iDiddi

Ja, das hat mich bisher auch abgeschreckt. So muss man auf den VPN-Clients nur dafür sorgen, dass dem Stammzertifikat vertraut wird.

Nachtrag: Microsoft hat sich dem Sicherheitsproblem angenommen und einen Artikel dazu veröffentlicht, der beschreibt, was für sichere Alternativen eingesetzt werden können. Die interessanteste, weil einfachste Lösung ist wohl PEAP-EAP-MS-CHAPv2. Interessant daran ist die Tatsache, dass sie ohne eigene PKI auskommt und in wenigen Schritten konfiguriert ist. Ich erspare mir jetzt die genaue Erklärung dazu und verweise einfach auf folgenden Technet-Artikel: Microsoft-Sicherheitsempfehlung (2743314): Nicht eingekapselte MS-CHAP*v2-Authentifizierung kann Offenlegung von Information ermöglichen Implementieren der PEAP-MS-CHAP v2-Authentifizierung für Microsoft-PPTP-VPNs Wer noch eine schöne Anleitung mit ein paar Screenshots benötigt, kann sich das mal anschauen. Leider nur in englischer Sprache: http://www.miqrogroove.com/blog/2012/windows-vpn-with-peap/ Bei dieser Methode ist allerdings zu beachten, dass im ersten Schritt nur der Server mit einem Zertifikat authentifiziert wird. Sicherer ist natürlich ein Verfahren, bei dem sich beide Seiten per Zertifikat authentifizieren müssen. Dann wird es allerdings komplizierter und komplexer.

Wenn man die höchstmögliche Sicherheit will, ja. Dazu hab ich auch noch einen Link für Dich: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Hatte sehr zu meinem Verständnis beigetragen. Dort wird auch auf die Problematik mit Clients hingewiesen, die nicht zur Domäne gehören, was mich momentan ein wenig abschreckt. Es gibt zwar den Trick mit der kurzfristigen Domänenaufnahme, allerdings finde ich das doch sehr umständlich.

Hilft Dir das... Konfigurieren von SSL-Zertifikaten zur Verwendung mehrerer Hostnamen für Clientzugriffsserver: Hilfe zu Exchange 2010 ...weiter?

Nein. Dabei gibt es eben keinen PSK, sondern jeder Nutzer hat sein eigenes Zertifikat, auf das er natürlich entsprechend aufpassen muss.

Das kommt drauf an. Schau Dir mal dieses Whitepaper von Bintec an: http://www.corex.at/whitepapers/wp_bin_vpn_preshared_keys.pdf Dort wird schön und verständlich beschrieben, warum VPNs mit Preshared Keys nicht sicher sind und was man dabei beachten muss.

Hast Du die entsprechenden Dienste denn nach der Umstellung schon neu gestartet?

Nur mal so eingeworfen: IPSec mit Pre Shared Keys zu verwenden, ist genauso, wenn nicht sogar noch unsicherer als PPTP/MSChap2. Der sendet dann nämlich an Jeden, der eine Verbindung versucht, den Hash frei Haus, sofern der Aggressive-Mode eingestellt ist, wovon ich mal ausgehe (oder haben Eure Clients alle feste IPs? ) Also wenn Du umstellst, dann nutze am besten direkt Zertifikate ;) Zu Deiner Frage: Das sieht für mich tatsächlich nach einem Lancom-spezifischen Problem aus. Daher würde ich einfach mal abwarten, was im dortigen Forum geschrieben wird.

Wahrscheinlich daran, dass der Exchange nur sichere Anmeldungen erlaubt ;) Schau mal in der Exchange Verwaltungskonsole unter Clientaccess / Pop3-Eigenschaften nach. Im Reiter Authentifizierung wirst Du vermutlich fündig werden. Was spricht gegen den Abruf über POP3S? PS: Übrigens wäre es ganz schön, wenn Du uns in Zukunft direkt die Exchange-Version nennen könntest. So kann man leider nur raten

Dann melde Dich doch einfach bei der Microsoft Virtual Academy an. Da gibt es spezielle Kurse. Teilweise sogar auf deutsch ;)

Hm, warum sicherst Du nicht einfach den TS über Schattenkopie (WBAdmin oder Drittanbieter-Software)? Das würde ich nicht mit der Benutzeran/-abmeldung verknüpfen.

