sappel23

Moin zusammen, ich habe kürzlich einen ziemliche DC/Roaming-Flickschusterei versucht zu bereinigen - mit gutem, aber nicht vollständigem Erfolg. Kurz zur Vorgeschichte: Jemand hatte vor meiner Zeit einen Win2012 Foundation von einer physikalischen Maschine weggeklont und als VM (ESXi) wieder in Betrieb genommen und ihn funktional nur noch als Fileserver eingesetzt. Parallel eine zusätzliche VM mit Win2012 Std. als DC in Betrieb genommen. Großer Pfusch, der Foundation hat seine DC Rolle natürlich nicht abgegeben und so gab es 2 sich syncronisierende DCs. Gemeckert hat der Foundation natürlich trotzdem. Und als dann das 15 User-Limit auch noch gestreift wurde, habe ich gesagt, so geht es nicht weiter. Zumal wir mit den Roaming-Profilen massive Probleme hatten, was Performanz betrifft. Also: neuen Server mit neuer Lizenz als Fileserver hochgezogen, Daten umgezogen und dann alle Benutzerprofile angepasst. Ich habe hierzu in der Active Directory den Basisordner-Eintrag und Profilpfad einfach wieder rausgenommen, dann jeweils an den Arbeitsplätzen unter der erweiterten Systemeinstellung (alles Win10) den Benutzer gelöscht und dann wieder lokal neu angemeldet (und natürlich Daten rückgesichert). Zusätzlich Ordnerumleitungen bei GPOs alle deaktiviert. Das hat bei fast allen Usern geklappt. Einzelne User haben noch das Problem, dass z.B. der Download-Pfad noch auf den alten UNC-Pfad des mittlerweile ausgeschalteten Foundation-Servers verweist. Aber noch viel blöder: Beim Admin bekomme ich es einfach nicht weg. Ich habe sowohl in der Active Directory Benutzerkonfiguration alles mehrfach überprüft, via GPO eine Anmeldung von Roaming-Profilen untersagt und auch in der Registry einige Sachen angepasst - er sucht aber vehement seinen Appdata Ordner auf dem alten Server. Und das macht mir aktuell bei einer Software-Installation größere Probleme. Wo könnte da denn noch die Ursache stecken? Es gibt da noch eine GPO, die mir nicht geläufig ist: "Sicherheitsgruppe 'Administratoren' zu servergespeicherten Profilen hinzufügen" ist aktiviert. Das klingt vom Titel her natürlich so, als ob er den Admin trotzdem servergespeichert macht. Von der Beschreibung her zwar nicht unbedingt (zumindest lese ich es anders), aber trotzdem hatte ich sicherheitshalber auch mal den Profilpfad beim Admin-Account auf den neuen Server gelegt - aber auch ohne Veränderung. Hat jemand noch eine Idee? Danke und Grüße

Bestimmt wurde da was gebastelt ... aber ich verstehe das "gebastelte" eben nicht. Wieso hat man einen Receive-Connector mit Berechtigungsgruppe "anonyme Benutzer" und sonst nichts und als Remote-Netzwerk alles, außer das eigene LAN-Subnetz? Der Linux-Server verschickte z.B. Backup-Logs über Postfix bisher ohne auth, aber ich verstehe nicht, warum er das darf... Ich finde übrigens auch keinen entsprechenden Eintrag in der Nachrichtenverfolgung, wenn ich das Zeitfenster da näher eingrenze.

Wie passt das denn zu der Konfiguration, dass es derzeit genau einen Empfangsconnector gibt, der als Remote-Netzwerk alles außer das eigene Subnet drin hat und anonym erlaubt? Heißt das, intern kann sich abseits von Outlook gar kein anderes System am SMTP anmelden?

Das eine wäre ein Log von einem Linux-Anwendungsserver mit Postfix - hier kann ich ein Auth aktivieren. Das andere eine Windows-Anwendung, bei der es ebenfalls Auth-Einstellungen gibt. D.h. die internen Server, die den Exchange als Relay brauchen, könnten sich theoretisch authen

Hallo, also da der Exchange selbst direkt Mails von fremden Mailservern empfängt (Port 25 im Router weitergeleitet) und auch verschickt, ist die Antwort also ja, ich brauche einen anonymen Versand, oder?

