wznutzer

Danke. Funktioniert. Die Aussage, dass man sich nicht auf einem DC zum User anlegen usw. anmelden sollte, höre ich nicht zum ersten Mal. Ich kenne nur keinen guten Grund warum, was nicht bedeutet, dass es keine Gründe gibt. Die Adminworkstation muss ja ohnehin vertrauenswürdig sein und RDP-Verbindungen lassen sich auf bestimmte IPs beschränken wenn das nicht komplett offen sein soll.

Doch, per RDP auf einem DC. Aber sollte ich den Grund nicht herausfinden, wären die Remotetools natürlich eine Alternative.

Guten Abend, weil ich im Moment Probleme mit dem Autodiscover habe, ist mir bei der Analyse aufgefallen, dass im Snap-In: [Active Directory Standorte und Dienste] ich unter Ansicht nicht die Option [Dienstknoten einblenden] anwählen kann. Auf dem zweiten DC geht es. Jetzt ist es nicht so, dass ich das ständig anwähle, aber ich würde behaupten, dass das schon mal da war. Weiß zufällig jemand einen Grund, warum der Punkt [Dienstknoten einblenden] nicht da sein sollte? Danke und Grüße

Ich probier das jetzt einfach mal aus. Danke

Hi, danke für den Tipp. Du hast Recht, das würde gehen. Aber so wie ich das sehe muss ich die Funktion dann von einer Webseite aufrufen die wieder auf einem IIS oder Apache liegt. Dann kann ich aber gleich wieder deren Standardfunktionen verwenden. Die Funktion per Postman direkt aufrufen ist ja auch nicht wirklich praktikabel. Ich bemühe mich ein Azure-Freund zu werden, aber MS macht es einem nicht leicht. FTP ablösen, geht nicht, mach halt eine VM mit einen FTP-Server drauf. Einfachen Download bereitstellen, geht auch nicht. Email-Server migrieren, Port 25 ausgehend gesperrt. Support kontaktieren, Tagelange Warterei. Vielleicht ist Azure einfach nicht für Firmen < 1.000 Arbeitsplätze gedacht.

Hallo, ich würde gerne Downloads bei Azure hosten. Es handelt sich um Dateien von ca 1,5GB bis ca. 8 GB Größe. Die Dateien müssen nicht sonderlich geschützt werden, aber sollen auch nicht für den anonymen Zugriff freigegeben werden. Bisher wurde einfach die Basic-Authentifizierung des IIS oder wenn es ein Apache war mit einer .htaccess gemacht. Der User soll eine Url anklicken einen Benutzernamen und Passwort eingeben und dann die Datei herunterladen können. Azure Blob Storage sollte dafür wie gemacht sein, oder auch nicht. Anonym geht, will ich aber nicht. Ein SAS (Shared Access Key) per URL will ich auch nicht, weil der Link öffentlich klickbar auf einer Homepage sein soll und nur derjenige der die Zugangsdaten hat das auch herunterladen können soll. Die Authentifizierung per Azure AD ist an der Stelle auch zu kompliziert. Ist es wirklich so, dass das mit Azure-Storage nicht geht? Muss man tatsächlich deswegen eine VM mit dem IIS anlegen oder eine WebApp bauen? Ist Azure-Storage (Blob) einfach nicht dafür gemacht? Grüße

Hallo, 2FA für das VPN ist bereits aktiv. Dem VPN vertraue ich schon und in diesem Fall auch den Usern. Mit ging es tatsächlich nur darum, den PC der in einem fremden Netz ist möglichst gut genug abzusichern. Antivirus habe ich vergessen zu listen, ist aber auch aktiv und meldet an eine zentrale Stelle. In diesem Fall bin ich mal weiterhin zufrieden mit meiner Konfiguration. Danke und Grüße

