soulseeker

Wir haben im Moment Brocade 6750-Switche, die können das.

Mache ich auf jeden Fall, kann aber bis zur Entscheidung noch etwas dauern.

Ich danke euch für die Info. Wir haben uns noch nicht entschieden, aber der Gedanke ist uns heute gekommen. Ich frage dann bei den nächsten Gesprächen mal nach.

Viele Grüße
Marcel

Hallo zusammen,

ich habe mal eine etwas ungewöhnliche Frage. Wir planen, unsere komplette Switchlandschaft auszutauschen und auch die Campus-Switche werden dann auf 10Gbe aufgerüstet. Wir haben bei uns allerdings noch Industrie-Waagen stehen, die nur 10 Mbit können. Kann ein 10Gbit SFP+ Kupferport denn überhaupt 10 Mbit aushandeln? Oder brauche ich dafür dann ein Switch-Modell mit 1Gbit-Ports?

Danke, viele Grüße

Marcel

Zur Info - wir haben uns nach einer Testphase nun dazu entschieden, auf den NoSpamProxy zu setzen. Die Erkennungsrate ist spitze, wenig false positives, Konfiguration und Verwaltung gefallen mir ebenfalls sehr gut, ebenso der Ansatz ohne Quarantäne.

Grüße

Marcel

Wollte nur mal ne kurze Rückmeldung geben ... wie erwartet, hat sich das Problem durch die Entfernung der Childdomäne gelöst. Hat allerdings doch ne Weile gedauert, bis ich das endlich durchführen konnte ;).

Danke nochmal an alle! Ich schaue mir den NoSpamProxy mal näher an.

Grüße

Nospamproxy scheint ja wirklich ganz interessant zu sein, läuft aber "nur" unter Windows, wie es scheint.

Ich fände es eigentlich ganz gut, wenn man das System im Cluster (wie die sophos) laufen lassen könnte, ist hier aber wohl nicht vorgesehen. Aber unsere barracuda läuft als Hardware auch standalone.

Exchange als Edge betreiben, daran hatte ich gar nicht mehr gedacht, wäre auch eine Alternative, danke.

Quarantäne haben wir hier auch, die User können das auch selbst verwalten, aber nur Mails releasen, die unkritisch sind ... 

Greylisting habe ich momentan gar nicht laufen, das gab nur Beschwerden :(.

Hi zusammen,

ist es eigentlich hier erlaubt, nach Erfahrungen/Empfehlungen mit Antispam-Lösungen zu fragen? Falls nicht, sorry vorab.

Falls ja, wir nutzen derzeit eine barracuda-Antispam-Lösung, die allerdings fällig ist, sowie auch eine sophos UTM, die zwar noch Support hat, aber ich möchte den Service gerne separieren, da die UTM noch einige weitere Aufgaben hat.

Was könnt ihr so für einen on premises-Exchange-Cluster mit 1500-2000 Mailusern empfehlen? Ich bin mir noch nicht sicher, ob ich auf einen Cloudservice setzen, oder lieber eine Appliance hier laufen lassen möchte.

Bei der barracuda finde ich gut, dass die mir sämtliche Mails zwischenspeichert und ich dort schnell mal eine gelöschte Mail dort rauskratzen kann. Allerdings ist sie sehr träge und etwas undurchschaubar bei der Bedienung. Bei der sophos gefällt mir die Einfachheit der Bedienung und das Userportal, aber ich stoße immer mal wieder auf Schwierigkeiten, wie zuletzt bei der Erstellung von Wildcard-Ausnahmen. Außerdem wurde der Mailmanager schon zweimal durch ein Update komplett lahmgelegt, weil die Datenbank kaputt gegangen ist.,

Danke vorab und Grüße

Marcel

Vielen Dank für die Info ... :)

Hallo zusammen,

ich habe vor ca. 3 Jahren einen Exchange 2013-Cluster installiert mit zwei all-in-one-Nodes. Jetzt kommt das ganze etwas an seine Grenzen, vor allem, wenn wir mal einen Node zu Wartungszwecken deaktivieren. Daher möchte ich gerne einen dritten Node dazupacken.

Das ganze ist leider schon ne Weile her, daher hätte ich vorab ein paar Fragen. 

Ich würde jetzt einfach hergehen, und einen dritten Exchange Server aufsetzen mit der gleichen Struktur an Laufwerken und den notwendigen Netzwerkverbindungen, sowie einigen Plugins, die wir auf den anderen Servern nutzen (AV-Lösung und ein Signatur-Manager). Anschließend entweder über die GUI oder per Powershell dem DAG hinzufügen (https://docs.microsoft.com/de-de/exchange/high-availability/manage-ha/dag-memberships?view=exchserver-2019), anschließend dann auch im Loadbalancer.

