Dirk-HH-83

Hallo, 

mir scheint dies sind einfach nur zwei private

"URL Shortener"  in Bezug auf Microsoft. D.h. man sollte die endgültige URL auf der man landet doppelt prüfen.

Immerhin einer wird wohl privat von einem Microsoft Mitarbeiter erstellt:

https://akasearch.net/

https://cmd.ms/

Hallo, 

diese unschöne Konstellation soll nicht auf Dauer bestehen, kann man das übergangsweise bewerkstelligen? 

(es geht nur um eine sehr kleine Anzahl User)

Anders gesagt:

kann EXO absender@nebenfirma.de

Emails

an den on-prem MX (non-hybrid-exchange 2016)

empfänger@hauptfirma.de

senden

obwohl *@hauptfirma.de und *@nebenfirma.de im gleichen tenant sind?

*@hauptfirma.de  > Domänen > Häkchen bei "exchange and exchange online protection" ist nicht gesetzt.

Hauptfirma nutzt den Tenant aktuell nur für Teams/Sharepoint kein Mailverkehr.

Dies wurde probiert: https://admin.exchange.microsoft.com/#/connectors

E-mail-Fluss

Connector

E-Mail-Flussszenario

Von: Office 365
An: Partnerorganisation

Verwendung des Connectors
Nur für E-Mails verwenden, die an diese Domänen gesendet werden: ‎hauptfirma.de
Verwendung bearbeiten

Routing
Den dieser Partnerdomäne zugeordneten MX-Eintrag verwenden

Bei dem Test kommt diese Fehlermeldung: RecipientStatus:[{LED=550 5.1.10 RESOLVER.ADR.RecipientNotFound; Recipient vorname@hauptfirma.de not found by SMTP address lookup};{MSG=};{FQDN=};{IP=};{LRT=}] S

vor 8 Stunden schrieb q617:

Wir wissen gar nicht, ob der OP vor dem Kauf die Lizenzbedingungen akzeptiert hat.

Und ob oben zitierte Lizenzbedingungen auch die sind, die für den OP gelten.

Es ist noch nix gekauft - du meinst z.B. ob es SPLA, OPEN VOLUME, OEM   vermute ich
Der Eigentümer ist kein Verein und auch kein NGO.

>Wie viele Hyper-V Hosts mit wie vielen Cores wären denn mit Windows Server 2022 Standard zu lizenzieren?

Es ist ein ML30 - 1/4/4  Sockets/Kerne/Log. CPU  - 

>Schon mal überlegt, dieses Projektverwaltungstool mittels Wine oder dergl. auf einer Linux-Büchse zu betreiben? Wenn es funktioniert, ist die >Lizenzfrage erledigt. Wie heißt das >betreffende Tool eigentlich? 

Es funktioniert nur mit Windows, d.h. branchenspezifisches Orga-Projekt-Tool.

Aus dem Bereich Hausverwaltung und vmtl.  ein 2-10 Mann Softwareentwickler.  (was ja auch seine Vorteile haben kann)

Diese "pseudo" Terminalserver Lösung auf Win10/11 Basis (kann mich täuschen)   nutzt vermutlich ähnliche Spitzfindigkeiten in der EULA   oder ist nochmal ein ganz anderer Geschäftsvorfall.  Ist bestimmt allen bekannt.
>https://www.thinstuff.com    

>XP/VS Terminal Server    
>A multi-user Remote Desktop access solution to turn any modern Windows system into a fully-featured RDP server.
 

vor 3 Stunden schrieb Dukel:

Gibt es nur eine Windows Server 2022 VM (der DC)?

Hier wäre dann noch eine weitere Instanz (VM) frei.

 

Ansonsten, bei kleineren Umgebungen, wäre die Frage, was auf der zweiten Instanz läuft, ob man hier den App-Server installieren kann.

und eine zweite VM mit Win2022 für Veeam B+R   - ja es ist Miniumgebung 

Die 2022er Lizenz heißt: Windows Server 2022 Standard 16 Core VL

Nochmals danke für den o.g. AGBs Links und die Klarstellungen.

