ChaS

moin, seit dem Update auf CU14 meldet der Defender einen Virus bei der w3wp.exe Microsoft Defender Antivirus has detected malware or other potentially unwanted software. For more information please see the following: https://go.microsoft.com/fwlink/?linkid=37020&name=Exploit:Script/ExchgProxyRequest.A!gen&threatid=2147834423&enterprise=0 Name: Exploit:Script/ExchgProxyRequest.A!gen ID: 2147834423 Severity: Severe Category: Exploit Path: amsi:_\Device\HarddiskVolume4\Windows\System32\inetsrv\w3wp.exe Detection Origin: Unknown Detection Type: Concrete Detection Source: AMSI User: NT AUTHORITY\SYSTEM Process Name: C:\Windows\System32\inetsrv\w3wp.exe Security intelligence Version: AV: 1.405.278.0, AS: 1.405.278.0, NIS: 1.405.278.0 Engine Version: AM: 1.1.24010.10, NIS: 1.1.24010.10

moin, ist es möglich herauszufinden wer bei einem Ressource Postfach im Zeitraum von 22.11 - heute die booking delegates verändert hat? wenn ja, bitte wie

Hallo Leute wie kann man eine automatische Antwort bei einen Regel erstellen? New-InboxRule -Name "test" -Mailbox demo2 -ExceptIfFromAddressContainsWords "@unsere.firma" -MyNameInToOrCcBox -StopProcessingRules $True

gibt es bei New-InboxRule tatsächlich keine Antwortmöglichkeit. Mir ist nicht aufgefallen das wäre ein guter Weg für unsere Anforderung New-InboxRule -Name "test" -Mailbox demo2 -ExceptIfFromAddressContainsWords "@unsere.firma" -MyNameInToOrCcBox -StopProcessingRules $True

moin, lässt sich diese Anforderung mittels Exchange Boardmitteln umsetzen? "...sollen daher alle Einbringer von E-Mails, die von unserem System NICHT als Werbe-, Spam- oder Junk-Mails eingestuft werden, automatische Eingangsbestätigungen erhalten" Ich habe leider kein "notify the sender" bei der Transportrules gefunden wo man einen vernüftigen Text hinterlegen kann.

moin, wir stellen gerade auf eine andere Backupsoftware um und uns ist aufgefallen, dass seit ein paar Tage noch LOGs ab dem 7.12.23 vorhanden sind obwohl ein FULL Backup durchgeführt wurde. Dismout - eseutil zeigt 0-0 Log required. kann ich davon ausgehen dass alles Logs eingerollt wurden und man diese löschen kann.

danken nochmals allen für die Tipps und Unterstützung. wir konnte heute das Problem klären. Es war hausgemacht. Aufgrund einer Migration war leider noch eine alter DNS Eintrag (Round Robin) auf einen Exchange den es nicht mehr gibt drinnen. Daher die zufälligen unterschiedlichen Client. DANKE allen für eure Geduld und trotzdem wichtigen Antworten. Manchmal sieht man einfach den Wald vor lauter Bäume nicht.

Hallo Nobert, gehört bei MAPI das Kernel mode authentication aktiviert? Das ist bei uns deaktivert. Bei Autodiscover ist Extended Protection auf OFF

Problem besteht leider immer noch. Gerade heute gab es viele Client mit Outlook versucht Daten vom exchange server abzurufen Problem besteht erst seit Nov. Patch irgendeine Idee?

Cache Mode ist an lokaler AV ist Defender (läuft super) die ganzen AddIn gibt es schon seit Jahren bisher ohne Probleme Abends entfernen wir die "virtual based Security" dann werde ich die nächsten Tage wieder berichten. Mir war nur wichtig das es eher nicht vom November Patch kommt.

moin, seit ein paar Tagen gibt es bei uns leider Performance Probleme bei den Outlooks. "Outlook regiert nicht...." es wurde auch der November Patch am WE eingespielt. Gibt es bei euch Performance Probleme? zusätzlich wurde noch in der VM-Ware VM-Optionen "Auf Virtualisierung basierende Sicherheit" aktiviert, damit der Defender besser suchen kann. Client: Outlook 2019 Server: Exchange 2019 CU13 alle Patches

damit konnte ich das Problem beheben Exchange 2013: Receive connector authentication error – Exchange, Office 365 and Azure (wordpress.com) "Exchange users" aktivieren. Eventlog Warning sind jetzt weg

