KarlHubert

Man erlebt ja wirklich viele Sachen, aber sowas ist mir bisher auch noch nicht untergekommen. 
Vor allem wer zahlt mir die ganze Sucherei wieder :(

Aber naja, Hauptsache es läuft wieder

vor 3 Minuten schrieb NorbertFe:

Wie, bei euch wird die Internetleitung mal umgestellt und dem Admin erzählt man davon nix? Das hilft natürlich ;) Danke für deine Rückmeldung.

Ist ja ein Kunde von mir, ich betreue ja mehrere Systeme, aber sowas ist mir auch noch nicht untergekommen.

Danke für eure Antworten. 

Das Problem waren nicht die Server selbst, sondern es gab eine Umstellung von VDSL auf Glasfaser mit einem Lancom. 

Davon wusste ich leider nichts. Der DSL-Techniker hat den Lancom umgestellt und anscheinend ist irgendwas schief gelaufen.

Ich habe den Lancom zurückgesetzt und alles neu eingerichtet und jetzt funktioniert auch der Mailserver wieder wie gehabt. 

Ich tippe mal auf einen Fehler in der Defaultroute, die auch den DNS beim Lancom regelt, dass er sich da irgendwie verschluckt hat

Danke für eure schnellen Antworten

vor 11 Minuten schrieb NorbertFe:

Was genau pingst du da an?

 

Zum Beispiel den MX eines Lieferanten, dann kommt nicht die IP des MX vom Lieferanten zurück, sondern meine IP vom Provider vom Hosting. 

vor 11 Minuten schrieb NorbertFe:

Hier wäre jetzt ein Beispiel ganz praktisch, aber das mit der doppelten Domäne, deutet darauf hin, dass du nicht punktiert abfragst.

https://www.faq-o-matic.net/2014/02/12/wenn-und-warum-nslookup-unerwartete-ergebnisse-zeigt/

 

Für mehr Antworten bräuchte man jetzt mehr Infos. ;) Bspw. mal ein ipconfig /all | clip vom Exchange. Die Fehlermeldung ist eher unabhängig vom Namensauflösungsthema. Bei Zeitverzögerung und Mailversand/-empfang fällt mir als erstes immer SMTP Backpressure ein, aber auch das sollte man im Eventlog finden können.

Das mit dem punktieren ist mir klar, aber warum macht das dann der Exchange auf einmal auch?

Hier die Ausgabe von ipconfig /all

Ethernet-Adapter Ethernet0:

   Verbindungsspezifisches DNS-Suffix: intern
   Beschreibung. . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
   Physische Adresse . . . . . . . . : 00-0C-29-4C-68-27
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::46b3:f171:793d:d936%14(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.2.222(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.2.60
   DHCPv6-IAID . . . . . . . . . . . : 100666409
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-28-26-C2-B3-00-0C-29-4C-68-27
   DNS-Server  . . . . . . . . . . . : 192.168.2.220
                                       fe80::2a0:57ff:fe5c:4f3d%14
   Primärer WINS-Server. . . . . . . : 192.168.2.220
   NetBIOS über TCP/IP . . . . . . . : Aktiviert
   Suchliste für verbindungsspezifische DNS-Suffixe:
                                       intern

vor 11 Minuten schrieb NorbertFe:

 

vor 20 Minuten schrieb mikro:

Wie siehts mit Geräten davor aus? 

 

Ich haben einen Kaspersky Mail Security davor hängen, der hat aber dasselbe Problem, dass er sich nicht mit dem Mailserver verbinden kann. Erst nach einiger Zeit werden die Nachrichten in der Warteschlange von deferred auf active gesetzt und dann weitergeschickt

vor 3 Minuten schrieb mikro:

Moin, was wird angezeigt wenn du Dir die Queue mit get-message -queue *queuename* |select status, LastError anzeigen lässt?

Da schreib er nur bei Status ready und Last Error ist leer.

Es hängen aber 3 Mails gerade in der Warteschlange

Hallo,

ich habe seit Freitag ein seltsames Problem. 

Ich weiß nicht, ob es mit CU14 und APR24HU zusammenhängt, aber der Server nimmt nur noch zeitverzögert Mails an und beim Verschicken bekomme ich in der Warteschlange einen 4.4.0 DNS Query Failure

Wenn ich einen ping auf die Maildomäne absetze, dann antwortet immer mein Provider mit der externen IP fürs Hosting. 

Es wurde nichts geändert, nur die Updates installiert. IPv6 ist auch eingeschaltet.

