Jump to content

Assassin

Members
  • Gesamte Inhalte

    363
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von Assassin

  1. muss das Thema nochmal hoch holen...man könnte also jetzt ein Zertifikat kaufen für 99€ im Jahr in etwa (mehrere Subdomains, darum direkt Wildcard-Zertifikat, ReverseProxy unterstützt nur ein Zertifikat) und tauscht das Zertifikat 1x im Jahr aus, oder man bleibt beim LetsEncrypt Zertifikat aber muss es dann halt aller 3 Monate tauschen - ist dafür Kostenlos. Eine sache die ic mich noch etwas frage - wenn der Exchange dann ein öffentliches Zertifikat auf seinem IIS liegen hat, dann müssten die internen Client Computer aber die RootCA des Zertifikat-anbieters über das Internet erreichen müssen, damit Outlook nicht rummeckert, oder? Gibt ein paar Clients die haben zwar Outlook drauf - aber keine Internetverbindung (Webproxy mit authentifizierung only, und einige User dürfen halt nichts)
  2. Jagut, Security kostet, klar...aber manchmal beschleicht einem das gefühl, dass da einige andere ganz gerne mit verdienen wollen wohne effektiven Mehrwert... UTM = Securepoint
  3. jep, habe ich gelesen, dachte nur dass es auch ein SSL Offloading ist weil die anfragen ja erstmal auf dem Reverseproxy "landen" Gekaufte Zertifikate hatten wir früher mal, aber wenns das auch kostenlos mit LetsEncrypt gibt und die Firewall das automatisch aktualisiert kann mans ja auch so machen nur unschön das MS das jetzt unnötig kompliziert macht wenn man ein erhöhtes maß an Sicherheit haben möchte...
  4. Guten Morgen, Kurze frage zum Verständnis zwecks dem Extended Protection https://microsoft.github.io/CSS-Exchange/Security/Extended-Protection/ Gegeben ist: - ca. 50 User Umgebung - ca. 10 Außendienstler die sich ebenfalls via Handys und Outlook mit dem Exchange verbinden - einen Exchange 2019 Server, on Premise - eigene interne PKI um Selbstsignierte Zertifikate Netz-intern zu verwalten und zu nutzen - für die UTM/Firewall wird ein LetsEncrypt Zertifikat genutzt - UTM/Firewall mit aktivem ReverseProxy wo nur bestimmte Exchange Dienste durchkommen, ECP wird NICHT durchgelassen (von extern eingehend, URLpath_regex: ^/EWS ^/ews ^/mapi ^/Mapi ^/Microsoft-Server-ActiveSync ^/OAB ^/oab ^/owa ^/Autodiscover ^/autodiscover ^/eas ^/EAS ^/rpc ^/RPC ^/AUTODISCOVER ^/MAPI ^/exchange ^/Rpc ) dieser nutzt auch das LetsEncrypt Zertifikat für zugriffe von extern, intern leitet er die anfragen an den Exchange weiter mit dem selbstsigniertem Zertifikat Nach meinem Verständnis her würde es genau hier beim ReverseProxy knallen wenn ich Extended Protection aktivieren würde, da SSL Offloading nicht unterstützt wird. Ich müsste also das Letsencrypt Zertifikat auch dem IIS vom Exchange zuordnen, aber das wird ja aller 3 Monate getauscht - unschön also jedes mal das IIS Zertifikat zu tauschen, und das Selbstsignierte Zertifikate dem ReverseProxy mitgeben ist auch nicht schön. Wie macht man dann sowas? Oder habe ich da was falsch verstanden?
  5. natürlich nicht so häufig Aber ich finde es halt schade dass man was Konstruiert hat aber nicht voll ausgereizt wird...gut klar, redundanz war da eigentlich eher das Ziel Aber wenns schon mal da ist, will man das doch gern mit nutzen finde ich. 1-2x im Monat schubse ich die VMs umher zwecks Windows-Updates auf den Hosts. Und das dauert dann natürlich ein paar Minuten bei 25 VMs mit insgesamt 320GB Ram verbrauch. Und wenn ich sehe dass Windows - warum auch immer - alles nur über eine 10G Leitung schiebt statt die zweite mit zu nutzen, bringt das immer leichte selbstzweifel auf warum es das so macht. Aber um nochmal auf das eigentliche Thema zurück zu kommen - es ist egal ob ich jetzt noch zusätzlich die Regel 2 und 4 deaktiviere oder aktiviert lasse, da regel 1&3 aktiv ist und damit über den anderen (default) Einstellungen steht?
