holzapfel

Also alle externen (egal war / auch Dienstleister) müssen sich per MFA bereits authentifizieren. (Bei der VPN Einwahl) Dabei handelt es sich allerdings generell um eine limitierte Anzahl. Der Wusch ist jetzt eher in die Richtung dann aufgetaucht, dass man sich die höher privilegierten Benutzer noch vornimmt, und diese zusätzlich absichert. Falls z.B. einfach mal einer der Admin Accounts gekapert würde. Die "normalen User" sitzen in ihren Büros (alle Büros und Etagen sind einzeln verschlossen) und melden sich an ihren PCs mit ihrem AD User an. Lokal haben sie allerdings bis auf wenige Ausnahmen keine Anwendungen, sondern verbinden sich zu den zentralen RDS Servern.

Danke - danke für die Infos. Die helfen mir schon sehr weiter. Sollte das bei Duo denn auch klappen, wenn ich nur wenige User/Benutzer schützen möchte? Oder gibt es dann z.B. auf einem RDS Server auf welchem sich viele User anmelden die kein Duo hätten eher Probleme? Und ein guter Tipp - umgesetzt ist bei sowas ja meistens schneller als wieder ins eigene System eingebrochen

Hallo zusammen, Ich möchte in einem Windows Netzwerk (2019er Server - DC - RDS - Exchange) den Domänenadministrator mit einem zweiten Faktor schützen. (Also vor allem Anmeldungen an der Konsole / RDP) Dabei bin ich bis jetzt auf DUO gestoßen. Hier wären scheinbar bis zu 10 User frei - das werden wir mal testen. Wie handhabt ihr das ganze? Und welche Lösung setzt ihr ein? besten Dank viele Grüße

Danke für die Antworten gestern - die haben mir sehr geholfen. Übergangsweise rennt jetzt ein Proxmox Mail Gateway. Heute wird dann gleich eine Testumgebung erstellt / um das ganze vernünftig zu analysieren und den Betrieb dabei nicht zu stören. Das mit der XG muss ich mir auch nochmal anschauen - soweit ich das jetzt ohne nachzulesen hätte sagen können, weiß ich nur, dass hier nur entweder kein Email handling möglich war - oder nur seeeehr umfangreich / und dies wurde nicht mit gekauft. Da auch die Spamerkennung und Filterung ein externer Anbieter macht, was wirklich sehr gut funktioniert. @Dukel - danke - den fl * kannte ich wirklich noch nicht. Dort habe ich gestern dann nur noch vor der Umstellung kurz geschaut, da war ein DNS Fehler verzeichnet. In die Richtung wird dann heute weiter geforscht / das soll doch vernünftig gelöst werden

Also ich hätte jetzt im Exchange unter TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpSend geschaut, aber finde nur die eingehenden. Und eine Stunde rückwirkend immer. Unter den Logs\Hub\ProtokollLog\SmtpSend sehe ich die letzten erfolgreich versendeten Emails. Im Log von der Transportqueue finde ich nur jeweils den Eintrag mit "TotalMessageCount = X" und ansteigend.

Also da stimme ich dir komplett zu! Leider muss das ganze relativ zeitnah gelöst werden - sonst gehen bald keine Emails mehr raus. Dauerhaft soll natürlich kein Relay stehen bleiben. Was/wie ich getestet habe - vielleicht habe ich ja auch irgend etwas übersehen / und auch zu den Fragen. - Der Exchange hat den internen DNS Server hinterlegt. Da dieser kein DNS Forwarding nach extern macht, wurden von mir per ADD-DnsClientNrptRule - die DNS Einträge für die Domain vom Smarthost gesetzt. über resolve-dnsname smarthost.com - erhalte ich alle richtigen IP adressen. - Über die CMD und auch über die Exchange Management Shell kann ich den Google DNS z.B. pingen ohne Probleme - In der neuen Sophos XG wurden jetzt alle Ports nach extern geöffnet, und die XG als Gateway im Exchange hinterlegt. So kann ich auch passend Pingen, die DNS Abfrage raus senden, Telnet Port25 nach extern, usw. Schaue ich mir nach der Umstellung auf den neu angelegten Connector mit Get-Queue die Warteschlangen an - steigt nur der Message Count mit dem Status Retry. Die Auszüge aus den Logs liefere ich noch gleich nach.