Diese zwei Links waren auch gut:

https://download.microsoft.com/download/9/8/d/98d6a56c-4d79-40f4-8462-da3ecba2dc2c/windows_multi_user.pdf

https://download.microsoft.com/download/A/5/9/A599711B-6807-4757-B38D-1EE269F2F19B/FAQs-Product-Licensing.pdf

Hallo, 

Frage1: ist die Lizenzrechtlich koscher?

In einem Satz gesagt: Win11 Pro als Server und max.  zehn  Win10 Pro PCs nutzen ein Client/Server Tool "gleichzeitig"

Grund der Frage:  Das Lizenzkosten Budget für weitere WinServer2022 ist knapp.

Der DC hat WinServer2022. 

im Detail:

1x Win11 Pro Tower mit  Projektverwaltungstool-Serverversion (das hat kein SQL o.ä und ist von einem sehr kleinen Hersteller)

10x Client Win10 Pro PCs 

ERP Hersteller:   laut den server-systemanforderungen wäre Win11 Pro OK

Es ist relativ sicher, das nicht mehr als 10 Clients das Tool verwenden.

Frage2: Server 2022 Essential für einen Applikationsserver ginge notfalls auch oder?   (als weitere HyperV VM)

Hallo, 

das Veeam Agent Kennwort wurde nicht dokumentiert.

Bei Veeam B+R kann man mit dem Veeam-Extractor ja leicht ein Doku-Kennwort-Schnelltest machen.  (ob das hinterlegte PW stimmt)

https://www.andysblog.de/veeam-extract-utility-virtuelle-maschinen-aus-dem-backup-extrahieren

Wenn man nur Veeam Agent hat muss man die VBK von einem anderen Veeam-AGENT-PC versuchen zu öffnen nehm ich an.

Hallo, 

stimmt dieses Statement?

Kann ein Mithörer/Lauscher/Angreifer irgendwas brauchbares sehen

wenn er sich im selben WLAN wie ein aktuelles iPhone befindet? 
(und die Apple Mail mit einem 443 Active-Sync Konto verwendet wird?)

Antwort:  für den Angreifer wäre das nur dann/höchstens möglich,

wenn der Angreifer dem iPhone Enduser eine *.pem,*.cer,*.crt  zum manuell am iPhone installieren gegeben hätte.  (und ihm gezeigt hätte wie das funktioniert, denn es müsste ja unter ios >zertifikatsvertrauenseinstellungen erst nach PIN Abfrage aktiviert werden)

Hallo, 

ich kenne mich mit Veeam nicht so gut aus.

Ein Dritt-Backup-Job-sichert ca. 400GB zwei VMs nach Backup-Ziel Cloud Storage (da ist nicht unendlich Platz)

Frage:  gibt es große Nachteile wenn VEEAM Kompression = extrem verwendet wird?

Es gibt keine Vorgabe das Instant-Recovery funktionieren muss oder das die Restore innerhalb eines Tages funktionieren muss.

Hallo,

Frage: stimmt es, zu solchen RDP Fehlern im eventvwr kein Eintrag zu finden sein kann?
Andersgesagt: mstsc.exe hat kein Debugmode.

 
Das RDP Fenster (PC-10) schließt sich und zeigt "versuch 1-20"  bzw. "1 von 5"

Beim 4-5ten Versuch öffnet es sich dann wieder und man kann weiterarbeiten. (das wurde ca. 5-10x beobachtet)

Der ping -t pc10
test
zeigt keine Unterbrechnung.

VPN Router ist LANCOM und VPN Client Screwsoft.

Unglücklicherweise

wurde bisher noch nicht 2-3 Tage mit THINCLIENT oder anderm FAT Client getestet.  

Am 13.12.2022 um 08:23 schrieb mikro:

Moinsen,

disable-mailbox *User*

enable-mailbox *user* -database *neueDB*

Heisst aber er hat dann in der DB ein neues leeres Postfach.

