kosta88
-
Gesamte Inhalte
478 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von kosta88
-
-
vor 2 Minuten schrieb NorbertFe:
Welche Daten im AD sollten denn "unsicher" sein?
Ich erinnere mich gelesen zu haben, dass wenn man DNS errichtet, die zum Internet offen sind (was bei mir bei lab.com ja der Fall ist), man sicherstellen soll, dass dieser DNS (oder Zone?) nicht kompromittiert werden kann, bzw. man Zugriff auf AD bekommt - oder so irgendwie ging die Sache.
-
Danke. Hatte ich erstmal so, aber nachdem meine IP nicht eine wirklich fixe IP ist (hat wohl ne sehr lange Lease, aber ist lt. Kabelprovider keine klassische fixe IP), habe ich die CNAMEs gemacht, und ein A-Record mit @. So muss ich dann nur ein Record ausbessern...
Gibt's dabei noch was besonderes zu beachten, irgendwelche Einstellung die irgendein Zugang blockt, damit die Daten in AD sicher bleiben? Vor allem wenn man eine Internet-Routable Domain, wie internal.lab.com nutzt? (sorry, hört sich voll dämlich an, aber ich weiß nicht wie ich anders erklären soll)
-
Keine Überraschung - geht nicht. Man müsste die Edge Rolle deinstallieren, dann AD/LDS, und dann ging es eventuell... aber hier kann ich auch schon gleich den Server neu aufsetzen, ist schneller.
Aber bitte noch das Thema vom Anfang. Ist diese Domain/DNS Konfiguration eine übliche Konfiguration, sog. Best Practice?
-
vor 2 Minuten schrieb NorbertFe:
Ist doch ne Testumgebung. ;) Da würd ich jetzt aber verifizieren ob ich Recht habe. :P Wie sagte die Omi? Zum Üben, nicht als Strafe. ;)
Duuuuuuu... eigentlich wollte ich probieren... dann nicht mehr... und jetzt...
Später mal. Werde berichten.
-
vor 1 Minute schrieb NorbertFe:
Nein die Edge und Mailboxserver müssen sich gegenseitig mit dem korrekten Namen auflösen können. Welchen auch immer du da gesetzt hast. Allerdings dürfte nach der INstallation das ändern des DNS Suffixes auf den Edgeservern nicht mehr möglich sein, weil dann dein AD/LDS nicht mehr mitspielt. Also kannst du maximal deinstallieren und neu installieren oder damit leben und es als Erfahrung abheften. ;)
Danke. Abheften
-
vor 1 Minute schrieb NorbertFe:
Warum setzt du denn interne FQDNs für einen Server der normalerweise ja genau eben NICHTS mit der internen Domäne zu tun hat, ausser eben per EdgeSync und SMTP Daten zu empfangen?
Stimmt, hast Recht.
D.h. die FQDNs müssen nicht gleich sein, damit EdgeSync funktioniert? Hätte ursprünglich so gedacht...
Und, ich würde gerne nochmal auf mein Eröffnungspost zurückkehren:
Ist diese Konstellation richtig, üblich, Best Practice? Insbesondere auf das Thema Domains/DNS, ob eine solche Aufstellung als sicher bzw. richtig eingestuft wird?
-
Nein, der Edge ist gar kein Mitglied einer Domain - soll auch solo sein. Die Servernamen habe ich gerne sortiert (als EXCH01, EXCH02, EXCH03 usw...) und die interne FQDNs auch gleich - der EDGE hat den manuell gesetzten DNS Suffix und DNS ist der DC01.
Aber ja, macht vielleicht Sinn zB. Mailgate01.lab.com zu nennen. Dafür ist ein Lab da, um auszuprobieren :)
-
Und Banner auch gelöst:
https://technet.microsoft.com/en-us/library/bb124740(v=exchg.160).aspx
Auf dem EXCH02 (Edge Transport) ausgeführt, und jetzt passt die Sache. Small steps...
-
vor 27 Minuten schrieb NorbertFe:
Wer setzt denn eine sophos ein, wenn er einen Edge nutzt? Evtl. Solltest du dir klar werden, was du da üben willst. ;) was genau hast du jetzt geändert?
Ahja, stimmt - mein Fehler. Klar keine Sophos als SMTP Proxy wenn man Edge hat. War nur mein Irrtum, da ich zu Hause keine DMZ habe, daher liegen beide Server im gleichen Netz.
Ja, es ist einfach viele Gebiete, Begriffe... wird schon. Es geht nur langsamer als gewünscht voran, liegt aber an Arbeitsumständen, ich mache nicht nur die klassische IT-Administration sondern auch Support für unsere Software. und ja Familie und Lebensaufgaben machen es auch nicht leichter :)
In Godaddy ein CNAME Eintrag für smtp mit Wert @ (Verweis auf A-Record mit IP). MX war OK, aber bringt nix wenn smtp.lab.com nicht aufgelöst werden kann. Einfach nicht daran gedacht...
