NorbertFe

Manchmal sind eben andere Dinge notwendig, als die von Microsoft bereitgestellten. Ja, das soll tatsächlich in der realen Welt vorkommen. ;)

Weil ich in die Cloud wechsle und den lokalen MX behalte (zumindest bei obigem erwähnten Produkt handelt es sich afaik nicht um einen cloudservice, sondern einen on premise MTA), und das ist zwar möglich und von MS auch so beschrieben, aber logischerweise mit dem Hinweis "empfohlen" ist es, direkt bei MS den MX zu haben. https://docs.microsoft.com/de-de/exchange/transport-routing Dass es cloudlösungen gibt, is mir auch klar. Evtl. einen Blick wert: https://www.hornetsecurity.com/de/services/365-total-protection/

naja wenn man sich nen eigenen spamfilter hinbaut, geht vieles. Hat man halt irgendwie nur ne schräge Konfiguration. ;) dafür aber mehr Möglichkeiten.

Ja natürlich kann man sich selber Löcher ins Boot bohren. WEnn man dann noch weiß, warum ists ok.

Der brauch also keine Kennwortrichtlinie? ;) Kannst du ja auch. Gilt dann halt nicht so wie du denkst. Wie wärs denn hiermit? https://www.gruppenrichtlinien.de/artikel/fine-grained-password-policies-fgpp-password-settings-objects-pso/ oder https://www.gruppenrichtlinien.de/artikel/kennwortrichtlinien/ Bye Norbert

Und den kann man nicht anrufen und fragen?

Nein, die cals gelten für alle Server.

Naja das sind bisher aber noch absolute Basics, also kein Grund zu „heulen“. ;)

NUR (nicht eher) für SMTP Server Traffic, wenn wir schon dabei sind.

Kommt auf die Anforderungen hinsichtlich Sicherheit an. Grundsätzlich wär ein Reverse Proxy nicht verkehrt, aber auch allein ist der Exchange jetzt nicht zwingenderweise das größte Risiko, wenn man ihn korrekt konfiguriert. Da das ding ja vor allem von intern erreichbar ist, ist ein Exchange von der Positionierung ähnlich wie ein DC. Den stellst ja auch nicht in die DMZ, bloß weil da ggf. LDAP benötigt wird. Also Option 1. Option 2 kann sinnvoll sein, aber das kann man hier sicher nicht ohne weiteres klären. Option 3 ginge zwar, aber dürfte für vieles ziemlich unpraktisch sein. Option 4.. Schonmal versucht? ;) BE und FE war Exchange 2003!

weniger kompliziert. man installiert die DHCP Rolle und überlegt ob einem die alten Leases wichtig sind oder nicht. je nach Komplexität der vorhandenen DHCP Konfiguration kann man das dann entweder alles ex- und importieren oder man klickt es ggf. schnell von Hand auf dem neuen zusammen.

Dass er es hinterher nicht mehr ist. Wenn er also nicht von vornherein bereit war, das System zu kompromitieren, hat er jetzt weniger Chancen. Abgesehen davon gibts genau dafür ja entsprechende Deploymentrichtlinien und Berechtigungen, dass eben nicht jeder "Honk" einen PC in die Domäne aufnehmen darf. Muss man halt vorher konfigurieren.

Das geht nicht.

Hätte man ja auch einfach mal nachschauen können, oder?

Nee von Mark ;)

Naja dann kannst ja auch 14 nehmen. Wird der Satz eben länger. Mehr Einfluß hast du bei Windows sowieso nicht. ;)

https://practical365.com/exchange-server/monitor-rebuilding-content-indexes-exchange-databases/

"Healthy" sagt dir, dass der Serverindex ok ist. Also _gut_! Laufen denn alle Dienste am Exchange? Dass die Suche im OWA nicht funktioniert, hab ich jetzt nur im Zusammenhang mit Exchange 2019 gelesen. Gehe also bei dir erstmal von was anderem aus. Steht irgendwas im Eventlog des Servers, was Rückschlüsse zuläßt?

