sockel7

Hallo, Ich kann mich zwar erst wieder an Montag melden aber vielleicht meldet sich ja bis dahin schon jemand von euch. Und zwar habe ich folgenden Problem. Ich wollte einen Drucker über die GPO freigeben. Dabei ist es egal ob per User oder per Rechner. Ich habe sie mal Printer gennant. Drucker lässt sich auch schön brav freigeben. Wenn ich nun Gruppenrichtlinienverwaltung starte unddann rechtsklick auf Printer dann auf Bearbeiten, kommt das Fenster Gruppenrichtlinienverwaltungs-Editor dann auf Einstellungen ! Da kommt dann sofort der Fehler "Beim Analysieren der Datei ist ein Fehler (0x8007003a) aufgetreten. Der angegebene Server kann den angeforderten Vorgang nicht ausführen" Bisher hatte ich vermutet das der was mit dem ADDC zu tun habe soll, aber soweit läuft alles richtig. es läuft übrigend der sbs 2011 Essentials auf einem HP Proliant dl120 G6 Kann da jemand was zu sagen ?

Ja die Adresse ist weiterhin die gleiche. Wenn ich die Dame einfach rauslöschen könnte, würde das nicht helfen oder geht das ebend nicht ? Ich verstehe nicht warum das nicht klappt. Das Nervt ein wenig. Was kann ich denn noch anderes machen ?

Müsste ich dann nicht 1: Ports freigeben und 2: Änderungen an dem jetzigen Outllook der Dame vornehmen ? 1 + 2 sind keine Option leider. sry, ich hoffe das Gespräch ist hier nicht an dieser Stelle beendet ! Ich habe genau 1 VPN Port zu diesem Server auf. Mehr geht nicht. Ich kann auch nicht von der Mitarbeiterin verlangen das Sie sich erst per VPN verbindet und dann Ihre Mails abruft. Das hat alles Betriebsinterne Gründe. sry.

Habe deinen Wink verstanden. Aber könnten wir denn mein eigentliches Problem noch lösen ? Später werde ich den Server ändern aus SBS2011 Essentials wie alle anderen auch. Wir sind ja nicht viele. Deswegen benötigen wir keinen Exchange Server. Aber egal ist ein anderes Thema. Bekommen wir mein eigendliches Problem gelöst ? Danke :)

Wow ! Also ich muss mal dazusagen, das ich den Server in dem "alten Haus" nicht aufgebaut habe. Aber dort wurden oder werden neue Clients weiterhin so eingerichtet, das sie sich automatisch mit dem Exchange verbinden. Also verschicken meiner meinung nach alle Clients Ihre Mails über den Exchange, weil dieser ja auch von Outlook sofort gefunden wird. Ist das so nicht richtig ? Soll ich jetzt alle Clients bzw. Outllook auf den Clients ändern ? so das Sie dann smtp vom Provider direkt nutzen ? Das kann ich nicht machen. Dann killen die mich wenn ich die Mailkonten ändere und evtl. die Struktur ihres Outllook's ändere... Gruß

OK :) Also die alte Umgebung ist Server 2008 R2 mit Exchange 2007. Alle Mitarbeiter haben ein Postfach im Exchangeserver. Dieser holt sich die Mails von einem anderen Provider via Popcon. Mailzustellungen liefen ohne Probleme. Nun ist eine Mitarbeiterin umgezogen in ein neues Gebäude. Andere Stadt. An Ihrem jetzigen Arbeitsplatz gibtś nur Outllook. Der die Mais ganz normal vom Provider abholt. !!! Alle Freunde dieser Frau die nicht in dem Haus mit dem Exchangeserver arbeiten, können ganz einfach Mails schicken. !!! Nur die aus dem alten Haus die sich ja weiterhin in der Umgebung des Exchangeservers befinden, können das nicht. Wenn Sie eine Mail schicken, kommt sofort eine Fehlermeldung vom Exchangeserver, das diese Mail nicht zugestellt werden kann. Ich habe Ihr konto wie gesagt schon deaktiviert. Trozdem bekommt Sie an Ihrem neuen Arbeitsplatz die Mail nicht. Ich vermute mal das alle Mails die in dem alten Haus verschickt werden wollen, von dem Exchangeserver abgefangen werden und der leitet diese nicht an den Provider weiter sondern versucht diese an das Konto welches ich ja gelöscht habe zu senden. könnt Ihr damit was anfangen ? :confused: PS: Ich kenne mich noch nicht so gut mit Exchangeserver aus. :D

Hallo, vielleicht kann mir ja hier einer helfen. Ich habe folgendes Problem Server ist 2008R2 mit Exchange 2007. Nun ist eine Mitarbeiterin umgezogen in ein neues Verwaltungsgebäude. Nun konnte sie bisher noch über owa auf das Konto im alten Haus zugreifen. Allerdings war es so das die Mitarbeiter im alten haus ihr keine Mails schicken konnten, weil die ja local vom exchange Server abgefangen wurden und ihrem Konto zugewiesen wurden. Aber nun will sie die Mails ganz normal über Outlook abrufen können im neue Haus. Ich habe in der Postfachverwaltung das Postfach deaktiviert. steht nun unter getrenntes Postfach. Aber Sie bekommt die Mails aus diesem alten weiterhin nicht. was muss ich denn noch tun, damit die Mitarbeiter aus dem alten Haus Ihr wieder mails schicken können. Danke MfG