Hallo zusammen, ich habe eine etwas unschöne Konfiguration am laufen: Letztes Jahr gab es einen neuen Server mit Windows 2016 Essentials als Ablösung eines SBS2008. Leider wurden die Mails bisher nach wie vor nicht vom Exchange weg migriert, so dass wir momentan eine neue Domäne mit dem 2016er Server haben und der SBS2008 nur noch als Exchange-Server agiert und die Outlook-Einrichtung separat mit den alten Login/Domäne-Daten erfolgen muss. Hat aber bis vor kurzem tadellos funktioniert. Nun haben wir eine Änderung am Webhosting gehabt und ich habe feststellen müssen, dass der Exchange 2007 vom SBS einen Smart Host konfiguriert hatte, welcher durch den Umzug des Webkrams weggefallen ist. Kein großes Thema, statische IP ist längst vorhanden, ich konnte den Sendeconnector anpassen. Nun habe ich aber das Problem, dass ein Anwendungsserver intern ebenfalls per Login auf den Smart Host zugegriffen hatte. Diesen Anwendungsserver muss ich nun über den SBS als interes Relay schleifen und an dieser Konfiguration hänge ich nun fest. Ich habe mir unter msxfaq die Anleitungen (https://www.msxfaq.de/connector/receiveconnector.htm) angesehen, komme damit aber nicht ganz klar. Bei uns gibt es derzeit nur einen Connector, der als Remote-IPs quasi alle Verbindungen außer dem eigenen LAN-Subnet zulässt (mit anonym auth) - ist das so stimmig? Mir fehlt von der Logik her mindestens noch ein interner Connector mit auth, oder? In der Beispielkonfiguration auf msxfaq steht dann auch etwas mit mehreren Connectoren, da vermisse ich grundsätzlich Active-Sync Ports (oder hat das mit Empfangsconnectoren nichts zu tun, weil das via IIS läuft?). Außerdem verstehe ich nicht den Unterschied zwischen der Berechtigung "anonym" und "ADD: anonym" in der Beispieltabelle. Außerdem bräuchte ich eben 2 statische IPs aus dem internen Netz, die ohne auth verschicken dürfen sollen. Wie konfiguriere ich so etwas? Wäre schön, wenn mir jemand ein wenig Licht ins Dunkel bringt :)

Danke an alle zusammen, hat alles wunderbar geklappt.

Also unnötig komplex möchte ich es eigentlich nicht machen. Also demnach nur alles auf die VDSL Leitung ziehen und gut ist. Dazu wären dann meine geplanten Schritte: Gateway IP am SBS2008 anpassen (LAN IP des neuen Routers) am Router Firewall + Portweiterleitung prüfen (ggf. mit Telnet kurz testen; aktuell ist der Port auf "filtered" bei der neuen Leitung, wenn ich es von außen teste. Die alte Leitung ist auf "offen") mail.firma.de beim Domainprovider auf die neue IP setzen; MX Records können so bleiben (verweisen ja bereits auf mail.firma.de, nur ist bei der A Record eben noch die alte IP drin) hoffen und warten, dass bald wieder Mails rein kommen Port 443 für externe Exchange-Clients erreichbar machen und testen (+ Passwort-Policy nochmal prüfen ;) ) Habe ich da einen Fehler drin oder etwas vergessen? Vielen Dank für eure Hilfe!

Hi testperson, öhm...ist das das Gegenstück zum MX Record? Sprich für die T-Com sowas hier: https://www.etes.de/service/e-mail/generische-hostnamen-de/konfigurieren/ ? Wozu benötige ich sowas denn? Haben wir - afaik - beim "alten" Anschluss nicht gemacht...

Hm ok. Das ist auch kein Muss, war nur als Möglichkeit gedacht, da ja 2 IPs und Leitungen bestehen. Eigentlich ist vermutlich Backup MX auch gar nicht das richtige, eher Dual WAN... Der Exchange selbst bleibt ja "einzigartig". Muss ich für Teil 1 dann irgendwas beachten, was nicht schon oben steht? Also für die Änderung des Gateways und der externen IP?

Hallo zusammen, ich habe einen SBS 2008 inkl. Exchange am laufen, der direkt E-Mails von extern empfängt. Hierzu ist im Router der Port 25 geöffnet worden und auf den Exchange weitergeleitet. Zusätzlich beim Domainprovider ein MX Record auf die entsprechende IP des Routers (ist eine statische...). Das klappt bisher auch gut. Seit kurzem gibt es jetzt noch eine VDSL Leitung, die etwas schneller ist. Hierzu kommt aber eine neue externe IP Adresse, weil auch eine neuer (zusätzlicher) Router in Betrieb genommen wurde. Jetzt würde ich gerne den SBS 2008 über die neue Leitung laufen lassen. Port 25 auf dem neuen Router öffnen und durchleiten ist ja kein Problem. Die LAN IP des neuen Routers als Gateway beim SBS 2008 eintragen bekomm ich auch noch hin. Den MX Record kann ich auch anpassen. Muss ich sonst noch etwas beachten? Wie müsste ich denn Vorgehen, damit ich beide Leitungen nutzen kann? Die "alte", langsamere als Backup und die neue VDSL Leitung als Hauptleitung... Zusätzlichen Gateway + höhere Metrik beim SBS 2008 kann ich eintragen, beim alten Router die Ports offen lassen geht natürlich auch. Beim Domainprovider muss ich dann eine zweite Domain eintragen: mail.firma.de geht dann auf die neue IP, mail2.firma.de dann als Backup auf die alte? Wie kann ich dem SBS2008 bzw. Exchange die zusätzliche Domain mail2.firma.de beibringen? Ich hoffe, ich habe mich einigermaßen verständlich ausgedrückt - ist eine Weile her, dass ich mich mit dem SBS 2008 auseinandergesetzt habe. Grüße sappel