wznutzer

Desinfect vom Heise-Verlag

Guten Abend, darf ich fragen warum die SSDs in dem Bericht (Blog) erneuert und nicht gelöscht wurden? Hatte es wirtschaftliche (löschen ist teurer als 20 € für eine 120 GB SSD) oder einen technischen Grund? Wie hat es Emotet geschafft sich lateral im Netz auszubreiten? Wenn das herausgefunden wurde, würde mich das brennend interessieren. Manchmal sind das ja wirklich blöde Sachen, wie bei Heise, dass sich ein Domänenadmin lokal anmeldet. Warum wurden keine Backups wiederhergestellt? Lt. Bericht wurden auch Server bereinigt. Das bedeutet, man hätte das Backup auf eine Infektion prüfen können. Wenn man bereinigt weiß man ja auf was man achten muss. Vielen Dank für den Erfahrungsaustausch, falls das Ausplaudern OK ist. Grüße wznutzer P.S. Seid ihr bundesweit tätig?

OK. Damit ich das richtig verstehe. Wenn ich die User nicht doppelt pflegen will benötige ich einen lokalen Exchange zur Verwaltung auf dem aber keine Postfächer liegen und somit auch keine CALs notwendig sind. Das Business Premium Abo ist somit möglich. Vielen Dank

OK, vielen Dank. Das ist ja besch..... Das heißt, man muss die User doppelt pflegen und wenn ich das nicht will einen lokalen Exchange hinstellen, was mich dann zwingt ein Office E3 oder Business Pro Abo abzuschließen oder Exchange CALs separat zu kaufen.

Bist du dir sicher? Ich kann doch AD Connect auch ohne Exchange nutzen und/oder nur mit Office 365. In der Doku finde ich keinen Hinweis darauf.

Also die Variante Vorabauthentifizierung gegen das AD. Das ist gut zu wissen, weil es im Netz die Behauptung gibt, dass das nicht gehen würde, weil der Nutzer nicht aus der Verbindung "herausgelesen" werden kann. Für Sophos und KEMP wird das jedenfalls behauptet. Also lohnt sich eine Recherche in diese Richtung. Darf ich fragen mit welchen Firewalls du das schon gemacht hat?

Guten Morgen, derzeit verwende ich um Mails von extern zu lesen/schreiben die Mail-App von Windows 10. Diese kann über Active-Sync eine Verbindung zum Exchange herstellen. Nun ist der Wunsch das "normale" Outlook zu verwenden. Das ist auch kein Problem, aber das soll nur ausgewählten Benutzern erlaubt werden. Da alle nicht extern berechtigten Nutzer ebenfalls gültige Zugangsdaten haben, könnte jeder der nicht komplett auf den Kopf gefallen ist seine Mails extern abrufen. Das soll nicht sein. Wie kann ich den Zugriff auf /mapi für bestimmte User einschränken? Vorabauthentifizierung an der WAF für MAPIoverHTTP. Bei owa geht es, soll aber nicht verwendet werden (User sind unzufrieden damit). Meine Recherche ist noch nicht fertig. Hat das jemand von euch so am Laufen? Option MapiBlockOutlookExternalConnectivity pro Postfach setzen. Scheint genau dafür zu sein. Es wird aber sehr oft dieser Artikel (https://ingogegenwarth.wordpress.com/2017/01/23/why-using-mapiblockoutlookexternalconnectivity-is-a-bad-idea/) verlinkt und empfohlen das nicht zu machen. Wie macht Ihr das? Danke und Grüße

Es gibt kein Problem im Sinn von: Was muss ich machen, dass X funktioniert. Ich suchte nach einer Doku in der genau beschrieben ist, welche URL für was zuständig ist. Wenn sowas nicht beschrieben ist, muss man es probieren oder auf Erfahrungen anderer (machen wir hier) zurückgreifen, oder einfach alles (wie fast alle Tutorial das tun) freischalten. Grüße und schönen Wochenanfang

Ja, im Großen und Ganzen schon. Aber wenn ich nur /mapi freigebe geht z. B. die out of Office Einstellung nicht. Man muss dazu noch /ews freigeben. Da habe ich eben nach einer Übersicht gesucht was alles für welche Funktion notwendig ist.