Natürlich verstehe ich was ihr mir sagen wollt. Sicher dich ab bei der Geschäftsleitung und gut ist. Evtl. noch einen Forensiker kommen lassen und einen IT Experten. Die das System analysieren. jajaja das habe ich schon verstanden. die GFs sind informiert. Für die ist alles Easy. No Problem. Damit könnte es ja für mich erledigt sein. Aber so will ich es nicht. Ich will schon wissen wer sich an meinen System zu schaffen macht und was er tut. Aber anscheinend können verschiende nur auf Anfängern rumhacken. Oder bekommen einen Anfall wie eine Firma so einen Noob wie mich auf ein Netzwerk loslassen kann. Aber hat nicht jeder eine Chance verdient ? Ich versuche mein bestes um das System so sicher wie möglich zu halten. Naja wie auch immer ich denke auch das wir uns hier im Kreis drehen. Wenn mir keiner mehr was nützliches sagen kann, wird der TO diesen Thread schließen.

was bedeutet "TO" ? Würdet Ihr mir auch zu einer kompletten neuinstallation aller Systeme und Cleints raten ? Nützt das denn was ? Wenn ich mir nun was von der GF geben lassen wolle und die würden dann sagen, OK unternimm was gegen dieses Problem. Was sollte ich dann machen ? Nützt mir sowas wie IPCOP Firewall mit IDS was ? Gibt es überhaubt einen nützlichen schutz gegen Hacker/Freaks ? VPN nützt aber auch nix wenn er meine Passwörter abgreifen kann wa ? Erkennt die Kasperski CD solche Programme Key Logger und dergleichen ? Im Moment habe ich auf allen Rechnern Avira Professional laufen. Das schlägt aber nicht an. Würdet Ihr mal schreiben welche konfigurationen Hard und Software ihr so habt. Das währe mal toll. Danke

jau alles klar danke.

ok ok ich habe schon verstanden was ihr davon haltet und von dem was ich kann. Aber leider sind wir hier ja vom eigentlilchen Thema abgeschweift. vileicht noch ein letzter Versuch. Wie kann ich als nicht Forensiker erkennen ob ein Fremder zugang hatte oder nicht. Was sagt mir die Ereignissanzeige vom SBS2003 S2008R2 oder S2003 An/Abmeldung usw. Kann ich sehen ob sich jemand über Externe IP angemeldet hat. wie würde das aussehen ? An/Abmeldung user XY über IP XY (externe) ?

Also ! Ich gebe zu, ich bin überfordert mit dieser Problematik. Aber meine GFs wollen weder anderes Personal noch wollen Sie eine weitere untersuchung dieser Sache. Weil !! es kostet ja Geld. Und es gibt bei uns nix zu holen auf den Servern. Weder Kundendaten noch E-Mailadressen noch sonst irgendwas. deswegen halten sie solch ein Vorgehen für übetrieben. Mir geht es ja nur darum zu wissen, kann er oder kann er nicht zugreifen auf meine Sachen. Dann will ICH ja nur wissen wie er es gemacht hat. Auf meinen Server läuft ja nur DNS AD DC DHCP Print WSUS File -> Server und sonst nix. da ist ja nichts womit ein normaler Hacker was anfangen könnte. Außer wenn er Daten verteilen will über unsere Rechner. Oder mich ärgern will. Deswegen wird seitens der GF nichts weiter unternommen.

selbstverständlich habe ich das schon getan. Allerdings habe ich nicht nachgewiesen, das diese Programm laufen. Sonder nur, das mein Vorgännger diese geladen hat. Ob er sie nun installiert hat oder hatte, kann ich nicht sagen. Es könnte ja auch sein, das er eines der Programme auf den Notebooks der GFs installiert hat. Was weis ich, ich kann es nicht nachvollziehen. Aber wenn ich jatzt anfangen würde panik zu schieben, müsste ich ja aaaallleeesss komplett neu installieren. Sammt einer neuen Festen IP vom Provider. Ach du Schei... das würde was werden. Wenn ich nun noch weiterspinnen würde könnte es ja auch sein, das er selbst schon in diesem Forum und diesem Thema mitschreibt. :) weil er schon längst alles abgegriffen hat bei mir am Rechner. oje oje oje.... wie würdet Ihr denn an meiner Stelle handeln ?

Hallo, Ich frage mal was anderes. Welche möglichkeiten gibt es denn um unbemerkt ein System zu unterwandern. Wobei das hier keine Anleitung werden soll, wie man sowas durchführt. Ich habe auf einer HDD diese Programme gefunden. Mini Key Log PC Agent Was gibt es noch und wie kann ich es erkennen. Diese Sachen kann man ja im Taskmanager ausblenden wie ich bemerkt habe.

