Jump to content

mwiederkehr

Expert Member
  • Gesamte Inhalte

    1.496
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von mwiederkehr

  1. Versteckte Accounts sollte man auch finden können, indem man eine Offline-Kopie der ntds.dit mit einem dafür geeigneten Viewer öffnet. So gelten keine Berechtigungen, die sonst Objekte ausblenden würden. So lässt sich evtl. die Domäne retten, aber nicht die Server. Auf denen kann an vielen Orten eine Hinterlassenschaft vom Angreifer versteckt sein.
  2. In "normalen" Umgebungen auf jeden Fall. Die Verwaltung über den lokalen Controller hat ihre Vor- und Nachteile gegenüber einer Cloudlösung. Wir setzen UniFi wegen des guten Preis-/Leistungsverhältnisses vielerorts ein, von Kleinunternehmen mit einem AP bis zu grösseren Firmen mit 25 APs. Einzig in speziellen Umgebungen wie einer Schule sollte man vorsichtig sein und evtl. zu Aruba oder einer anderen Lösung greifen: bei UniFi sprechen die APs nicht miteinander. AP 2 sieht nicht, dass AP 1 mit Anfragen überflutet wird und er einspringen könnte, weil er einige Clients auch sieht. Das Problem hat man aber wirklich nur an Schulen und vielleicht in Konferenzräumen, wo hunderte Clients gleichzeitig in einen Raum kommen.
  3. Vielen Dank für die Antwort! Da wird sich der Kunde freuen... Naja, nächstes Mal eine 3PAR kaufen, da soll es online gehen.
  4. Hallo zusammen! Bei einem MSA2042 steht innerhalb der nächsten 10'000 Stunden ein Firmware-Update der SSDs an. Das Gerät hat zwei Disk Groups: eine besteht nur aus SAS-Platten, eine nur aus SSDs. Dass Disk-Firmware-Updates ein Offline-Vorgang sind, ist bekannt. Nur ist mir nicht klar: sind während des Updates alle Volumes offline oder nur solche auf Disk Groups, von denen eine Disk upgedatet wird? Denn die SSDs bekomme ich gut leer, aber mit den SAS-Disks würde es eine grössere Übung... Hat da jemand Erfahrungen damit?
  5. Ja, das geht, einfach nicht mit dem kostenlosen Angebot. Wobei die allermeisten Websites bei einem klassischen Webhoster besser (sprich: einfacher und günstiger) aufgehoben sind.
  6. Ich finde es sehr bedenklich, dass von vielen Firmen solche Vorfälle als "bedauerlicher Zwischenfall" gesehen werden und Lösegeld bezahlt wird, weil es häufig günstiger ist, als die Systeme aus einer Sicherung zurückzuholen. Ich finde, das sollte man nicht nur betriebswirtschaftlich sehen. Denn mit dem Lösegeld finanziert man im besten Fall den Lebensunterhalt eines Programmierers und die Entwicklung weiterer Schadsoftware, im schlechtesten Fall finanziert man jedoch den Terrorismus.
  7. Ein Kunde mit um die 100 Postfächer setzt seit Jahren efa ein und ist sehr zufrieden damit. Die Spamerkennung sei super und das Webinterface schnell und übersichtlich. Ein anderer Kunde setzt für um die 1000 Postfächer auf Sophos. Die Flexibilität sei nicht so gross, aber die Spamerkennung sei überzeugend und der Support brauchbar. Noch ein anderer schützt seine ca. 1000 Postfächer mit einer Cisco IronPort (bzw. zwei virtuellen als Cluster). Zufrieden ist er mit der Spamerkennung, etwas weniger glücklich jedoch über den Preis. Das Webinterface ist nicht topmodern, aber funktional. Was ich für Spamfilterung absolut nicht empfehlen kann, ist WatchGuard. Da hat man kaum Konfigurationsmöglichkeiten und die Spamerkennung ist mangelhaft.
  8. Ja, das meinte ich. Falls niemand die E-Mails während der Abwesenheit lesen soll, würde ich folgendes vorschlagen: Abwesenheitsassistent einrichten, Postfach in freigegebenes Postfach umwandeln. So musst Du niemandem den Zugriff erlauben. Freigegebene Postfächer nehmen E-Mails an. Die maximale Postfachgrösse beträgt soweit ich weiss 10 GB, was für ein Jahr kein Problem sein sollte, wenn man vorher aufräumt.
