john23
-
Gesamte Inhalte
199 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von john23
-
-
Hallo Zusammen,
weiß einer was es bei Outlook mit der Spalte und Bedeutung der Kombination SSL [Nein] in der Spalte Verschlüsselung auf sich hat ( Verbindungsübersicht Outlook)? Der Artikel den ich gefunden haben erklärt das nicht wirklich.
Ist bei SSL [Nein] die Verschlüsslung aktiv? Was ist mit dem Nein gemeint?
http://www.expta.com/2014/09/outlook-connection-status-shows-clear.html
John2302
-
Hallo Zusammen,
folgendes Problem - wir haben eine Software welche über den Exchange in kurzer Zeit viele Mails an viele Absender los wird. Wenn eine Mail z.b an 30 Personen gehen soll, macht die Software aber 30x eine Mail drauß.
In den Logs sieht man das daran, dass der Server mehrfach hintereinander authentifiziert. Mit dem Exchange 2010 hat alles geklappt der/die Exchange 2016 ( Kemp loadmaster davor) haben da aber ein Problem mit. Es gehen nur ein Bruchteil der 30 Mails raus.
In den Logs sehe ich, dass die Authentifizierung statt finden und manchmal auch sehr generisch Socket error ( Eventlog gibt keinen hinweiß auf TLS / SSL fehler). Wenn ich mir die Logs am Exchange 2010 anschaue kann ich schön alles sehen Mail From, RCPT to etc pp bis die Mail versendet wird. Auf dem neuen Exchange sehe ich nur die Authetifiziertung aber kein Mail From, rcpt to in den Logs.
Ich hatte mir den default receive connector angeschaut und kann keinen Grenzwert erkennen der das verursachen könnte. Hatte schon folgende drei Werte auf 0 gesetzt
TarpitInterval : 00:00:00
AuthTarpitInterval : 00:00:00
MaxAcknowledgementDelay : 00:00:00Hier der ganze Test Connector:
RunspaceId : **********************************
AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer
Banner :
BinaryMimeEnabled : True
Bindings : {0.0.0.0:25}
ChunkingEnabled : True
DefaultDomain :
DeliveryStatusNotificationEnabled : True
EightBitMimeEnabled : True
SmtpUtf8Enabled : True
BareLinefeedRejectionEnabled : False
DomainSecureEnabled : False
EnhancedStatusCodesEnabled : True
LongAddressesEnabled : False
OrarEnabled : False
SuppressXAnonymousTls : False
ProxyEnabled : False
AdvertiseClientSettings : False
Fqdn : server.de
ServiceDiscoveryFqdn :
TlsCertificateName :
Comment :
Enabled : False
ConnectionTimeout : 00:10:00
ConnectionInactivityTimeout : 00:05:00
MessageRateLimit : Unlimited
MessageRateSource : IPAddress
MaxInboundConnection : 5000
MaxInboundConnectionPerSource : 200
MaxInboundConnectionPercentagePerSource : 2
MaxHeaderSize : 256 KB (262,144 bytes)
MaxHopCount : 60
MaxLocalHopCount : 12
MaxLogonFailures : 3
MaxMessageSize : 36 MB (37,748,736 bytes)
MaxProtocolErrors : 20
MaxRecipientsPerMessage : 200
PermissionGroups : AnonymousUsers, ExchangeUsers, ExchangeServers
PipeliningEnabled : True
ProtocolLoggingLevel : Verbose
RemoteIPRanges : {10.1.1.1}
RequireEHLODomain : False
RequireTLS : False
EnableAuthGSSAPI : False
ExtendedProtectionPolicy : None
LiveCredentialEnabled : False
TlsDomainCapabilities : {}
Server : server
TransportRole : FrontendTransport
RejectReservedTopLevelRecipientDomains : False
RejectReservedSecondLevelRecipientDomains : False
RejectSingleLabelRecipientDomains : False
AcceptConsumerMail : False
SizeEnabled : Enabled
TarpitInterval : 00:00:00
AuthTarpitInterval : 00:00:00
MaxAcknowledgementDelay : 00:00:00
AdminDisplayName :
ExchangeVersion : 0.1 (8.0.535.0)
Name : test-conne
DistinguishedName : C********************************
Identity : server\test-conne -
Two arm intern - von dem was ich gelesen / gemacht habe würde ich Norbert recht geben. Würde two Arm auch immer bevorzugen.
-
Hallo Leute,
ich habe das Problem in einer Domain alle USB Geräte zu verbieten bis auf einige wenige ( Clickshare / Bank USB Sticks).