Schaue ich mir gleich mal an. Danke Direkt über den Exchange klappt dort der Sendeconnector zum Anbieter nicht - jetzt muss ich fast eine kurzfristige Lösung schaffen. Die Logs spucken dazu leider auch nicht viel aus. Wobei ich vorher noch wirklich nie Probleme mit einem Connector hatte. Der Name kann aufgelöst werden zum smarthost - ping+telnet25 nach extern geht. Danke - OPNsense hätte ich auch erst vor kurzem installiert. Mir war aber bis jetzt nicht bekannt, dass ich hier Email Zustellmöglichkeiten gesehen hätte. Wäre vermutlich schneller - da ohne Proxmox Installation einsatzbereit.

Hallo zusammen, Ich würde eine kleine Firewall suchen, welche einfach nur als "Smarthost" die Emails vom Exchange Server zum Provider (Spamfilter) weiterleitet. Nur ausgehend. Da eine Sophos UTM abgelöst wird, und die neue XG die Funktion nicht mehr bietet. Kann jemand von euch hier etwas empfehlen? Besten Dank viele Grüße

Danke für deine Antwort! Und freut mich auch :) Also den Desaster-Fall simulieren wir seit ein paar Jahren (genau wie den kompletten Stromausfall mit Shutdown) - 1x pro Jahr.

Hallo Servus zusammen, Man stellt ja immer mal sein aktuelles Backupkonzept irgendwie in Frage - jetzt würde mich interessieren, wie ihr das bei euch oder euren Kunden handhabt. Backup Infrastruktur. - Veeam - Target 1 - Storage selbst (Snapshots) - Target 2 - gehärtetes Linux Repo auf Storage B (ist nur Backupziel) - Target 3 - Standard NAS - Target 4 - Tape Library 24 Slots Die Ziele sind über verschiedene Racks / Gebäude / Brandabschnitte verteilt. Auch die Aufbewahrungszeiten/Zyklen werden pro Ziel betrachtet. Im Gedankengang ist natürlich immer auch die evtl. nötige Recoveryzeit. Aktuelle Konfig: Auf dem Storage 3h Backups / 2 täglich / 1 wöchentliche Storage B 1 täglich/ 4 wöchentliche / 12 Monatliche / 3 jährliche Standard NAS 1 täglich / 4 wöchentlich / 3 Monatlich. Zusätzliche Archiv Sicherungen + offline Kopien aller Server Tape Library 1 täglich wir der letzte Restorepoint vom Storage B komplett auf Band gesichert. Zusätzliche 3 Wochenbackups / monatliches Backup auf ein Wormtape Vom Zeitplan her wird versucht, dass sich die monatlichen Backups nicht überschneiden zwischen den einzelnen Targets. Hat evtl. jemand noch irgend einen Tipp wo ich evtl. einen Denkfehler drin habe? Oder wo noch erfahrungsgemäß die Schwachstellen liegen? Besten Dank viele Grüße

Hallo zusammen, Ich möchte mal wieder ein paar entsprechende Microsoft Schulungen besuchen. Könnt ihr entsprechende Anbieter empfehlen? Da es doch bequem ist, würde ich das ganze gerne ohne Anreise usw. - einfach online buchen wollen. Danke für jeden Tipp viele Grüße

Also bis jetzt wird komplett noch überall Outlook mit dem Zugriff per pop/imap auf jedes Email Konto genutzt. Popcon wäre das einzige, das mir jetzt eingefallen wäre, um die Emails vom Mailserver vom Hoster in den Exchange zu bekommen. Hybrid muss ich mir gleich mal anschauen - habe ich bisher noch nie konfiguriert.

Hallo zusammen, Ich bräuchte mal wieder einen guten Tipp :) Bei einem kleinen Kunden - möchte der Chef demnächste Outlook/Exchange nutzen. 3-4 Geräte mit einem Datenbestand von 50gb etwa. Im Prinzip sollten die anderen 10-15 Benutzer wie bisher nur mit Outlook/IMAP weiterarbeiten. Evtl. wäre der Plan später mal noch ein paar User mit dazu zu nehmen. (2-4 User) Wie würdet ihr das ganze umsetzen? Ich bin in dem Thema nicht so fit :) Ich hätte normal Standard - Exchange Online - für alle User - DNS Einträge bearbeiten - Emails hochkopieren - fertig. Es ist jedoch nicht gewünscht alle User auf Exchange umzustellen. Alternative wäre sonst ja imho nur möglich einen lokalen Exchnage Server für einen User zu installieren, und diesen per popcon oder ähnlichem Tool zu "füttern" Das erscheint mir nur fast etwas zu übertrieben. Jedoch wäre es ganz gut, wenn die Emails in der Firma vor Ort gespeichert sind. Ich bin aber am überlegen, ob ich nicht nur irgend einen "kleinen" Mailserver installieren sollte... Danke für jeden Tipp viele Grüße