Hallo, ich finde bei MS keine Doku in der die Exchange-URLs den Diensten zugeordnet werden. Hat jemand von euch einen Link mit einer Übersicht? Konkret geht es mir drum nur jene URLs freizugeben die auch tatsächlich benötigt werden. Bei Active Sync muss z. B. nur /Microsoft-Server-ActiveSync freigegeben werden. Was ist für Outlook Anywhere (MapiOverHTTP) nötig? Ich meine diese hier: /ecp /ews /Microsoft-Server-ActiveSync /oab /owa /rpc /mapi / /autodiscover Vielen Dank schonmal

Danke. Habe die Funktion dann falsch interpretiert.

Guten Morgen, ich soll meinen lokalen Exchange zu O365 migrieren. Microsoft hat das, meine ich, ziemlich gut beschrieben. Für zwei Dinge konnte ich aber noch keine Doku finden. Migrationsart Ich habe "nur" 100 Postfächer und es soll später auch keinen lokalen Exchange mehr geben. Deswegen habe ich mich für die Übernahmemigration (cut over) entschieden. Microsoft sagt bis 2000 Posfächer, empfiehlt aber in der Doku es nicht für mehr als 150 zu machen. Es funktionert wie Outlook-Anywhere. Soweit so gut. Nun finde ich auf folgende Frage keine Antwort: Kann der Task zur Übernahme mehrfach gestartet werden? Hintergrund: Ich starte die Migration. Das kann, ebenfalls lt. Doku, schon mehrere Tage gehen. So lange zeigt mein MX noch auf die "alte" Umgebung. Postfach 1 wird synchronisiert, nach dem Sync gehen aber wieder Emails in Postfach 1 ein. Wenn der Sync fertig ist stelle ich den MX zu O365 um. Nun müssen die zwischenzeitlich im alten System eingelieferten Emails auch noch nach O365. Es ist aber nicht dokumentiert, dass der Task mehrfach gestartet werden kann. Wenn ja, ist die Sache klar. MX umstellen ein paar mal TTL vorbeigehen lassen und dann nochmals den Sync-Task starten, fertig. Aber geht das? AD-Sync (AD Connect) Ich will Pass-through authentication (PTA) mit Seamless Single Sign On (SSO) nutzen. Mir gefällt, dass die Passwörter lokal liegen und die Nutzer sich trotzdem nur einmal anmelden müssen. Es ist aber eindeutig dokumentiert, dass die Übernahmemigration von O365 fehlschlägt wenn die Nutzer schon vorhanden sind oder erst gar nicht beginnt wenn DirSync aktiv ist. Kann der AD-Sync (PTA mit SSO) nach der Migration aktiviert werden und die dann vorhandenen User aktualisiert bzw. dauerhaft aktuell gehalten werden? Danke und Grüße

Danke für die Infos. Das Archivierungssystem benötigt recht viele Verbindungen in das Produktivnetz (SQL, Pipes, usw.) und weil die Kenntnisse über einen hMailServer vorhanden sind, werde ich bei Azure einen hMailServer laufen lassen von dem das Archivierungssystem die Emails per POP3 abholen kann.

OK! Ich hatte gemeint das Ziel muss ein Exchange sein. Wenn ich das richtig sehe, gebe ich einfach nur eine Email-Adresse an, an die die Journalberichte (Emails) gesendet werden können. Das darf kein Postfach bei Exchange Online sein. Das heißt ich lege in meinem Zone-File ein MX mit einer Sub-Domain an, der auf mein lokales Archivierungssystem (SMTP) zeigt. Beispiel: @meinefirma.de ist bei Exchange-Online, MX zeigt auf Exchange Online @archiv.mainefirma.de zeigt auf lokales Archivierungssystem Das Journaling-Ziel bei Exchange-Online schickt dann einfach alles an mail@archiv.meinefirma.de Das werde ich testen. @NorbertFe Dass das cloudtechnisch bl.... ist, hast du nicht gemeint, richtig? Da fällt mir gleich die nächste Frage ein. Wenn mein Archivierungssystem lokal liegt und aus dem Internet erreichbar sein muss, würde ich die Erreichbarkeit gerne einschränken. Also nur Verbindungen von Exchange-Online zulassen wollen. Die IPs sind hier: https://docs.microsoft.com/de-de/office365/enterprise/urls-and-ip-address-ranges dokumentiert. Allerdings können sich diese alle 30 Tage ändern. Da ich einfach "nur" eine Email als Ziel eintrage, werde ich wohl keine VPN-Verbindung zwischen Exchange-Online und mir lokal aufbauen können. Also müsste ich die IPs alle 30 Tage anpassen oder das Archivierungssystem vom eigentlichen Netzwerk abtrennen und nur die notwendige Kommunikation zulassen. Oder einen externen hMail-Server und das Archivierungssystem die Mails da per POP3 abholen lassen. Danke