Hier kannst Du es übrigens nachlesen (Frank Carius kann eh besser erklären als ich ;) ): MSXFAQ.DE - Senden als

Ich glaub Du verwechselst da was. Du meinst sicherlich das "Senden im Auftrag von". Das kann man über die AD-Benutzer und Computer-Console im Benutzerobjekt unter Zustelloptionen anpassen. Das hängt auch mit der Stellvertreter-Berechtigung zusammen. Trägst Du im Outlook einen Stellvertreter ein, so erscheint der auch dort. Problem daran ist, dass der Empfänger sieht, dass die Nachricht "im Auftrag von" verschickt wurde. Das "Senden-als-Recht" kann nur der Admin vergeben. Das geht im gleichen MMC-Snap-In, dabei muss nur die erweiterte Ansicht freigeschaltet werden. Dann gibt es im Benutzerobjekt zusätzliche Reiter. Unter anderem auch "Sicherheit". Dort kannst Du dann den Benutzer hinzufügen und ihm das "Senden als"-Recht zuweisen. Jetzt erscheint beim Empfänger nicht mehr "im Auftrag von" ;) Daher: Wo und was hast Du denn in der Exchange System Manager-Console geändert? Mir auch, da das beim fest vergebenen "Send as" eigentlich nicht sein kann

Na siehste. Danke für die Rückmeldung. Im Benutzerobjekt hättest Du die aber auf jeden Fall auch gesehen. Ein gemeinsamer Zugriff mit OL2003 und 2010 auf das gleiche Postfach würde ich aber nicht empfehlen, da es zu Problemen kommen könnte. Insbesondere mit Regeln.

Kein Problem :) Off-Topic:Dich zu verbessern grenzt ja schon fast an Gotteslästerung :D

Guck auch mal im AD-Benutzerobjekt unter Zustelloptionen nach. Da sollten zwar die gleichen Benutzer auftauchen wie im Outlook, aber wer weiß, wer weiß ;) Schau Dir auch mal diesen Link an: Exchange 2003: Benutzer bekommt Antworten auf Besprechungsanfragen eines anderen Benutzers - Frage - Exchange Server - administrator.de Wie kommst Du denn da drauf? Das ist unabhängig von Outlook

Meinst Du nicht eher Unicode-Format?

Handelt es sich um einen SBS2003? Hilft Dir das weiter? https://www.mcseboard.de/windows-server-forum-78/sbs-2003-iphone-185502.html#post1143613

Hilft Dir der Beitrag von Nils evtl. weiter? https://www.mcseboard.de/active-directory-forum-79/probleme-migration-w2k3-w2k8r2-186324.html

Wende Dich doch mal direkt an den Programmierer: Somebytes Software • View forum - OLMixedFolders

Das vermute ich doch mal stark anhand Deiner Beiträge. Oder stimmt's etwa nicht?

Ich will ja nicht drauf rum reiten, aber das ist kein normales Verhalten. Und ich hab schon viele Konfigurationen mit servergespeicherten Profilen gesehen, und da klappt das ohne Probleme. Was ich mir vorstellen könnte, ist ein nicht übereinstimmender Pfad, der durch ein OS-Mischbetrieb oder unterschiedlicher Profilnamen verursacht wurde. Dann kann er die OST auch nicht neu erstellen, weil dadurch keine Ordner automatisch erstellt werden können. Jedenfalls würde ich das wieder umstellen, da das von MS nicht supportet ist, OST-/PST-Dateien auf ein Netzlaufwerk zu legen ;) Dadurch können auch Probleme im Netz entstehen, da diese Dateien immer komplett im Zugriff sind. Je nach Größe kann dabei ganz schön viel NW-Verkehr verursacht werden. na und? Ist es dann nicht sogar besser, wenn die Daten dann noch mal lokal vorliegen?

Ne, ist sie auch nicht, wenn man das vom technischen Standpunkt aus sieht. Allerdings kommt sie meiner Meinung nach zu früh. Erst müssen noch einige Punkte geklärt werden, bevor ich das einem Kunden ruhigen Gewissens empfehlen kann. Die gibt es natürlich auch. Aber man darf das nicht verallgemeinern. Bedenke, dass wir uns immer noch in einer Krise befinden, in der gerade kleine Firmen um ihre Existenz kämpfen. Das bekommt man vielleicht nicht so mit, wenn man für große Unternehmen arbeitet. Und die sollen dann gezwungen sein, der Cloud ihre Daten anzuvertrauen und dann eventuell ein Desaster alá Amazon zu erleben? Aber ich hole glaub ich wieder zu weit aus, sorry. Ich hätt's halt schöner gefunden, wenn MS den kleinen Kunden die Wahl lassen würde, ohne ihnen was aufzuzwingen. So viel ich weiß, arbeitest Du doch für ein Großunternehmen, oder? Dann ist ja auch klar, dass Du ihn nicht verstehst ;) Wenn da mal nicht Ironie mitschwingt ;)

Ja, das schmeckt mir auch nicht. Aber Du weißt so gut wie ich, dass kleinere Firmen so wenig Geld wie möglich ausgeben können/wollen. Viele von denen haben nicht mal einen Server bzw. nutzen einen Client als Fileserver. Da waren wir manchmal froh, sie zu einem SBS überreden zu können.

Ist schon klar, Norbert. Aber das attraktive am SBS ist der günstige Preis.