Forseti2003

Die Mitarbeiter-Sensibilisierung läuft permanent, aber genau mit derartigen Mailadressen hab ich so mein Problem. "Copier" "Orders" "No-Reply" - alles mit der eigenen Domain versehen, wir hatten vor zwei Wochen auch SPAM der sich als Scannmail vom Hersteller SHARP ausgegeben hat, genau solche Scanner haben wir auch, aber nie auf Mailversand eingestellt, aber die Unsicherheit ist dann schon recht hoch. Dachte aber das beim Spoofing der Exchange-Server prüft ob der absender Server überhaupt für die Domain berechtigt ist und dann entsprechend ablehnt, ist ja schließlich seine eigene Domain die er da gerade untergejubelt bekommt. Auch das die Absenderadresse nicht bei ihm geführt ist, wäre ein klarer Hinweis, das da was nicht stimmt.

Hallo in die Runde, hab seit einigen Tagen ein recht merkwürdiges Problem. Ich erhalte in diversen Postfächern Mails aus meiner (angeblich) eigenen Domain. Diese Absenderadressen exisitieren aber nicht. Beispielsweise orders@meine.domain.de. Im Ereignislog meines Spam-Gateway wird der Eintrag so aufgeführt: 09.02.2016 16:54:24 [sPAM] RE: unpaid order orders@meine.domain.de meineMail@meine.domain.de 108.47.155.2 2,9 Die letzten beiden Werte sind die IP-Adresse des absendenden Mailserver und die 2,9 für das Scoring des SPAM-Filters. Der SPAM-Bericht wirft folgende Bewertung aus: Spam-Bericht * 0.4 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL * [108.47.155.2 listed in zen.spamhaus.org] * 1.0 OBFU_DOC_ATTACH BODY: MS Document attachment with generic MIME type * -0.0 BAYES_40 BODY: Bayes spam probability is 20 to 40% * [score: 0.3472] * 1.6 XPRIO Has X-Priority header Soweit so gut, am Exchange-Server selbst (ein 2013) sind folgende Einträge unter SenderIDConfig gesetzt: SpoofedDomainAction: Reject TempErrorAction: StampStatus BypassedRecipients: {} BypassedSenderDomains: {} Enabled: True ExternalMailEnabled: True InternalMailEnabled: False Müsste nun nicht der Transportdienst bei Eingang dieser Mail feststellen, das der Absender gar nicht stimmen kann und diese komplett verwerfen? Oder hab ich da einen Gedankenfehler? Kleiner Nachtrag, im Header der Mail stehen folgende Kommentare vom Exchangeserver: Return-Path: orders@meine.domain.de X-MS-Exchange-Organization-PRD: meine.domain.de X-MS-Exchange-Organization-SenderIdResult: None Received-SPF: None (Mail.meine.domain.de: orders@meine.domain.de does not designate permitted sender hosts) X-MS-Exchange-Organization-Network-Message-Id: 80574b59-9375-4e0f-81a6-08d3316945d9 X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0 X-MS-Exchange-Organization-AuthSource: Mail.meine.domain.de X-MS-Exchange-Organization-AuthAs: Anonymous Also obwohl er den Mailserver auf der anderen Seite, als externen Mailserver ansieht, sagt er bei Received-SPF: none - als wenn er nicht merken würde, dass das nicht sein kann. Grüße Forseti

