nobex

Btw, Handbücher gibt es hier Manuals

Wenn die Error-Mail von Deinem SMTP-Server generiert und in Dein Postfach geworfen wird, hat sie keinen SMTP-Pfad hinter sich, der im Header stehen könnte.

Ich vermute mal ins Blaue, dass es Dein eigener Server war, der die Nachricht generiert hat. Btw, 30 MB sind ja auch kein Pappenstiel und wenn die Nachricht rausgegangen wäre ist es noch nicht gesagt, dass sie beim Empfänger auch angenommen wird.

Wenn Du die Systemsteuerung auf 'Kategorienansicht' umschaltest und dann 'Netzwerk- und Internetverbindungen' aufrufst, solltest Du mit den dargebotenen 'Aufgaben' weiterkommen. Das Häuschen-Symbol habe ich auch nicht gefunden :D

Bindet Ihr beim Setup auch per F6 den entspr. Treiber ein?

Zusätzlich fehlt nach der Aktivierung der entsp. Protokollierung (audit object access) jetzt noch die Einstellung in den Eigenschaften der konkreten Objekte, welche zu überwachen sind. Diese findest Du unter Datei-, Ordner- oder Laufwerkseigenschaften unter der Registerkarte Sicherheit -> Erweitert -> Registerkarte Überwachung.

Entweder lokal über gpedit.msc oder per Gruppenrichtlinien. Die entspr. Einstellung findest Du unter Conputerkonfig. -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Überwachungsrichtlinien

Per Logfile geht das mit Boardmitteln m.E. nicht. Du kannst aber die Überwachung der Objektzugriffe aktivieren und hast dann das Ergebnis in der Ereignisanzeige.

Dies finde ich allerdings sehr merkwürdig, da jeder Normalo-User einen Netzwerkdrucker, so auf der Druckerfreigabe berechtigt, installieren können sollte. Unter %programfiles% sollten ihm allerdings die Rechte fehlen ... oder greift dort eine Routine mit Systemrechten ein?

Passiert dies auch auf den Clients, wenn der freigegebene Drucker vom Server installiert wird? Eigentlich sollten nur die notwendig(st)en Treiberfiles vom Server gezogen werden. Allerdings kenne ich die Lexmarktreiber nicht. Hast Du die Treiber auf dem Server über 'Drucker hinzufügen' installiert oder über eine Setup-Routine. Ersteres wäre m.E. von Vorteil.

Wie sieht es mit der Verschlüsselung bei der Authentifizierung aus? Stimmen client- und serverseitig die Einstellungen überein?

M.E. hast Du ohne aktivierte Überwachung auf den DCs schlechte Karten bei der Suche nach dem Übeltäter. Evtl. gibt es hier aber noch hilfreichere Vorschläge :)

Ist für den Benutzeraccount im AD POP3 und IMAP auch aktiviert?

Sind die Sitzungen den wirklich nur getrennt worden oder bleiben sie auch nach einer sauberen Abmeldung 'hängen'?

Wenn Du Offline (per Rep-Konsole oder Bart-PE) an das System dran willst, musst Du natürlich (wie beim Setup) an entspr. Stelle den Raid-Treiber auf Diskette bereithalten und per F6 einbinden.

Dein Vorhaben sollte kein Problem sein so POP3 oder IMAP auf dem Server aktiviert ist. Was Du benötigst, sind der Name bzw. die IP des Servers und Deine Zugangsdaten. Die Menüs im OE sollten selbsterklärend sein.

Wie geschreiben, Rootkits klinken sich heutzutage auch gern unter Services ein und blenden zur Laufzeit ihre Keys sowie die Dateien selbst aus. Edit: Ups, hatte die komplette 2. Seite der Diskussion übersehen.

Über Regedit und den Menü-Punkt 'Struktur laden...' und dann die entspr. Datei aus C:\WINDOWS\system32\config (Offline ist es dann sicher ein anderer LW-Buchstabe) einbinden.

Wo hast Du denn überall in der Registry aufgeräumt? Hast Du auch die Services durchgesehen, hatte dort selber vor kurzem 'nen Rootkit offline rausfriemeln können?

Suche doch mal unter Gruppenrichtlinien - Übersicht, FAQ und Tutorials nach 'Eingeschränkte Gruppen'.

Das wird am Mailserver des Empfängers bzw. an den Relay-Servern konfiguriert.

Dann sollte entweder der Mailserver des Empfängers oder Dein Server (wenn er die Mail gar nicht erst los wird) eine Fehlermeldung generieren und an den Absender zurückschicken. Je nach Konfig hängt dann noch die ursprüngliche Mail (als Attachment) mit dran.

Evtl. liest er noch die alten (jetzt ungültigen) Einträge aus seinem DNS-Cache und versucht den anderen DC zu kontaktieren. Hast Du den Server testweise mal durchgestartet nachdem der Problem-DC runtergefahren wurde?

Ich glaube, ich verstehe Deine Frage nicht ganz :suspect: Die ungesendeten Mails siehst Du in der/den Warteschlange(n) im ESM. Die Gesendeten bleiben normalerweise nur in den Postfächern (Gesendete Objekte) und diese liegen auf dem Server.

Die Daten der Vorlage werden in das darauf basierende Dokument kopiert und bleiben dort bestehen bzw. müssen manuell geändert werden. Da gibt es keinen Cache. In Deinem Fall wären wohl verknüpfte Dokumente der richtige Weg gewesen.