbertFe:

Ja leider verwenden viele den default connector und aktivieren auf ihm die Authentifizierung. Empfehlenswert, wenn man kein eigenes relay davor schalten kann oder will, ist ein eigener receive connector der aus dem Internet nur anonym zulässt und korrekten ehlo String und Zertifikat anbietet.

ist das im Default Connector nicht automatisch so eingestellt? Per Default sind ja alle Authentifizierungen, bis auf "Extern gesichert" ausgewählt. 

Super und vielen Dank für den Tipp.

Ich glaube, dass meinte Norbert:

Exchange 2019:- Set TLS Certificate name on your receive connector. – Everything-PowerShell

Danke für die Info. Nochmal als Lösung kann ich aber leider nicht anklicken. Gruß und schönen Abend.

Das ist doch schon mal ein guter Tipp. Die werde ich mir mal anschauen, ggf. hatte ich noch die Securepoint aus Lüneburg als Alternative mir ausgesucht. Auf jeden Fall ist mir der Bintec Router mit durchgeleiteter NAT definitiv zu wenig, da muss nachgebessert werden. 

vor 37 Minuten schrieb NorbertFe:

als Tipp, Port 25 auf keinen Fall von extern per Authentifizierung anbieten

Hierbei geht es doch um die Einstellungen der Exchange Empfangsconnectoren oder?

Erst einmal vielen Dank.

Ich bin über den Link "gestolpert" 

https://administrator.de/forum/absicherung-exchange-server-1099666010.html

Die anderen Protokolle sollten deaktiviert sein. Was mich sehr interessiert ist das Thema UTM für die Exchange Dienste.

Habe ihr da irgendwas im Einsatz?

Moin,

bei einer Umgebung, zeigt der MX Eintrag direkt auf die offizielle IP, wo der Exchange Server steht. Zur Zeit sind Port 443 und 25 direkt per NAT auf den Server durchgeleitet. Ein offizielles Zertifikat ist vorhanden.

Auf dem Exchange Server ist ein Mailscanner der Firma F-Secure installiert. Die Windows Firewall steht auf Default Einstellungen.

Speziell für OWA, ActiveSync, ECP ... ist keine erweiterte Absicherung vorhanden. Default ECP würde ich für intern und extern sperren und über eine weitere Site mit anderem Port für interne Zugriff öffnen.

Gibt es eine smarte UTM / WAF Lösung?

Den Exchange sollte ich auf jeden Fall noch in eine DMZ packen. Kann man OWA via Exchange Shell komplett deaktivieren? Kann man im Active Sync für ein Postfach nur bestimmt Mobilgeräte zulassen?

Gruß DO

Zur Zeit nutze ich ja einen On-Premise Exchange mit MX zu Ionos. Der SPF war ja für ein *.outlook.com Konto vom Microsoft Exchange Online vorgeschlagen, bei dem der Microsoft Techniker gesagt, er sei notwendig. Nachdem ich das gesetzt hatte, hatte ich bei meinen Exchange Probleme. Nachdem ich dem Techniker heute erklärt habe, dass ich keinen Exchange Online nutze, meinte er, dass wir den Microsoft SPF bei Ionos auch nicht brauchen. Jetzt geht wieder alles wie es soll und ich habe beim Teams meine richtige Adresse.

Mir erklären lassen, dass der SPF nicht notwendig ist, weil wir uns missverstanden haben. Jetzt habe ich den wieder entfernt und nur noch die beiden C-Names und SRV Einträge im Provider DNS.

Alles klar. vielen Dank. Ich werde aus dem Portal nochmal ein Ticket eröffnen.

Ich habe das Thema jetzt mit Microsoft zusammen bearbeitet.

1) Externe Domäne zum Portal gezogen. Wichtig TXT Eintrag beim Provider erstellen, damit das verifiziert wird

2) Online Dienste (Teams / Skype und Exchange Online) beim DNS aktiviert

3) 2 C-Names und 2 SRV Einträge für Teams beim Provider erstellt

4) den SPF Eintrag vom Exchange Online beim Provider erstellt

5) onmicrosoft.com Konten in entsprechende Adresse geändert

6) Registry am Client überarbeitet, so dass Exchange Autodiscover lokal und nicht in der Cloud sucht.

Mir bleiben aber 2 Frage offen.

1) Warum wird der SPF Eintrag vom Exchange Online beim Provider notwendig?

2) Ist das jetzt wirklich sauber eingerichtet und müsste ich nicht eigentlich ein Azure AD mit nutzen?

Gruß DO

Die Vermutung liegt nahe, dass ein Upgrade das Problem lösen wird. Aber Danke für die Rückmeldung.

Microsoft hat das Verhalten bestätigt und wird es rauspatchen. ich kann aber nicht sagen, wann.

Funktionieren tut es mit ESXI 7.0, dagegen mit ESXI 6.7 U3 nicht, obwohl ab 6.7 U2 supportet.

Guten Morgen,

wir nutzen ein VMWare Host System. Nun haben wir einen Windows 2022 Gast (einmal ungepatched / einmal gepatched) im Einsatz und beide verursache eine hohe CPU Last von der Explorer.exe.

Die Systeme sind extrem träge und die CPU Last von der Explorer.exe hat zum Teil bis zu 70 Prozent Last, wenn man lediglich im Windows Explorer unterwegs ist.

Die Gast Systeme sind jeweils mit 2 vCPUs und 8 vGB RAM ausgestattet. Windows 2019 läuft problemlos. Die Systeme wurde auch schon auf einen anderen Host verschoben, bleiben dort aber auch langsam. In einem anderen Rechenzentrum mit anderer Hardware scheint es dagegen zu funktionieren.

Leider habe ich keine Klickhoheit auf dem VMWare Server und daher hier erstmal die Frage, ob es bestimmte prerequisites gibt, die Hardware, VMWare ggf. Windows VM / Windows ISO erfüllen sollten, die ich ggf. prüfen oder prüfen lassen kann.

Gruß

DO

Jitter Smoothing, Workload Matching und Core Boosting

Core Boosting geht leider nicht, da keine Xeon Scalable CPUs vorhanden sind

Workload Matching muss man im Provisioning einstellen, was zwar auch über ILO geht, ich aber bei einem Produktiv System nicht ohne eine Planung vorab machen kann

Jitter Smoothing kann ich auf Auto Modus stellen, allerdings geht das immer wieder von alleine aus. Ich weiß nicht genau, was ich da einstellen muss. Vielleicht kann da noch jemand was zu sagen.

EVENT (01-Dec-2022 04:59): Processor Jitter Control failed to find a jitter-free frequency in auto-tuned mode. Jitter Control mode has been automatically switched to disabled to prevent significant performance impact.
ACTION: Verify that C-states are disabled in the System ROM and under the OS. For Linux, the Intel C-state driver must be disabled by adding intel_idle.max_cstate : 0 to the kernel command line parameter.

Integrated Management Log Severity:CAUTION
 

Scheint also nur durch BIOS Änderungen vor Ort zu gehen.

Ich habe jetzt im ILO den Powermode auf Static High Performance Mode gesetzt. Reicht die Einstellung?

Mal bei youtube nach folgendem Begriff schauen:

Microsoft 365 Business Premium Onboarding und erste Schritte

Der Hersteller einer Anwendung die genutzt wird, sprach auch von 16GB statt 8. Mal beides hochrüsten.