in den allermeisten Fällen das Thema Datenschutz und in vielen Fällen steckt einfach die Überlegung dahinter, dass ich von einer AntiSpamsoftware erwarte eine vernünftige Erkennungsrate zu haben, ohne den Nutzer "aktiv" zu einem Medienbruch zu bewegen. Also viele Lösungen die ich kenne schicken dem Nutzer eine tägliche Nachricht, dass er bitte in der Quarantäne schauen soll, ob das Spam oder nicht ist und er muss dann entscheiden und die Mail freigeben oder als Spam bestätigen. Der Nutzer ist also 1. wieder in der Verantwortung und 2. beschäftigt er sich mit Dingen (dem Lesen von Spam), die er im Zweifel nur bedingt entscheiden kann. Über ggf. notwendige rechtliche Schritte zur "regelmäßigen" Kontrolle des Spamordners will ich noch gar nicht reden. ;) Bye Norbert Naja wie gesagt, nur mit zusätzlichem Produkt auf dem Edge. Ohne würd ich das nicht mehr tun. Das charmante am Edge ist für mich die Empfängerprüfung. Alle internen Empfänger werden als Hash outbound zum Edge repliziert, so dass an der Stelle keine LDAP Verbindung eingehend notwendig ist, die viele andere Produkte verwenden, bzw. auch keine SMTP Call forward Anpassung (für Exchange 2013 und neuer). Weils bei vielen eben nicht sonderlich gut zu konfigurieren geht, bzw. keine Abhängigkeiten zu anderen Whitelists bestehen. Bye Norbert

Klar ist das erlaubt. :) Wie soll man sonst von den Erfahrungen der anderen profitieren können. Und Werbung wird wohl recht schnell auch als solche erkannt. ICh setze bei vielen Kunden die Exchange Edge Rolle mit installierter zusätzlicher Software (Vamsoft ORF Fusion) ein. Ich find das entsprechend gut zu konfigurieren und die Erkennungsrate ist im Bereich das normalen. Weiterhin ist das Filterregelwerk in weiten Teilen stark anpaßbar, so dass eigentlich für viele Fälle das richtige Maß getroffen werden kann. Was nicht dort enthalten ist, sind eben "cloudbasierte" Features (KI usw.), was bei bestimmten Spamwellen dann erstmal logischerweise zu einer administrativen Tätigkeit führt. Auch Quarantäne ist (zum Glück) nicht enthalten. Letzteres stört mich persönlich wenig, weil ich kein Freund von Quarantänelösungen bin. Zur UTM kann ich sagen, dass die zwar grundsätzlich vernünftige Filter mitbringt, aber viel zu unflexibel in meinen Augen ist. Allein die Tatsache, dass die Greylisting Werte nicht angepaßt werden können. Ausserdem ist das eben offenbar eine Lösung die nur noch in geringem Umfang weiterentwickelt wird. Schön (technisch nicht datenschutztechnisch) ist aber die Integration in Sophos Sandstorm, was die ein oder andere Bedrohung abfangen kann. Gutes hört man auch von NoSpamProxy, aber das hab ich selbst bisher nur flüchtig angeschaut. Bye Norbert

/force ist aber in den meisten Fällen gar nicht notwendig und natürlich hat das dann nichts mit "Computer" oder "Benutzer" zu tun. ;) Evtl. liest du dir ja mal gpupdate /? durch. ;)

Doch da steht, dass der ContentIndex Healthy ist. WEnn das da nicht stünde, wäre das ein erster Ansatzpunkt gewesen. Bye Norbert PS: Sieht das eigentlich mit ! besser aus?!

Ist aber afaik immer noch so. Einfach ins Verzeichnis drüberkopieren und gut. Aktuell ist übrigens https://github.com/DCourtel/Wsus_Package_Publisher/releases/tag/v1.4.2002.4 https://github.com/DCourtel/Wsus_Package_Publisher/releases

Grundsätzlich kann man natürlich unterschiedliche cus verwenden. Passiert ja bei Updates zwangsläufig. Es sollte nur nicht auf lange Zeit so laufen, sondern schnell (ja subjektiv schnell) auf gleichen Stand gezogen werden. Ansonsten hast du das soweit korrekt beschrieben. die Frage nach dem kaputtgehen beantworte ich mal nicht. :o

Neee denn eine Stunde rumgepfriemel spart 5 Minuten Handbuch lesen ;)