Jump to content

Thomas Maggnussen

Members
  • Gesamte Inhalte

    38
  • Registriert seit

  • Letzter Besuch

Reputation in der Community

0 Neutral

Über Thomas Maggnussen

  • Rang
    Newbie

Letzte Besucher des Profils

163 Profilaufrufe
  1. GELÖST Sicherheit: Anmeldename emailadresse beim AutoDiscover

    okay. danke. Wollte nur mehrere Meinungen hören wie das eventl. gelöst wird. Aber scheint wohl nicht soooo das Sicherheitsproblem zu sein.
  2. GELÖST Mal wieder autodiscover....

    Nein, alleine glaube ich auch auf keinen Fall. Ich hab mir die Alte nochmal angeschaut, da war der alte "hardcoded" eingetragen. Wahrscheinlich von meinem "Vorgänger". Also kein Bug etc.
  3. GELÖST Mal wieder autodiscover....

    Hallo, ja, ich habs nochmal überprüft aber dabei den Fehler gefunden: Die Autodiscover.xml ist irgendwann mal anscheinen verändert worden. Ich habe sie durch eine "Frische" erstezt und auch die Beerechtigung neu vergeben. Dann hats wieder gepasst. Kleine Ursache. Danke! Ähm...PS: Wie kann ich jetzt diesen Threat schließen bzw. als gelöst makeiren?
  4. GELÖST Mal wieder autodiscover....

    Hallo, dachte ich habe seinerzeit darauf geantwortet ;-( Ich hab ein SSL-Zertifikat mit den zwei Namen "autodiscover.firma.de" und "server.firma.de" erstellt. Damit gings dann. Bei drei Exchange 2016 Server konnte ich es dann ohne Probleme einrichten. Letzte Woche "übernahm" ich einen bereits bestehenden und bin seit Tagen daran, dass es da auch funktioniert aber es will einfach nicht. Zunächst die Umgebung: Testserver - Frischer Exchange 2016. Zertifikate für "autodiscover.testdomain.de" und "server.testdomain.de" Split-DNS Interne und externe URL gleich Alles super! läuft 1:1 Kopie des Produktivservers Exchange Domäne um "testdomain.de" erweitert Zertifikate für "autodiscover.testdomain.de" und "server.testdomain.de" Split-DNS Interne und externe URL gleich Nach Anleitung von Franky "ab Punkt "Virtuelle Verzeichnisse" vorgegangen. (Beim Script ClientAccessServer nur ClientAccessService verwendet, da der alte Befehl ausgetauscht wurde) Ebenfalls dann die Einstellung für das Anmelden per Emailadresse: https://www.frankysweb.de/exchange-20132016-anmeldung-per-e-mail-adresse-upn/ Alles andere wie OWA, ActiveSync funktioniert auch d.h. ich muss beim Smartphone den Server noch manuell angeben und den Pre-_Win2000 Benutzername "testdomain\meinuser" angeben. Der Autodiscover über Outlook (Auf Symbol mit Strg -> Autoermittlungstest) liefert beim Testserver: Während bei der Produktiv Kopie: Das Autodiscovery IIS Verzeichnis habe ich über den ECP noch einmal neu anlegen lassen und wieder mit dem Script oben per ClientAccessService auf die richtige Domain gesetzt. Funktioniert das überhaupt oder gibt es ein Script, dass hier besser geeignet wäre? Wenn ich die Seite o.g. xml manuell aufrufe, bekomme ich beim funktionierendem Testserver "600 Ungültige Anforderung" was ja okay ist. Beim anderen, der Produktiv Kopie: Forbidden You don't have permission to access /autodiscover/autodiscover.xml on this server. Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request. Ich hab dann im IIS und im Exchange so gut wie jede Einstellung auf Gleichheit überprüft. Auch die Funktionen und Features (da fehlten ein paar, die ich nach instaliert habe). Fahre ich den Produktiv runter und den Testserver wieder rein, geht alles wie es soll. Also zusammengefasst: Beide Server haben genau die gleiche Exchange Version und Patchstand Beide haben die selben Zertifikate Beide haben den exakt selben Split-DNS mit der Testdomäne Bei beiden funktioniert der Aufruf von OWA, Activesync (Smartphone) - Nur eben der Autodiscover nicht und den manuellen Einstellugen beim Smartphone Beide haben sogar die selbe Interne - IP Adresse damit ich Firewall, externen DNS/A-Record/CNAME/MX usw ausschließen kann. Bin echt echt ratlos. Ich würde ja nur zugerne den Server einfach neuinstallieren, aber der Kunde stellt mir nicht die Hardware dafür zu Verfügung etc. Ich glaube einfach dass es ein superwinziges Problem ist. Ich hoffe sehr, dass sich einer hier einen Reim daraus machen kann und eventl. die obige "Forbidden" Meldung etwas bringt bzw. mir einen Tipp gehen kann wo ich was übersehen haben könnte. Es ist wie gesagt eine 1:1 Kopie mit eigener Test-Domain, IP-Adresse, MX Eintrag usw. Also egal wo ich schrauben könnte - ich kanns ohne Probleme tun. Wie immer, vielen Dank für die Tipps & viel Spaß beim Eier suchen! Thomas
  5. Hallo, ich habe eine Frage bzgl. des Autodiscovers. Ich meldem ich ja mit der Emailadresse an. Jetzt muss ja einer nur die Emailadresse wissen und entsprechende Programme drüberlaufen lassen um sich da "reinzuhacken". Das Konto wird natrülich gesperrt, aber dann natürlich auch beim eigentlichen User. Was setzt ihr da für Mechanismen ein bzw. habe ich schon was gelesen von Client Zertifikaten verteilen? Danke!
  6. GELÖST Einstellungen nicht speichern

