testperson

Eingehend wäre es halt max. HTTPS. Aber es bliebe die Frage, ob man das zwingend will / muss. Und nur ein Reverse-Proxy davor macht es auch nicht direkt wirklich sicherer ;)

BTW: Es ist erstaunlich, dass bei der ganzen Frickelei der "Sohnemann" das Sicherheitsproblem ist ;) P.S.: Wie wäre es mit einem eigenen Internetzugang für den Sohn / die ungeschützte Zone?

Hi, du _musst_ AFAIK nichts nach innen öffnen. Und wenn wäre es https für die Webdienste der Mobile-App. Ob man das Portal im Web veröffentlicht, wäre eine andere Frage. Aber dort würdest du dich dann mit dem zweiten Faktor anmelden. Theoretisch könntest du ja die Devices mit der App auch ausschließlich im eigenen Netz provisionieren sowie das Portal auch nur dort bereitstellen. Gruß Jan

Ja. Der erste kommt nach Hause und der zweite in die Praxis ;) Es wird aber mit Sicherheit noch weitere Hersteller geben die das können.

Hi, hat der Ausführende User Berechtigung auf dem Ziel Hyper-V an der entsprechenden Stelle Dateien zu erstellen? Hast du den Converter "Als Administrator" ausgeführt? Gruß Jan

Rollups für 2010 / 2007 kamen per WU / WSUS. SPs nicht. Wenn aber schonmal alles andere automatisch gepatched wird, brauche ich nur noch den Exchange patchen. Das spart schonmal viel Fortschrittsbalken anstarren. Generell lassen sich auch Exchange SPs / CUs gescripted installieren. Wenn so ein SBS aber von Mo-Sa täglich vo 4:30 bis 21:30 laufen muss, sollte man sich mal mit der GL zusammensetzen, über die Anforderungen sprechen und dann den SBS samt Hardware nochmal ganz genau betrachten (Ich gehe vom Verlauf der Diskussion mal einfach davon aus, dass es _nur_ den SBS gibt).

Mann kann Windows Update mit oder ohne WSUS so konfigurieren, dass z.B. Sonntags um 03:00 Uhr automagisch gepatched wird.

Das wird vermutlich nicht das SMTP Log sein. 5 Monate "nur am flicken" und nichtmal die Anwendungen auf dem Server gupdatet? Windows Updates hat er aber bekommen? Wenn das alles so schlimm ist, hätte ich zeitnah dankend abgelehnt oder direkt geplant den "alten Mist" abzulösen Richtung neue Hard- und Software (und ggfs. Cloud).

Nicht einmal einen Verbindungsversuch von PopCon? Programme und Funktionen -> PopCon deinstallieren: ~5 Minuten Firewall anpassen: ~5 Minuten Exchange anpassen: ~5 Minuten MX Records anpassen: ~5 Minuten Puffer zum Staunen wie einfach das ist: ~10 Minuten Du brauchst eine feste IP mit anpassbaren RDNS Pointer sowie einen Provider, bei dem du die MX Records anpassen kannst. Sinnvollerweise hast du noch einen SPAM / Virenfilter vor dem Exchange.

Hi, entsorge den Pop-Connector. Findet sich etwas im SMTP Log vom Exchange? Gruß Jan

Hi, ich kann es im VLSC noch downloaden. Aber was möchte man denn jetzt noch mit Office 2007? Gruß Jan

Hi, bei mir klappt das meistens automatisch ;) Ansonsten geht das mit Win10 glaube ich nicht mehr. Da gab es hier meine ich auch eine etwas längere Diskussion. Gruß Jan

Hi, warum nutzt du denn dann nicht einfach nur Postfach 2? Ansonsten wirst du etwas brauchen, was Address Rewrite kann. Evtl. hilft es, wenn du erklärt was du da am Ende haben möchtest und nicht wie _du_ es am Ende realisieren möchtest ;) Gruß Jan

Hi, eine "generelle" Übersicht gibt es z.B. hier: https://docs.microsoft.com/en-us/windows-server/administration/performance-tuning/ Ansonsten kann auch häufig der Support der Anwendung / der Hersteller was zu Best Practice Empfehlungen bzw. zum geplanten Szenario sagen. Gruß Jan

Was bekommst du denn mit einem echo %1 pause in der Batch als Ausgabe?