  6. Serverseitig haben wir natürlich überall SMB1 deaktiviert gelassen, es gibt aber einen Windows 10 Client, welcher leider SMB1 aktiviert haben muss (da aber auch nur SMB1 Client - NICHT Server) weil dieser PC mit ein paar Spezial-Druckern kommunizieren muss. die Drucker sind zwar als Drucker unter Windows10 installiert, allerdings als File-Pipe, das Druckobjekt wird als zip vom Treiber verpackt und per SMB1 an die Drucker geschickt...Fragt nicht - es gibt vom Hersteller leider nix "moderneres" Mir ist halt nur aufgefallen, dass gerade bei den Clients standardmäßig eine der "wenn gegenseite zustimmt" Option aktiv ist - ich hab aber nur die GPO ausgerollt das Client und Server immer signieren sollen und alles andere auf unkonfiguriert gelassen in der GPO. die HyperV knoten haben keine RDMA NICs drin, daher arbeite ich da mit SMB Komprimieren für die Livemigration. Schade nur, dass immer nur eine der zwei möglichen 10G Netzwerkkarten genutzt wird obwohl ich 4 VMs gleichzeitig migrieren lasse -.-
  7. Servus, wie sollte man optimalerweise in einem Domänen-Netzwerk die SMB Signierung einstellen? Es gibt ja insgesamt 4 Regeln: 1. Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) 2. Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) 3. Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) 4. Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) sollte man Regel 1 und 3 auf aktiviert setzen und Regel 2 und 4 auf deaktiviert setzen, oder wird Regel 2 und 4 durch Regel 1 und 3 ohnehin ausgehebelt? So richtig schlau werde ich aus der MS Beschreibung nicht: https://go.microsoft.com/fwlink/?LinkID=787136 für SMB1 und SMB2 gilt wenn SMB Signierung erforderlich ist, ist die Regel 1 und 3 zu aktivieren. Regel 2 und 4 würde nur für SMB1 greifen, aber wenn bereits Regel 1 und 3 aktiviert ist - gilt das dann auch zwingend für SMB1? Ist es dann egal ob Regel 2 und 4 zusätzlich aktiv ist? Oder wäre eine unsignierte Kommunikation über SMB1 dann dennoch möglich (auch wenn Regel 1 und 3 aktiv sind) und: Es soll ja einen Leistungseinbruch geben bei aktivierter Signierung, was beim 10G Netzwerk wohl noch höher ausfallen soll. Was mach ich aber bei einem HyperV Failover-Cluster der die VMs per Livemigration via SMB auf ein anderen Knoten schiebt - das würde ja dann auch langsamer gehen, oder?
  8. Fehler war, das es anscheinend die Papierkörbe zwar mit kopiert hat, aber da nicht die Berechtigung des Users gesetzt hat. Ich habe also in jedem umgeleitetem Ordner den $Recycle.bin gelöscht - sodass der Client einen neuen Ordner mit korrekten rechten angelegt hatte. Das ganze natürlich per Skript gemacht (suche Papierkorb in umgeleitete Elemente, rekursiv, und lösche das.
  9. Hallo allerseits, vor ein paar Tagen haben wir unseren Fileserver migriert auf Server 2019 (vorher 2012R2), alle Daten mit dem Windows eigenen Fileserver Migration Toolkit incl. freigaben. Hat auch alles fast wunderbar funktioniert, den bei ein paar wenigen Benutzern lassen sich Dateien die unter Dokumente liegen (also eigen Dateien) nicht löschen. Es gibt für alle User eine Ordnerumleitung GPO, welche auch angepasst wurde für den neuen Servernamen (Häkchen für Dateiumzug in der GPO ist raus). Selbst wenn der User eine neue Datei anlegt - kann er diese nicht löschen, es erscheint dann immer die Meldung, das er selbst rechte für die Datei braucht zum löschen. Wenn man allerdings in die Eigenschaften des Papierkorbs geht und für Dokumente die Option setzt das er sofort löschen soll und nicht in den Papierkorb schieben soll - dann geht auch das Löschen... Es gibt also Probleme mit dem Verschieben aus dem Umgeleiteten Dokumente (was auf dem Server liegt) in den Papierkorb - aber eben nur bei ganz wenigen Leuten...aber warum? Wonach könnte ich da suchen?