 

Gruß Mikro

danke das hat geklappt

Am 13.12.2022 um 08:23 schrieb cj_berlin:

Moin,

 

Disable-Mailbox, gefolgt von Enable-Mailbox mit DB-Angabe?

 

Outlook kriegt es vermutlich auch so mit, da die Postfach-GUID sich ändert, aber klar, kannst auch den Holzhammer nehmen

danke, outlook geht nur wenn man neues profil macht, ansonsten kommt ständig meldung ob

temporäres oder altes profil verwendet werden soll

BTW:  manche Hoster wie Domainfactory werben mit   "Sie können uns als Backup MX eintragen, wir puffern Ihre Mails"  
Voraussetzung:  catchall-aktiviert oder pop3/sammelpostfach für alle vorhandenen mailadressen

Ob das so schlau ist keine Ahnung.

Nein, kein richtiger Backup MX vorhanden, es ist eher:   eine Zwiebelschale weniger Spamschutz.

vor 55 Minuten schrieb NorbertFe:

Dann kommt euer Spam ja sowieso schon über den mit weniger Spamschutz. Denn davon gehen alle Spammer pauschal aus. Die Prio ist egal, die einzigen die sich korrekt nicht daran halten sind sowieso die Spammer. ;)

danke, der lokale-router akzeptiert nur mails vom primären smtpproxy

Hallo, 

ist es absolut unbedenklich tagsüber die MX Prio zu ändern

oder muss man garantiert mit Verwirbelungen rechnen? (wenn der eingehende SMTP Traffic via Port 25 zunächst bei SMTP Proxies landet)

Grund:  der primäre SMTP Proxy sollte für ein paar Stunden pausieren und der sekundäre hat weniger Spamschutz so dass er quasi "cold standby" sein soll.

Hallo, 

4 x kleine 2GB

Postfächer sollen von der zweiten EDB in die ersten EDB verschoben werden.

Muss man danach den Suchindex der großen ersten EDB neu-erstellen?

Danke

Hallo, 

wen ein lokaler Webserver via Port 80 von extern erreichbar ist, kann dann jeder (von ausserhalb des lokalen Netzwerks)
mit Wireshark den unverschlüsselten Verkehr mithören? 
Der Mithörer braucht lediglich den Port + die feste öffentliche IP  << das ist falsch oder?

Das Thema kam auf bei der Frage SSL https Zerti kaufen ja/nein....

Immerhin läßt sich einschränken das nur von Smartphone traffic möglich wäre... (am webserver)

Hallo, 

a)

spricht was gegen RDSH mit Devices Cals? (ohne DC)

Ist initiale Konfiguration oder Wartung bemerkenswert aufwendiger? 

Es geht um unter 2-4 Mann und es ist nur ML10 oder ML30.

Ich wüßte nur das das Device Cals limitieren und nicht blind neue PCs mit diesem Terminalerver verbinden sollten.

Vorteil: kein DC oder VM Trägersystem notwendig.

Offiziell vorgesehen ist es ja:  Install Remote Desktop Session Host role service in Windows Server without Connection Broker role service

https://learn.microsoft.com/en-US/troubleshoot/windows-server/remote/install-rds-host-role-service-without-connection-broker

b)

Muss man zum device cals "releasen" 

nur kurz mit administrator in die "Remotedesktop Lizenzierung" und da mit Rechtsklick was machen oder wie funktioniert ungefähr die Procedur?

danke!

Am 4.8.2022 um 22:38 schrieb wznutzer:

Damit das funktioniert hat, mussten ein paar Dinge gemacht werden. Nichts konnte ausgelassen werden. Alles ist notwendig. Evtl. hilft es auch jemandem anderen.