Wenn ich vom Mailserver einen nslookup den MX-Record setze, dann bekomme ich die Antwort vom internen DNS-Server und eine nicht autorisierende Antwort von mx.domäne.de.domäne.de und die IP des Providers

mx.domäne.de ist praktisch der MX-Record

Woran könnte das liegen?

Was ich noch als Eintrag im Ereignisprotokoll finde ist eine Warnung mit der Quelle WAS und Ereignis 5011. Prozess-ID ändert sich.

Schwerwiegender Kommunikationsfehler im Windows-Prozessaktivierungsdienst bei einem Prozess für den Anwendungspool "MSExchangeSyncAppPool". Die Prozess-ID ist "21804". Das Datenfeld enthält die Fehlernummer.

Und noch einen Fehler habe ich in der Warteschlange

Schwerwiegender Kommunikationsfehler im Windows-Prozessaktivierungsdienst bei einem Prozess für den Anwendungspool "MSExchangeSyncAppPool". Die Prozess-ID ist "21804". Das Datenfeld enthält die Fehlernummer.

451 4.4.397 Error communicating with target host. -> 421 4.2.1 Unable to connect -> Socket Timedout: Socket Error Code 10060

Kann mir jemand helfen?

Danke

Was bräuchtest du den für Infos?

Es ist Outlook 2019 installiert, ansonsten ganz normaler Domänenbenutzer ohne besonderen Rechte.

Im Exchange ist NTLM also Authentifizierung eingeschaltet.

Ich habe im Outlook bereits das Profl gelöscht und das Konto neu hinzügen wollen, es kommt immer die Passwortabfrage und dann gehts nicht weiter.

War mal eine größere Firma, mittlerweile sind es nur noch 4 Clients. Und da wurde beschlossen, dass der Windows Defender ausreicht.

Der Exchange ist "nur" über 443 von außen erreichbar. 

vor 2 Stunden schrieb NorbertFe:

Da dürfte dir vermutlich dein lokaler Virenscanner am Client oder ein Proxy Server dazwischen funken, alternativ hast du einen Loadbalancer mit Offloading/Bridging im Einsatz und verwendest unterschiedliche Zertifikate.

Ich habe keinen zusätzlichen Virenscanner, keinen Proxy und auch keinen Loadbalancer im Einsatz. Es ist nur ein SPAMfilter davor, der die Mails an den Exchange weitergibt.

Zertifikate habe ich eines von Sectigo, Exchange Server Auth Certificate und WMSVC-SHA2

Aber ich verstehe den Sinn dahinter nicht. Warum funktioniert dann Owa oder Handys?

So, Rollback habe ich gemacht, funktioniert wieder

Danke!

Das zeigt er mir jetzt natürlich beim erneuten Check an. Wie kann ich dies Löcher dann stopfen?

Ich hab den Artikel gelesen und es steht auch bei Punkt 3, dass wenn sich der Client mit Outlook nicht mehr verbinden kann, dass man das Script exchangeextendedprotectionmanagement ausführen soll.

Das habe ich getan, aber Outlook verbindet sich trotzdem nicht. 

Wenn ich jetzt den Rollback mache, funktioniert das Ganze wieder?

z.B:

TLS-Settings

KeepAlive

Rebootpending

ExchangeExtendedProtectionManagement.ps1

Hallo,

ich habe hier einen Exchange 2019 CU13 mit NOV-Update und habe das HealthChecker Script durchlaufen lassen und die Sicherheitslücken und Fehler behoben.

Nach einem Neustart und erneutem Ausführen des Scripts waren keine roten Fehler mehr da, allerdings kann ich mich jetzt nicht mehr mit Outlook verbinden.

Es kommt die Kennwortabfrage immer wieder und es kommt keine Verbindung zustande.

OWA funktioniert aber.

Ich habe dann gelese, dass es am Exchange Auth Certificate liegen könnte, das ist aber gültig

Woran könnte denn das liegen?

Vielen Dank für eure Hilfe

Die Mails sollen aus dem Portal auch an externe Empfänger gehen, z.B. für eine Änderung des Passworts oder ähnlichem

Muss ich einen neuen Connector mit einem Port anlegen z.B: 993 und dann nur den Zugriff für die IP des Portals erlauben?

Oder wie löst ihr das. Intern lege ich immer einen neuen Connector z.B. für Drucker oder Kopierer an, die dann versenden dürfen, aber von extern habe ich das noch nie benötigt

Hallo,

ich habe mal eine Frage. Ich habe ein Portal, dass per SMTP E-Mails über einen eigenen Exchange 2019 versenden will.

