Dukel

Theoretisch kann auch HW befallen werden. Es gab wohl schon Maleware, welche sich im Bios eingenistet hat.

Außerdem kann ja eine bestimmte Hardware, die man dann austauschen sollte bzw. sauber konfiguriert werden sollte, das Einfallstor gewesen sein.

Vielleicht hilft dir folgender Link:

https://www.codetwo.com/admins-blog/how-to-prevent-internal-email-spoofing-in-exchange/

Diverse Recovery Tools, Externer Datenrettungs DL.

Letzteres ist empfehlenswert, da man sonst mehr kaputt machen kann.

Wieso installierst du den Lic. Server auf dem DC und nicht auf dem Terminalserver?

Hier wäre dann alles 2019 (Broker, RDS Host & Lic. Server)!

Ist das entsprechende Audit Log aktiviert?

Ich meine, per Default, ist das nicht erlaubt, wenn es den Account administrator@deinedomain.de gibt, dass jeder mit dieser Adresse schicken darf.

Hier greifen die Exchange Berechtigungen.

Kurzes Googlen:

https://www.security-insider.de/azure-ad-anwendungsproxy-fuer-die-sichere-bereitstellung-von-webapps-a-1116308/

Hilft das?

vor 2 Minuten schrieb wznutzer:

• Aufteilung der Server in Tier 0 - 2. Zusätzlich habe ich innerhalb eines Tiers noch teilweise nach Funktionen getrennt.
• Schwachpunkt ist der Adminrechner, aber auf diesem gibt es kein Internet und auch keine Emails.

Hast du pro Tier eigene Adminrechner / Sprungserver? oder einer für alle Tiers?

Sind die Adminrechner besonders abgesichert? 2FA? Credential Guard? Bitlocker? ...

Zitat

Customer may reassign any of its Licenses to any of its Licensed Servers located within the same Server Farm as often as needed. Customer may also reassign these Licenses from one Server Farm to another, but not on a short-term basis (i.e., not within 90 days of the last assignment).

Für mich klingt das so, dass (Automatisches HA) möglich ist innerhalb des selben Clusters, aber nicht zu anderen Clustern (hier gilt dann die 90 Tage Regelung).

Wichtig ist, dass es eine Zeitquelle gibt.

Wieso sollten die Clients (und andere) nur von einem DC die Zeit erhalten? Wieso nicht von allen?

Wieso die Firewall von extern und nicht von intern?

Wie sieht es generell mit SQL Verbindungen vom Client aus? Merkt man z.B. vom SSMS einen unterschied ob dieser auf dem Client oder Server gestartet wird?

Tipp dafür:

Set-MailboxDatabase -IsExcludedFromProvisioning:$true

So ein minimales Script braucht man nicht suchen, das geht aus dem Handgelenk:

$user = Get-ADUser username -Properties mail # Wenn es genauer sein soll, sollte man proxyAddresses nutzen, muss dies aber extra parsen!
if($user.mail -eq $user.UserPrincipalName){"ok"}else{"bad"}

# Geht auch in einer Schleife für alle Nutzer
  
foreach($user in Get-ADUser -Properties mail -Filter '*'){
  if($user.mail -eq $user.UserPrincipalName){
    "ok: $($user.SamAccountName)"
  }else{
    "bad: $($user.SamAccountName)"
  } 
}

vor 19 Minuten schrieb NorbertFe:

Ein Backup ist ein Backup und kein Archiv. Wenn du also bei Exchange eine Datenbanksicherung machst, ist das eine Datenbanksicherung und keine Postfachsicherung. Wenn du Postfachsicherungen "einzeln" durchführen kannst und willst muss das deine Software entsprechend unterstützen. Das liefe dann auf ein "früher so genanntes" Bricklevel Backup hinaus, bei dem man dann die Postfächer an- bzw. abhakt, die man sichern oder nicht sichern möchte. Das ist aber aus Sicht von Exchange KEINE Datensicherung, sondern nur ein Export. Dabei werden keine Logfiles bereinigt usw. usf.

