cj_berlin

Moin, was sagt Get-ServerComponentState am Exchange? "Autodiscover scheint OK" - wie testest Du das? Welches Authentifizierungsprotokoll wird in der Produktivumgebung für MAPI/HTTP verwendet?

Moin, ja, Versuch mal, TFTP Windows Extension auszuschalten und Blockgröße auf 4096 zu stellen.

Zu welchen Adressen? Poste doch mal ein paar Listings oder Screenshots. Wenn Du nslookup server <IP-Adresse des DC in Domain B> set type=soa <domainb.com> set type=ns <domainb.com> set type=a <name-des-dc.domainb.com> eingibst, kommt bei allen Non-Existent Domain zurück? Und exakt dasselbe funktioniert einwandfrei, wenn Du den Aufruf von einem Rechner in der Domain B und/oder im Standort B tätigst?

...was aber genau genommen kein NDR, sondern eine automatische Antwort ist, denn rechtlich gesehen habt ihr die Nachricht angenommen. Ihr wollt sie nur nicht dem beabsichtigten Empfänger zustellen und setzt den Absender darüber in Kenntnis. Ich weiß nicht, ob die Rechtslage dazu sich in den letzten 15 Jahren geändert hat, aber ich kann mich noch sehr gut an eine lebhafte Diskussion zwischen einem Rechtsanwalt (Kunde von mir) und dem Gericht erinnern. Das Gericht meinte, wenn deren outbound gateway vom Mailserver des Empfängers einen 200 zurück bekommt, ist die Nachricht rechtlich verbindlich zugestellt.

Moin, ob eine sekundäre Zone oder Conditional Forwarder kommt auf den Use Case an. Für die Einrichtung und fürs Troubleshooting sind Conditional Forwarders einfacher. Nur mal als Sanity Check: Kannst Du aus Standort A NSLOOKUP auf den Server im Standort B machen und die dort vorhandenen Records abfragen?

Hier ist die Antwort auf Deine Frage und gleichzeitig ein dezenter Hinweis, dass es nicht "Onpremise" heißt Es kommt hier, wie so oft, darauf an. Erteilt der empfangende Server den Fehlercode bereits vor dem DATA Befehl (kein Bock, SPF verletzt, IP auf RBL, Zertifikat passt nicht usw.), so wird der NDR tatsächlich von dem sendenden Server generiert. Hat der empfangende Server den SMTP-Dialog positiv geschlossen (wie in diesem Fall - vorher wäre es ja schwierig, den Anhang zu analysieren), so ist er auch für die NDR zuständig.

Nein, ich verwechsel das gerade mit SQL vor 2014. Dort konnte man CSV gar nicht verwenden, sondern nur "normale" Storage Volumes im Cluster, und die waren halt nicht Shared. Dennoch würde ich bei Datenbanken zusehen, dass der Host, der die Instanz ausführt, auch der Koordinator für den Storage dieser Datenbank ist.

Moin, für die exklusive Nutzung eines CSV durch eine SQL-Instanz spricht in erster Linie die Möglichkeit, diese dann jeweils zusammen zu verschieben. Ich könnte jetzt auf einem falschen Dampfer sein, meine aber, Compute und Storage auf verschiedenen Knoten kann nur Hyper-V, nicht aber andere Cluster-Rollen. Dafür, DB und Logs zu trennen, spricht heutzutage sehr selten etwas. OK, supported wäre es zwar, ich würde es mir dennoch 2x überlegen.

Klar - die Auflösung, warum in Prag der Handy-Empfang überall so gut ist.

SysAdminDay is schon immer der letzte Freitag im Juli gewesen.

Das Subsystem. das die DLLs bereitstellt, welche die von Dir verwendeten Cmdlets nutzen.

Genau. Der User, der den Laptop ins AD aufnehmen kann, muss am Laptop ja schon mal lokaler Administrator sein. Dann kann er auch den Registry-Wert für den Workaround setzen.

Ich habe ein Ticket beim CIS aufgemacht. Und ich habe in meinem CIS-Überprüfungsskript nachgeschaut: Es hat den korrekten Vergleichswert drin.