Der MX-Eintrag zeigt auf einen SPAM-Filter, der dann die Mails an den Exchange weiterleitet. 

Wie würdet ihr denn das konfigurieren? 

IMAP oder POP3 sollten nicht verwendet werden.

Die IP des Portals bleibt fest und unverändert.

Danke und Gruß

KarlHubert

Das es einfach zu bedienen sein soll und es nix kosten darf, hat keiner gesagt. 

Habt ihr Empfehlungen? 

Ich hab mir jetzt gerade die Pulse Secure Virtaul Traffic Manger Appliance geholt. Sieht schon mal vielversprechend aus. 

Danke für eure Antworten.

Eine WAF gibt es ja in verschiedenen Varianten. Am liebsten wäre mir natürlich eine OpenSource, die aktuell gehalten wird. 

Allerdings scheinen die besseren unter Linux zu laufen :(

Oder hast du da Erfahrungen @cj_berlin?

Leider nicht viel, was die Sicherheit dazu betrifft.

Aber etwas anderes, wenn man einen Reverse Proxy davor und den Webserver in die Domäne hängt? Ist das sinnvoller oder auch so abwegig?

Gerade eben schrieb NorbertFe:

Man greift also direkt aus dem Internet über einen Windows IIS ohne sonstiges auf eine interne SQL DB zu, die in einem AD steht? Irgendwie klingt das nicht so richtig super. ;)

Wie könnte oder würdest du denn das lösen?

Sorry, hatte ich auch nicht explizit erwähnt.

Das teste ich gleich mal.

Eine andere Frage, würde es funktionieren, wenn ich eine Freigabe in der Domäne mache, dort das inetpub setze und die Berechtigungen und User im IIS auf dieses Verzeichnis ändere?

vor 6 Minuten schrieb mwiederkehr:

Die Fälle, in denen eine Website im IIS (oder sonst einem Webserver) mit Adminrechten laufen sollte, lassen sich an einer Hand abzählen und Dein Fall zählt wohl nicht dazu.

 

 

Dem Benutzer kannst Du (Lese-)Rechte auf das inetpub-Verzeichnis erteilen. Schränke den Benutzer so weit wie möglich ein.

 

 

Da ich "veröffentlichen" und "Datenbank" gelesen habe: Falls es sich um einen Microsoft SQL Server handelt, beachte die Lizenzierung.

 

Das wird selbstverständlich noch geändert, ist ja erst ein Szenario.

Genau das ist das Problem, ich kann ja keinen Domänenbenutzer auf dem Webserver, der nicht in der Domäne ist dort Berechtigungen erteilen oder?

Darum hat sich die Softwarefirma bereits gekümmert und dementsprechend bereits lizenziert

Hallo,

ich hab mal eine Frage, wie man das lösen könnte ohne Probleme mit der Sicherheit zu bekommen.

Ich habe einen IIS, der direkt hinter dem Router/Firewall veröffentlicht werden soll.

Dort soll eine Anwendung mit Zugriff auf die Datenbank in einer Domäne laufen. 

Die Seiten im IIS laufen mit dem lokalen Administrator. Ändere ich diesen auf den Domänenbenutzer habe ich keinen Zugriff mehr auf inetpub, weil die lokalen Rechten dazu fehlen. Und man kann den Domänenbenutzer nicht lokal hinzufügen oder funktioniert das irgendwie?

Jetzt bräuchte ich Dateien mit lesenden Zugriff von der Domäne.

Mit UNC-Pfad ist das kein Problem, da kann ich einen Domänenbenutzer als Anmeldung mitgeben, aber wie mache ich das, wenn die Datei direkt aus der Anwendung im IIS als Administrator aufgerufen werden?

Da hat man keinen Zugriff auf die Dateien in der Domäne, weil der ja der lokale Administrator in der Domäne nicht bekannt ist.

Kann man sowas überhaupt lösen? Und wenn ja wie?

Vielen Dank für eure Hilfe im Voraus

Gruß

Karlhubert

Guten Morgen,

Split-DNS passt, Zertifikat habe ich von PSW Group.

Läuft aber alles auch schon seit Monaten/Jahren.

Irgendetwas ist da passiert.

Hi,

danke, werde ich durchgehen.

Es ist anscheinend durch ein Update von einem CU gekommen, kann es aber leider nicht genau sagen, weil OWA kaum verwendet wird.

Am Freitag ist es aufgefallen, dass die Abwesenheitsnotiz im Outlook nicht mehr funktioniert und da wollte ich diese im OWA einstellen.

Scheint ein zusammenhängendes Problem zu sein