winmadness

@NilsK beim Hinzufügen von einer weiteren Gruppe für einen freigegebenen Ordner wurde der Zugriff vom Client verweigert. Nachdem ich "Jeder" in der Freigabe deaktiviert hatte der Benutzer Zugriff. Ich hatte aber mit einigen Einstellungen herumprobiert, deshalb kann ich die Fehlerbehebung nicht zu 100% auf "Jeder" zurückführen. Ich habe auf jeden Fall für alle meiner Ordnerfreigaben "Jeder" gelöscht und arbeite nur mit den NTFS Berechtigungen.

Hallo DocZenith, hast Du "Offlinedateien" auf dem freigegebenen Laufwerk aktiviert? Wenn ja, bitte mal deaktivieren. Des weiteren würde ich eine Gruppe mit allen benötigen Usern für die Ordnerfreigeabe "Personal" anlegen und die Rechte entsprechend für diese Gruppe auf den Hauptordner setzen. Mit der Freigabe "Jeder" zu arbeiten ist immer kritisch. Ich hatte damit auch schon Probleme bei Freigaben.

Natürlich wird auch ein Remote Wipe durchgeführt - versteht sich von selbst. Was ich meine ist wie schnell erfolgt der Remote Wipe nach einem möglichen Diebstahl / Verlust? Hat der "Finder" noch die Möglichkeit die Daten abzugreifen bevor Du den Remote Wipe absetzt bzw. deaktiviert er die Internet-Verbindung? Aber Du hast Recht, ist meine Philosophie und ich will keinen von meinem Konzept überzeugen. Ich beschreibe nur, wie ich agiere.

Ok, wäre mir aber zu unsicher. Mein Grundsatz: sobald ein Gerät nicht mehr unter meiner Kontrolle steht, sehe ich die darauf gespeicherten Daten als kompromittiert an -> alle Zugangsdaten ändern. In unserem Fall also neue Zertifikate ausstellen und alte löschen.

Nein, es wird für jeden Benutzer, der auf das freigegebene Postfach zugreift, ein eigenes Zertifikat ausgestellt. Somit musst Du nur das Zertifikat des betroffenen Benutzers löschen und nur für diesen ein neues ausstellen. Ich verwende das Konzept für die Domain Anmeldung der Mitarbeiter Laptops, welche sich über VPN verbinden. Einige Mitarbeiter haben zwei Laptops und bekommen somit für jedes Gerät ein eigenes Zertifikat. Auch ActiveSync läuft bei uns über Zertifikate. Damit ersparen wir uns das Hantieren mit Passwörtern. Falls mal ein Gerät abhanden kommt, müssen wir kein Passwort mehr ändern, sondern nur Zertifikate im AD löschen. Und die Mitarbeiter bekommen keine Passwörter an die Hand, welche Sie sich somit nich merken müssen bzw. leaken können.

Hallo Nobbyaushb, Problem ist nur, wenn einem Mitarbeiter sein Handy abhandenkommt, dann müsstest Du aus Sicherheitsgründen das Passwort auf allen Handis ändern -> sehr aufwendig. Alternative wäre ActiveSync mit Benutzerzertifikaten zu nutzen und somit für jeden Benutzer ein extra Zertifikat auszustellen und über AD für das betroffene Postfach zu veröffentlichen. Wenn ein Handy dann verlorengeht, musst Du nur das betroffene Zertifikat im AD löschen. @teletubbieland Falls der Einsatz von Tools für Dich in Frage kommt, dann schaue Dir mal Somebytes ExMixedFolders an. Damit kannst Du Ordner zwischen verschiedenen Postfächern synchronisieren. Läuft als Windows Dienst. Wir benutzen es zum Kopieren der GF Kalender für die Assistenz. Damit hat sie Zugriff auf die GF Kalender über ihr iPhone / ActiveSync. Wir hatten vor Exchange 2016 CodeTwo Exchange Sync im Einsatz, was aber ab Ex 2016+ nicht mehr unterstützt wird.

Ich würde es im emClient Forum probieren. Dort kann sich jeder anmelden und Fragen einstellen.

Ich würde mal Richtung "gelöschtes Mitglied" einer Gruppe suchen. Mit Powershell könntest Du Dir ein Skript erstellen, welche alle Mitglieder der Gruppen auf "Vorhandensein" prüft. Hast Du Dir die Gruppen im Active Directory Editor angeschaut? Dauert es dort auch solange?

Hallo, ich würde Hetzner empfehlen. Entweder buchst Du Dir eine Cloud-Ressourcen oder über die Serverbörse einen dedizierten Server (Intel Xeon ab 40,-) für eine virtualisierte Umgebung. Hetzner bietet für seine Internet-Zugänge eine Stateless Firewall an, welche über das Online-Portal (abgesichert mit 2FA) verwaltet wird. Support ist hervorragend - echte 24/7.

Die Aktionen Umleiten und Markieren betreffen ja beide die zwei selben Bedingungen - SCL > 4 und Empfänger info@firma.de. Damit haben beide Aktionen die gleichen Bedingungen und sind somit auch in einer Regel zu verarbeiten.

Hallo, Du kannst in einer Regel mehrere Aktionen einstellen. Die Regel lautet, wenn SCL > 4 UND Empfänger = info@firma.de, dann Betreff "###SPAM###" voranstellen UND die Mail an "spam@firma.de" weiterleiten. Dazu benötigst Du keine zwei Regel. Zur Verdeutlichung ein Screenshot (hier fehlt die zweite Bedingung "Empfänger ist info@firma.de", aber das Grundprinzip bleibt dasselbe.