  9. Wenn ich es richtig sehe, enthält das Script eine Endlosschleife und das ohne Pause dazwischen. Das kann die CPU ganz schön auslasten. Ich würde eine Pause (notfalls mittels "ping localhost") einfügen vor dem "GOTO loop".
  10. Soweit ich weiss werden die Daten nur für 30 Tage behalten. Man kann das Postfach aber in ein gemeinsames Postfach umwandeln und danach die Lizenz entfernen. Wenn die Mitarbeiterin wieder da ist, weist man ihr wieder eine Lizenz zu und wandelt das Postfach wieder um. So werden auch während der Abwesenheit E-Mails empfangen und ein aktivierter Abwesenheitsassistent würde funktionieren.
  11. Import/Export geht, aber dann hat man die gleichen (alten) Treiber wie auf dem alten Server, inkl. nun nicht mehr benötigte 32-Bit-Treiber etc.. Ich nutze solche Gelegenheiten gerne, um aufzuräumen und prüfe beim Hersteller, ob es neuere Treiber gibt. Nicht nur eine neue Version, sondern vielleicht gibt es einen universellen Treiber, man kann PCL 5 abschaffen etc. Durch den Parallelbetrieb hat man die Möglichkeit, alles schön zu testen bzw. durch den Azubi testen zu lassen.
  12. In Ergänzung zu Nils: ein Mittelweg zwischen einer "richtigen" Windows-CA und mittels OpenSSL erstellten selbst signierten Zertifikaten wäre eine einfache CA. Deren Zertifikat könnte man auf allen Clients als vertrauenswürdig hinterlegen und für die Server dann von ihr signierte Zertifikate ausstellen. Eine einfach bedienbare Software wäre zum Beispiel https://hohnstaedt.de/xca/. (Geht alles mit OpenSSL auch, aber wenn man es nicht so häufig braucht, ist es etwas mühsam mit den Befehlen.)
  13. Beide Varianten haben Vor- und Nachteile: Wenn Du die PST-Dateien bei Microsoft hochlädst, musst Du eine Mapping-Datei erstellen. Bei nur ganz wenigen Benutzern ist man über Outlook schneller. Der Import erfolgt sehr schnell, aber er startet nicht sofort, sondern erst, wenn Microsoft Kapazität dafür hat. Ich habe auch schon über zwölf Stunden gewartet, bis es los ging. Im Outlook kannst Du dank Cache-Modus das PST sehr schnell importieren, aber der Upload im Hintergrund kann dann länger dauern. Das Problem dabei: wenn Outlook am hochladen ist, zeigt es keine neu eintreffenden E-Mails an. Wenn der Upload lange dauert, kann das für die Benutzer mühsam sein. Ich mache es deshalb je nach Kunde unterschiedlich. Sind es nur maximal fünf Benutzer und die Postfächer sind nicht allzu gross, importiere ich direkt im Outlook und lasse die Rechner über Nacht laufen. Sind es mehr Benutzer, lasse ich den Import über Microsoft laufen.
  14. Sobald sich der Kunde als Admin angemeldet hat, kann er tun, was er möchte. Das Logging muss vorher passieren. Vorschlag: Beim Login des Benutzers läuft ein Script ab, welches folgendes erledigt: 1. Aufruf einer Website (eures Monitorings) in der Form "logger.aspx?kunde=meier". Diese Daten könnt ihr speichern und euch alarmieren lassen. So müssen keine E-Mail-Zugangsdaten hinterlergt werden. 2. Für den Fall, dass der Kunde den Internetzugang blockiert hat: Erstellung einer Logdatei an einem schwer auffindbaren Ort. Für die Paranoiden: mit Zeitstempel in der Vergangenheit. Alternativ ginge auch ein Key in der Registry. 3. Ganz wichtig: das Script löscht sich nach der Ausführung selbst.
  15. Software, die aktiviert werden muss, eignet sich meist nicht, um geklont zu werden. Das Problem wird evtl. nicht sysprep sein, sondern die sich ändernde Hardware. Die Lösung muss man mit dem jeweiligen Hersteller suchen. Bei Microsoft heisst sie KMS, andere Software kann man auf Netzwerklizenzierung umstellen...
  16. Du könntest sogar den SQL Server auf dem Linux des NAS installieren. Seit Version 2017 gibt es ja eine Linux-Version davon.