Guten Morgen, ich benutzer hier ein selbst erstelltes Archivierungssystem für Emails. Dieses Archivierungssystem zu ersetzen ist nicht erwünscht, weil es ein paar spezielle Funktionen in Verbindung mit anderer Software erfüllt. Dieses Archivierungssystem kann Emails per POP3 abholen oder per SMTP entgegennehmen, dann verarbeiten und per SMTP weitergeben. Beim derzeitigen Exchange (lokal installiert) ist dieses System einfach vor den Exchange geschaltet, der Exchange bekommt seine Emails vom Archivierungssystem und gibt diese auch an das Archivierungssystem (ausgehend) weiter. Alles easy und funktioniert tadellos. Nun will ich zu O365 mit Exchange-Online wechseln und keinen lokalen Exchange mehr haben (kein Hybrid). Ist es irgendwie möglich, das bei Exchange-Online abzubilden. Ich glaubte das über ein Journalpostfach lösen zu können, aber Journalpostfächer sind bei Exchange-Online nicht möglich. Es würde evtl. schon ausreichen, wenn ich Exchange-Online beibringen könnte, dass alle Emails (ein- und ausgehende) einfach an eine SMTP-Adresse weitergegeben werden. Kein Journal nix, einfach raus und fertig. Es geht um ca. 100 Postfächer. Danke und Grüße

Aus einem Backup habe ich noch die VM ausgegraben als diese noch Windows 10 1607 hatte. Da sind noch keine Probleme erkennbar. Nur als Vervollständigung der Informationen.

Tippfehler, sollte ndf (sekundäre Datendateien) heißen. Wobei auffällt, warum das 8 sind. Ich meine Standard ist die Anzahl an Dateien (mdf + ndf) = Anzahl an Cores. Macht der SQL-Server bei der Installation auch so. Warum der hier 8 bei 4 Cores hat?

Ja, ich weiß. Vielen Dank auch für alle Mühe. Aber trotzdem glaube ich nicht, dass ein CU für den SQL-Server einen Performance-Schub um den Faktor 10, der sich nur bei Windows 10 auswirkt, bringt. Das wäre eine Sensation. Der SQL-Server hat 8 Temp-DBs (1x mdf, 7x ldf). Trotzdem werde ich mal das aktuellste CU installieren. Ich glaube ich werde NUMA in den Hyper-V Einstellungen einfach mal abschalten. Das schlimmste was passieren kann ist, dass eine VM nicht startet und ich ein wenig den statischen RAM verändern muss. Dann kann ich das Thema NUMA abhaken oder auch nicht. NUMA sollte mir ja nur was bringen, wenn ich RAM CPU-übergreifend nutzen will. Wenn ich es denn richtig verstanden habe. Danke und Grüße

Ich habe blöderweise den 5462. Der 8871 wäre für Server 2019 supportet. Sobald "mein" Server bei lenovopress.com/osig auftaucht bekommt der Server 2019. Lt. Support ist die Wahrscheinlichkeit aber gering.

Jetzt muss ich mal dumm fragen. Wenn NUMA evtl. der Grund für schlechte Performance sein kann, wie müsste ich das optimal konfigurieren? Kennt jemand von euch eine Art best practice? Danke

12 x 16 GB, 6 Pro CPU, laufen mit 1866 MHz was lt. CPU Spec. auch das Max. ist. Sind auch so gesteckt, wie das bei Lenovo auf dem Deckel innen dokumentiert ist. Ein generelles Problem gibt es nicht. Mit W2K12R2, Win7, Win8.1 als VM gibt es nichts zu meckern.