Weil die besseren davon versuchen zu testen, was antwortet, und schauen nicht auf die Config. Aber ja, die CIS Benchmarks haben auch das Leerzeichen drin.

Moin, keine Hilfe für den vorliegenden Fall, aber fürs weitere Leben: es heißt "on premiseS".

^^ DAS! Nachträgliches Löschen per Regel und ohne Benachrichtigung kann zu unliebsamen Diskussionen führen, denn aus Sicht des Absenders (und der Finanzverwaltung) wurde die Mail ja zugestellt.

War auch mein erster Gedanke.

Ist leider schon ausgelaufen, war doch nur ein Tag ☹️

Vielleicht solltet ihr diese Dinge nicht bei Kunden üben... Nur so ein Gedanke Du würdest Dich wundern. Shodan Basis gibt es übrigens noch ein paar Tage für $5. Und gegen Hafnium beispielsweise haben die Reverse Proxies auch nicht geholfen. Das ist das Doofe an Zero Days - keiner, der Dir helfen könnte, weiß davon, sondern nur die, die Dir schaden wollen.

Moin, 1. Es heißt "siTe-to-siTe" VPN 2, Eine RDP-Sitzung, in der Outlook läuft, verbraucht mehr Bandbreite und ist um Welten empfindlicher gegenüber Latenz als eine Outlook-Sitzung oder - erst recht - eine Exchange Backend-Proxy-Sitzung zwischen den gleichen Standorten. Daher ist Exchange meiner Meinung nach Deine geringste Sorge bei diesem Netzwerkkonzept. Wenn neben Exchange noch andere Sachen, wie Dateizugriffe auf standortspezifische Fileserver, zu berücksichtigen sind, kann RDP weiterhin Sinn ergeben. 3. Wenn Du der Kryptographie generell vertraust (und das musst Du ja, denn sonst dürfte VPN ja auch nicht zum Einsatz kommen ) spricht Null dagegen, den Outlook-Zugriff auf Exchange - was ja alles HTTPS mit TLS 1.2 ist - übers Internet zu fahren. Du könntest die äußeren Firewalls ja so konfigurieren, dass sie nur Verbindungen von den jeweils anderen Standorten zulassen. Exchange-interner Traffic würde weiterhin über die Standortvernetzung laufen. 4. Zu der PopCon-Geschichte wurde schon fast allles gesagt. Es ist im übrigen auch so, dass, wenn Du SafetyNet nicht bewusst und absichtlich totgetreten hast, Deine Mails DENNOCH in einen anderen Standort zugestellt werden als wo der PopCon sie abholt. Dein Exchange-Design wäre bis inkl. Exchange 2007 mehr oder weniger vertretbar, mit 2010 wackelt es schon ganz deutlich und ab 2013 widerspricht es eigentlich allem, was Microsoft für Exchange vorgesehen hat. 5. Der Support von Office auf Terminalservern ist bis Oktober 2026 gesichert. Und wenn es dabei immer nur um einige wenige "Springer" geht, dann kann man dafür auch ein paar Windows 11-VMs hinstellen, da wird Office noch länger supportet.

Ja, kann man. NTLM Audit Logging einschalten. Ja. Auf jedem Domänen-Member oder halt auch DC, solange man setspn mit einem Account startet, das Enterprise Admin-Berechtigungen hat (SPNs sind forestweit).

Meinem Verständnis nach, ist sie betroffen, wenn Hybrid Modern Auth eingerichtet ist.

Clientverwaltung, die auch übers Internet funktioniert - Intune, SCCM/MECM/MEM, VMware WorkspaceONE, was auch immer Du hast, fast alle Systeme können das inzwischen.

Klar kenne ich das, aber die Aktivierung der notwendigen Protokolle ist etwas, was der Installer der WaWi erledigen sollte. Oder ist es eines dieser Produkte, die auf einem Platz installiert und auf den restlichen aus einer Freigabe gestartet werden?

Moin, ich kenne es von HP so, dass man das BIOS-Updateprogramm mit einem Parameter dazu bringen kann, BitLocker anzuhalten und nach dem BIOS-Update automatisch wieder zu aktivieren. Vielleicht schaust Du mal bei Deinem Hersteller nach?