 

• Sophos blockiert standardmäßig Autodiscover extern. Die URLs von hier https://support.sophos.com/support/s/article/KB-000038173?language=en_US helfen nicht. Man muss autodiscover.firma.com und autodiscover.firma.mail.onmicrosoft.com in die Exceptions aufnehmen. Es ist unklar warum Sophos das blockiert.
• ExcludeHttpRedirect auf 0 (war 1), ExcludeLastKnownGoodURL auf 1, ExcludeExplicitO365Endpoint auf 0. Unklar wo die Keys, außer ExcludeExplicitO365Endpoint, herkommen. Wurden nicht absichtlich gesetzt.
• HKEY_CURRENT_USER\Software\Microsoft\Office\x.0\Outlook\AutoDiscover gab es einen Unterschlüssel RedirectServers mit zwei Einträgen. Diesen löschen, wird beim Start von Outlook dann mit 6 anderen Einträgen neu generiert. Mit den zwei vorhandenen Schlüssel funktioniert es nicht.
• Split-DNS für Autodiscover entfernen. Die Profile bleiben auch so erhalten und die OST wird nicht neu generiert.
• MFA muss für die Zeit der Profiländerung deaktiviert werden. MFA funktioniert nur mit Office365 nicht mit 2016
• Zusammen mit SSO muss der Nutzer dann nichts machen, außer Outlook starten.
• In manchen Profilen bleibt der Microsoft Anmeldedialog (OAuth?) auf und der Vorgang bleibt stehen. Dann muss darin auf „anderen Usernamen“ geklickt werden und die Email-Adresse eingegeben werden. Dann nämlich will sich Outlook mit dem @firma.local zu O365 verbinden.

 

Windows 10/11 mit Office 365 macht keinerlei Probleme, das funktioniert einfach, auch wenn die Sophos Autodiscover blockiert. Windows 10 mit Office 2016 braucht die gleichen Streicheleinheiten.

 

Die Registry-Keys für TLS 1.2 waren auf dem Exchange (W2K12R2) für den HCW nötig. Aber auf einem RDP Host nicht, bzw. ändern nichts. Schaden aber auch nicht, so wie es scheint.

 

Grüße

 

danke, sehr hilfreich deine Erkenntnisse

Am 9.11.2022 um 11:08 schrieb Nobbyaushb:

Zunächst - nichts.

Lokal - also OHNE O365 - kann man so z.B. eine Shared Mailbox mit einem Smartphone verbinden.

(Anm. geht neuerdings bei O365 ohne den Kunstgriff)

 

Hi, wie kann man neuerdings eine o365 shared mailbox zur nativen iPhone Email App hinzufügen?

Ich dachte das geht nur via IMAP und ab 1.1.23 vielleicht gar nicht mehr. (wegen oauth modern auth)

Am 12.12.2022 um 16:07 schrieb NorbertFe:

OK, das sollte wenn es "korrekte" Logs sind eigentlich auch abgeschnitten werden. Schalte doch mal die Umlaufprotokollierung an, dann sollten erstmal alle Logs weggeschrieben werden. Danach dann Umlaufprotokollierung wieder deaktivieren und mal ein Backup versuchen, wenn wieder Logs da sind.

 

Bye

Norbert

Auf die Gefahr hin Themen in diesem Thread zu vermischen...: 

...wenn man sieht das die Exchange eigene PST-Exportfunktion bei Postfächern zwischen 30-50 GB den RAM zu 99% auslastet....., muss man dann bei der o.g. "Transaktions-Log-Bereinigungsprocedur mittels enable Circular Logging via EAC"  damit rechnen das eine große 700 EDB beim "einlesen" der Transaktionslog ins Stolpern kommen kann?

Es haben sich rund 30k Logfiles seit wenigen Tagen angesammelt, es besteht ein VSS Fehler seit kurzem.

Veeam Job behauptete innerhalb einer Sekunde "erfolgreich "truncate" durchgeführt zu haben"

Vermutlich ist "enable Circular Logging via EAC und etwas später wieder disable" hier zunächst der einzige Weg ein Vollaufen der Festplatte zu verhindern.