Hallo Reingucker, meld mich dazu extrem spät, aber das ist ja nicht direkt mein Problem. Der RDWeb-Access funktioniert und wenn das Passwort abläuft, kann ich über RDWeb-Access auch ganz normal das Passwort erneuern. Der Beitrag von RDSGuru dazu ist korrekt, man muss im RDWeb-Access die Einstellung dazu manuell setzen. Mir geht es aber darum die MSTSC-Datei/RDP-Datei zu nutzen. Sprich der User hat auf dem Desktop seine RDP-Datei (Terminal) die verweist auf den FQDN des Sessionbrokers. Soweit klappt alles, sobald aber das Passwort abgelaufen ist und ich mich nun morgens am RDHost anmelden will, erscheint der Windows-Sicherheit Dialog und sagt nur lapidar "Der Anmeldeversuch ist fehlgeschlagen". Wenn ich nun die FQDN auf IP-Adresse stelle, erhalte ich zwar eine bessere Fehlermeldung "Kennwort abgelaufen, bitte erneuern" - aber ich erhalte nicht die Möglichkeit das Kennwort dort zu ändern. Auch werde ich nicht, wie früher direkt auf den Server geleitet wo ich dann mein Kennwort eintrage, da ich ja bereits das Credential-Prompt unter Win7 angezeigt bekomme (auch bei Win8.1 und Win10 identisch). Alle PC's sind zwar keine Domänenmitglieder, aber das sollte ja nicht das Ding sein, würde ich XP oder Linux einsetzen, kann ich mich ganz normal am System anmelden und auch das Kennwort ändern. In der RDP-Datei hab ich die Option prompt for credentials on client von 1 auf 0 gesetzt - aber auch das zeigt keine Wirkung. Kennt jemand das Problem und wie wurde es gelöst? Grüße Forseti

Richtig, drum steht da auch "prinzipiell", also das es möglich ist, verbunden mit dem Hinweis mit was. Sollte er nämlich die Absicht haben, diesen Weg weiterzuverfolgen, kann er sich Gedanken machen ob er dann auch in entsprechende Hardware investiert oder nicht und dann einen anderen Weg geht.

Klar, wenn Du keinen passenden Treiber hast, geht es eh nicht, egal ob Server oder anderes OS. Aber beim Printserver wird eben nicht der Drucker durch den RDP-Client geschliffen sondern direkt am WTS verbunden, insofern bringt es was, wenn ein Treiber verfügbar ist.

oder einen lanfähigen Drucker an den Printserver anklemmen ;-)

bedingt, kommt halt auf den NAS selbst an. Wir nutzen bei uns einen QNAP TVS-1271U-RP und lagern darauf einiges an Dateien aus. Haben sogar mal hier und da ganze Server zeitweise darauf ausgelagert zwecks Wartungsarbeiten. Also rein prinzipiell ist es machbar und muss nicht zwangsläufig ein Performance Problem sein.

Hallo in die Runde, mal eine kleine Frage, schätze das es nur ein Einstellungsproblem ist. Habe eine RD-Collection mittels 2012R2, 4 Hosts, 1 Sessionbroker, 2 DC. Wenn ich mich nun von einem Client anmelde (Windows7/8/10 kein Domänenmitglied) - die Anmeldung erfolgt über die Datei die im RDWeb-Access abgerufen werden kann (lokal auf dem PC gespeichert) - und das Passwort des jeweiligen Benutzers ist abgelaufen, erhalte ich die Meldung "Anmeldung fehlgeschlagen" - er leitet mich aber nicht an das Fenster weiter um das Kennwort neu einzutragen. In der RD-Sammlung steht Aushandeln und Clientkompatibel drin, der Haken bei Netzwerk fehlt. Wenn ich mittels OWA mich anmelde, kann icih das Kennwort ändern und danach ganz normal die Session starten, es müsste doch aber auch möglich sein, entweder den lokalen Anmeldedialog zu nutzen oder ohne lokalen Anmeldedialog direkt auf den Server sich anzumelden - von dort aus kann ich nämlich das Kennwort ändern, wenn ich nicht die RDWeb-Access-RDP Datei nutze sondern einfach eine normale mstsc Verbindung starte. Vorab schon Danke für eure Hilfe Grüße Forseti

Hast Du mal von allen Einheiten einen Ping auf die Datenbank und den Domaincontroller gemacht? Erhälst Du in jedem Fall immer auch den FQDN sauber zurückgemeldet?