-
Nein, habe wohl nichts geändert - ich habe lediglich soweit versucht einzurichten und soweit möglich zu verstehen - für das erste.
Edge Server ist im Einsatz.
Habe soeben versucht: Default Frontend EXCH01 auf smtp.lab.com umgestellt, und will nicht speichern, meckert was vonwegen "If the AuthMechanism attribute on a Receive connector contains the value ExchangeServer, you must set the FQDN parameter on the Receive connector to one of the following values:..." und lässt mich nicht ändern.
EDIT: habe geschafft zu ändern, aber eine Änderung bei Telnet hat das aber nicht bewirkt. Ich lese aber dass es auch nicht ganz klug ist das zu ändern. Gut für 1-Server-Umgebung, aber sollte 2. MB Server kommen, dann ist vorbei, kein Mailflow.
Ein anderer Vorschlag ist eben SMTP-Proxy zu verwenden, wofür meine Sophos UTM eigentlich perfekt wäre. Ich bin nur nicht soweit das noch zu machen...
-
Danke - das war's wohl. smtp.lab.com war ja gar nicht zu verbinden (DNS...). Korrigiert und alles gut. Alle Testmails gerade angekommen.
Warum wird mir bei der Antwort von Telnet der interne Hostname des Servers angezeigt? Das sollte denke ich aus Sicherheitsgründen doch so nicht sein...?
-
Hallo,
ich lerne Exchange und habe begonnen zu lesen, Videos ansehen, Lab bauen...
Bin auch dabei bei MSXFAQ zu lesen, aber das Thema ist ja so riesig, ich wüßte nicht wo ich genau anfangen soll.
Nun mache ich den Lab nach MS Empfehlung, internal.lab.com (fiktiver Name) für AD und die lab.com Domäne habe ich bei Godaddy gekauft.
Server sind DC01, EXCH01 (Mailbox) und EXCH02 (EdgeTransport) als VMs auf meinem Heimrechner (kein AD).
Was ich hier fragen möchte, ob ich Domain-seitig und DNS-seitig alles soweit korrekt gemacht habe:
1) internal.lab.com ist AD-Forest (übliche Default-Einstellungen)2) lab.com ist eine weitere primäre Zone am DC01 (Dynamic Updates aus)
3) im DNS am DC01 in der Zone lab.com habe ich 3 CNAME-Einträge autodiscover, mail und smtp -> EXCH02.internal.lab.com
5) auf Godaddy habe ich folgende Einträge:
Schwarz sind: meine WAN-IP und die "lab.com" (also die echte Domain)
Ebenso ist EXCH02 denke ich richtig konfiguriert: Test-EdgeSynchronization zeigt SyncStatus Normal, und beide EXCH01 und EXCH02 sehen sich mit FQDN.
Die Firewall leitet alles Eingehendes über SMTP an EXCH02 weiter.
So, und das Problem:
Meine E-Mails von draußen kommen im Exchange nicht an - kann man aus der Beschreibung hier wissen, wo's hängt? Wie sieht die Konfiguration aus, ist das etwa OK by Design?
Danke
-
Danke.
Zwar nur optische Sache, ich hätte gedacht MS wird das fixen (ist schon länger so). Was es Optik anbelangt, bin ich ein wenig pingelig...
-
Sieht Group Policy Management / Settings bei euch auch so aus? Wenn nein, eventuell bekannt warum?
-
vor 2 Stunden schrieb testperson:
Solange der Server TLS1.0 anbietet kann es der Client auch nutzen. Wenn aber schon IIS Crypto ausführen zuviel verlangt ist, naja... Jeder wie er mag.
Denn wenn man nicht weiß was das ist...
-
vor 18 Minuten schrieb testperson:
warum denn per lokaler GP?
Nur weil ich nichts auf der Domainebene mache, bevor ich es nicht auf irgendeine Weise teste... und das war eben lokale GPO.
vor 18 Minuten schrieb testperson:das ist AFAIK nur ein Anzeigefehler. Ggfs. mal mit IIS Crypto von Nartac auf dem Server alles außer TLS1.1 und 1.2 abschalten, durchbooten und prüfen, ob du noch verbinden kannst. ;)
Oh Mann... hab bessere Sachen zu tun, hier werde ich einfach vertrauen
-
Zu den Clients ja, aber warum kommt die Meldung auf einem Client im Minutentakt, auch wenn niemand auf dem Client per RDP angemeldet ist? Geht es hier lediglich um die Einstellung dass man auf TLS/SSL begrenzt? Ist das seit irgendeinem WU im Eventlog?