Guten Morgen, Zugriffe von extern sichert man idealerweise per VPN ab. Darum soll es aber nicht gehen. Der PC mit dem eine VPN-Verbindung aufgebaut werden soll muss aber zuerst mal in einem Netzwerk mit Internetverbindung sein. Diese Netze sind von mir ja überhaupt nicht zu kontrollieren (Zug, Flughafen, Hotel oder beim Nutzer daheim). Ich weiß ja z. B. nicht ob die Clients in den Netzen isoliert werden. Bisher mache ich das immer wie folgt beschrieben, aber man muss sich ja immer wieder fragen ob das was man tut noch richtig ist. User haben keine Adminrechte Firewall ist mit dem öffentlichen Profil an Netzwerkerkennung ist aus Datei- und Druckerfreigabe ist aus Freigabe des öffentlichen Ordners ist deaktiviert Updates werden immer sofort installiert. Zum Installationszeitpunkt sind die PCs natürlich vor der Installation ohne Updates in einem unbekannten Netz. RDP sowie Unterstützung ist aus Gilt das noch immer als ausreichender Standard? Ich kenne Installationen in denen der externe Zugriff "nur" über das Mobilfunknetz möglich ist. Die Geräte bauen eine direkte Verbindung auf und können, vom Provider so geregelt, auch nur das. Sozusagen eine persönliche VPN-Verbindung per Mobilfunk. Das meine ich aber nicht. Danke für die Meinungen

Desinfect vom Heise-Verlag

Guten Abend, darf ich fragen warum die SSDs in dem Bericht (Blog) erneuert und nicht gelöscht wurden? Hatte es wirtschaftliche (löschen ist teurer als 20 € für eine 120 GB SSD) oder einen technischen Grund? Wie hat es Emotet geschafft sich lateral im Netz auszubreiten? Wenn das herausgefunden wurde, würde mich das brennend interessieren. Manchmal sind das ja wirklich blöde Sachen, wie bei Heise, dass sich ein Domänenadmin lokal anmeldet. Warum wurden keine Backups wiederhergestellt? Lt. Bericht wurden auch Server bereinigt. Das bedeutet, man hätte das Backup auf eine Infektion prüfen können. Wenn man bereinigt weiß man ja auf was man achten muss. Vielen Dank für den Erfahrungsaustausch, falls das Ausplaudern OK ist. Grüße wznutzer P.S. Seid ihr bundesweit tätig?

OK. Damit ich das richtig verstehe. Wenn ich die User nicht doppelt pflegen will benötige ich einen lokalen Exchange zur Verwaltung auf dem aber keine Postfächer liegen und somit auch keine CALs notwendig sind. Das Business Premium Abo ist somit möglich. Vielen Dank

OK, vielen Dank. Das ist ja besch..... Das heißt, man muss die User doppelt pflegen und wenn ich das nicht will einen lokalen Exchange hinstellen, was mich dann zwingt ein Office E3 oder Business Pro Abo abzuschließen oder Exchange CALs separat zu kaufen.

Bist du dir sicher? Ich kann doch AD Connect auch ohne Exchange nutzen und/oder nur mit Office 365. In der Doku finde ich keinen Hinweis darauf.

Also die Variante Vorabauthentifizierung gegen das AD. Das ist gut zu wissen, weil es im Netz die Behauptung gibt, dass das nicht gehen würde, weil der Nutzer nicht aus der Verbindung "herausgelesen" werden kann. Für Sophos und KEMP wird das jedenfalls behauptet. Also lohnt sich eine Recherche in diese Richtung. Darf ich fragen mit welchen Firewalls du das schon gemacht hat?

Guten Morgen, derzeit verwende ich um Mails von extern zu lesen/schreiben die Mail-App von Windows 10. Diese kann über Active-Sync eine Verbindung zum Exchange herstellen. Nun ist der Wunsch das "normale" Outlook zu verwenden. Das ist auch kein Problem, aber das soll nur ausgewählten Benutzern erlaubt werden. Da alle nicht extern berechtigten Nutzer ebenfalls gültige Zugangsdaten haben, könnte jeder der nicht komplett auf den Kopf gefallen ist seine Mails extern abrufen. Das soll nicht sein. Wie kann ich den Zugriff auf /mapi für bestimmte User einschränken? Vorabauthentifizierung an der WAF für MAPIoverHTTP. Bei owa geht es, soll aber nicht verwendet werden (User sind unzufrieden damit). Meine Recherche ist noch nicht fertig. Hat das jemand von euch so am Laufen? Option MapiBlockOutlookExternalConnectivity pro Postfach setzen. Scheint genau dafür zu sein. Es wird aber sehr oft dieser Artikel (https://ingogegenwarth.wordpress.com/2017/01/23/why-using-mapiblockoutlookexternalconnectivity-is-a-bad-idea/) verlinkt und empfohlen das nicht zu machen. Wie macht Ihr das? Danke und Grüße