Hallo, Also nur zur Erklärung. Ich vermute mal, das er evtl. seinen Job wieder haben will. Wenn er nun daführ sorgt, das die System nich einwandfrei funktionieren, so das alle User immer was zu meckern haben, währe es ja denkbar, Das ich auf diesem Wege abgeschossen werde und er seinen alten job wiederbekommt. Das ist der Hintergrund bei der Sache. Interessante Daten gibts bei uns im Betrieb eh nicht zu holen. ist die Ereignissanzeige das einzigste wo protokolliert wird wer wann was gemacht hat ? Ich sag mal so, ich traue Ihm zu, das er zu seiner Zeit einen Keylogger oder ähnliches installiert hat. So bekommt er ja immer was er braucht. Aber ich kann doch nicht alle Server und Cleints neu installieren. Deswegen bin ich etwas unsicher. Und wollte wissen ob ich das irgendwie protokollieren kann.

Hallo alle zusammen. Kann mir jemand erklären, wie ich erkennen kann, ob sich jemand an meinen Servern zu schaffen gemacht hat oder nicht. Nur mal als Beispiel. Der jenige welche kann nur von außen reinkommen, weil er nicht mehr hier im Betrieb arbeitet. Hat er aber vorher lange Zeit. Also währe es möglich, das es sich eine Backdoor eingerichtet hat. Komischer weise haben sich änderungen an der Config meines DNS Servers gezeigt. Aber ich kann nicht erkennen ob das jemand gemacht hat oder ob ich es versehentlich verstellt habe. Meine Frage nun, kann ich irgendwo erkennen zb. Ereignissanzeige ob und von wo aus sich jemand an meinen Servern zu schaffen gemacht hat. MfG und danke schonmal.

Der VPN Server läuft auf dem Windows Server. Das ist ja auch der einzigste der hier läuft. RAS und Routing habe ich darauf eingerichtet.

Hallo :) Meinst du eine EXTRA FIREWALL ???? hehe Nein haben wir nicht. Nach dem Router hängt sofort der Server drann.

Hallo, Ist es möglich, einen externen User über einen VPN-Tunnel auf eine Festgelegt IP zu beschränken ? bedeutet im Klartext, Wir habe einer externen Firma erlaubt einen Server an unseren Server anzuschließen. Nun benutzt diese Fa. den Port 5900 VNC für Wartungsarbeiten. Ich würde dieser Fa. gerne einen Tunnel bereitstellen, der aber den User nur auf seinem Rechner lässt. Und nicht das er meinen Server erreichen kann. geht sowas ? Gruß

EX ist ganz raus aus der Firma. Teamviewer läuft nicht... nicht das das ich kenne. Mitarbeiterportal ? fast alle können ins internet. Das Gespräch mit der Leitung steht eh für morgen an. Das mach ich so oder so. Aber ich wollte auch evtl. Beweise sichern wie er es geschaft hat. Desweiteren muss ich wissen wie ich eine Wiederholung ausschließen kann. Über den Router einbrechen ? kann ich nicht beantworten. Sind einfache Fritzboxen. Gruß

3 Server bedeutet, Die Firma hat drei Standpunkte. Jeweils eine andere Stadt. Da steht immer ein eigener Server drin. Neuinstallation kommt "erstmal" nicht in Frage. Adminrechte habe nur ich mit meinem ACC. Alle anderen sind deaktiviert. Mein EX Kollege meinte noch das ich zu viele Ports offen habe und man könnte darüber einbrechen. Das ist mir klar, aber wie kann ich das erkennen das einer drin war ? und was hat er gemacht ? Daten geladen irgendwas verstellt, usw. Gruß

Hallo, ich bin der neue hier im Forum. :) ich möchte gleich mal vorweg schicken, das ich den Beruf des Admins nicht gelernt habe. Sonder eher in diesen Job reingerutscht bin. Also bitte habt etwas nachsicht mit mir. nur flott zu meinem Problem. Ich habe vor kurzem 3 Server in unterschiedlichen Städten übernommen. Nun ist es so, das ich meinen vorgänger aus den Systemen verbannen muss. Ich muss ausschließen können , das dieser noch weiteren zugriff auf die Rechner hat. Nach einem Telefonat hat er mir demonstriert, das er diesen immernoch hat. !!!! nun mal meine ****e frage ! Wie kann ich erkennen, wer wann was auf dem Server gemacht hat. Über welche Sicherheitslücke er das geschaft hat. Wenn ich ihn richtig verstanden habe, hat er wohl über RDP auf den Desktop zugegriffen obwohl ich alle Admin Passwörter geändert habe. Wo kann ich das sehen wie und über welche lücke er das gemacht hat. Die ereignissanzeige hillft mir nicht viel. Gibts evtl. eine Software die sowas verständlich protokolliert ? hilft dann eine Hardwarefirewall ? Bitte im Hilfe. Vielen Dank schon mal im vorraus an alle die mir helfen wollen. Übrigens alles Server neu installieren ist keine Option :)