Solange VSS Fehler bestehen, so würde folgendes "Fake Full Backup" vermutlich auch nicht besser funktionieren.

https://helpdesk.kaseya.com/hc/en-gb/articles/4407518126225-How-to-manually-truncate-purge-Exchange-server-logs

1. Launch Diskshadow
   1. Add volume d:
   2. (optional, add one line for each additional drive to include) Add volume X:
   3. Begin Backup
   4. Create
   5. End Backup

Hallo,

ist dies eigentlich einigermaßen leicht möglich?

Exchange 2013 :  fünf bestehenden ADS Konten ein neues leeres Postfach geben in neuer Exchange-DB.

Grund: alle fünf sind bisher mit alten zu-großen Postfächern tätig.

Am Windows-Domain-PC müsste man dann  "outlook /firstrun"  starten, damit Outlook sich neu einrichtet.

Mir ist klar, das mittels Mailstore oder Archivpostfach-Richtlinien der bessere Weg wäre.

Wollte nur fragen, kann ja sein das es nicht so umständlich ist.

Bisherige Mailbox Daten werden bei Bedarf mit Veeam B+R Enterprise zurück kopiert (scheint sehr langsam)

oder via PST punktuell rübergeholt oder sind halt nur im Mailstore.

Das etwaige Berechtigungen, Regeln uvm. verloren gehen können ist möglich. (quasi nicht vorhanden)

Vermute es geht nicht ohne ANSI EDIT oder erweiterte Ansicht bei "Active Directory-Benutzer und -Computer", kann mich täuschen.

Danke für ein Kommentar.

@baxxnamx32

Hast du geprüft ob deine PCs evtl. dies "Intel MEBx" onboard haben?

"intel management engine remote KVM access"

Siehe CTRL+P direkt nach dem einschalten.

Damit wäre WOL auch möglich.

Hi @illuminaten    welche CPU genau ist denn vorhanden?    Es gibt Datev Berater die unter 3 GHZ GOLD XEON kein Datev installieren.

Hallo mwiederkehr,

ohne VPN Policy die SSL-VPN Port 50443 auf Firebox leitet geht es m.A. nach nicht.

habe getestet ob:

From: Dienstleister (typ: ssl-user)

To: Webgui Haussteuerung

limitiert ist, wenn vorgenannte Policy in Reihenfolge über der folgenden  Default Policy ist:  Antwort Nein, der Dienstleister erreicht auch alle sonstigen IP-Webguis

Eine Deny Policy für die sonstige lokale IP Range (über den Allow VPN Policies) löst das problem nicht.

hallo,

Frage: soviel andere Watchguard-VPN-Lösungswege (ausser das was in beiden letzten Sätzen steht) hat man nicht oder?
Spontan wüßte ich nicht wie man VPN in der Watchguard wie im letzten Satz stehend konfiguriert.

Eine watchguard hat ganz normales Firebox SSL VPN für Aussendienstler. (vpn-default-settings) 
(d.h. die Aussendienstler sehen das gesamte lokale Netzwerk - wenn Sie danach suchen würde)

Ein externer Dienstleister braucht nun Remotezugang zu einem Webgui (es ist eine Licht+Haussteuerung zwecks Updates und Remotewartung)

In der Watchguard sieht es ja per Default so aus:
FROM Feld: bei einer neuen Policy kann man ja auch einzelne VPN Benutzer auswählen.
TO: Feld:  da steht halt standardmäßig Firebox

Dies wären wohl die zwei Lösungs-Möglichkeiten laut dem Hersteller:
...ändert man entweder nur die zugelassene Destination auf den Endserver ab und dann kommen alle Parteien nur auf 
das Webgui oder man konfiguriert ein einkommendes Netz und Policys Manuell und lässt das VPN Netz quasi nur auf die Ressource zu.
 

wäre mir auch neu - man startet Outlook als Domainuser

und dank Autodiscover werden Anzeigename + Mailadresse automatisch im initialen Outlook Fenster ausgefüllt und das Nutzerpostfach ist im Outlook offen/gestartet.

alternativ: 

systemsteuerung, email, neues profil - und dann?