Und wie würde ich vorgehen wenn ich alle Verbindungen mit TLS/SSL machen will?
EDIT:
Nun gut, umgestellt auf der lokalen GP Ebene. DIe Meldung ist weg. Wie weiß ich jetzt womit verschlüsselt wird wenn ich die Verbindung aufbaue?
Aber ist nicht TLS 1.0 unsicher? Warum fordert mich das System TLS 1.0 zu verwenden?
EDIT2:
Ich lese was von der falschen Angabe:
Wird dann unter Srv2016 standardmäßig bei der Einstellung TLS 1.0 tatsächlich TLS 1.2 verwendet?
-
Hallo,
hat jemand für mich bitte einen heißen Tipp? Was ist das, bzw. worauf bezieht sich das? Es ist ein 08/15 Intel NUC Client.
-
Ja, genau in dieser Richtung habe ich heute schon überlegt. Ich konnte heute nicht mehr viel damit tun, aber sehe es mir dann eh an. Mal sehen wie weit ich komme. Ich hab auch paar Training Videos dazu...
-
Hi,
ah - verstehe. Nicht ganz sinnvoll. Das Auto-Enroll bereits entfernt...
Also wenn ich das richtig verstehe, ist deine Seite auf faq-o-matic der richtige Weg das manuell zu machen?
-
Hi,
ich bin da jetzt ziemlich noch grün, aber ich denke dass wenn man eine neue Template erstellt (dupliziert), die man sich so anpasst wie man will (inkl. die Berechtigung für Auto-Enrollment), aber die Einstellung bei Subject Name auf Supply in the request ändert, greift die CN Einstellung beim Enrollment. Und dadurch wir auch mein Connection Broker Name (rds.lab.local) übernommen.
Mir wurde beim Auto-Enrollment dann eine zusätzliche Auswahl für meine duplizierte Template gegeben.
Ausgangsgrundlage sind ja die Zertifikat-Hinweise bei der RDP-Verbindung zum Server, und ich wollte statt dem Self-Signierten Zertifikat einen von der AD-CS ausstellen.
Danke für die Info vonwegen certsrv - und die Seite lese ich mir durch.
-
Ein kleines Update:
Die Seite brachte mich auf den richtigen Pfad, aber die Anleitung funktionierte 1:1 leider nicht.
Ich musste das hier befolgen:
Spezifisch Punkte 7-9
Und das ist für Server 2016 auch nicht ganz korrekt.
Es heißt New -> Certificate Template to Issue, und dann muss man noch den CS-Dienst neustarten.
Dann konnte ich es über Autoenrollment machen, denn über Create Custom Request konnte ich nur die req-datei erstellen, und import dieser über certsrv-webseite funktionierte nicht, dort habe ich "Denied by Policy Module 0x80094802, The request specifies conflicting certificate templates" bekommen - was auch immer das genau bedeutet (vielleicht würde funktionieren nachdem ich die Punkte 7-9 gemacht habe).
Wie auch immer, die Sache funkt jetzt perfekt. Und mal wieder paar Sachen gelernt
Danke nochmals-
-
Ah super! Vielen Dank!
-
Hallo,
ich taste mich an das Thema Zertifikate näher ran, und spiele in meiner Test-Umgebung ein bissher rum...
Ich habe eine interne CA. Soweit gut.
Ich möchte für den RDS von der internen CA ein Zertifikat für den RD Connection Broker erstellen.
Mein RDS ist S01.lab.local, meine Collection ist RDS (rds.lab.local).
Natürlich ich verbinde mich mit rds.lab.local und möchte dass man RD Connection Broker das richtige Zertifikat hat -> jedoch wenn ich am S01 bin, bekomme ich immer Zertifikat mit "Issued To": s01.lab.local, wobei ich eigentlich rds.lab.local benötige. Ich hätte gedacht es reicht ja wenn man den CN Eintrag hinzufügt, ist aber offensichtlich nicht so.
Was muss ich beim Request tun, dass mein ausgestelltes Zertifikat für s01.lab.local auch für rds.lab.local gilt?
Danke
Stimmt, hast Recht.
Exchange und Domain/DNS
in MS Exchange Forum
Geschrieben
Ja, das Frage ich ja auch, ob das so ist. Und jetzt wenn ich weiter nachdenke, frage ich mich ob ich die CNAME (oder A-Record) Einträge bei Godaddy überhaupt benötige.
Mein DNS, mit Zonen lab.com und internal.lab.com löst im Prinzip das was von draußen kommt. Oder sollte ja so sein, oder?
D.h. im GD sollte eigentlich nichts weiteres stehen als lab.com -> WAN-IP. Und mein Windows-DNS sollte eigentlich alles weitere für lab.com handeln. Oder?