  10. bei so einem USN Rollback - da funktioniert die ganze Domäne nicht mehr, oder? Also keiner kann sich mehr anmelden, oder wie macht sich das bemerkbar? und wie verhält es sich wenn man 3 DCs hat, und man einen der untergeordneten DCs aus einem backup wiederherstellen würde (also einen der KEINE FSMO Rollen trägt). würde dann nur dieser eine wiederhergestellte server "sgeperrt" werden, oder auch die anderen beiden die sich eigentlich bestens miteinander "verstanden" haben ?
  11. wegwerf Server sozusagen? joar, da macht das schon sinn dass ein DC nur ein DC ist und nicht noch ein File oder Druckserver. Das heißt - einfach einen neuen DC installieren, Standort definieren und schauen ob der sauber repliziert - mehr nicht? klingt zu einfach um wahr zu sein ^^
  12. Jep, an dem Standort gibts nur den einen Server...und ein NAS wo ich daten auslagern könnte. Downtime ist auch einplanbar, also relativ entspannt das ganze. Also ich kann ja auf den jetzigen DC der da steht noch die HyperV rolle installieren, um somit schonmal "in ruhe" die VMs fertig zu machen, also den neuen DC und den Fileserver vorbereiten, und dann den Server neu installieren zu einem HyperV Only server und die VMs die ich vorher vorbereitet habe die auf einer anderen Partition liegen - wieder einbinden. Dann noch die Daten von der Datenpartition in die neue Fileserver VM kopieren, viel mehr ist es ja dann eigentlich nicht denke ich, oder? Das sollte auch die Downtime recht gering halten Ich frage mich gerade - wie sichert man eigentlich die DCs, also wenn man mehrere hat? eine Rücksicherung von einem einzelnen Server würde doch sowieso nie funktionieren, oder gibts da "tricks" um den USN-Rollback zu umgehen?
  13. und dem dann die IP des alten servers geben? Der server ist in einer außenstelle, wo ich nur per Remote drauf komme, oder über das iKVM modul im Server (worüber ich den Server auch neu installieren könnte) Auf dem server liegt aber auch auf LW D: die ganzen Freigaben...wobei auch das mal getrennt werden soll, damit der DC wirklich nur für sich slebst ein Server/VM hat, wo dann nur noch mit DNS und DHCP drauf läuft.
  14. Servus...ich habe einen sekundären DC Server der noch auf Baremetal installiert wurde - diesen würde ich nun gerne zu einer VM Convertieren. Ich schätze mal, wenn ich von dem Laufendem Server ein VHDX erstelle per schattenkopie, und dann den laufenden Server einfach abschalte, neuinstalliere als HyperV und danach das VHDX starte - dasss ich danach ein USN-Rollback erleiden werden, oder? Weil der DC ja noch eingeschaltet war, wärend eine sicherung von dem gezogen wurde. Oder gibts sowas wie ein Zeitkontigent, wo der zweite DC auf einmal einen älteren datenstand haben haben darf? (nachdem ich die VM hochgefahren habe? oder würde das gehen, wenn ich den zweiten DC vom Netz trenne sodas sich die beiden server nicht mehr sehen, und dann von dem server ebenfalls per schattenkopie eine VHDX erstellen?
