cj_berlin

Die Praktikanten bei Microsoft halten on-prem für einen Mythos aus lang vergangenen Zeiten. Sogar fest angestellte Mitarbeiter unter einem bestimmten Alter 

Auf die Auslagerung kannst Du nun wirklich keinen Einfluss nehmen. Wenn Deine Sammlungen so gigantisch sind, dass geswappt wird, wenn Du sie füllst, wäre aus anderen Gründen über externe Speicherung nachzudenken 😉

vor 4 Stunden schrieb NorbertFe:

Ja genauso leicht wie das Nichtverwenden von hardcoded usernames. ;)

Das ging aber jetzt unter die Gürtellinie...

Ich muss nichts glauben, ich habe es oft genug mit Kunden durchexerziert. Die Prämisse bleibt aber: Ich kann eine "gute" Firma haben, die Böses tut. Und warum sollte eine Ähnlichkeit des Domain-Namen zu jemand anderen ein Hinderungsgrund sein? Das ginge in Richtung Generalverdacht, was unsere Interpretation des Rechtsstaates ja zumindest formal nicht praktiziert.

vor 13 Stunden schrieb mwiederkehr:

Ich finde es schade, dass EV-Zertifikate ihren Status verloren haben.

Welchen Status haben sie denn gehabt? Es ging doch immer nur darum, dass die CA anhand von Dokumenten die tatsächliche Existenz des Antragstellers verifiziert. Ob er mit der angebotenen Website etwas Gutes bezweckt, könnte und würde die CA nicht prüfen.

Viele haben halt ursprünglich angenommen, dass es zu aufwendig ist, fürs Phishing eine Firma anzumelden 🤣

Moin,

verbindliche Lizenzberatung ist hier weder möglich noch zulässig. Dies vorangeschickt: warum wollt ihr denn überhaupt Device CALs verwenden? 45 Personen --> 45 User CALs für alle drei Dienste und gut.

Während Du wartest, magst Du uns nebenher vielleicht verraten, was Dich dazu motiviert hat, den Hyper-V-Server einzusetzen?

Seit Server 2012 macht er eigentlich nur Sinn, wenn man exakt Null Windows Server-VMs fährt, aber das scheint bei Dir ja nicht der Fall zu sein...

Nein, der Tip war die Verschlimmerung des Problems. PowerShell 2.0 sollte 2023 nicht mehr betrieben werden, Veeam muss das dringend lösen, bevor die Leute anfangen PS 2.0 auf modernen Systemen zu aktivieren.

Gerade eben schrieb maddinx6:

Hmm, ich habe mich aber mit genau diesem Konto angemeldet via Enter-PSSession -VMName angemeldet?

 

Mag sein, dann war das lokale Admin-Kennwort entweder dasselbe, oder dieser User war dort schon angemeldet und Credentials wirden zwischengespeichert. Beides aus Security-Sicht schlecht.

Aber ich denke, wir haben hinreichend gut festgestellt, dass der Fehler bei Veeam liegen muss und damit in deren fähige Hände gehört  

Von Deiner langen Ausführung abgesehen: ein Domain Member ohne Netz wird die Verbindung mit einem Domain-Konto nicht authentifizieren können.

vor 8 Minuten schrieb maddinx6:

Gibt es jetzt doch einen Hyper-V Server 2022 in der kostenlosen Version? Bisher bin ich davon ausgegangen, dass der Nachfolger azure stack hci „Abo Version“ ist.

Nein, gibt es nicht.

Und nein, Azure Stack HCI ist *nicht* der Nachfolger des Hyper-V Servers, auch wenn es inzwischen eine 1-Box-Version davon gibt.

vor 9 Minuten schrieb maddinx6:

Guest Login: [demo\administrator]

Heißt die VM mit ihrem Windows-Namen "DEMO"? Ohne Netzwerk kann sie ja schwerlich in einer AD-Domäne sein. Und wenn es das gleiche Credential ist, das Du manuell probiert hast, muss Veeam das troubleshooten, denn scheinbar liegt das Problem nicht im Aufruf selbst (denn Du kannst ihn ja tätigen), sondern darin, wie Veeam diesen Aufruf in den eigenen Code verpackt.

vor 1 Minute schrieb maddinx6:

wenn ich dich richtig verstanden habe, kann ich alle drei Punkte mit ja beantworten.

Dann funktioniert ja alles  Mehr Funktionalität geben PowerShell Remoting und PowerShell Direct nicht her. Wenn Veeam versucht, die PowerShell Direct-Verbindung mit *impliziten* Credentials herzustellen, dann gibt es hier gleich zwei Probleme, und keines davon hat mit der Edition des Hosts zu tun.

Am 7.8.2023 um 17:43 schrieb cj_berlin:

Welches Authentifizierungsprotokoll wird in der Produktivumgebung für MAPI/HTTP verwendet?

Für die Zukunft: Die Frage war nicht "was ist aktiviert", sondern "was wird verwendet". [Strg] halten + rechtsklick auf das Outlook-TrayIcon --> Verbindungsstatus

vor 31 Minuten schrieb MarkusM1971:

11. Das Warum des angeblich vorhandenen "Internetzugriff" ist mir noch nicht ganz klar

Das Leben ist zu kurz, um darüber nachzudenken. Du weiß jetzt, dass Outlook das entsprechende Netzwerkprofil braucht, merk es Dir  

Per OpenSSL in PFX zusammenführen, dann per Exchange PowerShell die PFX importieren.