  17. Hat wie von euch beschrieben problemlos funktioniert. Besten Dank!
  18. Wie Nils schon geschrieben hat, lässt sich das nicht zuverlässig mit den vom Dateisystem bereitgestellten Informationen lösen. Es sollte sich aber einigermassen leicht umsetzen lassen mit einer kleinen Datenbank. Falls Du ein Script willst, könntest Du PowerShell nehmen und die Daten in einer SQLite-Datenbank ablegen: In einem ersten Schritt geht das Script alle Dateien durch und trägt die, die noch nicht in der Datenbank vorhanden sind, ein mit Dateiname und aktuellem Datum. Dann sucht es in der Datenbank alle Dateien, die schon länger als X Tage da sind und löscht diese sowohl auf dem Dateisystem als auch in der Datenbank.
  19. Du musst das AD-Attribut "msExchangeMailboxGuid" der synchronisierten Benutzer ausschliessen, damit bei Office 365 ein Postfach erstellt wird. Siehe https://mikeparker365.co.uk/2016/01/07/how-to-filter-out-msexchmailboxguid-from-aad-connect-sync/.
  20. Herzlichen Dank für eure Tipps! Ist tatsächlich so ein "da steht noch eine Kiste in der Ecke"-Server eines Neukunden. Werde die Exchange-Dienste deaktivieren, die aktuellen Windows Updates sowie .Net 4.72 installieren, nach dem Neustart abwarten, bis der "mscorsvw.exe" fertig ist, die Dienste wieder aktiveren (aber nicht starten) und dann das CU installieren. Nächsten Montag wissen wir mehr.
  21. Hallo zusammen Ein Exchange 2013 (Standalone, keine DAG) mit CU15 soll auf CU23 aktualisiert werden. Laut Supportmatrix müsste man in folgender Reihenfolge installieren: .NET 4.6.2, CU20, .NET 4.7.1, CU22, .NET 4.7.2, CU23, dann optional noch .NET 4.8 Sehr umständlich und ich müsste das nicht mehr öffentlich verfügbare CU20 beschaffen. Bei Microsoft steht folgender Abschnitt auf der Seite mit der Supportmatrix: "Beim Upgrade von Exchange von einem nicht unterstützten Cu auf das aktuelle Cu und kein Intermediate CUS sind verfügbar, sollten Sie zuerst ein Upgrade auf die neueste Version von .net durchführen, die von Exchange unterstützt wird, und dann sofort auf das aktuelle Cu-Upgrade aktualisieren." Auch Frank Carius bestätigt dieses Vorgehen. Es scheint mir logisch, dass es so funktionieren müsste, denn nicht laufende Exchange-Dienste können sich ja nicht an einer falschen Version des .NET-Frameworks stören. Aber zur Sicherheit kurz nachgefragt: Hat das jemand in der Praxis schon mal so gemacht? Vielen Dank für eure Tipps!
  22. Mich hat mal fast der Schlag getroffen, als ich zwecks Servereinbau ins Datacenter gefahren bin, in welchem wir ein paar Racks gemietet hatten. War eigentlich professionell, Diesel, Biometrie etc., aber leider in einem Bürogebäude untergebracht. Auf dem gleichen Stockwerk gab es Bauarbeiten, für die man Wasser gebraucht hat. Irgend jemand vom Betreiber fand es eine gute Idee, den Bauarbeitern die Türen vom Serverraum auf zu machen, so dass sie ihren Wasserschlauch zwischen den Racks hindurch ziehen konnten... Besonders lustig fand ich es bei dem Kunden, bei dem die Server auf einem über die Badewanne montierten Brett standen. Die Toilette daneben war noch in Betrieb, deshalb musste ich immer kurz raus, wenn jemand mal musste. Haartrockner an der gleichen Steckerleiste mit 10A-Absicherung kam auch nicht so gut...
  23. Muss es die Cloud sein? Du könntest sonst ein NAS bei einem Provider mieten. Gibt es mittlerweile sogar virtuell. Dieses könntest Du dann über die Methoden von Synology synchronisieren.
  24. Können das nicht alle? Man muss doch nur auf dem iSCSI-Target "allow multiple sessions" aktivieren? Soweit ich weiss geht es nur mit iSCSI, weil der verwendete SMB-Dienst (Samba) nicht alle benötigten SMB3-Features unterstützt.
  25. Danke für die Rückmeldung! War spannend wie ein Krimi, nur das Ende enttäuscht. Bin aber recht erstaunt. Hatte zwar erst einen solch hartnäckigen Fall und der war mit Exchange, aber dort hat der Support nicht locker gelassen, bis die Fehlerursache bekannt und ein Patch entwickelt war.
×
×
  • Neu erstellen...