sunghost

Hi,

16GB RAM. Virenscanner ist Trend Micro Worry free-Busy Adv. Das mit dem Pop ist mir so auch bekannt. Allerdings kann ich vom vorherigen sbs2003 sagen, dass er 6J ohne Probleme Mails abholte;). Aber gut, meine Vermutung, dass der AV den Exch bei seinem Job gegen 3 Uhr behindert.... Ich konnte gestern kurz sehen, dass die store.exe auf >8GB anwuchs. Eigentlich soll es für den SBS ein normales verhalten sein, weil er sich immer alles an RAM holt, allerdings sollte der Rest dadurch nicht in Mitleidenschaft gezogen werden. Wie auch immer ich deaktiviere testweise alle AV-Dienste...

Hallo,

so bin wieder da, Server reagiert nicht, auf strg-alt-entf, softstart auch nicht also nur wieder hard aus und ein. Hardware hatte ich bereits am Anfang geprüft, bzw. die Intel Storage App resynct ohne Fehler. Danach habe ich einen Job der 1x nachts läuft und das Raid prüft eingerichtet - keine Fehler. Er hatte bei den Hängern auch nie nen Bluescreen, sodass ich von weiteren Störungen erst Mal nicht ausgehe. Virenlösung hatte ich schon ganz deaktiviert, half auch nichts. Ansonsten ist es TM WFB Adv. dort sind per Default, wenn der Haken aktiviert wird, was ich habe, alle entspr. Serverdaten ausgeschlossen. Ich habe sie aber dennoch geprüft und eben gegen den MS Artikel, soweit ich konnte, da durch den Rebuild der Server kaum reagiert.

Das oben mit dem MX soll nur eine Notlösung sein, damit die Mails noch zugestellt werden bzw. recht zeitnah empfangen und abgearbeitet werden. Eine Lösung des Problems muss so oder so her.. Die Mails, so dachte ich, sollen dann beim 2. Provider ganz normal ins IMAP gehen und per Webmail abgerufen werden können. Wenn der SBS dann wieder läuft sollte er diese alle abholen. So die Idee. Insgesamt ist es auch recht einfach gehalten mit nur einer Mailadresse und Empfänger. Der Freez an sich ist immer verschieden, sodass der Server auch schon 3 Tage am Stück lief.

Im Log stieg er heute gegen 3:00 Uhr nachts im Syslog aus. ntrscan reagiert über 6000ms nicht Volumenschattenkopie Dienst wurde beendet - davor war scheinbar alles i.O. Das Anwendungslog lief weiter zeigte aber gegen 4:30 "Es ist nicht genügend Systemarbeitsspeicher im Ressourcenpool 'internal' vorhanden, um diese Abfrage auszuführen." Ah ok zuvor gegen 3:oo dann selbes "Es ist nicht genügend Systemarbeitsspeicher im Ressourcenpool 'internal' vorhanden, um diese Abfrage auszuführen." Davor lief wohl die Exchange DB Bereinnigung.

Ok die Infos habe ich das letzte Mal so nicht gesehen. Daher gehe ich davon aus, dass wohl der Virenscanner zwischen gräscht. Ich werde wohl den Scanner prüfen und vorerst deaktivieren. Auch prüfe ich das Log der letzten Tage nocheinmal und schau mir an welche Jobs um welche Zeit laufen (TM 2:30, Backup 1:30-2:00) Mehr läuft gar nicht, außer die Default SBS2011 Dinge...

Ok - das war jetzt alles nebenher und zetgleich auf den Server geschaltet. Habt ihr sonst noch Ideen? Oder kennt ihr das Problem, dass hier evtl. Dienste sich behaken?

