bouncer86

Hallo,

es gibt ja verschiedene Möglichkeiten, den TCP/IP Stack zu optimieren, bzw. anzupassen. Oft sprechen viele von der MTU.

Dann gibt es noch Punkte wie Windows Scaling, MSS, oder viele weitere.

Ich betreibe in meinem Lab, welches hinter einer Fritzbox hängt, eine virtuelle Firewall. Diese baut einen OpenVPN Tunnel zu meinem Provider für feste IP Adressen auf.

An den MTU Werten wurde nichts.

Nun ist es doch recht träge. Die Frage, muss ich an den MTU Werten meiner virtuellen Firewall etwas anpassen?

Wenn ja, warum?

Ist es bei der MTU nicht so, dass die ersten Pakete einer Verbindung schauen wie weit sie mit ihrer MTU Größe kommen, wenn sie nicht weiter kommen, verkleinern Sie sich und versuchen es erneut.

Steht die Verbindung aber einmal, so ist alles gut.

Oder hab ich hier einen Fehler?

Hi,

 

afaik sind die vSC und die PIN an das Gerät gebunden. Daher würde einem Angreifer die PIN ohne das Gerät nicht viel nützen.

Hi Necron,

danke für die Info. Im schlimmsten Fall hat der "Dieb" das Gerät geklaut und konnte im Vorfeld die PIN einsehen. So hätte er Zugriff auf die Daten.

Bei "externen" Smartcards müsste er sich zusätzlich zum Gerät noch die Smartcard beschaffen. Vorausgesetzt der Eigentümer des Geräts bewahrt diese getrennt auf.

Aber ich muss olc Recht geben, die Leute wollen Security so einfach wie möglich haben. Daher habe ich in der Vergangenheit immer wieder erlebt, dass die Smartcard einfach im PC stecken bleibt.

@olc: Wie gesagt, zur Zeit informiere ich mich nur über das Thema. Eine Anforderung existiert derzeit nicht.

Ich stelle mir aber gerade noch die Frage: Welchen Sicherheitsvorteil der Einsatz der (virtual) Smartcard gegenüber der Windows Authentifizierung hat.

Verwende ich bei der (virtual) Smartcard eine entsprechend starke PIN, könnte ich ja direkt bei Windows Authentifizierung mit einem starken Kennwort bleiben. 

Oder übersehe ich etwas?

Zum Beispiel welche Vorteile?

Wie sieht es mit XenApp Integration von ThinApp aus?

Guten Tag zusammen,

ich beschäftige mich schon einige Zeit mit App-V 5. Was idr. auch ganz gut klappt. Allerdings haben wir die ein oder andere Anwendung, welche installiert knapp 1,5 GB groß ist.

Liegt einfach da dran, da die Anwendung viele Katalogdaten bei der Installation lokal speichert.

Nun wenn ich die Anwendung updaten möchte, und sei es nur ein Shortcut bearbeiten, muss der Sequenzer immer die ganze Anwendung laden, was schon mal gut 15 Minuten dauern kann. 

Gibt es da eine Alternative?

Dazu die zweite Frage, es gibt bei App-V ja die Möglichkeit, die ganze Anwendung zu streamen, statt lokal zu cachen. Habt ihr Erfahrung damit? Gerade im Terminalserver Umfeld?

Hallo,

was mich schon seit langer Zeit nervt, wenn ich eine Terminerinnerung bekomme und ich diese auf meinem Firmenpc im Outlook schließe, und ich einige Stunden später von meinem privaten PC per Outlook oder gar Outlook Web Access zugreife, erhalte ich wieder die Terminerinnerung.

Lässt sich dies irgendwo einstellen, oder ist es By Design?

Exchange 2010 und 2013 und Outlook von 2010 - 2016 alles dabei. ;)

zur Info.. habe bei Microsoft angerufen und die haben mich auf www.bsa.org verwiesen.

Geht es um kleine Verstöße, so mag man gern mal die Füße stillhalten, sind die Verstöße aber größer und dem Geschäftsführer mehrmals gesagt wird, er sei nicht richtig lizenziert und er dies immer wieder abstreitet, sehe ich es nicht als petzen.

Hallo,

ich möchte bei Microsoft gerne einen Lizenzverstoß melden. Das Unternehmen ist unter lizenziert bzw. und setzt die falschen Lizenzen ein.

An wen muss ich mich bei Microsoft wenden?

Wie viel verbraucht denn der Microserver?

Weil, es keine Quarantäne gibt, die jemand durchsuchen muss.

Wenn die Mail wegen Spamverdacht abgelehnt wird, erhält der Absender einen NDR Bericht.

Und zu guter letzt, die Lösung ist relativ preiswert.

Was steht denn als Meldung in der Mail Queue warum die Mail nicht sofort zugestellt werden konnte?

Warum muss es eine Hosted Lösung sein?

Ich kenne die Hosted Spam Lösung von Trend Micro. Der Support war nicht wirklich der Hit und es gab immer wieder verschiedenste Probleme.

Sicherlich eine wage Vermutung, aber ich tippe das ist bei den anderen Großen ähnlich.

Als Anti Spam Lösung kann ich nur den NoSpam Proxy empfehlen.

Hallo,

Bin am überlegen, mir privat eine Testumgebung aufzubauen.

Zuhause besitze ich einen Telekom Hybrid Anschluss.

Nun benötige ich ab und an öffentliche Adressen zum Testen.

Kennt ihr einen Hoster, wo man ein kleines /29 Netz mieten kann, welches dann per VPN Tunnel zu meiner Testumgebung geroutet wird?

Dann konfigurier doch solche Sachen alle mit gpp :p

Danke NorbertFe das ist eine gute Idee ;)

Vlt hat ja noch jemand eine Idee. Sonst muss ich es wohl dabei belassen.