  15. Ja, eb man da an einen fähigen bei MS kommt dauert es schon... 2 stufiges Spamfilter System und Zertifikate haben wir ebenfalls, stimmt schon, das man die auch mit in die Kosten einrechnen müsste. Mit dem Online Exchange haben wir bisher keinerlei berühung gehabt - Wie läuft es da ab mit Spamfilter und Verschlüsselte Mails? Aktuell wird das über Eset MailSecurity und NoSpamProxy realisiert
  16. Servus allerseits, wir haben aktuell noch den Exchange 2013 mit ca. 150 Usern im einsatz und überlegen wie es weitergehen soll. Exchange 2019 geht ja auch nur bis zum jahr 2025 wie Exchange 2016 auch. Unserer 2013er geht bis zum Jahr 2023. Jetzt gibts ja von MS das schöne Microsoft 365 Business Standard paket für 10,50€ im Montag pro User (im jahresabo) - da ist das Office paket und ein Hostet Exchange dabei. von MS Seite her sol es wohl keinen eigenständigen Exchange mehr geben, weil wohl der Exchnage 2022 auch nur noch als Abo version verfügbar sein wird. Daher meine frage: Was habt ihr so im einsatz? Macht es sinn auf die Online dienste zu wechseln? Kostenmäßig wird der spaß teurer wenn ich das richtig sehe, schon nach 3 jahren ist es teurer als ein eigener Exchnage + Office Pakete dazu. aber was hat man da noch für alternativen?
  17. naja aber einbrüche die auf 0 gehen dürfen auch da nicht passieren. Das Storage von dem Kopiert wurde und das Ziel Storage sind zwei SAS12G Enterprise SSDs im Raid1. Klar hängt da noch ein Raidcontroller davor mit 2GB Cache (PRAID EP420i) aber am controller cache wirds wohl nicht liegen, da müsten viel häufiger einbrüche kommen bei einer 35GB datei
  18. *Update* Habs rausgefunden: die 1G Onboard karten sind ja Inte x722 Karten - diese unterstützen RDMA (iWARP) - die anderen 10G Karten unterstützen aber kein RDMA...Windows bevorzugt immer RDMA Karten - egal wie schnell diese angebunden sind. Sobald auch nur eine RDMA aktivierte 1G Karte drin steck neben vier 10G nicht RDMA fähige Karten, nutzt SMB3.0 immer diese eine RDMA fähige karte RDMA auf den X722 Karten deaktivert (wird da eh nicht gebraucht da über die schnittstellen nur wenige kByte übertragen werden) und schon Schwankt SMB3.0 auf die 10G karten um. Komisch sind dennoch die EInbrüche aller paar Gb datentransfer (Testdatei war 35Gb groß)
  19. Servus...es geht um zwei Server 2019 welche die FailoverCluster Rolle installiert haben, und als ClusterStorage den eigenen internen Speicher nutzen der intern über iSCSI angebunden ist, bereitgestellt durch die Datacore SanSymphony Software (wird gesynct über 2x 16Gbs FC undmittels MultiPath über 2x 10Gbs überkreuz verbunden) die beiden LiveMigration 10G Netzwerke existieren auch auf den 2. Knoten genau so, stecken auch in einem Subnet und im selben VLAN. das selbe gilt auch für die Management Karten die geteamt sind, sowie für das BackupNetz und die ClusterCommunication. was mich stark wundert ist: Wenn ich vom Knoten1(HV01) auf Knoten2 (HV02) eine große VHDX Kopiere welche NICHT im Clustershare ist, sondern wirklich auf der lokalen SAS SSD Liegt - dannn nimmt Windows immer bevorzugt die backupNetz Netzwerkkarte und die ClusterCommunication zum übertragen der großen Datei. Da kopiert er zwar schon mit 200MB/s dank SMB3.0 , aber warum zum geier nutzt windows da nicht einfach die beiden 10G Karten im MultiChanel SMB3.0 betrieb? Das macht Windows erst dann, wenn ich die BackupNetz karte und die Cluster Com karte deaktiviere - erst dann geht er über beide 10G Karten. gut, da kopiert er auch nur mit 1GB/s aber das könnte an den SAS SSDs liegen...er nutzt dann aber auch wirklich beide 10G karten. Die Nic Teams die zu sehen sind sind als LACP HASH eingerichtet. Ich habe schon die Metrik manuell auf 1 und 2 gesetzt bei den beiden LiveMigration karten...aber ignoriert Windows trotzdem und nimmt bevorzugt die anderen karten...Windows könnte ja auch das Management NicTem mit nutzen - machts aber auch nicht. Verstehe ich nicht diese logik... Eine Livemigration der VMs nutz auch immer nur ein LAN Adapter, obwohl 2 Migrationen gleichzeitig durchgeführt werden
  20. Aber meint ihr, der 2019er Server kann eine VM wirklicht direkt Registrieren, die ich einfach per Copy&Paste von einem 2008R2 Hypervisor rüberkopiert habe? Und dannn das Konfigurationsleve anheben lassen um die xml zu aktualisieren? Ich Teste das mal hier aus wäre ja zu einfach um wahr zu sein Ich müsste also vorher die MAC adresse aus der VM auslesen, und der VM dann erstmal fest zuordnen, ja? Sollte die automatisch vergebene MAC adresse nicht aber im Konfig File (xml) zur VM mit drin stehen? da steht ja auch diese Computer-ID mit drin.. Befürchtung ist eine Neuaktivierung der installierten Selectline Software - ich weiß nicht wie empfindlich diese reagiert wenn die mitbekomt das sich was an der "Hardware" Geändert hat...