Hallo,

ich bin grade auf den Sprung zum SBS2011. Seit ca. 2 Wochen fällt er nachst immer wieder aus. D.h. er hängt einfach und nimmt keine Mails, Anmeldungen etc. an. Es hilft nur ein harter Neustart. Ich habe schon Logs durchsucht, SBS Analyzer laufen lassen, Patche kontrolliert, aber alles sieht nun sauber aus. Eine Meldung zur Sharepoint DB gibt es noch, die aktualisiert werden muss, aber daran dürfte es nicht liegen. Die Backups laufen auch zu anderen Zeiten und sauber durch, der Virenscanner hat die Ausschlüsse für die Serverdaten (AD, Exchange etc.). Da nun immer wieder Mails verloren gingen oder zu spät ankommen, Server hat feste IP und nimmt direkt Mails an, soll nun ein Backup eingerichtet werden.

Meine Idee war evtl. einen 2. Mailserver als Backup von Strato, da liegt die Hauptdomain, einzurichten. Da ich dazu aber keine Erfahrungen habe, wollte ich hier kurz nachfragen ob und wie das geht? Reicht dort ein einfacher weiterer mx Eintrag + beim ISP der IP vor Ort, oder muss da mehr gemacht werden, damit die Mails bei nicht Erreichbarkeit des SBS dort eingehen?

Danke und sorry für die knappe Ausführung

Hi,

eigentlich geht es um einen ganz anderen Test, aber dieser "Fehler" kristalisierte sich halt heraus und ich versuche mir zu erklären wie und wo und weshalb sowieso ;).

Evtl. hat noch jemand eine Idee - danke euch erstmal

Ja so kann ich es mir auch erklären, aber warum zeigt der Richtlinienergebnissatz für den Client, dann aber etwas anderes? Müsste er dann nicht diesen letzten Stand anzeigen? Und wenn nicht, wie kann ich ihn dazu bringen die lokale anzuwenden, oder diese irgendwie zu vergessen?

Hallo,

die Domain Policy ist ja deaktiviert. PC ist in einer OU ohne Policies, sodass die Vererbung unterbrochen wird. Eigenartig ist, wenn ich einen gpresult /r auf dem Client ausführe, dann zeigt er die Anwendung der Dompol an und wenn ich mir den Ergebnissatz in der mmc anzeigen lasse, dann sind die Einstellungen auf nicht konfiguriert und die lokalen auf min. Das finde ich komisch, aber warum?

Hallo,

ich habe hier einen Win7 Client in einer Dom-Struktur. Die Richtlinien der Dom sind deaktiviert. Dies bescheinigt mir auch der Richtlinienergebnissatz für den Client und User. Die lokale Richtlinie umfasst

Kennwortlänge 0

Alter 0

Komplex keine

History keine

also eigentlich könnte ich jedes PW eingeben, was mir einfällt. Das Problem ist nun, dass ich aber unter dem User das PW nicht ändern kann. Es kommt die Meldung, dass es nicht den Anforderungen der Dom entspricht ?!

Ich kann mir das nicht erklären - ihr?

Ja ich weiß, war nur ein Test ob es überhaupt geht und soll ja so nicht verwendet werden. Bedeutet das denn das der Dom-Admin immer darf, denn als send as auf diese Adresse ist er nicht eingerichtet.

edit: so schneller - send als Berechtigung auf das enstpr. Postfach und es klappt ;) danke

ist nur noch TLS offen - hier noch irgendwelche Tipps ggf. ohne TLS aber sicher und einfach einzurichten?

Ok sagt mir jetzt nicht so viel. Für Debian und Exim4 habe ich nur die Info das das exim4-daemon-heavy Paket benötigt wird, auf die schnelle gefunden. Aber evtl. kurz zurück zu meinem obigen Thema. Getestet hatte ich per Telnet mit einem Domadmin. Nun habe ich einen neuen Standard-User eingerichtet und ich kann die Mail nicht mehr senden:

550 5.7.1 Client does not have permissions to send as this sender

So wie es aussieht kann kein DomUser Relayen aber der DomAdmin schon. Bei der Suche bin ich auf senden als gestoßen, dass Recht für self haben alle außer der Admin, im Test spielt es aber keine Rolle - Idee?

