Dirk-HH-83

Hallo, 

ist folgendes richtig?

1. Wenn auf einem Exchange 2019  ein AD User samt Postfach nicht mehr benötigt wird, dann muss man ihn im Exchange ECP und am Domaincontroller im Active Directory Users and Computers (ADUC) deaktivieren.
2. Nur am Active Directory Users and Computers (ADUC) deaktivieren reicht nicht.  (das Postfach bleibt aktiviert und empfängt mails <<< vermutung)
3. Insbesondere für ESET Mailsecurity Lizenzzähler ist User deaktivieren auch bei ECP wichtig.
4. Eingehende interne/externe Mails an das Postfach gehen automatisch mit Mailer-Deamon zurück zum Absender, sofern Postfach im ECP deaktiviert wurde.
5. Gesetzliche Archivierungspflichten jetzt mal ausgeklammert, bzw. mal angenommen es gibt da schon eine Thirdparty Archivierungs-Lösung.

Am 4.4.2025 um 10:41 schrieb NorbertFe:

Bitte berücksichtigen, dass Exchange ohne 3rd Party kein Sender Based Routing beherrscht. Also helfen die verschiedene Sendeconnectoren nur, wenn du den Zielkreis darüber einschränken kannst. ;)

danke nicht notwendig - d.h.   ich vermute sender based routing will man nur haben, wenn die Header  (der ausgehenden Mails)  sauber von-einander unterscheidbar sein soll/müssen

vor 9 Minuten schrieb NorbertFe:

Eigentlich schon, aber neuerdings scheinen Android und iOS mit http Redirect Probleme zu haben. Also vorher testen, wenn man auf das neue Zertifikat verzichten will oder muss.

Hab im Outlook 2019 getestet wenn username@mutterfirma.com   

Vollzugriff auf 

"neues Nutzer order Sharedmailbox verkauf@neuetochterfirma.com  bekommt, dann ist die Outlook Sicherheitsmeldung natürlich auch da.

Die Sicherheitsmeldung kommt unumgänglich würde ich behaupten.

Hallo,   habe einiges rausgefunden.

Ausgangssituation/Voraussetzung

-für die zweite neue Domäne: es ist vorerst ok, wenn der der AD Loginname wie bisher mit der ersten vorhandenen primären Domänen verbleibt

-bestehende User der primären Domänen nutzen die neue zweite Domänen "zusätzlich sekundär"  und mobile ios/android verwendung wahrscheinlich nicht notwendig

-es ist noch gar nicht sicher, ob die neuetochterfirma.com überhaupt erfolgreich sein wird, so dass der Aufwand in Grenzen bleiben kann
 

ECP: neuetochterfirma.com als Domäne bei Akzeptierte Domänen hinzufügen

ECP: neues Nutzerpostfach erstellen und danach die Standard Mailadresse auf verkauf@neuetochterfirma.com ändern   (oder Emailadressrichtlinie...)

COMODO.com  >

Exchange SSL Zertifikat ergänzen mit

autodiscover.neuetochterfirma.com > IP des Exchange Servers

und im Exchange wieder einbinden

Den Arbeitsgang bzgl. öffentliches SSL Zertifikat ergänzen kann man nicht umgehen nehme ich an.

Hallo,   

habe leider Wissenslücken.

ist das so richtig?

• Ziel: 3-4 Exchnange-User von Mutterfirma.com (on-prem-exchange2019 mit popcon und MX auf Hosteurope zeigend)
  sollen gelegentlich manuell auf Absenderkennung verkauf@neuetochterfirma.com wechseln können und 
  die Shared Mailbox verkauf@neuetochterfirma.com links im Outlook sehen und mit dem v.g. Absender versenden können.
• DNS Records:  neuetochterfirma.com hat MX auch bei Hosteurope und es gibt ein POP3 Postfach, POPCON schon vorhanden.  SPF verweist auf die öff. IP.

Ist dies der richtige Einrichtungsvorgang?

• Exchange 2019 / Nachrichtenfluss / Akzeptierte Domänen /
• neuetochterfirma.com (interne relay domain)  hinzufügen
• neuetochterfirma.local (authorative domain)  hinzufügen

Im ECP:

neue Freigabe (shared mailbox)  verkauf@neuetochterfirma.com erstellen

Senden als/Vollzugriff für die User der mutterfirma.local  erstellen

Powershell Befehl eintragen, so dass die gesendeten Mails im gesendet Ordner von verkauf@neuetochterfirma.com in Kopie landen.