Danke für die rege Beteiligung. Gerne noch Infos noch nach denen gefragt wurde: - Also bereits vorhandene Server würden wir per 10G iSCSI anstecken - und auf ein NFS Share zugreifen / künftige vermutlich per 16/32Gb FC - Eine generelle Verschlüsselung aller Daten ist nicht zwingend nötig. Soweit ich aber jetzt gelesen habe, sind bei Dell alle Daten automatisch verschlüsselt. Im Prinzip kann es ja auch nicht schaden. - Die Vms pro Host schwanken stark. Von 2 Stück bis zu (gerade geprüft) 20 Stück. Windows + Linux Server. - Direkt ein Backup auf Snapshot Ebene vom Storage wäre vermutlich nicht möglich / da man die Backupsoftware hierzu auch noch upgraden müsste. - Das Storage selbst kann Blockbasiert Snapshots machen - den Rest sollte die Backuplösung mit entsprechenden Zielen übernehmen. Ob man auch hier z.b. noch ein neues Backupziel ala Dell PowerProtect auch gleich mit kauft, soll in dem ganzen Zuge auch geprüft werden. Positiv ist ja für mich, dass auch keiner von einem Anbieger generell abgeraten hat :)

ok die Vorlage war einfach zu gut Gemeint hatte ich - auf Hosts laufen natürlich auch statt 4-5 VMs auch teilweise 10-15

Danke für deine Antwort. Also die VMs sind schon zum Teil sehr CPU hungrig (RDS Server, DB Server) Es gibt aber auch Hosts, auf welchen mehrere VMs laufen. Gebraucht wird eigentlich "nur" das ganze als Storage. Keine direkten Fileshares oder anderes. Iops ist sehr schwierig zu sagen - da in naher Zukunft einige neue DB Server dazu kommen werden. Es sollte also schon etwas Luft nach oben sein. Das Sizing müsste sicherlich auch der entsprechende Anbieter vor einem Angebot noch prüfen. Replikation/Snapshots wären schon nötig. Im Moment schweben als Anbieter umher: Huawei, HP Nimble, Netapp, Dell EMC

Hallo zusammen, Da bei uns demnächst ein Refresh vom Storage ansteht - würden mich mal eure Meinungen/Erfahrungen mit den verschiedenen Anbietern interessieren? Vor allem in kleineren virtuellen Umgebungen (5-10 Hypervisors / 20-50 VMs / Kapazität 5-30tb) Wie ist der Support? Stabilität? Besten Dank für jede Info viele Grüße

Bin gerade am Testen der beiden Tools - danke für den Tipp!

Hallo zusammen, Ich habe aktuell öfters das Problem, dass ein Benutzer mit 4 Bildschirmen (davon 2 realtiv große 4K Monitore hochkant) - Probleme mit dem starten und anordnen seiner RDP Sitzungen hat. Es werden 8 RDP Sitzungen (Ziel - Windows Server 2016 Vms) geöffnet. Deshalb wäre jetzt der Ansatz, einen RDP Client zu verwenden, dem ich evtl. fest eine Position an einem der Bildschirme zuweisen kann. Welche RDP Clients könnt ihr aktuell empfehlen? Besten Dank für jeden Tipp viele Grüße

Hallo zusammen, Ich darf mithelfen bei einem kleinen mittelständischen Unternehmen eine IT-Security Kennzahl zu ermitteln. Da dies künftig scheinbar vor allem bei Kundenaudits vorgezeigt werden soll - und auch teilweise den Mitarbeitern helfen, falls größere Ausgaben zur Verbesserung der Sicherheit nötig werden. Hat hier evtl. jemand ein paar Anregungen oder Tipps für mich? Welche mir mit den MA vor Ort den Einstieg etwas erleichtern könnte? Bis jetzt gibt es verschiedenste Ansätze: - Anzahl bekannter Sicherheitsvorfälle (also z.b. die Exchange Lücke mit schnellem Updaten - und dem Verlauf dazu) - Anzahl nötiger Eingriffe - Anzahl der versuchten Angriffe (nur was hier wählen - Firewalllogs mit den Daten aus dauernden Portscans usw? Diese sind ja imho nichtssagend) - die erkannten Viren (Email / oder sonstige Datenträger) Das ganze ist nicht für eine Zertifizierung oder ähnliches gedacht - sonst würde man ja doch ein komplettes System daraus bauen müssen. Besten Dank für jeden Tipp viele Grüße