In dem vorliegenden Fall ist es eine Developer-Edition die natürlich bedingungsgemäß zur Entwicklung und Test von Software verwendet wird. Allerdings lässt sich das Verhalten auch mit Server 2019 nachvollziehen. Aber der ist ja unter einen Host 2012R2 nicht supportet. Allerdings ist mir eine generelle Einschränkung, dass SQL-Server nicht auf Client-OS installiert werden darf, nicht bekannt. Wenn denn alle sonstigen Lizenzbedingungen (Cores usw.) eingehalten werden. Microsoft erlaubt das in den Anforderungen auch explizit. Nur bei SQL-Server Enterprise, Web und einigen Funktionen ist klar dokumentiert, dass Client-OS nicht kompatibel sind. Viele Grüße

Ich bin davon ausgegangen, dass das Problem nicht auf die Hardware zurückzuführen ist, weil ich das auf zwei völlig unterschiedlichen Systemen nachvollziehen kann. Lenovo x3650 M5, alle Treiber, UEFI usw. aktuell Windows Server W2K12K2, Hyper-V Host, alle Updates 192 GB RAM, 2 x CPU Xeon E52640 v3 2,6 GHz 8 Core 4 x Intel X540T2 10 GB-Ethernet, 6 x Broadcom 1 GB-Ethernet ServeRaid M5210 mit 2 x 250 GB SSD (OS) Raid 1 und 8 x 1 TB SSD (VMs) 2 x Raid 10 1 x Lenovo IO3 Flash Adapter mit 1,6 TB Die Konfiguration der VM ist "Installation einfach durchgeklickt" sowohl OS als auch SQL-Server. Nichts aber auch wirklich keine "speziellen" Einstellungen. Die VM nutzt vhdx (statisch), 4 vCPUs, 1 x vhdx für OS, 1 x vhdx für die DB. W7 VM Generation 1, W10 Generation 2. Ups, da fällt mir auf, vielleicht sollte ich mal Generation 1 bei W10 versuchen. Grüße

Du kannst den Host mit dem Veeam Agent (auch die Free-Version) sichern. Dann läuft er im Fehlerfall in 10 Minuten wieder und alle Schrauben sind so wie vorher. Du kannst bei der Wiederherstellung auch die Paritionsgrößen verändern. Dazu darfst du die VMs natürlich nicht auf die Partition des Hosts legen. Und beim wiederherstellen immer die Option mit der Treiber-Injection rausnehmen. Das hat bei mir noch nie funktioniert. Ach ja, und einen USB-Stick mit der Wiederherstellungsumgebung neben den Server legen und ab und an mal testen ob dieser auch noch geht. Testen ob es "geht" ist bei einem Backup natürlich immer, unabhängig vom Werkzeug, eine gute Idee.

Microsoft SQL Server 2017 (RTM-CU14-GDR) (KB4494352) - 14.0.3103.1 (X64) Mar 22 2019 22:33:11 Ich habe nun jede Menge Artikel über NUMA gelesen. Allerdings bleiben alle sehr schwammig wie den das optimal konfiguriert werden soll. Überall steht eigentlich nur, dass es sehr schwierig ist da eine optimale Konfiguration zu finden. Wenn ich allerdings das auch nur halbwegs richtig verstanden habe, dürfte eine VM mit z. B. 4 vCPUs die alleine auf einem Host läuft dessen CPU 8 Kerne hat mit NUMA nicht viel am Hut haben. Jedenfalls nicht so, dass das so signifikat relevant für die Performance ist. Ich konnte dieses Verhalten auch bereits auf zwei verschiedenen Hosts mit zwei verschiedenen VMs nachvollziehen. Ich werde mal noch ein paar Performance-Tests unabhängig vom SQL-Server durchführen. Evtl. zeigt sich da eine Auffälligkeit. Für das Storage nehme ich gerne Diskspd, für den Rest bisher Passmark. Eine Win 8.1 VM läuft performant. Das wäre dann auch der Plan B. Danke und Grüße