Es gibt kein Problem im Sinn von: Was muss ich machen, dass X funktioniert. Ich suchte nach einer Doku in der genau beschrieben ist, welche URL für was zuständig ist. Wenn sowas nicht beschrieben ist, muss man es probieren oder auf Erfahrungen anderer (machen wir hier) zurückgreifen, oder einfach alles (wie fast alle Tutorial das tun) freischalten. Grüße und schönen Wochenanfang

Ja, im Großen und Ganzen schon. Aber wenn ich nur /mapi freigebe geht z. B. die out of Office Einstellung nicht. Man muss dazu noch /ews freigeben. Da habe ich eben nach einer Übersicht gesucht was alles für welche Funktion notwendig ist.

Hallo, ich finde bei MS keine Doku in der die Exchange-URLs den Diensten zugeordnet werden. Hat jemand von euch einen Link mit einer Übersicht? Konkret geht es mir drum nur jene URLs freizugeben die auch tatsächlich benötigt werden. Bei Active Sync muss z. B. nur /Microsoft-Server-ActiveSync freigegeben werden. Was ist für Outlook Anywhere (MapiOverHTTP) nötig? Ich meine diese hier: /ecp /ews /Microsoft-Server-ActiveSync /oab /owa /rpc /mapi / /autodiscover Vielen Dank schonmal

Danke. Habe die Funktion dann falsch interpretiert.

Guten Morgen, ich soll meinen lokalen Exchange zu O365 migrieren. Microsoft hat das, meine ich, ziemlich gut beschrieben. Für zwei Dinge konnte ich aber noch keine Doku finden. Migrationsart Ich habe "nur" 100 Postfächer und es soll später auch keinen lokalen Exchange mehr geben. Deswegen habe ich mich für die Übernahmemigration (cut over) entschieden. Microsoft sagt bis 2000 Posfächer, empfiehlt aber in der Doku es nicht für mehr als 150 zu machen. Es funktionert wie Outlook-Anywhere. Soweit so gut. Nun finde ich auf folgende Frage keine Antwort: Kann der Task zur Übernahme mehrfach gestartet werden? Hintergrund: Ich starte die Migration. Das kann, ebenfalls lt. Doku, schon mehrere Tage gehen. So lange zeigt mein MX noch auf die "alte" Umgebung. Postfach 1 wird synchronisiert, nach dem Sync gehen aber wieder Emails in Postfach 1 ein. Wenn der Sync fertig ist stelle ich den MX zu O365 um. Nun müssen die zwischenzeitlich im alten System eingelieferten Emails auch noch nach O365. Es ist aber nicht dokumentiert, dass der Task mehrfach gestartet werden kann. Wenn ja, ist die Sache klar. MX umstellen ein paar mal TTL vorbeigehen lassen und dann nochmals den Sync-Task starten, fertig. Aber geht das? AD-Sync (AD Connect) Ich will Pass-through authentication (PTA) mit Seamless Single Sign On (SSO) nutzen. Mir gefällt, dass die Passwörter lokal liegen und die Nutzer sich trotzdem nur einmal anmelden müssen. Es ist aber eindeutig dokumentiert, dass die Übernahmemigration von O365 fehlschlägt wenn die Nutzer schon vorhanden sind oder erst gar nicht beginnt wenn DirSync aktiv ist. Kann der AD-Sync (PTA mit SSO) nach der Migration aktiviert werden und die dann vorhandenen User aktualisiert bzw. dauerhaft aktuell gehalten werden? Danke und Grüße

Danke für die Infos. Das Archivierungssystem benötigt recht viele Verbindungen in das Produktivnetz (SQL, Pipes, usw.) und weil die Kenntnisse über einen hMailServer vorhanden sind, werde ich bei Azure einen hMailServer laufen lassen von dem das Archivierungssystem die Emails per POP3 abholen kann.