Ah ok, ich hätte gedacht wegen der Vertrauenswürdigkeit oder so, wie bei Web-Zerts. ;). Ok, dann muss der Webserver nur "TLS sprechen", heißt das auch das er ein eigenes Zert haben muss?

Mh müsste ich dann das Zertifikat vom SBS im Web importieren oder beide gegenseitig oder passiert das automatisch bei entsprechendem Auth?

Hallo Norbert,

ja das ist mir bewußt und schön ist es gar nicht. Wenn ich es richtig verstehe müste ich somit dem Webserver TLS beibringen, oder?

So Problem gefunden, der Test mittels Telnet war immer noch auf Port 25, richtig ist natürlich 587, zudem musst die TLS Auth im Connector deaktiviert werden - alles gut.

Sorry, hast Recht. Danke

Hallo,

ich habe einen funktionierenden SBS 2011 mit "Standard" Konfiguration des Exchange, also nichts besonderes. Nun möchte ich von einer Webseite die gehostet wird, Server nicht meiner, Mails über den Sbs mit einer bestimmten Mailadresse des Exchange senden info@meine-domain.de.

Bis jetzt habe ich dafür einen eigenen Hub Client Connector eingerichtet und die IP-Adresse des Servers berechtigt. Als Test habe ich einen AD-User genommen und als Absendeadresse die info@meine-domain.de auf dem Webserver mit Port25 und dem Server eingetragen. Testweise wollte ich per Telnet eine Mail per auth login versenden, erhalte aber immer eine 504 5.7.4 Unrecognized authentication type.

Ich habe die Auth im Connector mal nur auf Standardauth ohne TLS gestellt, aber der Fehler kommt immer wieder. Port 25 und 587 ist in der FW freigegeben.

Nun komme ich nicht weiter, Ideen?

Bestens, dann vielen Dank für die Klärun und ich warte mal auf die korrekte Schaltung ;) Der obige Fehler bzgl. keine Mails an die 3Buchstaben Mailer rührt doch daher oder muss ich nach Installation noch etwas extra einstellen? Ich bin "alle" Einstellungen durch, fand aber nichts auffallendes. Mails gehen auch rein und werden von einem anderen öffentlichen Mailserver auch empfangen.

Kurze Rückmeldung -> es klappt ;) Vielen Dank hierfür.

Hi,

also wenn ich die static IP vom Büro nehme, dann leider keine Antwort - ok also hier mit dem ISP reden und ihm den fqdn nennen, oder? SPF habe ich hier nur der Vollständigkeit halber genannt. D.h. heißt aber das nicht Strato den korrekten PTR setzen muss, sondern der ISP fürs Büro?

Hallo Günther,

und vielen Dank für deine schnelle Antwort, denn das Thema ist natürlich akkut. Was ich da noch etwas verwirrend finde ist folgendes:

- domain.de ist bei Strato und verweist auf www, hier dann auch mit der IP von Strato

- wie oben besprochen habe ich dort eine Subdomain sub1.domain.de angelegt

-- hier dann den mx von domain.de auf sub.domain.de des sbs2011 gelegt

-- hier einen spf auf all für den sbs2011 gesetzt

- in der sub1.domain.de ist der a-rec auf die ip des sbs2011 gestzt

- der mx auf die sub1.domain.de

und der spf auf all von sub1.

die Frage wäre nun wird beim Mailversand die domain.de reverse aufgelöst oder die sub1.domain.de <- erstes wäre dann ein Thema von Strato 2. dann von dem isp für die sub1 soweit mein Verständnis

Moin,

so die Umstellung wie von euch empfohlen ist durch. Allerdings gehen Mails an gmx, web etc. nicht raus und werden mit einem 554 invalid DNS PTR resource record geblockt. Ich habe schon etwas im Netz gesucht und denke es ist der Reverseeintrag der von Strato nicht korrekt gesetzt ist. Wenn ich die meine-domain.de auflöse ist die IP von Strato ok, löse ich diese dann auf erhalte ich nur ein static.IP.clients.your-server.de <- also eigentlich Müll, oder? Ich frage nur, weil ich die Gewissheit von den Exp. haben möchte, oder ob ich da falsch liege. Ich habe zztl. bereits den SPF, wie von MS empfohlen auf all gesetzt.