Ich hatte erst die USB Richtiline aktiv die einfach alle Geräte blockiert, dort kann ich aber keine Außnahmen definieren.
https://www.windowspro.de/wolfgang-sommergut/usb-geraete-sperren-gruppenrichtlinien
- Hiermit hatte ich alle Geräte geblockt
Hiermit klappt es auch nicht so recht:
2. Variante mögliche Realisierung durch Einstellungen in: Administrative Templates\System\Device Installation\Device Installation Restrictions
Wie realisiert ihr das mit ausnahmen etc? Ist das mit Windows Mitteln zu erreichen oder nur mit dritthersteller Software?
John
-
Was passiert den wenn du den Benutzer wieder auf die Alte Datenbank schiebst oder auf eine andere auf dem neuen Server?
-
Bei deinem Link stehen doch Beschreibungen wie es auch in der GUI zu ändern ist. Weiß nicht wo dein Problem/ deine Frage genau ist.
Damit hast du doch alles was du brauchst. Würde eventuell nur die Verzögerungsnachricht runter drehen, damit du dann die möglichkeit hast dir das Problem anzuschauen, bevor die Mail zum NDR wird.
Gruß John
-
Hallo Leute,
ich versuche mit einem aktuellen Exchange 2016 eine TLS Verbindung mit einem Office365 Connector hin zu bekommen. Es gibt noch ein paar Systeme die über den lokalen Exchange anonym / mit anmeldung relayen.
Bei dem Zertifikat auf dem lokalen Exchange handelt es sich um ein Wildcard Zertifikat.
Im Office365 connector habe ich es mit *.domain.com / mail.domain.com oder webmail.domain.com versucht oder auch mit <I>CN=Thawte TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc,C=US<S>CN=*.domain.com ( was nicht angenommen wird).
Set-SendConnector -Identity “Outbound” -TlsDomain “*.domain.com” -TlsCertificateName $tlscertname -TlsAuthLevel “DomainValidation” -RequireTLS $true
Klappt alles nicht - was mache ich falsch oder übersehe ich?
Im SMTP Log sehe ich folgendes bei TLS level Doman Validation:
Outbound TLS authentication failed for auth level DomainValidation with error SubjectMismatch
Dropping connection because cert chain validation failed and ShouldTreatValidationResultAsSuccess returned false.Wenn ich TLS runterstelle auf Certifcate Validation dann kommt folgendes:
Outbound TLS authentication failed for auth level CertificateValidation with error UntrustedRoot
Dropping connection because cert chain validation failed and ShouldTreatValidationResultAsSuccess returned false.Momentan ist TLS aus und der Office365 Connector funktioniert über Authehtifizierung über IP Adresse - soll aber am besten nicht so bleiben.
John
-
Ich habe es gefunden. Ich habe der Zertifikat vermutlich über die MMC importiert und nicht über die Exchange Konsole - hat in der vergangenheit keine Rolle gespielt.
Habe das Zertifikat nun über die MMC wieder entfernt ( über ECP Konsole gab es eine Fehlermeldung, dass der Transportdienst dann nicht mehr richtig geht? - das Zertifikat hatte aber keine Dienste mehr zugewiesen). Danach habe ich das Zertifikat nochmal über die ECP Konsole importiert und schwups konnte ich den SMTP Dienst dem Zertifikat auch zuweisen.
John
-
1
-
-
vor 21 Minuten schrieb NorbertFe:
Da jeder Exchange per Default auch ein selfsigned Zert nutzt, sollte "kein TLS" eigentlich nie vorkommen.
Das seltsame bei diesem Server ist, dass SMTP auf einem "Exchange Delegation Federation" Zertifikat aktiv ist - wieso auch immer. Dieser hat halt nicht den namen des Exchange Servers.
Mit einem selbst signierten Zertifikat habe ich den SMTP Dienst nun auch auf ein anderes Zertifikat aktiviert bekommen. Bleibt immer noch die Frage wieso ich das auch nicht auf dem Wildcard aktiviert bekommen. Damit kann ich wohl aber TLS immerhin wieder aktivieren. Bin gerade nur nicht sicher ob Office365 auch eigen Signierte akzepziert.
-
vor 7 Minuten schrieb tesso:
Dunkel habe ich noch was im Kopf.
Man musste dem Connektor erst einen eindeutigen FQDN vergeben, erst dann lässt sich das Zertifikat anbinden.,
Leider kann ich das gerade nicht verifizieren.