Neuen Sendeconnector erstellen oder Änderungen nicht notwendig. (vermutung)
Der aktuelle Connector sendet ohne Smarthost und hat rDNS.

Ich weiß, dies ist ziemlich unschön: Es kann gut sein, dass bei HOSTEUROPE 3-4x   Aussendienst POP3-Postfächer erstellt werden, d.h. der Exchangeserver sollte Emails an "unbekannte Adressen"  auch versuchen extern zuzustellen.

Auf Komfort á la  "Outlook Emailsignatur ändert sich automatisch wenn Absenderwechsel" kann verzichtet werden.

Lizenz für  https://www.servolutions.de/multisendcon.htm  habe ich nicht.  (Mehrere Sendekonnektoren in Exchange)

klasse vielen dank - wird getestet.

Info: Tobit hat teilweise eigenen Schutzschirm: 

User darf keine Mailordner

-verschieben im Tobitclient dank Tobiteinstellung

-löschen, sofern sich Emails drin befinden, er müsste also erst die Mails löschen

Auf Explorerdateiebene sieht es anders aus, da darf ein User mehr. (sofern es nicht wie oben eingeschränkt wird...)

was spricht gegen adobe deinstallieren und wieder installieren? (also dann nur den reader)

Mir scheint man muss nicht unbedingt "systemweit" installieren

Auf Terminalserver funktioniert gleichzeitige Reader Nutzung trotzdem.
Vermute "systemweit" ist notwendig, wenn besondere GPO Einstellungen o.ä. im Einsatz sind.

Hallo, 

Vorgabe vom Enduser:  

Nur NTFS Änderungszugriff (für Gruppe L)  bedeutet, dass Gruppe L keine Ordnerstruktur löschen darf,
aber darin/darunter befindliche Dateien dürfen gelöscht/gelesen/bearbeitet werden.

Anders gesagt: 

Bitte am Tobit David Server so machen, dass User Mails (im Gruppenordner  "Eingang Logistik")  löschen dürfen aber nicht den vorgenannten Ordner bzw. darunterliegende Ordner.

Ist das mit NTFS Rechten so einfach darstellbar?

Es besteht ggf. die Sorge, das ausversehen große/wichtige Gruppenordner gelöscht/verschoben werden.  Es haben allerdings auch nur 5-12 Mann Zugriff.

Am 4.8.2024 um 19:56 schrieb NorbertFe:

Nein, 1. gibts genau dazu die Unterscheidung beim „all mechanism“ (- ~ ? +) 

Hallo, 

auf die Gefahr hin abzuschweifen:
Thema: M365 Basic/Standard Spamfilter Eingehend härten. (weil per Default z.B. u.g. SPF Check ja "aus" ist)

Im Bereich von https://security.microsoft.com/antispam

Richtlinien und Regeln  Bedrohungsrichtlinien  Antispamrichtlinien

>wir nutzen Exchange Online und in der Antispam-Eingangsrichtlinie (Standard) ist der SPF-Check bis dato deaktiviert. Wäre es grundlegend denn zu empfehlen, diesen zu >aktivieren?

a)

Finde die Stelle gerade nicht wo man  bzgl. dem SPF Check für Inbound
 „all mechanism“ (- ~ ? +) 

definieren kann. 

Es sieht dort nur wie folgt aus:  (das sind An/Ausschalter)

b)

"SPF Eintrag schwerer Fehler"

landet in der Quarantäne soweit ich weiß. 
Laut Default Quarantine Richtlinie bekommt der Enduser täglich Quarantine Report.

c)

Ob es DKIM Inbound Check gibt weiß ich nicht.

d) Lizenzen für Spamschutz:

Vermute man muss kein Defender for M365 Plan1 haben um o.g.  "Antispamrichtlinien"  zu dürfen.  (?)

Wenn man dagegen folgendes nutzen möchte habe ich neulich gehört das man vorgenannten Tarif wiederum haben sollte.
https://security.microsoft.com/presetSecurityPolicies
Richtlinien und Regeln  Bedrohungsrichtlinien  Vordefinierte Sicherheitsrichtlinien

Die Schalter sind aktivierbar für strikten Schutz, obwohl man nur M365 Basic hat.  Warum weiß ich nicht.

e)

Vermutung:

Defender for M365 Plan1 muss immer in der gleichen Anzahl wie Exchange Online Nutzerpostfächer vorhanden sind beschafft werden.