Dann prüfe die Firewall am Router oder was auch immer vor dem Server steht. Dann solltest du die Gegenstelle darum bitten, etwas anderes anzubieten.

Hi, dann prüfe auf der Firewall (noch)mal, ob der TS auch wirklich tcp 3389 zum Ziel darf. Kannst du per "telnet hostname 3389" eine Verbindung aufbauen? Ich würde aber davon absehen per RDP quer durchs Internet zu schießen. Warum kein VPN oder Remotedesktop-Gateway auf der anderen Seite nutzen? Gruß Jan

Hi, Start -> Ausführen -> compmgmt.msc? Ich sehe da z.B. geöffnete Dateien und könnte diese auch schließen. Gruß Jan

Nachdem ich dem Support nochmal unser Szenario dargestellt habe, sind wir "nicht" betroffen. Zumindest lässt sich durch unsere Konfiguration die Schwachstelle wohl nicht von extern ausnutzen. Leider geizt Lancom weiter mit Infos und nennt nur "Schwachstelle in den Management-Funktionen".

Das geht einfacher / schneller: http://www.uwe-sieber.de/misc_tools.html (Device Cleanup Tool) Was habe ich mich damals aufgeregt als ich gefühlt 1 Mio. mal im Geräte-Manager rumgeklickt hab ;)

Hi, die Sammlung kannst du mit https://docs.microsoft.com/en-us/powershell/module/remotedesktop/set-rdsessioncollectionconfiguration?view=win10-ps bearbeiten. Ob das dann aber auf bereits aktive bzw. getrennte Sessions angewendet wird kann ich dir nicht sagen. Ansonsten kannst du mit https://psterminalservices.codeplex.com/ was scripten, was dann ab 18 Uhr immer mal wieder als Task läuft. Gruß Jan

Hi, hat hier evtl. jemand schon nähere Infos zu https://www.lancom-systems.de/service-support/soforthilfe/allgemeine-sicherheitshinweise/ bzw. https://www.heise.de/newsticker/meldung/Lancom-Wichtiges-LCOS-Update-stopft-Sicherheitsluecke-3898215.html? Im Lancom Forum gibt es auch nur die "Wende dich an den Hersteller" Info. Der Support rührt sich leider nicht und ich würde ungern so kurz vorm bzw. am WE außerplanmäßig und ggfs. "unnötig" patchen. Wenn derart zu dem Problem geschwiegen wird, ist das ja meinst ein schlechtes Zeichen.. *edit* Herrlich, da postet man hier und direkt kommt die Antwort von Lancom: Toll! Gruß Jan

Hi, von welchem Betriebssystem reden wir denn hier bei den Terminalservern (oder ggfs. Remotedesktopsessionhosts)? Gruß Jan

Hi, du solltest den SBS 2003 komplett ablösen und somit den Exchange 2003 aus ypsilon.local entfernen. Dann ist es letztlich egal, ob O365 oder Anbindung an den Exchange 2013. Ohne weitere Infos würde ich aufgrund von Punkt 6. zu O365 tendieren (+ SBS 2003 durch einen neuen Server mit aktuellem OS abzulösen). Je nachdem könnte man auch überlegen die ypsilon.local in hauptfirma.local zu migrieren (Das würde ich unter deinem Punkt 3. verstehen). Das wäre aber in meinen Augen eine Aufgabe die mit einem entsprechenden Berater vor Ort zu klären wäre. Hier wäre dann auch zu klären, ob wikrlich eine eigene Domain für Y benötigt würde. Ich würde wenn von "Nein" ausgehen. Die Profile können (teils) migriert werden oder auch nicht. Im letzteren Falls wären es (neue) leere. Gruß Jan

Dafür hat es aber scheinbar lange genug gedauert sich von POP3 Konten mit Filterung bei 1und1 zu verabschieden ;) SCNR