Hatt da auch was bei Franky gelesen aber das hat nicht geholfen.
https://www.frankysweb.de/exchange-2016-smtp-connector-und-wildcard-san-zertifikate/
-
vor 1 Stunde schrieb Nobbyaushb:
Täte mich auch interessieren - die Dienste bzw. den Server schon neu gestartet?
50x - ist mehr oder weniger nur noch ein Verwaltungsserver / relay Server in einer Office 365 Hybrid Konfiguration. Habe das Problem aber auch in einer anderen Umgebung wo ich noch nicht genau geschaut habe.
Untergehen nicht - aber wenn ich kein TLS machen kann ist halt b***d.
-
vor 3 Minuten schrieb NorbertFe:
Hat auch nix mit Wildcard zu tun. Ich hab das Problem auch schon gesehen und konnte das jeweilige Zertifikat nicht auf den SMTP Service binden. Es gab auch keine Fehlermeldung, nur die Bindung wurde nicht konfiguriert.
Ich lasse mir gerade noch ein Testzertifikat ausstellen mit nur einem Namen - fürchte das wird dann aber auch nicht helfen :(.
Vom MS Support habe ich eigentlich genug....
Das eine ist eine ganz frische installation Exchange 2010 --> Exchange 2016 Migration. Ex2010 ist schon weg - Server 2016
John
-
Hallo Leute,
ich habe in den letzten Tagen zwei Systeme wo ich das ein öffentliches Wildcard Zertifikat nicht auf dem SMTP Dienst aktiviert bekomme. Weder über die GUI noch über Powershell. Es wird auch keine Fehlermeldung ausgegeben - das Zertifikat ist einfach nicht auf dem Dienst aktiviert. IIS Dienst ist aktiviert und funktioniert mit dem Zertifikat ohne Probleme.
Hat sich hier mit CU14 was geändert? Oder mit anderen Updates? Bin nicht sicher wo ich
Gruß John
-
Ist bissel verwirrend.
Können nun die Office365 User die 50 Onpremise user in der Gal sehen, auch wenn diese kein Konto in O365 haben.
Meinst du mit Konto Postfach oder was genau? Was ist mit dem "richtigen Muster angelegt" gemeint?
-
Ich finde den Link nicht wieder aber es gab, ich meine bei windowspro.de, einen Beitrag wie man Fileserver unter Windows so konfigurieren kann, dass bestimmte Dateiendungen verboten sind. Daher können die Daten dann nicht geschrieben werden oder es gibt einen Alarm via E-Mail.
Generell sollte es auch möglich sein Dateiänderungen pro /s zu überwachen und einen Alarm zu definieren.
Bei der Bekämpfung vom solchen Schadsoftwaren habe ich immer die kostenlose Version von DiskPulse verwendet. Habe das auf allen File Servern installiert und nach Änderungen gefiltert die mit dem infizierten Dateityp zu tun hatten. So konnte ich feststellen, ob noch Rechner betroffen sind oder nicht.
Bei der Bezahlversion konnte man glaube ich auch E-Mail Alarm definieren. Super toll oder vertrauenswürdig sieht die Software nicht aus, aber sie hat bisher immer seinen Zweck erfüllt.
John
-
Falls noch hemand den Fehler hat:
Die Migration war bei einem recht großen Kunden mit 4-6 DCs. Eine eindeutige Lösung haben ich im Netz nicht gefunden.
Warten hat geholfen - ich habe etwa 4x den Sync Task nochmal gestartet. Nach etwa einem Tag war die Fehlermeldung weg und der Sync war erfolgreich.
John
-
//abgetrennt von: https://www.mcseboard.de/topic/210727-fehler-öffentliche-postfächer-von-2010-zu-2016/
Habe das gleiche nun auch - hat einer eine Idee
Sind 2 Public Folder Postfächer
Die zweite sagt
Fehler: MigrationTransientException: Es wurde keine Anforderung gefunden,
die den bereitgestellten Informationen entspricht. Ursache: Im angegebenen Index ist
keine solche Anforderung vorhanden. --> Es wurde keine Anforderung gefunden,
die den bereitgestellten Informationen entspricht. Ursache: Im angegebenen Index
ist keine solche Anforderung vorhanden.
BerichtDas Abonnement für den Migrationsbenutzer "Mailbox2" konnte nicht geladen werden. Gefundener Fehler: Für diesen Benutzer wurde kein Abonnement gefunden..
Der Bericht ist leer
-
Also wenn GFI abgelaufen ist, dann filtert dieser einfach nicht mehr und reicht die Mails einfach druch.