    Hallo, kann man bei Windows 10 Einstellen dass er Einstellungen beim Abmelden nicht speichert? Ich meine ausser den Desktopeinstellungen, die Systemeinstellungen. Z.B. wenn der Lautsprecher auf Stumm geschaltet wird, er beim nächsten Mal wieder aktiviert ist usw, also Sprich: Das ganze Profil Schreibschützen. Hab das schon ewig nicht mehr gebraucht, hab noch was in Erinnerung mit NTUSER Date in regystrie importieren etc. Aber das war damals ziemlich aufwendig. Gibts da eine einfachere Lösung? Danke Thomas Ps: Ich meine NICHT den Key: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer Doppelklicken Sie auf den Schlüssel "NoSaveSettings".
  7. Versender verifizierung bei internen emails

    Steh nicht so auf Pflichten und Vorschriften. Wir sind nicht so groß und der Aufwand die alle zu Archivieren ist zu groß und unnötigt. Wenn einer zur Prüfung kommen sollte, da steht ne alte NAS im Schrank auf der waren halt dann die Archive. Ich sehe auch nicht ganz, wie ich das dann verwenden könnte.
  8. Versender verifizierung bei internen emails

    Mhm, hab ich noch nicht gemacht weil ich denke, dass führt zum selben Problem. Meist du die Archivierung der SPAM Mails? Die werden 30 Tage gesammelt. Wenn es keine andere Möglichkeit gibt müssten wir wieder auf oldscool Whitelists einführen, zumindest für die dann bekannten Fälle...
  9. Versender verifizierung bei internen emails

    Die UTM macht die Prüfung
  10. Versender verifizierung bei internen emails

    Sorry. Mit der gängigen Methode meine ich SPF und CAllerID. Das Problem ist, da wir aus der ganzen Welt emails erhalten, viele emails abgelehnt werden weil die Einträge dort nicht stimmen. Aktiviere ich das, kommen emails nicht durch den SPAM. In verwendung haben wir Sophos UTM
  11. Versender verifizierung bei internen emails

    Hallo, folgende Problemstellung: Wir bekommen emails von extern, angeblich von unseren eigenen Leuten, die die email natürlich nicht verschickt haben. Die gängigen Methoden mit Empfängerverifizierung (Reverse Lookup) macht leider zuviele Probleme. Kann man im Exchange einstellen, dass er es checkt, wenn quasi eine email von extern reinkommt, die er selber nicht versendet hat?
  12. GELÖST Recovery 2016 mit Windows Backup