Moin,

ohne zu wissen, wie Veeam das macht, wäre mir die Beschränkung neu, was nichts heißen soll.

Sanity Check:

1. ist "Guest Services" unter "Integration Services" für diese VM aktiviert?
2. (falls JA zu 1.): kannst Du vom Host aus (RDP, *nicht* PowerShell Remoting) eine PowerShell Direct-Session mit expliziten Credentials zu dieser VM starten?
3. (falls JA zu 2.): kannst Du aus einer PowerShell Remoting-Session zum Host eine PowerShell Direct-Session mit expliziten Credentials zu dieser VM starten?

vor 40 Minuten schrieb daabm:

Wenn Du mal rauslassen würdest, was genau Du eintippst...

...und dann auch noch, was genau Du zurück bekommst...

Moin,

was sagt Get-ServerComponentState am Exchange?

"Autodiscover scheint OK" - wie testest Du das?

Welches Authentifizierungsprotokoll wird in der Produktivumgebung für MAPI/HTTP verwendet?

Moin,

ja, Versuch mal, TFTP Windows Extension auszuschalten und Blockgröße auf 4096 zu stellen.

vor 9 Minuten schrieb DerOlele:

oben bereits beantwortet. Aber hier gerne noch einmal: nein, es geht leider nicht.

Die Namensauflösung geht nicht: 

Non-existent Domain 

Zu welchen Adressen? Poste doch mal ein paar Listings oder Screenshots. Wenn Du 

nslookup
server <IP-Adresse des DC in Domain B>
set type=soa
<domainb.com>
set type=ns
<domainb.com>
set type=a
<name-des-dc.domainb.com>

eingibst, kommt bei allen Non-Existent Domain zurück? Und exakt dasselbe funktioniert einwandfrei, wenn Du den Aufruf von einem Rechner in der Domain B und/oder im Standort B tätigst?

vor 59 Minuten schrieb Squire:

Der NSP schicket da eine klare, kurze und lesbare Meldung in Deutsch und Englisch, dass die Email nicht angenommen wurde, weil Datei XYZ in einem nicht zugelassenen Format geschickt wurde

...was aber genau genommen kein NDR, sondern eine automatische Antwort ist, denn rechtlich gesehen habt ihr die Nachricht angenommen. Ihr wollt sie nur nicht dem beabsichtigten Empfänger zustellen und setzt den Absender darüber in Kenntnis.

Ich weiß nicht, ob die Rechtslage dazu sich in den letzten 15 Jahren geändert hat, aber ich kann mich noch sehr gut an eine lebhafte Diskussion zwischen einem Rechtsanwalt (Kunde von mir) und dem Gericht erinnern. Das Gericht meinte, wenn deren outbound gateway vom Mailserver des Empfängers einen 200 zurück bekommt, ist die Nachricht rechtlich verbindlich zugestellt.

Moin,

ob eine sekundäre Zone oder Conditional Forwarder kommt auf den Use Case an. Für die Einrichtung und fürs Troubleshooting sind Conditional Forwarders einfacher.

Nur mal als Sanity Check: Kannst Du aus Standort A NSLOOKUP auf den Server im Standort B machen und die dort vorhandenen Records abfragen?

Hier ist die Antwort auf Deine Frage und gleichzeitig ein dezenter Hinweis, dass es nicht "Onpremise" heißt  

vor 1 Stunde schrieb Friesenjunge:

Hier muss ich leider widersprechen:

Ich habe von meiner privaten E-Mailadresse, die definitiv nicht auf Exchange online, sondern auf einem Linux Mailserver gehostet wird, eine Testnachricht mit einem verbotenen Dateianhang verschickt.

Der NDR wurde von MS 354 EXCH online generiert, nicht von dem Mailserver meines Providers. Die Optik und der Text ist exakt derselbe, wie bei den internen über Exch online verschickten Nachrichten, die abgelehnt werden.

Es kommt hier, wie so oft, darauf an. Erteilt der empfangende Server den Fehlercode bereits vor dem DATA Befehl (kein Bock, SPF verletzt, IP auf RBL, Zertifikat passt nicht usw.), so wird der NDR tatsächlich von dem sendenden Server generiert. Hat der empfangende Server den SMTP-Dialog positiv geschlossen (wie in diesem Fall - vorher wäre es ja schwierig, den Anhang zu analysieren), so ist er auch für die NDR zuständig.

Nein, ich verwechsel das gerade mit SQL vor 2014. Dort konnte man CSV gar nicht verwenden, sondern nur "normale" Storage Volumes im Cluster, und die waren halt nicht Shared. 

Dennoch würde ich bei Datenbanken zusehen, dass der Host, der die Instanz ausführt, auch der Koordinator für den Storage dieser Datenbank ist. 

Moin,

für die exklusive Nutzung eines CSV durch eine SQL-Instanz spricht in erster Linie die Möglichkeit, diese dann jeweils zusammen zu verschieben. Ich könnte jetzt auf einem falschen Dampfer sein, meine aber, Compute und Storage auf verschiedenen Knoten kann nur Hyper-V, nicht aber andere Cluster-Rollen.

Dafür, DB und Logs zu trennen, spricht heutzutage sehr selten etwas.

OK, supported wäre es zwar, ich würde es mir dennoch 2x überlegen.

vor 2 Stunden schrieb Damian:

Sieht man dort etwas kulturell wertvolles?

Klar - die Auflösung, warum in Prag der Handy-Empfang überall so gut ist.