Guten Morgen in die Runde, mal eine Frage zur Funktion des "Schatten" bzw. der Sitzungsspiegelung. Habe mehrere Terminalserver im Einsatz und öffne öfters mal einen Spiegel zu einer Benutzersitzung. Dabei fällt mir aber auf, das ein Server sofort mit der Fehlermeldung: Spiegelungsfehler Die angegebene Sitzung ist nicht verbunden Die Spiegelung starte ich über den Server-Manager - wo die RDS-Sammlung aufgeführt ist (bei anderen Servern klappt dies auch) Im Ereignislog wird dazu weder am WTS noch am ConnectionBroker angezeigt. Nun zur Frage, kennt jemand so ein Verhalten? Grüße Forseti

JA, den Beitrag hab ich gelesen - hat mir auch gestern bereits bei der Arbeit ein wenig geholfen und nein, es wurde kein Snapshot aus der VM genutzt. Hab ja mal bereits in der Vergangenheit gelesen, das Snapshots für Exchange Gift sein sollen und daher nie einen angelegt, sondern nutze die Windows Server Sicherung für Exchange und erstelle täglich damit ein Image. Wir haben im Prinzip eine leere neue VM erstellt und das Sicherungslaufwerk beim installieren angebunden, dadurch wurde der Exchange auf diesen Zustand gesetzt. Dauer bei rund 210 GByte Volumen knapp 45 Minuten. Ich gehe aber davon aus, das sich das ähnlich auswirkt, wie ein Snapshot, der Server ist ja nach Herstellung dann wieder auf CU6, während das AD die Informationen durch das Setup der CU8 bekommen hatte. Aber wie gesagt, nach einem Setup /PrepareAD und einem Testlauf durch DCDiag lief es dann wieder. Kurios ist nur, das mir auch gestern von Technikern erklärt wurde, das man mittels VM und Snapshot das machen kann, ich hatte dann dazu die Bedenken geäußert, wie Du und NorbertFe ja auch gemacht haben, aber man sagte, das wäre kein Problem (heißt aber ja nicht, das es supportet ist).

Hallo Datmox, danke - haben wir bereits gestern vormittag veranlasst und einen Dienstleister gefunden, der uns betreut. Ergebnis war, das wir dann erstmal eine Sicherung wiederhergestellt haben um den Zustand vom Samstag herzustellen. Das hat soweit auch gut funktioniert und Dienste wie OWA und ECP waren dann wieder erreichbar. Einzig die Transportrolle läuft nicht sauber (sehe aber, das es hierzu auch bereits einen Beitrag mit Routing 5016 gibt, scheinbar bin ich nicht der Einzigste) - hierzu haben wir bei MS nun ein Ticket eröffnet, damit geprüft werden kann, was das Problem auslöst. Update: Der Versand und Empfang von Mails läuft nun auch wieder, der Fehler Routing 5016 ist soweit behoben. Lösung war ein Setup /PrepareAD und anschließend ein DCDIAG - danach konnte die Transportrolle sich im AD wieder anmelden. Nur noch das Autodiscover von Outlook zickt rum, aber Hauptsache Mails laufen wieder sauber.

wie führ ich den eine neue Web-Config aus? Probieren kann ich es ja noch Ne, glaub geht nicht mehr. So wie es aussieht, reagiert der IIS überhaupt in keiner vernünftigen Art und Weise mehr. Vermutlich hat sich der abgeschossen. Kann man den einfach neu aufsetzen? Oder doch lieber gleich den ganzen Server mittels Backup neu aufsetzen? - oder evtl. die Recovery-Methode auf einer neuen Kiste probieren, was wäre der schnellste Weg?

