Squire

Hallo, Deine Informationen sind etwas dürftig. Was ist in den WSUS GPOs konfiguriert. Wie erfolgt die Zuordnung ... nach dem jetzigen Infostand kann man nix sagen

Dann komme ich jetzt mit Verdrängungs-Emailarchivierung. Es gibt keinen wirklichen Grund für riesige Postfächer

mal so als kleiner Tipp ... wenn ihr ne Sophos UTM im Einsatz habt, würde ich Exchange immer über die WAF und Reverseproxy veröffentlichen.

uneingeschränkt kann ich Enterprise Vault (EV) von Veritas empfehlen. Das archiviert Exchange, Lotus Notes, jegliche SMTP Server und bei entsprechende Lizenz Sharepoint und Fileserver. Für kleinere Umgebungen ... Mailstore wurde ja bereits genannt. Einfach zu konfigurieren, es gibt ein Outlook Plugin, einen Desktop Client und WebAccess. Habe ich "privat" für meine kleine Firma und beim Kunden im Einsatz. EV hat den Charme, dass es einen sog. VaultCache mitbringt ... die Größe lässt sich definieren und beinhaltet eine lokale Kopie des Benutzerarchives (FIFO Prinzip) ... das ist klasse für Notebook User, denn die haben Zugriff auf archivierte Emails auch wenn sie keine Verbindung ins Firmennetz haben. EV kann archivierte Emails aus der Mailbox komplett herausnehmen, oder sog. Shortcuts zurücklassen ... das sind standardmäßig die ersten 1200 Zeichen der Email. Beim Doppelklick auf einen Shortcut wird das Originalelement entweder aus dem Vaultcache geöffnet oder vom Archivserver geholt. ... Wir haben mittlerweile knapp 2 TB (dedupliziert und komprimiert) im Archiv und die Zugriffe sind extrem schnell ... das ist aus dem aktuellen Report ... EV dampft das ganz schön ein!

ja, aber leider im Geschäftsbetrieb nicht immer möglich ... was mich noch mehr nervt, sind irgendwelche Systeme, die heute noch xls Dateien generieren und zu Bestellabwicklungen notwendig sind. Ich würde den Schrott am liebsten sofort sperren, aber da laufen dann Vertrieb und Einkauf Amok

Du kannst einen Account im AD mit hohen Rechten so verstecken, dass ihn niemand sieht! Auch wenn andere als Org oder Dom Admins danach suchen

naja - Systeme wie eine 3PAR liegen aber auch in einer anderen Preisregion. Wie sagt ein Bekannter von mir immer ... gegen Einwurf von genügend Münzen geht da vieles bei den Herstellern. Die MSA ist nun mal Entry Level und kann mit einem Gerät der Enterprise Klasse nicht wirklich mithalten.

Wie kommst du auf SBS? Er schreibt doch von Exchange 2016

Du merkst jetzt schon, dass es keine gute Idee mit so riesen Postfächern ist. User Anforderung hin oder her ... es gibt technische/softwaretechnische Grenzen, die sich je nach Version ändern können. Kein User brauch alle alten Mails immer ... lass den Cache Mode auf 12 Monate und wenn sie die alten Emails brauchen, sollen sie übergangsweise eben OWA verwenden. Führt bald möglichst eine Emailarchivierung ein ... Mailstore hatte ich schon genannt - ist nicht teuer und integriert sich ganz gut In Outlook mittels eines Plugins. Mit den Mailstore Server ziehst dann einfach die Emails aus den Postfächern raus und Du sparst auch noch Plattenplatz ohne Ende, da Dedup, und Compression verwendet wird. Schöner Nebeneffekt - der Exchange wird wieder flotter. Eine Einschränkung ist halt, dass du das Archiv nicht auf den Notebook mitnehmen kannst ... Das wiederum kann z.B. EnterpriseVault, aber das spielt auch einige Ligen höher ... Um wieviel User dreht es sich denn?