Ist es ein Problem, bei dem neuen DAG-Member bereits ein neueres CU zu verwenden, als die vorhandenen? Ich würde ungerne die vorhandene Umgebung schon vorab hochpatchen, da wir dann eine Weile nur mit einem Node klarkommen müssten. Oder besser erst alles auf die gleiche Version?

Ist das hinzufügen eines weiteren Nodes grundsätzlich als unkritisch zu sehen, kann das auch im Betrieb erfolgen oder wird der Replikationstraffic dann ein Problem? Ich habe derzeit ca. 1500 Mailboxen mit maximal 500 GB.

Was kann dabei grundsätzlich so alles kaputtgehen? Ich weiß, etwas naive Frage - aber vielleicht gibt es ja Erfahrungswerte. 

Ich hätte sonst auch kein Problem, meinen Chef davon zu überzeugen, einen Dienstleister mit an Bord zu holen ... 

Danke vorab und viele Grüße

Marcel

Ok das klingt gut ... ich versuche das dann mal nächste Woche durchzuziehen ... müssen nur die User mitspielen.

Ich schreibe dann, was dabei rausgekommen ist.

VG

Marcel

Das Postfach ist ja schon gelöscht, verschwindet aber nicht aus der EMC ... der Eintrag selber lässt sich nicht mehr entfernen, Da steht dann in gelber Schrift eine Fehlermeldung, dass das objekt <GUID> auf dem dc "childDC" nicht mehr gefunden werden kann.

Ok, aber wie fange ich denn z.B. damit an, dieses unzugeordnete Postfach zu entfernen? Wenn ich weiß, wie das geht, dann kann ich loslegen (vorausgesetzt die paar User machen mir nicht doch noch nen Strich durch die Rechnung).

Würdest du denn nicht vorher die Postfächer aus der Childdomäne entfernen, einfach direkt die Domäne rauswerfen?

[kurze Frage nebenbei - wenn ich ein Postfach aus der EMC entfernen, ist es doch "hard deleted" inkl. Userobjekt, also kann nicht wieder verbunden werden, oder? Wenn ich nur den User entferne oder das Postfach trenne, ist das ja möglich]

War halt nur meine erste Vermutung, aber es ist ja so, dass die Subdomäne nicht mehr in den GC repliziert ... d.h. alles an Änderungen in der Childdomäne kommt hier nicht mehr an. Ich lösche nun ein Postfach der Childdomäne im Exchange, der User wird in der Childdomäne gelöscht, aber diese Änderung bekommt der Exchange nicht mit. 

Das gleiche wird vermutlich im größeren Maßstab passieren, wenn ich die Childdomäne ganz entferne.

Hmm, keine lingering objects ... aber trotzdem ein Geisterpostfach in der EMC. 

Gruß

Marcel

Ich wollte mal meine Erlebnisse zum besten geben ... 

Zunächst mal hat mich der MS-Support erst Tage nach Erstellung des Tickets angerufen und hat defacto nichts gemacht, außer erfolglos versucht, ein Kommando zum FSMO-rollen bestimmen einzugeben und "winver". Ereignisse hat er sich kaum angeschaut und Logs auch nicht gezogen. Nach Tagen kam dann nach "Rücksprache mit dem Exchange"-Team der Tipp, ich soll die Subdomain einfach löschen, das hat keinen Einfluss auf Exchange.

Ich habe in der Zwischenzeit mal eine ungenutzte Mailbox aus dem Exchange entfernt, das hat natürlich zu dem erwarteten Ergebnis geführt - die Mailbox und der AD-User sind weg, der Eintrag steht aber noch in der EMC mit der Meldung "Objekt mit der GUID xyz wurde nicht gefunden".

Ich bin begeistert, vor allem weil der Support jetzt nicht mehr reagiert. Das kenne ich eigentlich anders.

Ich habe jetzt mal versucht, "lingering objects" zu finden, bin aber nicht sicher, ob ich repadmin richtig verwende:

REPADMIN /removelingeringobjects <DNS-Name des “veralteten” DCs> <GUID eines “aktuellen” DCs> <Verzeichnispartition worin sich die veralteten
Objekte befinden> /Advisory_Mode.