Wenn es eh nicht mehr verwendet wird ist deinstallation keine schlechte Idee. Alternativ kann man den Mailessentials Transport-Agenten eventuell auch manuell deaktivieren / löschen.
-
Wir betreuen so einige Kunden und es ist total unterschiedlich wie Leute damit Umgehen. Ich durfe auch schon etwa 10-20 Verschlüsselungstrojaner wieder aus Netzwerken entfernen.
- Intern wird schon auf SMTP ebene alles geblockt was Makros/EXE files etc hat - Absender bekommt damit direkt ein "denyed by policy"
-- Ja nach Kunde und Spamfilter kann man das gut anwenden. Wenn jemand unbedingt solche Dokumente versenden muss, dann soll er das über andere Wege machen ( Acronis Access / dropbox / onedrive etc)
- Sammelpostfach wie oben bereits beschrieben
- Spam unterordner im Outlook wo vorgefiltert ist und Block-Grund angehängt
- User Sensibilisierung
Für das wichtigste halte ich einen ordentlichen Spamfilter / Maleware Filter. Dieser nimmt nicht nur Gefahr raus, sondern auch einfach unerwünschtes Grundrauschen. Optimalerweise hat der Spamfilter selbst eine Quarantäne Option wo entweder Mitarbeiter selbst oder der Admin einfach auf Anfrage Mails freigeben kann. Non Plus Ulta sind Filter mit Sandboxing.
Danach folgt ein vernünftiges Sicherheits und Rechtesystem. Ich habe zu viele Umgebungen gesehen, wo zu viele Leute Domain Admin Rechte hatte, teilweise sogar ALLE. Druch Ordentliche Strukturen und Reche kann der Schaden erheblich reduziert werden wenn den was passiert. Bedeutet für mich:
- keine Lokalen Admin rechte für Nutzer
- immer getrennte Admin Accounts ( d.h Admin Arbeitet an seinem Pc auch nicht mit Domain Admin rechten, sondern maximal mit lokalen Admin rechten)
- Ordner und Freigabestrukturen so aufbauen, dass Nutzer nur auf das Zugriff haben was Sie wirklich brauchen
- Volumenschattenkopien auf Datei Servern aktivieren - ermöglicht teilweise schnellere Verfügbarkeit von Daten wenn was passiert
- Andere Preventive Tools / Überwachungen - Dateiänderungen pro Min auf Fileserver.
Neben den Grundlegenen Schutz ist eine Datensicherung bzw. eher ein Datensicherungskonzept ein absolutes muss. Das heißt:
- Tägliche Sicherungen auf NAS - besser externes Medium
- Sicherungen werden über mehrere Tage / Wochen / Monate aufbewahrt und nicht am nächsten Tag überschrieben
- Sicherungen werden täglich geprüft und mindestens monatlich in der Wiederherstellung ( Teildateien) getestet
- Alle 6 / 12 Monate wird eine Testwiederherstellung ganzer Server durchgeführt
Danach folgt für mich die Mitarbeiter sensibilisierung. Im Zweifel ist es immer besser es gibt eine Rückfrage bevor etwas passiert.
- Wie sehen gefälsche Mails aus, Wie erkenne ich diese
- Was tue ich wenn ich etwas anklicke und etwas "seltsames" passiert oder "nichts passiert"
- etc
-
Ist je nach Benutzer anders - sind mindestens 3 Laufwerke, max 6 Laufwerke.
Finanzen
Technik
Userlaufwerk
Betriebsrat
Vertrieb
etc.
Je nach Abteilung auch in einer anderen Konstellation verbunden. Habe für jedes Laufwerk eine eigene GPO.
Mich wundert es einfach nur woher diese veralteten Infomationen aufeinmal herkommen, wenn die Laufwerke eh auf Verbindun wiederherstellen stehen und alle vor dem Update da waren.
-
Kann ich nicht mit sicherheit sagen. Updates werden nicht immer gleichzeitig installiert und einige Benutzer achten nicht so sehr auf die Namen der Laufwerke.
Vom Gefühl er würde ich sagen haben alle Benutzer und zwar bei jeden Funktionsupdate + nun auch Teilweise bei anderen Updates.
Ich versuche es mal mit aktualliseren der Laufwerke.
-
Ist bei den letzten Updates von 1709 auf 1803 aufgetreten und heute bei oben genannten kumulatives Update KB4509478.
-
Hallo Leute,
ich habe folgendes seltsames Problem. Wenn Windows 10 Clients ein Funktionsupdate bekommen und seit neustem auch bei kumulatives Update KB4509478 - passen nach einem Neustart die Netzlaufwerke nicht mehr.