Es soll keinerlei Traffic stattfinden. Sprich keine Hosts auf das System zugreifen - das ist eine Geschichte für ein Wartungswochenende! Die SSD/HDDs müssen nicht leer gemacht werden! Update dauert nicht lange! hab ich bei unserer MSA2052 schon mehrfach gemacht ...

zentrales Repository und Steuerung der Updates geht aber auch über das SystemUpdate ... Haben wir bei uns im Einsatz - ich hab mich damit aber nicht beschäftigt, das ist Client Gedöns, da kümmert sich der Firstlevel darum

Hi, ich empfehle dringend in Richtung Mailarchivierung zu gehen! Mailstore, EnterpriseVault oder ähnliches ... Da hast Du dann keinen Stress mit irgendwelchen riesigen PSTs (so was will man nicht haben). Die Daten werden dedupliziert und komprimiert abgelegt. (Nebenbei als Firma seit ihr zur Emailarchivierung gesetzlich verpflichtet). Man hat eine gute Suche über die Datenbestände ... (nicht so was verkrüppeltes wie die lahme Outlook Suche)

nebenbei ... ich würde nur eine einzige Freigabe (meinetwegen E:\Freigabe ) erstellen darunter dann einzelne Ordner und darauf jeweils NTFS Ordnerrechte setzen (so wie Du das ursprünglich für verschiedene Freigaben machen willst) Anschließend ABE (Access Based Enummeration) einschalten ... spart Dir viel Arbeit Auf dem Freigabe root dann Vererbung bei den NTFS Rechten komplett raus ... System und Administratoren Vollzugriff rein. Dann Erweiterte NTFS Rechte Domänenbenutzer Lesen, Ordner auflisten (nur diesen Ordner) Dann kannst Du auf den jeweiligen Unterordnern die jeweiligen Gruppen hinzufügen (mit Ändern Rechten - kein Vollzugriff) Der Benutzer sieht nur die Ordner, auf die er Zugriff hat ... Du musst nur eine einzige Freigabe veröffentlichen oder mappen ... macht vieles leichter

ich würde wirklich mal an einem Client, an dem das Update nicht angeboten wird Treiber und Bios aktualisieren ... wir haben über >1000 Clients an unterschiedlichen Standorten, die via WSUS (inkl. WSUS in den Niederlassungen) die Updates bekommen ...

Läuft eigentlich ganz gut über WSUS - was bei uns aufgefallen ist ... die Treiber der Desktops/Notebooks sollten nicht steinalt sein - sprich man sollte die auch regelmäßig aktualisieren. Dann klappt das Feature Upgrade auch via WSUS (machen wir seit 1511 so ... ). Das 1903er braucht relativ wenig Zeit bei Reboot ... und das Upgrade auf 1909 läuft prinzipiell wie ein normales kummulatives Update (da gibt es per WSUS ein sog. Enabler Paket)

das ist eigentlich eine schmerzfreie Geschichte ... Wie @mba geschrieben hat ... Neuen Server installieren. Zum DC hochstufen, DNS, DHCP, Wins auf den neuen Server. Files per RoboCopy inkl. NTFS Rechten kopieren ... Freigaben setzen, Laufwerkmappings (so vorhanden) in den GPOs&Scripten an neuen Server anpassen (wenn die Files alle kopiert sind) fertig. Wichtig - DHCP vom Router weg! (Außer Du kannst bei dem Router für die DHCP Range eigene DNS Server angeben - sprich - die dann auf den DC und nicht auf den Router zeigen!) RoboCopy kannst Du jederzeit laufen lassen. Am Wochenende der endgültigen Migration einfach noch mal zusätzlich mit Parameter /MIR laufen lassen ... dann werden die Verzeichnisse nochmal abgeglichen. Inzwischen auf der Quelle gelöschte Dateien werden im Ziel auch gelöscht ... bereits übertragene Files werden nicht nochmal übertragen ... Schon x-mal bei diversen Fileservermigrationen gemacht ... alten DC demoten, DNS (Nameservereinträge!), Active Directory Sites bereinigen ... Wichtig: nach der Migration - Freigaben auf dem alten Server wegnehmen! Nicht, dass da jemand über UNC Pfade auf der alten Kiste noch arbeitet ... wenn sich nach einer Woche niemand meldet ... Dann kann man sich überlegen, ob man mit der Kiste noch was sinnvolles anfangen will&kann ... je nach Kapazität etc ... vielleicht noch für unkritische Dienste wie WSUS, Testumgebung etc. geeignet - vorausgesetzt man bekommt da ein aktuelles Windows zum Laufen (Hardware muss nicht immer vom Hersteller dafür zertifiziert sein ... läuft trotzdem ... mach ich hier auch ... auch Windows 2012r2 Treiber laufen i.d.R. unter Win 2016/19 ... aber wie gesagt für Tests oder unkritische Geschichten ... wenn der WSUS aus irgendeinem Grund platt ist ... das ist nicht tragisch!)