<DNS-Name des veralteten DCs>= der DC in der child-dom

<GUID eines aktuellen DCs> = einer in der root

<NC> - hier hatte ich gedacht, das wäre der DN des Users-container in der child-Domäne wo sich der Eintrag befand, das führt aber zu:

DsReplicaVerifyObjectsW() ist fehlgeschlagen mit Status 8440 (0x20f8):
    Der für diesen Replikationsvorgang angegebene Namenskontext ist ungültig.

Ich brauche sie noch bis nächste Woche, danach mache ich sie platt ... immerhin habe ich trotzdem einiges dadurch über AD-Troubleshooting auffrischen können ... aber leider auch gemerkt, dass es bis zu einem gewissen Punkt zu riskant ist, ohne MS weiterzufummeln. Ich hoffe nur, dass ich das sobald nicht in einer wichtigen Domäne erleben darf.

Marcel

Mit den Rechten hat niemand herumgemacht (zumindest soweit mir bekannt) ... der Trust scheint laut diverser Tests auch ok zu sein.

Was mir nur noch einfällt - vor längerer Zeit gab es mal einen Storage-Ausfall und ich erinnere mich, dass dabei ein kaputter DC aus einem Snapshot-Backup wiederhergestellt wurde. Das hat natürlich zu Problemen geführt, daher hat man diesen DC danach entsorgt und einen neuen erstellt. Ich meine aber, dass danach augenscheinlich erst einmal alles ok zu sein schien.

Wie gesagt, in dieser Domäne passiert nicht viel ... Objekte werden dort nur ganz selten angelegt und wenn ich nicht einen User in eine andere OU verschoben und ein paar Eigenschaften angepasst hätte - wäre mir wohl noch länger nicht aufgefallen. 

Ein paar Versuche gebe ich mir noch ... ich betrachte das mal als Test für den Ernstfall, da wäre ich gerne vorbereitet :).

Hi Nils,

hatte ich übersehen, danke für den Hinweis.

Ich hätte wohl auch schon längst ein Ticket bei ms gezogen, aber das ist zum Glück eine subdomain, die keine große Rolle (mehr) spielt. Letztlich aber trotzdem unschön, einen Replikationsfehler in der Struktur zu haben, das stimmt. 

Die meisten Dinge aus diesem Artikel habe ich auch schon durch (DNS-Test, UAC, time, CheckSecurityError)

https://support.microsoft.com/en-us/help/2022387/active-directory-replication-error-8453-replication-access-was-denied

Viele Grüße

Marcel

Hallo zusammen,

wir nutzen 3 child Domänen und bei einer (zum Glück wenig genutzten und mit wenigen Änderungen) ist mir kürzlich aufgefallen, dass der Exchange (der in der root Domäne liegt), Änderungen aus der child-Domäne nicht mitbekommt (wenn man z.B. einen User in eine andere OU verschiebt).

repadmin /syncall /force zeigt dann diesen Fehler auch an:

SyncAll hat folgenden Fehler ermittelt:
Fehler beim Ausstellen der Replikation: 8453 (0x2105):
    Der Replikationszugriff wurde verweigert.
    Von: af95bac4-95f0-4a88-aed1-c1014b5d14be._msdcs.mydomain.de
    An : 22b34a03-d5f3-49da-8544-6d5584134bde._msdcs.mydomain.de

 mit repadmin /replsum sehe ich dann

Quell-DSA          Größtes Delta    Fehler/gesamt %%  Fehler
mysubdc2                14m:03s    3 /  17   17  (8442) Im Replikationssystem ist ein interner Fehler aufgetreten.

Ursprünglich hatte ich zwei DCs in der child Domäne und nur einer davon hatte diesen Fehler angezeigt. Also habe ich die FSMO-Rollen  übergeben, diesen DC entfernt, Metadata gecleant und danach ist der Fehler auf den zweiten DC "vererbt" worden.

Alles, was ich dazu online finde hilft mir leider nicht wirklich weiter ... im eventlog des directory services finde ich auch sonst keine Fehler und alle Tricks mit dcdiag und repadmin helfen leider auch nicht (https://www.windowspro.de/marcel-kueppers/check-liste-tools-konsistenz-active-directory-pruefen).

Ich habe die Site-Links auch schon gelöscht und neu erstellt (auch manuell), DNS geprüft (alles bestens) und der AD Troubleshooter zeigt auch nur 8442 an und als Source meinen child-DC und als Ziel die jeweiligen Targets in der root und den anderen childs.

Was mir noch aufgefallen ist - ich kann in allen child-Domänen alle Site-Settings als jeweiliger lokaler Domadmin löschen und neu erstellen ... in der Subdomäne mit dem Fehler klappt das nur mit den eigenen Sitelinks, nicht aber mit den anderen "sie sind nicht dazu berechtigt oder das Objekt ist schreibgeschützt usw". Ich finde momentan aber noch nicht die fehlende Berechtigung (falls es eine ist).