Ich verbinde die Laufwerk über Benutzer GPOs mit der Einstellung erstellen und beschrifte die Laufwerke auch mit bestimmten Namen z.B Finanzen, Technik etc.
Nach einem Update haben die PCs aufeinmal alte Netzlaufwerke verbunden wie ich diese damals mal eingerichtet hatte - die Pfade stimmen noch meistens aber die Beschriftung fehlt und es wird einfach der Pfad + Namen der Freigabe angezeigt.
Wenn ich die Laufwerke dann alle von Hand trenne und den PC neu starte greift die GPO wieder richtig und erstellt die Netzlaufwerke so wie sie sein sollen.
Ich kann die GPO nicht auf aktuallisiere / ersetzen, da das dazu führt, dass Explorer Fenster / Programme in regelmäßigen Abständen die Verbindung verlieren, wenn die GPO die Laufwerke dann aktuallisiert / ersetzt wenn der Benutzer auch angemeldet ist.
Wo kommen diese alten Verbindungen her? Hat einer eine Idee wie ich dieses Problem umgehen kann?
Gruß John
-
vor einer Stunde schrieb NorbertFe:
oder auf mobile.domain.de?
Stimmt würde natürlich auch gehen.
Umzug von SBS 2011 zu O365 und mehr
in MS Exchange Forum
Geschrieben
1. Genrell kannst du den PC in die Domain packen. Sehe da auch keine Nachteile, sondern eher Vorteile z.B. GPOs etc. - Je nach dem wie gut die Internet / VPN Verbindung ist kann das arbeiten über RDP dennoch deutlich schneller sein. Erfahrungsgemäß sind dinge wie Datenzugriff und die Warenwirtschaft gerne mal über eine VPN Verbindung langsamer im Vergelich mit einem Terminalserver.
2. Migration via PST import / export geht. Fragt sich dann halt wie lange die downtime ist. Ich finde es entspanter solche Migrationen mit Tools wie z.B. Migration Wizz von Bittitan zu machen. Wenn das gut vorbereitet und geplant ist hat man damit weniger downtime und eine entpanntere Migration.
3. Generell kannst du zwei Office Pakete auf einem PC / Server installieren, doch du kannst definitiv nur eine Outlook Version auf dem PC haben. Generell läuft O365 auf Terminalserver, aber wie du sagst gibt es machmal auch Einschränkungen ( Server 2019 und Office Plan E3 - nicht sicher ob noch immer der Fall vor 3-6 Monaten ging das noch nicht). Um hier auf der Sicheren Seite zu sein frag direkt beim Support nach oder verlass dich auf offizelle Quellen.
https://docs.microsoft.com/de-de/deployoffice/deploy-office-365-proplus-by-using-remote-desktop-services
Eine unterstützte Version von RDS oder Windows mit Office 365 ProPlus, die folgendes umfasst:
Windows 8.1
Windows Server 2016
Derzeit unterstütztes Windows 10 SAC Release
Ich habe aber auch schon Probleme mit Termianal Server 2016 und Office 365 Pro Plus gehabt. Die Installation klappte direkt, doch das Shared Licencing funktionierte nicht richtig. Mitlwereile scheint es kein Problem mehr zu sein, doch wir haben bei dem Server nach 30-60 Tagen immer wieder die aktivierung verloren und nur eine Neuinstallation des Office Paketes half da.
@SupportErfahrung
Ich habe so einiges an Erfahrung mit dem Microsoft O365 Support und dieser mach meistens keinen Spaß. Erst mal ist es ein totales Glücksspiel wann und ob sich da mal einer meldet. Hatte fälle die reifen Leute nach 10 Minuten bei mir an, in anderen Fällen war über eine Woche funkstille - ein Rufnummer wo man anrufen kann hat man nicht und auf Mails wurde auch nicht reagiert. Manchmal findet der Support dann auch wirklich eine Lösung und in anderen Fällen - Terminalserver Problemvon oben - bekommt man nur Links zu Artikeln die man schon 5x gelesen hat und doch geht es nicht.
Mit dem Telekom Support hatte ich noch nicht viel zu tun, kann mir aber nicht wirlich vorstellen, dass dieser besser ist. Einzige was ich mir da vorstellen kann ist, dass du Ansprechpartner bekommst die gut Deutsch sprechen und wo es winiger in der Leitung rauscht.
PS: Man kann sowas alleine machen, man kann sich Beratung und Begleitung kaufen oder man kann sowas komplett machen lassen.
Gruß John2302