Hallo, 
wüßte jemand spontan ein ein GUI Tool oder Powershell Oneliner um alle Sicherheitsgruppen einer OU / oder der ganzen Domain anzuzeigen?
Grund:  eine 3rd Party Anwendung wird migriert und dessen Ordner brauchen die richtigen NTFS Rechte. Wollte nun gucken welche alten Sicherheitsgruppen es gibt.
Im nächsten Schritt sind dann natürlich die vorhandenen Mitglieder von Interesse.  Habe einen Domänen-Admin Account und auch Zugang zum DC.
Vermute sowas kann man PingCastle / Purple Knight auch machen. 

Get-ADGroupMember -Identity AD_GRUPPENNAME | select name
Get-ADGroupMember -Identity AD_GRUPPENNAME | select name, distinguishedName >C:\Export\liste.txt

Hi, 

danke - gute Idee,

Hersteller Support Konform sein.

Auf Seite 8 unten scheint Win10/11 neuerdings supported, vielleicht unter bestimmten Bedingungen im kleingedruckten.
https://help.sap.com/doc/011000358700000032462013e/9.3/en-US/B1_Platform_Support_Matrix.pdf

EULA:

Kann mich täuschen, so ungefähr war das vermutlich:

Sofern ein zweiter Tower als Client dazukäme wäre es Non-EULA-Konform.

Grund: Windows 10/11 darf man zum Netzwerk teilen für Microsoft Datei/Druckerdienste (und weniges weiteres) nutzen.
Für 3rd Party Applikationen Peer 2 Peer teilen braucht man Serverbetriebssystem.

Vielleicht täusch ich mich.

Sofern Server Lizenzen Enduser Eigentum (nicht der Fall) wäre, könnte HyperV  eine Option sein. 

Hallo, 

Die Firma des Kaufmanns wird stark verkleinert.

Der SAP B1 Win2019 Server (VM) in Private Cloud mit ehemals 4-6 SAP Usern soll ins Homeoffice.  
Es sind DC, WTS, SQL VMs mit gemieteten Windows Serverlizenzen.

a)

Würde folgendes problemlos funktionieren?

Ziel: Basis Funktion vor Schönheit/Gründlichkeit/Langzeitstabilität.

Büro Tower mit Windows 11 Pro als reiner SAP Server für vorerst eine Person. 

Aus Budgetgründen keine Windows Server Lizenz, bzw. kein Server Essential.

sap b1 requirements: 

https://help.sap.com/doc/011000358700000032462013e/9.3/en-US/B1_Platform_Support_Matrix.pdf

Ich vermute der scheinbar für SAP obligatorische Tomcat kann mit Windows 11 genauso funktionieren.

MS SQL Express statt wie vorher SQL Standard auch auf dem Tower.

Die 2-3 *.LDFs DB´s sind nur 3GB.

Der Eigentümer möchte sich ungern von SAP trennen auf Grund der gewohnten gesammelten SAP Daten (z.B. Artikelstamm o.ä.)

Vielleicht sind es auch keine wirklichen validen Gründe.

Budget kritisch und SAP passt nicht zusammen.

b)

Sollte in 4 Monaten ein Intel NUC beschafft werden für eine Aushilfe, könnte die dann problemlos ein SAP Client mit Verbindung Tower bekommen?

Es kann ja sein, dass bei Workgroup LAN die Berechtigungen anders als domänen-gewohnt gemacht werden müssen.

Vermute man muss den zweiten PC nur auf den SAP Ordner des SAP Server berechtigen.

Wenn man SFIRM/Starmoney als Einzelplatz installiert, dann kann man nur mittels Neuinstallation auf Mehrplatzmodus wechseln, habe keine Ahnung ob das bei SAP B1 genauso ist.

Der SAP Berater konnte noch nicht gefragt, deshalb die Frage.

Das es z.B. https://www.cloudiax.com/ gibt ist mir klar.  (sap b1 hosting)

Hallo @StRe

>und in der Antispam-Eingangsrichtlinie (Standard) ist der SPF-Check bis dato deaktiviert. Wäre es grundlegend denn zu empfehlen, diesen zu aktivieren?

Mails die SPF nicht bestehen landen in der M365 Quarantine oder?
Weißt du ob sich das aktivieren gelohnt hat?

hi, von welchem mail-alert sprichts du? quarantine report?

mißverständnis hat sich gelöst

Hallo, 

mir scheint dies sind einfach nur zwei private

"URL Shortener"  in Bezug auf Microsoft. D.h. man sollte die endgültige URL auf der man landet doppelt prüfen.