Firewall ausgeschaltet, auch lokal auf der Maschine selbes Problem. Eventuell hat es irgendwas am IIS zerschossen? Die Systemwiederherstellung sollte in ein paar Minuten durch sein, dann müsste auch der IIS auf seinem alten Status sein. Der Montag fängt nicht gut an. Stop, kein blanker Screen, hier erhalte ich folgende Info: HTTP-Fehler 500.24 Internal Server Error Wahrscheinlichste Ursachen:"system.web/identity@impersonate" ist auf "true" festgelegt. Mögliche Vorgehensweise: Wenn die Anwendung dies unterstützt, deaktivieren Sie Clientidentitätswechsel. Wenn Sie sicher sind, dass dieser Fehler ignoriert werden kann, lässt sich das Feature deaktivieren, indem "system.webServer/validation@validateIntegratedModeConfiguration" auf "false" festgelegt wird. Verschieben Sie diese Anwendung mithilfe des klassischen .NET-Modus in einen Anwendungspool. Beispiel: %SystemRoot%\system32\inetsrv\appcmd set app "Default Web Site/" /applicationPool:"Classic .NET AppPool" (Sie können "Classic .NET AppPool" auf den Namen eines anderen Anwendungspools festlegen, der im klassischen, verwalteten Piplinemodus ausgeführt wird.) Detaillierte Fehlerinformationen: Modul ConfigurationValidationModule Benachrichtigung BeginRequest Handler ExtensionlessUrlHandler-Integrated-4.0 Fehlercode 0x80070032 Angeforderte URL https://owa.DOMAIN.local:443/ Physischer Pfad C:\inetpub\wwwroot Anmeldemethode Noch unbestimmt Benutzeranmeldung Noch unbestimmt Hm, ich glaub mal fast, das mein Wiederherstellungsversuch nicht klappt - genaues weiss ich in ca. 10 Minuten. Gibt es aber hier jemanden unter uns, der mit Exchange hauptberuflich arbeitet - wenn ja, bitte melden, auch wenn es Kostenpflichtig wäre - Vorrangig wäre mir jetzt erstmal, das der Server wieder sauber mit Outlook spricht, der Mailempfang, das kann ich am Spamgateway sehen, läuft soweit ganz regulär. Wie befürchtet, die Systemwiederherstellung hat keinen Erfolg gebracht selbes Problem wie bisher. Ich geh jetzt mal auf den Recoverymodus im Setup - muss ich da noch was beachten, oder kann ich den einfach so ausführen? Der Schalter /M:RecoveryServer bricht ab. Führt mich aktuell auch nicht weiter.

Nein kein C64 - auf dem würde ja sich der Windows Server 2012 R2 nicht installieren lassen - frag mich nicht wieso es so lange dauert - wobei ich scheinbar nicht der einzige bin, der bei einem Update mal länger als 5 Minuten dran sitzt. Die Ereignislogs zeigen aktuell viele reguläre Einträge an, meist Informationen Ereignis-ID 16028 MSExchangeFrontEndTransport, MSEXchangeTransportDelievery. Wenn ich OWA oder ECP starte dann ist da auch einfach nur der Browser leer - blanke Seite. Bei Outlook frägt er nach einem Profil, da scheint er das bestehende nicht zu finden. Unter System-Log hab ich einen Fehler, der öfters auftritt, der lautet Schannell ID 36888: Es wurde eine schwerwiegende Warnung generiert und an den Remoteendpunkt gesendet. Dies kann dazu führen, dass die Verbindung beendet wird. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 10. Der Windows-SChannel-Fehlerstatus lautet: 1203. Das Exchange Setup-Log ist leer, gibt nur im Migration-Log zwei Eintragungen.

@NobbyausHB: Das Update selbst hat zwar rund 16 Stunden gedauert, aber sonst nichts außergewöhnliches. @NorbertFe: Den Recoverserver? Ist das ein Befehl für den Exchange oder meinst Du jetzt nur die normale Sicherungswiederherstellung? Ah seh gerade, Du meinst Setup /m:RecoverServer /IAcceptExchangeServerLicenseTerms - hm, mit dem CU6 oder CU8 durchführen??

Dienste waren alle gestarter, hatte auch nochmal sicherheitshalber einen Serverneustart gemacht. Aber da war nichts auffälliges. Hm, hab gedacht CU8 wäre das aktuell gültige, sollte aber ja nicht das Hauptproblem sein, hoffe ich. In die DB selbst sind keine wirklichen Daten zwischen Sa/So gekommen, Datenverlust wäre daher nicht das Problem selbst.