8453 erscheint als Fehler ja auch, wenn ich den Befehl in einer cmd ohne "als administrator" ausführe ... aber das ist hier natürlich der Fall.

Hat jemand evtl. noch einen goldenen Tipp für mich? Vielen Dank vorab :)

VG

Marcel

Hi@all,

habe die Lösung gefunden - der Scope enthielt einen Fehler - es war ein Ausnahmebereich ab 172.16.0 definiert, der Scope selber ging aber erst bei 172.16.1 los.

VG

Hallo zusammen,

mir ist folgendes, merkwürdiges Problem aufgefallen:

Seit ca. einem Jahr nutzen wir einen DHCP-Cluster mit mehreren Bereichen. Ein Knoten ist auf einem Hardware-Server, der andere virtualisiert. In einem Bereich (für Android und Windows CE-WLAN-Geräte) kommt es seit ein paar Wochen regelmäßig dazu, dass Geräte keine IP-Adresse erhalten. Dann finde ich im DHCP-Log z..B. diesen Eintrag:

15,07/10/19,19:59:06,NACK,129.7.92.2,,94FB290EC46F,,0,6,,,,,,,,,0

Betroffen sind immer eine Handvoll Geräte, das reicht aber aus, um das Log ordentlich wachsen zu lassen. Anfangs waren es nur Androids, jetzt kommen aber auch Windows CE-Geräte hinzu.

Temporär lösen kann ich das Problem auf zwei Wegen - sobald ich eine Reservierung festlege, funktioniert es sofort. Ansonsten muss ich den DHCP-Service auf dem langsameren Knoten kurz stoppen, dann bekommt dieses Gerät auch sofort seine IP.

Wir haben noch andere WLAN-Bereiche, in dem sich Iphones, Androids und Windows-Geräte befinden, da gibt es diese Probleme nicht. Auch die LAN-Bereiche haben keine Probleme.

Die WLAN-Controller sind für alle Bereiche im Bereich DHCP identisch konfiguriert, die Core-Switche für die entsprechenden VLANs + IP helper ebenfalls.

Macht es evtl. Sinn, die Failoverkonfiguration für den fehlerhaften Bereich einmal aufzuheben und neu zu setzen? Hat das evtl. negative Auswirkungen?

Danke + viele Grüße

Marcel

Hi@all,

mich würde mal interessieren, wie ihr so das Thema "DNS - dynamisches Update im LAN/WLAN" handhabt. Auch hier gibt es einige User, die permanent zwischen WLAN/LAN hin- und herwechseln oder beides aktiv haben. Da hinkt dann natürlich DNS gelegentlich mal hinterher, das macht dann die Remoteverwaltung der Clients gelegentlich mal nervig/schwierig.

Wir verteilen zur Zeit per DHCP den Suffix contoso.int und ich habe derzeit 1 Tag no-refresh, 7 Tage refresh bei einer DHCP-Leasezeit von 8 Tagen eingestellt. Die LAN-Client-Range steht derzeit noch auf dynamische DNS-Aktualisierung per DHCP, beim WLAN ist das aus, da sich sonst jede Menge Smartphones im DNS eintragen.

Ich habe in den letzten Tagen mal ein bisschen herumexperimentiert und zuletzt den Suffix wlan.contoso.int für die DHCP-WLAN-Range verteilt (+ eine DNS-Domäne angelegt), damit ich dann zwei DNS-Namen nutzen könnte. Das funktioniert unter Windows aber nur, wenn ich die Option "DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden" aktiviere ... und leider klappt das nachträglich nicht per GPO, da der Registry-Eintrag von einer GUID der NIC abhängt. Ich könnte es höchstens in unserem Referenzimage aktivieren, damit es für die Zukunft hinhaut. Interessanterweise sind die ganzen Androids und Iphones da "smarter", die tragen sich sofort brav in die wlan-Subdomäne ein. Es gibt zwar eine GPO "DNS-Einträge mit verbindungsspezifischen DNS-Suffix registrieren", aber die tut unter Win7/10 nix.

Der 1 Tag no refresh ist ja auch nicht optimal, da ich damit den DNS-Replikationstraffic erhöhe, aber derzeit die einzige Möglichkeit, die mir einfällt,. 

Wie geht ihr denn so mit dem Thema um? 

Danke euch für Input :)

Grüße

Marcel