Immerhin einer wird wohl privat von einem Microsoft Mitarbeiter erstellt:

https://akasearch.net/

https://cmd.ms/

Hallo, 

diese unschöne Konstellation soll nicht auf Dauer bestehen, kann man das übergangsweise bewerkstelligen? 

(es geht nur um eine sehr kleine Anzahl User)

Anders gesagt:

kann EXO absender@nebenfirma.de

Emails

an den on-prem MX (non-hybrid-exchange 2016)

empfänger@hauptfirma.de

senden

obwohl *@hauptfirma.de und *@nebenfirma.de im gleichen tenant sind?

*@hauptfirma.de  > Domänen > Häkchen bei "exchange and exchange online protection" ist nicht gesetzt.

Hauptfirma nutzt den Tenant aktuell nur für Teams/Sharepoint kein Mailverkehr.

Dies wurde probiert: https://admin.exchange.microsoft.com/#/connectors

E-mail-Fluss

Connector

E-Mail-Flussszenario

Von: Office 365
An: Partnerorganisation

Verwendung des Connectors
Nur für E-Mails verwenden, die an diese Domänen gesendet werden: ‎hauptfirma.de
Verwendung bearbeiten

Routing
Den dieser Partnerdomäne zugeordneten MX-Eintrag verwenden

Bei dem Test kommt diese Fehlermeldung: RecipientStatus:[{LED=550 5.1.10 RESOLVER.ADR.RecipientNotFound; Recipient vorname@hauptfirma.de not found by SMTP address lookup};{MSG=};{FQDN=};{IP=};{LRT=}] S

vor 8 Stunden schrieb q617:

Wir wissen gar nicht, ob der OP vor dem Kauf die Lizenzbedingungen akzeptiert hat.

Und ob oben zitierte Lizenzbedingungen auch die sind, die für den OP gelten.

Es ist noch nix gekauft - du meinst z.B. ob es SPLA, OPEN VOLUME, OEM   vermute ich
Der Eigentümer ist kein Verein und auch kein NGO.

>Wie viele Hyper-V Hosts mit wie vielen Cores wären denn mit Windows Server 2022 Standard zu lizenzieren?

Es ist ein ML30 - 1/4/4  Sockets/Kerne/Log. CPU  - 

>Schon mal überlegt, dieses Projektverwaltungstool mittels Wine oder dergl. auf einer Linux-Büchse zu betreiben? Wenn es funktioniert, ist die >Lizenzfrage erledigt. Wie heißt das >betreffende Tool eigentlich? 

Es funktioniert nur mit Windows, d.h. branchenspezifisches Orga-Projekt-Tool.

Aus dem Bereich Hausverwaltung und vmtl.  ein 2-10 Mann Softwareentwickler.  (was ja auch seine Vorteile haben kann)

Diese "pseudo" Terminalserver Lösung auf Win10/11 Basis (kann mich täuschen)   nutzt vermutlich ähnliche Spitzfindigkeiten in der EULA   oder ist nochmal ein ganz anderer Geschäftsvorfall.  Ist bestimmt allen bekannt.
>https://www.thinstuff.com    

>XP/VS Terminal Server    
>A multi-user Remote Desktop access solution to turn any modern Windows system into a fully-featured RDP server.
 

vor 3 Stunden schrieb Dukel:

Gibt es nur eine Windows Server 2022 VM (der DC)?

Hier wäre dann noch eine weitere Instanz (VM) frei.

 

Ansonsten, bei kleineren Umgebungen, wäre die Frage, was auf der zweiten Instanz läuft, ob man hier den App-Server installieren kann.

und eine zweite VM mit Win2022 für Veeam B+R   - ja es ist Miniumgebung 

Die 2022er Lizenz heißt: Windows Server 2022 Standard 16 Core VL

Nochmals danke für den o.g. AGBs Links und die Klarstellungen.

Diese zwei Links waren auch gut:

https://download.microsoft.com/download/9/8/d/98d6a56c-4d79-40f4-8462-da3ecba2dc2c/windows_multi_user.pdf

https://download.microsoft.com/download/A/5/9/A599711B-6807-4757-B38D-1EE269F2F19B/FAQs-Product-Licensing.pdf

Hallo, 

Frage1: ist die Lizenzrechtlich koscher?

In einem Satz gesagt: Win11 Pro als Server und max.  zehn  Win10 Pro PCs nutzen ein Client/Server Tool "gleichzeitig"

Grund der Frage:  Das Lizenzkosten Budget für weitere WinServer2022 ist knapp.