Hey Norbert,

alles ist gut ich spüre eine leichte Aggression auf deiner Seite - umarm mal bitte kurz den nächsten Baum in deiner Nähe <- Joke. Ok habe ich verstanden und ist mir insofern auch alles klar. Dann möchte ich auch kein Wenn und Aber mehr bringen, ist war halt ein neues Thema für mich, sodass ich lieber nachfrage und auf den Punkt kläre.

Ach bevor ich es vergesse, dass führt mich zu den Punkt der Installation. Günther schrieb ja bereits, dass er den öffentl. Dom und den int. Dom nicht gleichsetzen würde. Was bedeutet dies nun für die Installation? Einfach den .local? Was muss dann mit den Zerts die ja auf meine-dom.de laufen müsten gemacht?

Immer der Bagger. Dieses Argument ist genauso alt wie falsch. Der Sender wird weitere Zustellversuche unternehmen und fertig. Notfalls erhält er nen NDR. Ein popconnector wird mit sehr hoher Wahrscheinlichkeit schneller und mehr Probleme verursachen. Leider glaubt die popconnectorfraktion das nur selten. Da es die Diskussion neulich hier erst gab...

http://www.mcseboard.de/topic/193349-warum-popcon-und-andere-pop3-connectoren-keine-dreck-sind-und-ab-morgen-keine-ken-avira-updates/

 

Glaubst du ernsthaft, dass auf der Welt alle ne redundante Internet Leitung haben, die im übrigen so problemlos auch nicht ist, und alle anderen nen popconnector benutzen? Komische Weltanschauung. ;)

 

Bye

Norbert

 

Ps: bitte nicht noch das Argument mit dem Millionenauflage per Mail, der einem wegen des Baggers entgehen wird. ;)

LoL - nein glaube ich nicht und auch die Problematik mit den POP3 Connektoren ist mir bekannt. Allerdings, soweit ich grade weiß - nach RFC oder so, werden die Zustellungen nur max 2 Tage versucht. Mir geht es halt darum Best Practice anzuwenden. Und um einen möglichen Verlust von Mails vorzubeugen. Während der SBS zum Bsp. mal gewartet werden muss und durchstartet oder für ein paar Stunden offline sein kann ist dies im RZ seltener der Fall. Aber wir diskutieren hier ja darüber insofern lasse ich mich gerne überzeugen...

Wie Norbert und Sunny61 geschrieben haben. Es ist wesentlich sinnvoller, dass der Absender eine Benachrichtigung erhält, dass der Empfänger nicht erreichbar ist. Ansonsten ist er der Meinung, dass die Mail zugesteltt wurde, der Empfänger aber nicht daran interessiert ist ihm zu antworten.

 

Und sei dir sicher, der Bagger tritt wesentlich weniger oft auf, als ein Fehler des POP3 Connectors ;)

 

LG Günther

;) Ich glaube wir sind uns einig, dass "der Bagger" nur ein Bsp. ist und es auch zu anderen Störungen, die ggf. nicht planbar sind, kommen kann. Zum Postboten könnte ich jetzt schreiben, dass es, siehe Presse, immer Postboten gab/gibt die dir deine Post nicht zustellen, selber öffnen, verstecken weil kein Bock oder gleich verbrennen. ;) In meinem Fall ist es halt so, dass der SBS2003 gute Dienste geleistet hat und das seit über 6 Jahren und immer mit einem POP3 Connector. Da der SBS20011 nun weiterentwickelt ist und ein anderes Prinzip verfolgt, entstand diese Diskussion.

Also halte ich fest: Wenn möglich dann:

1) feste IP

2) Mails direkt vom SBS senden als auch empfangen

3) somit beim ISP den mx und srv, ptr, cname auf den SBS setzen

4) den www beim ISP auf den Webserver <- reicht das???

