Wolke2k4

Ja das ist von allen Varianten wahrscheinlich die Beste, wenngleich wir es bei diesem Kunden erstmal dann doch mit HMAIL machen ("müssen") werden. Ein eigenständiger MTA (Firewall geht wie gesagt nicht) der losgelöst vom Serverblech ist, deckt damit alles ab, was notwendig ist. Danke @Intel für diesen Mist!!!!!!!

Ist eine Wortmann Maschine, nagelneu! Hatte das bereits mit dem Wortmann Support erörtert, der diesen Intel-Schwachsinn bestätigt hat... Firewall ist Sonicwall, die hat sowas leider nicht... verweisen auf Ihre E-Mail Security Lösung. Ein Unglück kommt halt selten allein.

Das ist ja fast älter als alle meine Kinder zusammen!!! Ja da wäre ich doch eher vorsichtig... die SMTP Daten sollten jetzt nicht irgendwo im Netz landen...

Müsst ihr dann aber mit den/der festen IP des SMTP Servers arbeiten... das möchte ich aber nicht. HMail ist mir eigentlich auch schon zu viele Aufwand... sollte wirklich eine kleine Lösung sein, die als Dienst läuft.

Moin allerseits, habe hier einen Kunden, der keinen Exchange oder anderen Mailserver im Netz nutzt. Leider kann die Intel BMC des neuen Hyper-V Servers kein DNS!?!?!?!? Demzufolge kann ich der BMC nicht mitteilen, dass sie DNS Namen für den SMTP Versand nutzen soll... sie übernimmt die Einstellungen schlichtweg nicht! Gedanke war jetzt einfach auf einer der VMs einen simplen SMTP Relay Dienst zu installieren, der dann für den Versand zuständig ist und via IP von der BMC angesprochen werden kann. Klar ist auch nicht ganz ideal, weil wenn das Blech tot ist, kann auch keine VM mit SMTP Relay Mails versenden aber immer noch besser als keine Benachrichtigungen und 90% der häufigsten Störfälle dürften damit abgedeckt sein. Sowas wie Multisendcon wäre schon schön aber ich hätte gern eine kostenlose aber vertrauenswürdige Lösung. Kann jemand von euch was empfehlen?

Ich will gerade prüfen, wie ich diesen Kram in unseren Firewall sperren kann, finde zwar an allen Ecken Berichte, die sich (zurecht) über diese TLD beschweren aber irgendwie keine vertrauenswürdige .zip Domain, die man einfach mal aufrufen kann um seine Einstellungen zu testen. Mein Ziel: Einfach jeglichen Zugriff auf *.zip Domains sperren.

Kam vielleicht nicht ganz richtig rüber: Selbstverständlich sollte das hier erstmal "Input sammeln" sein um das Thema zu beleuchten. Ob es dann umgesetzt wird/praktikabel ist, steht auf einem anderen Blatt und hängt natürlich von der anzuwendenden Umgebung ab. Die Konstellation bei den Ukraine Leaks ist hier doch etwas kleinteiliger, weil der Kreis der Personen mit den betreffenden Daten doch deutlich kleiner ist. Danke erstmal für's erste Feedback an alle!

Das hier: ...vor unerlaubtem Datenexport bspw. von Mitarbeitern... Das Setzen von NTFS Berechtigungen (was selbstverständlich bereits der Fall ist) heißt doch noch lange nicht, dass ich den Leuten auch ermöglichen möchte die Daten beliebig oft zu kopieren... Fragen wir mal so: Wie machen es Unternehmen, die hoch kritische Geschäftsgeheimnisse auf den Platten haben. Wie stellen die Sicher, dass die Daten nicht auf externe Datenträger gehen, wenn sie trotzdem Datenträger für die Arbeit erlauben müssen... Einfaches Beispiel wäre eine Visio Doku... Hab mich da etwas unglücklich ausgedrückt... Daher zieh ich das mal anders auf: Backup Software wie Veeam und Backup Exec werben doch doch damit, dass sie bei B2D die Sicherungsfiles sicher vor Cryptoangriffen ablegen... sowas in der Art schwebt mir auch vor, wobei sich die Frage nach dem "Spagat" zwischen gewollter und notwendiger Veränderung der Dateien durch die Benutzer und ungewollter Veränderungen durch Cryptoangriffe stellt... Danke, schau ich mir mal an!

Hallo zusammen, ich suche nach einem Weg einen bestimmten Ordner auf einem Server (aktuell freigegeben und via DFS als Unterordner in einem Netzlaufwerk angebunden) für die Nutzer: A. zu verschlüsseln (Cryptotrojaner Schutz und Schutz vor unerlaubtem Datenexport bspw. von Mitarbeitern) B. nur zugreifbar zu machen, wenn man den Schlüssel für die Entschlüsselung besitzt... Damit würde selbst beim simplen kopieren der Daten auf ein USB Stick die Daten nur dann lesbar, wenn man den Schlüssel/das Passwort dazu kennt/besitzt. Bitlocker wollte ich eigentlich nicht einsetzen. Könnt Ihr Alternativen empfehlen?

Danke, hatte mich chatGPT auch drauf gebracht, war aber zu faul da auf die Schnelle was zu suchen, was ich dann jetzt noch mal gemacht habe. Hier das Ergebnis: CONNECTED(000000D0) Didn't find STARTTLS in server response, trying anyway... 04190000:error:0A00010B:SSL routines:ssl3_get_record:wrong version number:ssl\record\ssl3_record.c:355: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 257 bytes and written 330 bytes Verification: OK --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent Verify return code: 0 (ok) Würde sagen, dass das recht eindeutig ist und der Server kein STARTTLS anbietet... Wenn ich das mit einem Test in richtung bspw. 1und1 SMTP Server versuche schaut das Ergebnis deutlich anders aus.