Morgen, folgendes Problem: Exchange 2013 CU6 wurde übers Wochenende auf CU8 hochgesetzt. Nachdem Update Server neugestartet und es geht weder OWA, noch Outlook oder ECP. Ich würde jetzt am besten einfach auf den Stand am Samstag mittels Sicherung und Wiederherstellung zurückstellen. In der Auswahl bin ich auf Anwendung: Exchange gegangen - reicht das aus oder muss ich evtl. noch was beachten? Grüße Forseti

Stimmt, da war ja was ;-) - naja im ersten Anwendungsfall wäre es aber noch eine Alternative, außer er setzt halt weitere Server wie den Oracle-DB dazu. Wobei, er könnte ja eine vmware ESXi nutzen, darauf den Essentials laufen lassen und die Oracle-DB über Linux betreiben, mit Linux läuft die Oracle im Regelfall besser.

Frage am Rande, wieso nicht einen Windows Server Foundation oder Essential nutzen - vereint die gängigen Dienste unter sich und wird von Seiten MS für unter 15 User gern beworben. In dem Fall hätte ein Server die Foundation und der zweite dann die Oracle-DB. Sofern die Oracle-DB nicht groß genutzt wird und nur einen kleinen Datenbestand hast, kannst Du damit gut arbeiten. Sollte die DB aber mal über 50 GB anwachsen und mehr als nur 6 User darauf arbeiten, musst Du auf das Festplattendesign gut achten, gerade im Hinblick auf die Usr.dbf und REDO-Log Dateien.

Hab das gleiche Problem auch bei Windows Server 2012 R2 - erhalte hier aber die EventID 4098 als Rückmeldung, mit dem Verweis das der Drucker nicht vorhanden sein soll, bzw. der Drucktreiber nicht zur Verfügung stehen würde. Wie bei Dir, werden alle Drucker über einen Printserver zur Verfügung gestellt (Drucktreiber v3-Modelle) und mittels GPO (pro OU) verteilt. Betroffene User erhalten dann entweder gar keinen Drucker oder nur einen Teil - meist fehlt aber der Standarddrucker. Wir haben dann auf dem Desktop eine BAT eingerichtet damit der Anwender ein gpupdate /force durchführen kann, was zumindest meist alle Drucker dann zur Verfügung stellt und er aber manuell den Standarddrucker wieder verlinken muss. Aber ansonsten bin ich ungefähr genauso ratlos bei dem Problem, wie Du.

hm, guter Einwand. Okay ich werd mich mal mit ipv6 näher beschäftigen ;-)

Den WSUS würd ich auch nicht wirklich sichern wollen. Wenn komplett eingerichtet dürfte eine Kopie der VM komplett reichen, bei nachträglicher Aktivierung wird er über Synchronisation eh wieder alles auffrischen was fehlt - das kostet bis dahin ja noch kein Download und nun einfach die "Erforderlichen" Patches weiterabarbeiten. Der WSUS zieht ja nur die "Genehmigten" Patches vom Internet, also Bandbreitenproblem sollte ich sich da nicht anders zeigen, als im laufenden Betrieb.

Setz die GPO WSUS ganz nach oben unterhalb Deiner Domäne (da liegt auch meist die Default DomainPolicy). Damit wirkt die GPO auf alles, was unterhalb oder auf gleicher Höhe liegt. Mittels Gruppe filterst Du ja nur, wer dann darauf zugreifen, aber nicht, wer die GPO sehen kann. Danach sollten die Clients die GPO WSUS sehen können und, sofern mittels Gruppe oder WMI-Filter gesetzt auch anwenden können. Je nachdem auch noch ein gpupdate /force setzen. Dann wird das schneller umgesetzt.

Naja, generell würd ich nun nicht sagen. Aber warum soll ich die IPv6 aktiv lassen, wenn die Firewall eh nur auf IPv4 reagiert und somit nichts anderes rein- und rauslässt?