5) die DNS Konfiguration des SBS wäre dann "default" also er selber Fragt seinen ISP DNS ab und leitet an die Clients weiter oder ändert sich heir auch etwas? Er selber soll ja kein öffentlicher DNS werden und die öffentliche IP hat ja der Router nicht der SBS <- richtig

sorry wenn ich so viel Frage, aber a) ist SBS2011 neu und b) konfiguriere ich diese Dinge nicht am laufenden Band ;) und danke für eure Infos

Nabend,

wenn ich den SBS2011 direkt aus dem Büro für das versenden und empfängen von Mails nehme, dann besteht doch das Riskiko, dass Mails durch z.B. eine gekappte Leitung (Bauarbeiten) ggf. nicht zugestellt werden können. Was ich sagen will ist, dass eine entspr. Backuppleitung, Server etc. vorhanden sein sollte um so etwas abzufangen, was beim ISP im RZ ggf. reduntanter ausgelegt ist, oder siehst du das nicht so? Klar wäre dies die einfachste Lösung. mx und srv auf die feste IP müsste da reichen, oder?

Ok der PTR, also Reverseeintrag wird bzgl. der Abfrage des versendenden Mailserver, also des SBS gebraucht, oder?

Hallo,

ich habe nun mal direkt mit dem ISP gesprochen und eine feste IP ist möglich ;). Das heißt wie ist die Situation nun? Den Mailserver des ISP würde ich schon gerne nutzen, da dieser "garantierter" 24/7 Online ist, oder spricht etwas dagegen? Ich habe jetzt eingie Beiträge und Infos gelesen, aber irgendwie haben die mich nur noch mehr verwirrt. Theoretisch könnte ich mit dem SBS selber senden, wenn er einen SRV im DNS des ISPs hat, oder? <- würde ich wohl eher nciht machen und lieber alles über den ISP abwickeln, (smarthost) oder ist das nicht üblich?

Demnach wäre das Vorgehen so !??:

1. feste IP konfigurieren lassen

2. der mx bleibt auf dem Servernamen des ISP beim ISP

3. ebenso der www Eintrag die IP des ISP Hosts hat

4. ISP legt eine Subdomain z.b."office.meine-domain.de" an und den SRV mit der IP des Anschlusses aus dem office MX ist der vom ISP

bin verwirrt?

Wenn ich selber senden und empfangen würde, dann wäre es klar - srv bzw cname und mx wären die mit der festen IP und www der vom ISP, oder nicht ?

Bitte um Entwirrung...

Ja ist mir klar, wollte ich oben auch nicht weiter drauf eingehen, da eh ein kompletter Wechsel von Hardware und SBS ansteht und ich hier die Neuinstallation als "einfacher" erachte, aber danke für die Info. Mir gehts um das aktuelle Konstrukt und die "neuen" Vorgaben / Einschränkungen bzw. Technik beim SBS2011.

Hallo Günther,

bzgl. .local hast du Recht, es ist im Installer wohl nicht möglich, aber mittels Antwortdatei, soweit ich las. Danke für den Link. Dazu die Frage, wenn ich nun das Konstrukt wie oben beschrieben habe:

Domain für Web und eigentlichen Maileingang beim ISP meine-dom.de

Domein fürs lokale Netz intra.local

Mail von Intern nach Extern über ISP und meine-dom.de per SMTP auth.

Mail von Extern an ISP mit meine-dom.de und Abholung mittels POP

, dann sollte dies doch weiterhin gehen, oder? Und du schreibst dass die Zertifikate automatisch mit *.dynip.de erstellt werden, jedoch im Exchange geändert werden müssen. Da dies ja nun keine Maildomain ist müssen sie wohl geändert werden, dh. ich müsste sie auf meine-dom.de ändern? Bietet sich nicht gleich an die Dom ext sowie int gleich zu benennen?