Veeam arbeitet hier anders. Hier wird der komplette Server (incl. der DB) gesichert und bei einem Single Item Restore wird das Backup gemountet (bei Exchange wird die DB gemountet) und man greift darauf zu und kann Postfächer oder einzelne Elemente restoren oder exportieren. Dafür ist kein Bricklevel Backup notwendig.

@Scorp1337

Man könnte das entsprechende Postfach in eine eigene DB auslagern (nicht vergessen, diese DB dann nicht für andere Postfächer nutzbar machen). Diese kann man dann im Backup ausnehmen.

Entweder diese DB in ein eigenes Laufwerk (und dieses ausnehmen) oder wie folgt:

https://helpcenter.veeam.com/docs/backup/vsphere/backup_job_vss_exclude.html?ver=120

Testen kannst du es schon mit einzelnen Cloud Usern. Aber ob das so sinnvoll ist kann ich dir nicht sagen.

Im Betrieb möchte man auf jeden Fall einen Sync und keine zwei unterschiedliche (AD und Cloud) Accounts.

Es kommt auch auf das Ziel an. Möchte man langfristig komplett Cloud Only? Möchte man Hybrid bleiben?

Um die Verwirrung aufzulösen hilft dir ein DL.

Ich würde auch empfehlen einen DL dazuzuholen. Auf jeden Fall möchtest du die Benutzer nicht manuell anlegen sondern synchronisieren!

vor 3 Stunden schrieb magicpeter:

OK, was ist denn wenn die Internet-Verbindung zwischendurch einmal unterbrochen wird? Startet dann der Upload der großen Datei 2,15 TB von vorne oder werden die Blöcke die gespeichert und dann dort weiter gemacht?

Das ist bei Veeam Dokumentiert:

https://helpcenter.veeam.com/docs/backup/vsphere/replica_resume_disconnect.html?ver=120

Wenn man an den Voraussetzungen nichts machen kann muss man initial halt Geduld haben.

Einfach den Copy Job laufen lassen und nach zwei Wochen ist es inital übertragen und es werden nur noch die Änderungen übertragen.

Evtl. gibt es bei AWS auch eine Send-In Möglichkeit. Man schickt einen Datenträger mit dem Backup und diese spielen die Daten in Ihrem RZ ein.

https://aws.amazon.com/blogs/aws/send-us-that-data/

Daher sollte man sich angewöhnen von Core-Lizenzen und nicht von Server-Lizenzen zu sprechen. Dann sollten solche Nachfragen obsolete sein.

Man möchte aber die GPOs auf den DC's haben. Aber im Central Store. Aber das geht zu weit OT.

Mit Sicherheitsupdates ja. Bei LTSC 2019 gibt es bis 2024 Funktions und Sicherheitsupdates und bis 2029 nur noch Sicherheitsupdates.

https://learn.microsoft.com/en-us/lifecycle/policies/fixed

Wenn es kein Extended Support gibt ist der Mainstream Support das Ende.

Ein Kunde verwaltet das (und vielen andere) mittels einem IDM Systems.

Bei den Gruppen kommt es darauf an, ob das für andere Applikationen schon sauber (Stichwort agdlp) umgesetzt ist und dann nur noch in diese Richtung erweitert werden muss.

Ich hatte selber sowas geschrieben. Download einer großen Datei (auf meinem eigenen Webspace!) und die Dauer in eine kleine DB geschrieben.

Das wird so nicht gehen.

Mit https://www.forensit.com/domain-migration.html kannst du dein vorhandenes Profil anpassen (ACL's) so dass du so gut wie nicht mehr (du wirst ggf. aus verschiedenen Tools oder Webseiten abgemeldet) anpassen musst.

EDIT: Wenn der SBS hochfährt muss man sich ja nicht anmelden. Hier ist die Frage, ob die Domäne / DNS erreichbar ist.

Dann kann man den neuen Server in die Domäne aufnehmen, zum zweiten DC machen und den SBS danach entfernen.