    Okay, Problem gelöst, auch wenn mir nicht so ganz klar ist, wie das passiert ist. Live-System: Arbeitet nach wie vor ohne Probleme und ohne meckern. Werde es jetzt nochmal mit aktuellen Backups replizieren und dann den alten Server über Standorte und Dienste löschen. Auch wenn es nicht sein sollte, habe ich irgendwie Angst das Live-System neu zu starten, nicht das er dann das selbe Problem hat. Test-System: Ich fasse es nochmal zusammen inkl. Problemlösung (auch wenn ich nicht 100%ig sicher bin dass es ausschließlich die Maßnahme war) Der Windows 2016 Server wurde zurückgesichert. Eingesetztes Sicherungssystem Windows-Backup. Dieser Katalogserver stufte sich nicht mehr hoch und stellte auch das AD nicht mehr zur Verfügung "Es konnte keine Verbindung zur Domäne hergestellt werden". Als folge davon konnte keine ADS-Anwendung mehr gestartet werden (Active Directory Benutzer- und Computer, Standorte-und Dienste etc). Die Protokolle beschrieben dass die Erstsyncronisation nicht abgeschlossen werden konnte, da der alte Katalog-Server nicht kontaktiert werden konnte. Der neue Server hatte aber von Anfang an alle FSMO Rollen. Der alte Katalog-Server wurde zurückgesichert. Auch dort konnte er keine Verbindung zur Domäne herstellen. Ich führte anschließend auf dem 2016 Schritte mit "DFSRMIG" aus. Der Server stufte sich wieder hoch und alles war gut. Fazit: Keine Ahnung warum sich auf einmal kein Server mehr als Katalog-Server sah. Die Übertragung der FSMO Rollen war bereits vollzogen und beide Server liefen noch 2 Wochen gemeinsam. Der alte Server wurde dann herabgestuft und abgeschaltet. Nach meinen Verständniss, suchte der neue Server beim Neustart dann noch einmal seinen Partner auf um sich bestätigen zu lassen. Im Life-System war unter Standorte und Dienste der alte Server auch noch gelistet: Vermutung: Die übertragung der FSMO lief durch, jedoch wurde der alte Server nicht aus der Replikations entfernt und ebenfalls noch als Katalogserver gelistet. Warum er dann nicht sagte, ich bin jetzt einfach der Chef weiß ich nicht. Über den Befehle "DFSRMIG" löschte ich den Migrationsstatus und die Replikationspartner. Danach stufte sich der Server hoch und auch unter Standorte war der alte nicht mehr gelistet. Im letzten Schritt wurde der Exchange zurück gesichert. Anmeldung, Domänenanzeige etc. funktionierten. Lediglich Zugriff auf das Interface dauert noch an. Das liegt aber denke ich an der ältern Hardware der Testumgebung und an der Kapazitätsgrenze. Die Exchange Konsole Verbindet sich normal mit den Server, somit denke ich, kann ich den Thread schließen. Wie immer Herzlichen Dank für die Tolle untestützung!! Empfehle jedem ein Desaster Recovery der wichtigesten Systeme in einer Testumgebung. Hier lief auch alles normal aber im Falle eines Desasterbackups wäre ich ins Schwitzen gekomme.
  13. GELÖST Recovery 2016 mit Windows Backup

    Sehr seltsam. Irgendwo muss ich einen Fehler gemacht haben, aber so gravierend kann er eigentlich nicht sein. Vielleicht liegts auch daran, dass ich ein älteres Backup verwendet habe. Wie lösche ich den jetzt am Besten den alten Server aus der Replikation? Reicht es ihn aus Standorten und Diensten einfach zu entfernen?
  14. GELÖST Recovery 2016 mit Windows Backup

    Ahhh verdammt... der Fehler liegt in der Replikation: Ich habe den Backupserver mit dem laufenden Verglichen: Der Backup konnte die Erstyncronisation nicht abschliesen. Es gab einen alten DC. Dem neuen habe ich aber alle Rollen übertragen, die ADS auf den alten Deinstalliert und ihn aus der Domäne genommen. Bei der Übertragung der FSMO Rollen gab es seinerzeit aber einen Fehler den ich durch einen KB Artikel aber beheben konnte. Ich denke es ist beim Backup jetzt so: Der Server startet neu, sucht den alten DC, findet ihn nicht und startet sein ADS nicht. Der laufende funktioniert ohne Probleme nur - habe ich das Problem dann beim nächsten Neustart? Der Alte Server hing damals noch 4 Woche im Netz, warum die Replikation nicht durchgelaufen ist - keine Ahnung. Unter Standorte und Dienste steht der alte Server tatsächlich drin. Wenn ich dort die Replikation deaktiviere dürfte das Problem bei nem Neustart doch nicht mehr auftreten oder? Zudem hat er auch noch immer das Häckchen "Globaler Katalogserver". Wenn ich das und die Replikation entferne müsste er sich doch dann als einziger DC ansehen oder? Die query fsmo Rollen bzw. befehle zeigen alle den neuen Server an auch sonst funktioniert alles (ADS, DNS, Clientanmeldungen etc.)
  15. GELÖST Recovery 2016 mit Windows Backup

    @Newbie: Ja der Namesserver wird unter der Zone korrekt aufgelöst @djmager: Er stellt nach einem Neustart wieder auf Öffentliches Netzwerk um. Verstehe es nicht so ganz dass es anscheinend so kompliziert ist. Einen 08er habe ich bei dem Test hin und her und auf verschiedenen Maschinen zurückgesichert. War nie ein Problem. Vielleicht liegts echt am Gateway, was aber echt saudoof wäre. Aber jetzt erstmal einen Guten Rutsch euch allen. Vielleicht habe ich im neuen Jahr ja mehr glück ;-)
×