Hallo, Du kannst beide Aktionen - Markierung und Umleitung - in einer Regel einstellen. Bzgl. "***SPAM***" könnte es evtl. an den Sonderzeichen "Stern" liegen. Nimm mal andere Zeichen z.B. - oder #. Nur eine Vermutung. Outlook Regel sollte keinen Einfluss haben, da diese erst nach Zustelltung der EMail ins Postfach greift. Exchange Regel greifen direkt beim Empfang der EMail (nach meinen Wissen). Kannst Du aber einfach testen, indem Du die Outlook Regel mal deaktivierst.

Hallo, ich gehe davon aus, dass Du Exchange Regeln meinst. Wieso hast Du extra eine zweite Regel für die Umleitung angelegt? Markiere und leite die Spam-Mails in nur einer Regel weiter. Ich würde mal zum Testen eine Regel aufsetzen, welche alle EMails an info@firma.de an spam@firma.de weiterleitet - funktioniert diese?

Da gebe ich Dir Recht - ist keine Ideallösung. Vor allem, da bei eingehenden Anrufen der Kontakt nicht angezeigt wird. Wir haben für das Kopieren von Outlook Kalendern zwischen verschiedenen Postfächern das Produkt ExMixedFolders von Sombytes im Einsatz. Dieses kann laut Beschreibung auch die GAL in Postfach-Ordner kopieren. Das Ganze läuft als Dienst auf dem Windows Server und gleicht ständig die zu synchronisierenden Postfach-Ordner ab.

Ich habe WireGuard ebenfalls getestet. Was mir nicht gefiel war die mangelhaffte Integration in Windows. Mit dem Windows eigenen VPN Client ist die Anbindung über IPSec / IKEv2 / Client Zertifikaten an die OPNSense problemlos möglich

Hallo, ich nutze die OpenSource Lösung OPNSense. Neben der Stateful Firewall den VPN Server mit IKEv2 und Windows User Zertifikaten. Anmeldung in der Windows Domain erfolgt über einen Windows NPS / Radius Server. OPNSense bietet aber auch die Möglichkeit eines LDAP. Des Weiteren bietet OPNSense auch Module für Proxy / Reverse Proxy, High Availability, IDS/IPS etc. Wir hatten am Anfang bei einigen Home Office Usern Verbindungsprobleme (ständige Abbrüche). Lag am DS Lite der Internet Verbindungen. Nachdem die Clients die VPN Verbindung über IPv6 aufbauen haben wir keine Probleme mehr. Allerdings habe ich bzgl. der Performance für Deine Useranzahl keine Erfahrung. Evtl. im OPNSense Forum bzgl. der Anzahl VPN Verbindungen / Performance nachfragen.

Hallo, über ActiveSync wird die GAL auch in der iPhone Kontakte-App zur Verfügung gestellt. In der App auf "Gruppen" gehen und dort kannst Du dann in der GAL suchen. Auch in der Mail-App wird der GAL Kontakt vorgeschlagen, wenn Du den entsprechenden Namen eingibst.

Ich würde mal bei www.software-express.de anfragen. Ich hatte dort auch schon mal bzgl. MS Lizenzen eine Auskunft eingeholt.

Hallo, es gibt Virenscanner für die Exchagen Datenbanken - z.B. http://GFI Informations Store Protection . Also vor der Neuinstallation die Datenbank scannen und neu aufsetzen.

Probiere es mal mit TeamViewer. Diesen auf dem Server für "unbeaufsichtigten Zugriff" zulassen, starkes Passwort und zusätzlich die ID deines lokalen TeamViewers in der Whitelist (TeamViewer Server) eintragen. Nur eine Idee, keine Ahnung ob der Übermittlung der lokalen Video/Audio Daten über die Gegenstelle funktioniert. Alternativ kannst Du auch mal AnyDesk testen.

Hallo, es handelt sich hierbei um einen Download-Trojaner. Du findest die Beschreibung bei dr.web. Unter der Überschrift "Executes the following", Punkt 5 (Ende der Seite), wird die Anlage der Task mit Deinen gefundenen Parametern aufgeführt. Wie immer die Empfehlung, dass System neu aufzusetzen. Alle verbundenen Server / Workstations auf Malware prüfen, oder besser noch alle neu aufsetzen.

Doch, ist eine Stateful Firewall. Hast Du schon mal einen Test mit einer Statefull Firewall gemacht - ich ja!

Nein, er ist beides. Wenn ich in der OPNSense Firewall den gesamten ausgeheneden Verkehr sperre, dann werden auch die Antwort-Pakete für ActiveSync blockiert. Deshalb benötige ich hierfür eine Ausnahme-Regel. @daabm: Danke für den Tipp - ich werde es mal testen.

Es geht nicht um "Security by obscurity", sondern um eine Absicherung der Verbindung. Den EAS Port habe ich nicht zur Verschleierung geändert, sondern aus rein praktischen Erwägungen - ist bei der Freigabe / Sperrung von Ports in der Firewall einfach zu handeln. @all: Danke für die Tipps. Ich habe die OPNSense Firewall im Einsatz, mal sehen was ich hier machen kann.

Würde ich auch so sehen wie meine "Vorposter". Ich würde mir auf jeden Fall schriftlich die Weigerung bestätigen lassen. Des Weiteren würde ich den Kunden darauf hinweisen, dass Du den Vorfall dem Landesdatenschutzbeauftragten melden musst. Gibt es einen "vernünftigen" Grund, warum der Kunde den Upgrade verweigert?