Der DC hat WinServer2022. 

im Detail:

1x Win11 Pro Tower mit  Projektverwaltungstool-Serverversion (das hat kein SQL o.ä und ist von einem sehr kleinen Hersteller)

10x Client Win10 Pro PCs 

ERP Hersteller:   laut den server-systemanforderungen wäre Win11 Pro OK

Es ist relativ sicher, das nicht mehr als 10 Clients das Tool verwenden.

Frage2: Server 2022 Essential für einen Applikationsserver ginge notfalls auch oder?   (als weitere HyperV VM)

Hallo, 

das Veeam Agent Kennwort wurde nicht dokumentiert.

Bei Veeam B+R kann man mit dem Veeam-Extractor ja leicht ein Doku-Kennwort-Schnelltest machen.  (ob das hinterlegte PW stimmt)

https://www.andysblog.de/veeam-extract-utility-virtuelle-maschinen-aus-dem-backup-extrahieren

Wenn man nur Veeam Agent hat muss man die VBK von einem anderen Veeam-AGENT-PC versuchen zu öffnen nehm ich an.

Hallo, 

stimmt dieses Statement?

Kann ein Mithörer/Lauscher/Angreifer irgendwas brauchbares sehen

wenn er sich im selben WLAN wie ein aktuelles iPhone befindet? 
(und die Apple Mail mit einem 443 Active-Sync Konto verwendet wird?)

Antwort:  für den Angreifer wäre das nur dann/höchstens möglich,

wenn der Angreifer dem iPhone Enduser eine *.pem,*.cer,*.crt  zum manuell am iPhone installieren gegeben hätte.  (und ihm gezeigt hätte wie das funktioniert, denn es müsste ja unter ios >zertifikatsvertrauenseinstellungen erst nach PIN Abfrage aktiviert werden)

Hallo, 

ich kenne mich mit Veeam nicht so gut aus.

Ein Dritt-Backup-Job-sichert ca. 400GB zwei VMs nach Backup-Ziel Cloud Storage (da ist nicht unendlich Platz)

Frage:  gibt es große Nachteile wenn VEEAM Kompression = extrem verwendet wird?

Es gibt keine Vorgabe das Instant-Recovery funktionieren muss oder das die Restore innerhalb eines Tages funktionieren muss.

Hallo,

Frage: stimmt es, zu solchen RDP Fehlern im eventvwr kein Eintrag zu finden sein kann?
Andersgesagt: mstsc.exe hat kein Debugmode.

 
Das RDP Fenster (PC-10) schließt sich und zeigt "versuch 1-20"  bzw. "1 von 5"

Beim 4-5ten Versuch öffnet es sich dann wieder und man kann weiterarbeiten. (das wurde ca. 5-10x beobachtet)

Der ping -t pc10
test
zeigt keine Unterbrechnung.

VPN Router ist LANCOM und VPN Client Screwsoft.

Unglücklicherweise

wurde bisher noch nicht 2-3 Tage mit THINCLIENT oder anderm FAT Client getestet.  

Am 13.12.2022 um 08:23 schrieb mikro:

Moinsen,

disable-mailbox *User*

enable-mailbox *user* -database *neueDB*

Heisst aber er hat dann in der DB ein neues leeres Postfach.

 

Gruß Mikro

danke das hat geklappt

Am 13.12.2022 um 08:23 schrieb cj_berlin:

Moin,

 

Disable-Mailbox, gefolgt von Enable-Mailbox mit DB-Angabe?

 

Outlook kriegt es vermutlich auch so mit, da die Postfach-GUID sich ändert, aber klar, kannst auch den Holzhammer nehmen

danke, outlook geht nur wenn man neues profil macht, ansonsten kommt ständig meldung ob

temporäres oder altes profil verwendet werden soll

BTW:  manche Hoster wie Domainfactory werben mit   "Sie können uns als Backup MX eintragen, wir puffern Ihre Mails"  
Voraussetzung:  catchall-aktiviert oder pop3/sammelpostfach für alle vorhandenen mailadressen

Ob das so schlau ist keine Ahnung.

Nein, kein richtiger Backup MX vorhanden, es ist eher:   eine Zwiebelschale weniger Spamschutz.

vor 55 Minuten schrieb NorbertFe:

Dann kommt euer Spam ja sowieso schon über den mit weniger Spamschutz. Denn davon gehen alle Spammer pauschal aus. Die Prio ist egal, die einzigen die sich korrekt nicht daran halten sind sowieso die Spammer. ;)

danke, der lokale-router akzeptiert nur mails vom primären smtpproxy