  21. Nabend - kurze nachfrage um sicher zu gehen: Wenn man von einem HyperV 2008R2 Host die VMs exportiert kann man diese ja nicht importieren in Server 2016 oder 2019, ging wohl nur mit Server 2012 nonR2 ( Quelle: https://www.faq-o-matic.net/2014/02/26/hyper-v-2012-r2-import-von-2008-r2-vms-schlgt-fehl/ ) Nun lese ich aber hier: https://www.faq-o-matic.net/2016/12/19/hyper-v-von-lteren-versionen-nach-windows-server-2016-migrieren/ diese Methode "VMs kopieren und importieren" und dass der Server 2016 (der 2019 sollte ja gleich sein weil gleicher Kernel) alle alten VMs Importieren sofern die alten VMs eben NICHT exportiert - sondern nur Kopiert wurden... Hat da jemand Erfahrung, ob es wirklich einfach so funktioniert mit z.B. einer 2008R2 VM wenn diese noch im "Rohformat" vorliegt auf der Festplatte samt den xml Konfigurationsdateien die HyperV 2008R2 mit angelegt hat? Geht halt darum, dass die eigentliche VM nicht mitbekommen darf, dass ein neuer Hypervisor als unterbau dient (ComputerID, MAC adresse und alles muss gleich bleiben) Das Gast betriebssystem ist ein 2012R2
  22. Ich muss den Thread hieer mal ausgraben, da auch wir von dem Fehler betroffen sind. Dies ist ein Microsoft Fehler der beim Server 2016 und 2019 auftritt, aber sporadisch. Man kann ihn nicht provozieren. im Englischsprachigem technet Forum gibts einige berichte darüber, wobei der größte thread wohl der hier ist: https://social.technet.microsoft.com/Forums/en-US/0d99f310-77cf-43b8-b20b-1f5b1388a787/hyperv-2016-vms-stuck-creating-checkpoint-9-while-starting-backups?forum=winserverhyperv es wurde zumeist gedacht, dass es an den 10G oder 40G Intel Netzwerkkarten liegt, aber auch bei 1G Karten und wohl auch Broadcom karten scheint der fehler aufzutreten... Wir haben aktuell auf "Standardprüfpunkt" umgestellt...bisher funktioniers, aber schön ist das nicht. Wir verwenden zwei Server 2019 die im Failovercluster laufen, als Backupsoftware kommt Altaro zum einsatz. Altaro sagt ebenfalls - es liegt an MS weil der Snapshot ja schon hängen bleibt noch bevor altaro das eigentliche sichern anfängt... Ich grabe den Thread hier nur aus, auf hoffnung dass hier eventuell schon jemand eine bessere Lösung für dieses Problem hat?
  23. Jep, neuere Formate solllen durchgehen - zumindest die, die keine Makros integriert haben können. Diese regel gibt es bereits, allerdings gibt es noch viele ausländische Unternehmen, die weiterhin nur die alten Dateiformate schicken können/wollen...
  24. Hallo allerseits, gibt es ein Kaufbares Plugin für Exchange 2013/2016/2019 welches veraltete MS Word anhänge wie .doc, .xls, .ppt in PDF konvertiert und die Mail erst danach an den Client weitergibt? Hintergrund: Makroviren...
  25. Statusbericht: Es scheint wirklich was mit dem Portfast zutun gehabt zu haben...ist jetzt aktiviert und bisher keine Probleme mehr.
×
×
  • Neu erstellen...