Welcome to the board was willst Du migrieren? File, Print, AD, DNS, DHCP ... ein Server kann vieles machen

2008R2 ist absolut abzuraten - EOL bei Microsoft seit HEUTE! Also keine Updates, Securityfixes, etc ... 2012R2 hat Support bis 2023

Such mal - ich müsste es auch raussuchen

Heute erst gemacht ... VM instant Recovery ... 30sec dann lief die Maschine. Sie wird auf dem ESX registriert und Veeam hängt seinen Backupspeicher quasi in den ESX. Die Maschine ist voll funktionsfähig und kann dann per StorageVMotion auf das SAN oder den Serverstorage geschoben werden. Ich denk mal, es macht Sinn, wenn Du Dich da mal ein wenig mehr mit Veeam beschäftigst. Sprich für den Notebetrieb (wenn Du davon ausgehst, dass Dein richtiger Server innerhalb von 4h wiederhergestellt ist) kann man die VM im Publish Mode auf dem Backup Store betreiben. Du musst Dir allerdings Gedanken machen, wie Du die geschichte mit geänderten Daten handhaben willst ... Wie schon geschrieben - es reicht ein kleiner Server mit ausreichend CPU & RAM um die VM zu starten. Plattenplatz wird für das Publishing nicht groß benötigt. Veeam selbst würde ich da einer eigenen Maschine betreiben ... Kollegen hatten das schon erwähnt - das muss ja kein nagelneuer Server sein ... prinzipiell reicht auch einer aus Zweitvermarktung (Leasing Rückläufer)

doch genau so zu deinen Clients ... ich wette mal, die haben SSDs verbaut. Die fahren schlicht zu schnell hoch, das Netzwerk ist noch nicht so weit. Du kannst per GPO setzen, dass die Kisten erst aufs Netzwerk warten sollen

@Nobbyaushb: Reddoxx ... machen die dann auch Mailgateway in ihrem RZ und reichen die Mails ins interne Netz weiter (so wie das Retarus macht) oder ist das ne Appliance, die man bei sich hinstellt?

@mwiederkehr er hat NICHT gezahlt. Aber er macht jetzt auch nichts ... ist anscheinend alles nicht so wichtig

so ... kleines Update ... nach dem Chat mit dem Hacker hatte dieser die Lösegeldforderung halbiert auf $2000. Der Kunde hat weiterhin max. $150 geboten. Sprich ist nicht auf das Angebot eingegangen. Seinen Aussagen nach ist jetzt alles nicht so schlimm ... sie können arbeiten (ERP läuft, Emails sind halbwegs da. Grafikdateien wären ok ... Office Dateien ... Schrott. Er wurschtelt weiter ... will erst noch Freunde fragen wegen neuen System ... Die Arbeit für das Angebot spar ich mir bei dieser Gesinnungslage ... Meine Rechnung hat er bezahlt - für mich ist das jetzt abgeschlossen Fazit: Den Schuß vor oder besser in den Bug hat er immer noch nicht verstanden. Das liegt jetzt alles in seiner Verantwortung ... ich bin raus!

ich schreib im Thread noch was dazu ...