Hallo zusammen, Ich sitze gerade an einer Kleinigkeit, und komme einfach nicht weiter... Vielleicht hat jemand von euch einen Tipp. IPAD Pro mit iOS 14.2 - Outlook App in der Version 4.63.0 Es werden hier nur Emails angezeigt, welche neuer als 3 Wochen sind. Ich kannte es so, dass ich den Sync Zeitraum einstellen kann, unter den Konto einstellungen. Dies geht allerdings nicht, wenn die Outlook App als Standard hinterlegt ist. IN der App selbst sehe ich, dass kein Filter gesetzt ist - und in den Einstellungen/Hinterlegtem Konto sehe ich nur die Anmeldeinformationen und wenige Basis Einstellungen (Automatisch Antworten / Externe Bilder Blockieren / Kontakte Speichern / Nachrichten Melden) Hat jemand ein Tipp, wie ich auch die älteren Nachrichten angezeigt bekomme? Besten Dank viele Grüße

Also dafür kann schon auch Geld in die Hand genommen werden. Wichtiger wäre, dass es vernünftig zu handhaben ist. Mit PFsense z.b. bin ich mal in Berührung gekommen - aber nicht wirklich gut damit klar gekommen... Es soll vor allem zwischen verschiedenen Client Netzen geroutet werden. Aber auch zwischen 2-3 Servern. Im Endeffekt würde auch einfaches Routing mit einfachen Filterregeln reichen. Client Netz A -> Client Netz B Zielport 0815 Cleint Netz B -> Server Netz C Zielport 0815 Switche werden gemischt von HP und Unifi verwendet. Die Firewall an welcher die Internetleitungen hängen ist eine Sophos. Durchsatz an den Ports sollte 1GB normal locker reichen. Außer evtl. zu einem Netz vielleicht 10GB Ich glaube, ich starte jetzt aber wirklich mal mit einer entsprechenden Matrix. Danke auch an euch für die tolle Beteiligung.

Hallo zusammen, Da in einem Bereich die Netze demnächst wachsen - benötigen wir hier einen Router mit entsprechenden Firewall/Filterfunktionen. Es werden 8-10 Netze darüber geroutet. Der Traffic hält sich in Grenzen - jedoch sollen entsprechende Filterregeln vernünftig erstellt werden können. Welche Produkte könnt ihr für einen solchen Einsatzzweck empfehlen? Sophos? Lancom? Juniper? Besten Dank viele Grüße

Nein - das sagt mir zumindest nix. (authoriativ markieren - lese aber gerade nach) Also beide Exchange Server haben als DNS den internen vom AD eingetragen. Und sonst nur eine Route - aber keinen Kontakt zu einem externen DNS. Intern wird mit einer contoso.int gearbeitet - nach extern ganz normal contoso.com / usw. Da von extern kein Outlook Anywhere oder ähnliches genutzt wird läuft bis jetzt kein Split DNS.

Danke euch für die Antwort auch so zu später Stunde. Genau. Die Emails bleiben im alten Server in der Warteschlange hängen und gehen nicht durch. In der Übersicht von der Warteschlange habe ich aber jetzt wenigstens eine Fehlermeldung gefunden: 451 4.4.0 DNS query failed. The error was: SMTSSEND.DNS.NonExistentDomain;noexistent domain Ich muss da auch gleich mal nach lesen. Aber verstehe jetzt nicht, wieso der alte Exchange ein Problem haben sollte mit der DNS Auflösung. Die Emails nach extern laufen über einen Smarthost. Also ich habe jetzt autodiscover mal am Client (Outlook 2016) getestet. Das hat über den integrierten Email-Autokonfigurations Test kein Problem gefunden. Jetzt habe ich aber bevor ich es über die Powershell geprüft hätte - einfach kurz das Test Outlook Profil gelöscht und habe outlook neu gestartet -> findet wirklich die Einstellungen nicht - bzw. bringt dauernd die User/Pass abfrage.