frontend connector 2023-10-19T09:59:50.836Z,mx1\ConInternal,08DBCD8692F466F9,0,10.2.2.2:25,10.1.3.51:50823,+,, 2023-10-19T09:59:50.836Z,mx1\ConInternal,08DBCD8692F466F9,1,10.2.2.2:25,10.1.3.51:50823,*,SMTPSubmit SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPAcceptEXCH50 AcceptRoutingHeaders,Set Session Permissions 2023-10-19T09:59:50.837Z,mx1\ConInternal,08DBCD8692F466F9,2,10.2.2.2:25,10.1.3.51:50823,>,"220 mail.firma.de Microsoft ESMTP MAIL Service ready at Thu, 19 Oct 2023 11:59:50 +0200", 2023-10-19T09:59:50.837Z,mx1\ConInternal,08DBCD8692F466F9,3,10.2.2.2:25,10.1.3.51:50823,<,EHLO BOX1, 2023-10-19T09:59:50.837Z,mx1\ConInternal,08DBCD8692F466F9,4,10.2.2.2:25,10.1.3.51:50823,>,250 mail.Firma.de Hello [10.1.3.51] SIZE 94371840 PIPELINING DSN ENHANCEDSTATUSCODES 8BITMIME BINARYMIME CHUNKING SMTPUTF8, 2023-10-19T09:59:50.838Z,mx1\ConInternal,08DBCD8692F466F9,5,10.2.2.2:25,10.1.3.51:50823,<,MAIL FROM:<extern@hotmail.com> SIZE=12932, 2023-10-19T09:59:50.838Z,mx1\ConInternal,08DBCD8692F466F9,6,10.2.2.2:25,10.1.3.51:50823,*,08DBCD869266F9;2023-10-19T09:59:50.836Z;1,receiving message 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,7,10.2.2.2:25,10.1.3.51:50823,<,RCPT TO:<office@Firma.de> ORCPT=rfc822;office@Firma.de, 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,8,10.2.2.2:25,10.1.3.51:50823,<,DATA, 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,9,10.2.2.2:25,10.1.3.51:50823,>,250 2.1.0 Sender OK, 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,10,10.2.2.2:25,10.1.3.51:50823,>,250 2.1.5 Recipient OK, 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,11,10.2.2.2:25,10.1.3.51:50823,>,354 Start mail input; end with <CRLF>.<CRLF>, 2023-10-19T09:59:50.845Z,mx1\ConInternal,08DBCD8692F466F9,12,10.2.2.2:25,10.1.3.51:50823,*,,Proxy destination(s) obtained from OnProxyInboundMessage event. Correlation Id:1e4ed298-1e3b-40b9-adb6-a636c7dd3cb8

hallo Norbert, hallo Community jetzt bin ich einen kleine Schritt weiter. Es gibt leider tatsächliche Dienste auf dem Fileserver wie zb. Quota die Mails verschicken können oder ein paar powershell die mails schicken. jetzt zur ersten Frage: wie kann man das künftig leichter herausfinden? Die IP Adresse des servers (sender) ist bekannt kommt aber nicht im SMTP LOG vor. 2. Frage: ich habe eine leicht zu findende Dummy Absender email verwendet diese finde ich nun im Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\ProtocolLog\SmtpReceive also default server connector 2525 mit default settings warum? liegt das an integrated windows authentication übrigens kommen die Mails trotz eventlog warning an.

moin, wir haben einen internen Receive Connector Port 25 der für interne Server zuständig ist. Jetzt ist mir aufgefallen, dass auch Mails von extern über diesen Connector gehen. der vorgeschaltene mail Proxy (kein MS) ist (leider) auch in der Scope Liste aber Anyonoumus ist nicht aktiviert somit dürfte es eigentlich nicht sein, dass hier externe mails drüber gehen - oder?

moin, ich verstehe diese Fehlermeldung nicht ganz. Warum verbinden sich die Server auf den Exchange. Teils ist das ein normaler interner Fileserver. The account 'firma\servername$' provided valid credentials, but it does not have submit permissions on SMTP Receive connector 'Default Frontend MX'; failing authentication.

war mehr eine verständnisfrage. Wurde bisher auch so gemacht. War nur interessehalber

kann man sich mit Powershell auch die NT Service User und NT Authority User anzeigen lassen? Get-LocalGroupMember -groups user bringt sie leider nicht. zb.

moin, wir haben einige autodiscover EventID 1 Error im Log. Get-AutodiscoverVirtualDirectory zeigt NULL bei beiden. im Internet findet man hinweise zum setzen über Set-ClientAccessServer hier ist bereits der AutoDiscoverServiceInternalUri korrekt gesetzt. wie sieht das bei euch aus? Sind die InternalURL, ExternalURL bei euch auch Leer?

Danke Nobert, hat sich bis zum späten Nachmittag scheinbar wieder beruhigt. Werde es beobachten. Im Eventlog findet man nichts auffälliges (ERRORs). DANKE allen

moin, wir haben seit kurzen eine sehr hohe CPU Auslastung. Wir nutzen zwei Exchange und auf einem benötigt der MSExchangeDelivery.exe schon über 10%. Ich habe jetzt leider keine Vergleichswerte, aber kann dies mit dem letzten Oktober Update zu tun haben?

Exchange DAG automatisch auf den bevorzugten Server zurück | Kais Blog - IT und mehr (kaiherzig.eu) Exchange DAG automatisch auf den bevorzugten Server zurück von Kai | 22.12.16 | Exchange | 1 Kommentar Um eine Exchange DAG automatisch auf den bevorzugten Server zurück schieben, Exchange 2016 checkt automatisch alle 60 min ob der bevorzugte Mailbox Server erreichbar ist und die Datenbankkopie sauer läuft. Um das Intervall anzupassen, lautet der Befehl: (In diesem beispiel 15min) Set-DatabaseAvailabilityGroup <DAG-NAME> -PreferenceMoveFrequency 00:15:00 Um das automatische verschieben zu deaktivieren lautet der Befehl: Set-DatabaseAvailabilityGroup <DAG-NAME> -PreferenceMoveFrequency ([System.Threading.Timeout]::InfiniteTimeSpan)

danke für die Antworten. Norbert, es waren ca. 30min dazwischen. Meinst du da die DBs noch nicht wieder korrekt aufgeteilt waren (preferred default DBs). Dies passiert meines Wissen ja erst in ca. 1 Std.

moin, gibt es Mechanismen die ein Umschalten der DBs verhindern? wir haben zwei Server. Server2 wurde rebooted und Server1 hatte alle DBs. Danach wurde Server1 rebooted und die DBs wurden nicht umgeswitched?

moin kann man einen RegEx auch in einem where nutzten? ich bräuchte im PS Script nur die Windows Gruppen wo entweder eine bestimmte Länge zutrifft oder die so aussehen GU_1234_Bewerber GU_abcd_Bewerber nicht GU_Bewerber $groups = get-adgroup -filter * | where name -match "GU_[a-z]{4}_Bewerber" geht nicht?