Vielen Dank.

Hi Sunny,

Nein mit den GPPs funktioniert es super.

Möchte es nur gerne über das Script lösen, damit solche Konfigurationen alle an der gleichen Stelle vorgenommen wurden.

Mich wundert es nur, dass hidecalc die Sachen zur Verfügung stellt. Also muss ja vermutlich jemand das auch umgesetzt bekommen haben. ;)

Hallo,

zu erst, ich weiß, dass man NoViewOnDrive per ADM/ADMX oder auch per GPP setzen kann. In unserem Fall müssen wir es aber über ein Anmeldescript erledigen.

Das Problem ist nur, wenn ich die Batchdatei über ein Benutzer Anmeldescript starte, wird diese zwar ausgeführt, der Registry Wert unter 

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"

nicht gesetzt.

Dies liegt ja daran, dass hier nur Administratoren und SYSTEM Schreibzugriff haben.

Mich wundert nur, dass das Tool Hidecalc ein Powershell und Kix Script zur Ausführung mit liefert.

Doch wie sollen diese so ausgeführt werden, dass der Registryschlüssel gesetzt werden kann? Bzw. was muss ich machen, dass ich per Batch Script die Werte setzen kann?

Was spricht gegen online Konvertierung?

Wir haben zig Umgebungen online migriert. Nie ernsthafte Probleme.

Musst nur drauf achten, zum Beispiel Datenbanken vorher zu stoppen.

Und DCs installierst du eben neu.

Wir haben immer den derzeit aktuellen VMware Converter genutzt.

Hallo,

welches E-Mail System soll denn ersetzt werden?

wenn

- AD sauber vorhanden ist

- PST Dateien nicht importiert werden müssen

- FAX Tools oder Disclaimer Tools, Archive oder ähnliches nicht angebunden werden müssen

Sollte der Dienstleister nicht mehr als 2 Tage berechnen.

Natürlich, wer soll sie sonst beantworten? Könnte ja sein, dass nur einer da ist.

Weil ich davon ausgegangen bin, dass der autodiscover Requests an den CAS geproxied wird, welcher näher am Mbx steht, wo die Mailbox drauf liegt.

Den den man mit get-clientaccessserver sieht

Du meinst AutodiscoverInternalServiceURL ? Diesen habe ich auf autodiscover.domain.loc gestellt. Sowohl beim neuen, als auch alten Exchange.

Wenn ich allerdings nen Loadbalancer vor zwei oder mehr CAS Server setze, dann zeigt autodiscover.domain.loc auf den Load Balancer.

Also verstehe ich es richtig, der Exchange, der die Autodiscover Anfrage bekommt, beantwortet sie auch?

Hallo Norbert, 

ich glaube wir schreiben ein wenig aneinander vorbei. Vlt. meinst du einen anderen SCP als ich.

Ich rede von diesem

CN=Autodiscover,CN=Protocols,CN=Server1,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=loc

Unterhalb von Servers sehe ich mehrere Server. Und bei jedem CAS Server steht unterhalb von Autodiscover ein SCP.

Welchen meinst du ?

Hallo Sunny,

ja das habe ich vor. Das funktioniert ja auch hervorragend mit Set-GPRegistryValue. Nur ist es sehr mühselig, sich die ganzen Registry Keys raus zu suchen. Daher habe ich gehofft, ich könnte mir diese irgendwie aus einer vorhandenen GPO auslesen.

Wenn single Namespace vorhanden ist, warum stehen dann zwei Server im SCP?

Nein, ich habe pro CAS einen SCP.

Hallo Norbert,

ich habe auch kein Problem. Single Namespace ist vorhanden. Ich möchte nur gerne verstehen, wie es genau funktioniert.Wer was generiert usw.

Wenn ich es richtig verstehe, wenn der Client CAS 2013 fragt, erhält er die OA Settings von diesem. Würde er aber den CAS2010 fragen, weil in der EnumListe gerade an 1. Stelle, dann würde er die OA Einstellungen von ihm bekommen. Ist beim Ex 2010 zwar an, aber keine OA Adresse hinterlegt, würde er ... was genau?

Im scp steht immer nur ein Name. Also im Idealfall ein generischer, den du ganz einfach per DNS auf den 2013 umbiegen kannst.

Hallo Norbert,

also im AD habe ich pro CAS Server einen SCP für das Protokoll Autodiscover. Habe durch Zufall gerade einen Beitrag gefunden.

 

When using a domain joined client, Outlook 2007+ client authenticates to Active Directory and tries to locate the SCP objects by using the user’s credentials. After the client obtains and enumerates the instances of the Autodiscover service, it connects to the first Client Access server in the enumerated list and obtains the profile information in the form of XML data that is needed to connect to the user’s mailbox and available Exchange features.

 

Von Seite:http://theucguy.net/service-connection-point-scp-in/

Wenn ich das richtig verstehe, generiert theoretisch irgendein CAS Server das autodiscover XML File.

Ist das richtig?

Zweite Frage: Was passiert, wenn auf Exchange 2010 unter Outlook Anywhere NTLM konfiguriert ist und auf dem Exchange 2013 Basic Authentication. Welche Authentifizierung wird im Autodiscover übergeben? Oder kommt dies nun drauf an, wessen Server das XML File generiert?

Ziel soll es sein, automatisch in neuen Domänen Gruppenrichtlinien individuell zu erstellen. Damit ich aber nicht mühselig mir alle Registry Keys auslesen muss, hoffe ich, diese über Get-GPRegistryValue auszulesen...

Daher hilft mir der Export oder Report nicht.

Eventuell eine andere Idee?