OK! Ich hatte gemeint das Ziel muss ein Exchange sein. Wenn ich das richtig sehe, gebe ich einfach nur eine Email-Adresse an, an die die Journalberichte (Emails) gesendet werden können. Das darf kein Postfach bei Exchange Online sein. Das heißt ich lege in meinem Zone-File ein MX mit einer Sub-Domain an, der auf mein lokales Archivierungssystem (SMTP) zeigt. Beispiel: @meinefirma.de ist bei Exchange-Online, MX zeigt auf Exchange Online @archiv.mainefirma.de zeigt auf lokales Archivierungssystem Das Journaling-Ziel bei Exchange-Online schickt dann einfach alles an mail@archiv.meinefirma.de Das werde ich testen. @NorbertFe Dass das cloudtechnisch bl.... ist, hast du nicht gemeint, richtig? Da fällt mir gleich die nächste Frage ein. Wenn mein Archivierungssystem lokal liegt und aus dem Internet erreichbar sein muss, würde ich die Erreichbarkeit gerne einschränken. Also nur Verbindungen von Exchange-Online zulassen wollen. Die IPs sind hier: https://docs.microsoft.com/de-de/office365/enterprise/urls-and-ip-address-ranges dokumentiert. Allerdings können sich diese alle 30 Tage ändern. Da ich einfach "nur" eine Email als Ziel eintrage, werde ich wohl keine VPN-Verbindung zwischen Exchange-Online und mir lokal aufbauen können. Also müsste ich die IPs alle 30 Tage anpassen oder das Archivierungssystem vom eigentlichen Netzwerk abtrennen und nur die notwendige Kommunikation zulassen. Oder einen externen hMail-Server und das Archivierungssystem die Mails da per POP3 abholen lassen. Danke

Guten Morgen, ich benutzer hier ein selbst erstelltes Archivierungssystem für Emails. Dieses Archivierungssystem zu ersetzen ist nicht erwünscht, weil es ein paar spezielle Funktionen in Verbindung mit anderer Software erfüllt. Dieses Archivierungssystem kann Emails per POP3 abholen oder per SMTP entgegennehmen, dann verarbeiten und per SMTP weitergeben. Beim derzeitigen Exchange (lokal installiert) ist dieses System einfach vor den Exchange geschaltet, der Exchange bekommt seine Emails vom Archivierungssystem und gibt diese auch an das Archivierungssystem (ausgehend) weiter. Alles easy und funktioniert tadellos. Nun will ich zu O365 mit Exchange-Online wechseln und keinen lokalen Exchange mehr haben (kein Hybrid). Ist es irgendwie möglich, das bei Exchange-Online abzubilden. Ich glaubte das über ein Journalpostfach lösen zu können, aber Journalpostfächer sind bei Exchange-Online nicht möglich. Es würde evtl. schon ausreichen, wenn ich Exchange-Online beibringen könnte, dass alle Emails (ein- und ausgehende) einfach an eine SMTP-Adresse weitergegeben werden. Kein Journal nix, einfach raus und fertig. Es geht um ca. 100 Postfächer. Danke und Grüße

Aus einem Backup habe ich noch die VM ausgegraben als diese noch Windows 10 1607 hatte. Da sind noch keine Probleme erkennbar. Nur als Vervollständigung der Informationen.

Tippfehler, sollte ndf (sekundäre Datendateien) heißen. Wobei auffällt, warum das 8 sind. Ich meine Standard ist die Anzahl an Dateien (mdf + ndf) = Anzahl an Cores. Macht der SQL-Server bei der Installation auch so. Warum der hier 8 bei 4 Cores hat?