Hallo zusammen, kann jemand ein Tool empfehlen, mit dem man im LAN einen SMTPS Server testet? Mir gehts aktuell um Troubleshooting. Hab da einen Tobit David Server auf Windows laufen aber so richtig nimmt der aus dem WAN keine Mails via TLS an. Spuckt nur folgendes aus: 250-TURN 250-ETRN 250-8BITMIME 250 SMTPUTF8 SendTCPDataSSLEx: (00000712) write (130) (00000712) No more data available: Got=-1 [712] 421 betreffendedomain.de Service not available SendTCPDataSSLEx: (00000712) Write failed: [ 712] SMTP RX Connection closed

Stand jetzt, ist die Ursache geklärt.

Hallo zusammen, seit dieser Woche bekommen wir vermehrt Rückmeldungen von Kunden mit RDS Servern (mit und ohne Citrix DaaS/XenApp), dass vereinzelt nutzer Probleme haben bei der Anmeldung. Das führt dann zu Ghost Sessions wie bspw. hier oder hier oder hier beschrieben. Da wird aber auch 2 Kunden haben, die den RDS Server ohne Citrix einsetzen, kann es nicht zwingend die in den Citrix Artikeln beschriebene Problematik sein... Mit einer Ausnahme ist bei alle betroffenen Kunden gleich, dass sie Windows Server 2016 im Einsatz haben, Windows Updates sind kürzlich gelaufen aber auch im Bereich Antivirus (Avast) gab es zuletzt Updates. In dieser Masse sind das keine Zufälle. Wir sind noch dabei über verschiedene Maßnahmen die Ursache einzugrenzen. Mich würde aber mal interessieren, ob andere Nutzer ähnliche Probleme haben, was den Verdacht in Richtung Windows Updates erhärten würde... Update: Sorry für die Dopplung mit diesem Thread, war keine Absicht und reiner Zufall, dass wir beide die gleiche Idee hatten...

Bei Roaming Profiles haben wir immer wieder nach einer gewissen Zeit merklich Performance Probleme, weil die Profile sich dann doch mit der Zeit zumüssen, trotz Ordnerumleitung und Browser Cache löschen... sodass wir dazu übergehen die Kunden auf FSL umzustellen. Die Rückmeldung hierzu sind ausnahmslos positiv, was das Anmeldeverhalten angeht.

Du wirst nicht umhin kommen die RDS Lizenzierung sauber aufzusetzen. Heißt Lizenzen kaufen, Lizenzserver aktivieren und RDS CALs einspielen... Das der RDS bei einem nur verfügbaren RDS Lizenzserver auf per User läuft ist ja schon länger geschichte.

Hallo zusammen, mich würde mal interessieren woran Ihr euch bei dem "Desing" für Server oder auch SANs orientiert wenn es um die Entscheidung zu SATA/SAS SSDs oder NVMe SSDs geht. Das Hauptthema sind sicher Preis und Performance. Aber die Aussage, ob eine SATA SSD 500MB/s schreibt und/oder liest muss nicht zwangsläufig ein K.O. Kritierium im Vergleich zur teureren SAS oder NVMe SSD sein. Hab ihr konkrete Anwendungsfälle (SQL Server, Exchange, RDS, Fileserver usw.) bei denen ihr bestimmte Plattentypen verwendet, möglicherweise trotzdem auch noch klassische HDDs?

Hallo zusammen, ich grüble gerade über ein kleines Detail bei der Planung für Serverhardware nächstes Jahr. Der Hersteller bietet optional ein TPM 2.0 Modul für das Mainboard an. Ich hatte dazu vor geraumer Zeit schon mal angefragt beim Hersteller. Der meinte, dass wäre nicht zwingend notwendig. Der Kern von TPM ist soweit klar. Ich sehe nur bisher keine zwingende Notwendigkeit und/oder Nachteile wenn ich diesen für einen Server mit dazu kaufe, auf dem Hyper-V laufen soll. Wenn es keine Nachteile gibt, würde ich ihn für die nicht ganz 100€ einfach dazu stecken lassen getreu dem Motto: "Haben ist besser als brauchen." Gibt es Anmerkung eurerseits dazu?

Nur zur Info, falls mal jemand das gleiche Problem hat. Letztlich konnte ich die Ursache nicht finden. Die Debug Logs waren nicht brauchbar, weder auf dem 2008R2 noch auf einem 2016-er DNS. Letztlich habe ich als Workaround den 2008R2 auf einen 2016-er DNS weiterleiten lassen, denn der hatte mit der Auflösung keine Probleme. Ist bissel von hinten durch die Brust aber da der Kunde sowieso in den nächsten Monaten ins RZ geht, kam der alternative Aufwand nicht in Frage.

Hey Leute, ich hab hier ne echt harte Nuß im Bereich DNS Namensauflösung. Folgende Konstellation: Kundenumgebung mit bisher 1x Windows Server 2008R2 Domain Controller, der natürlich auch DNS macht. Als DNS Weiterleitungsziel ist ein einziger Server eingetragen, ein DNS Server eines RZ Hosters im Landesnetz. Das Problem: Einige wenige DNS Namen wie bspw. gema.de werden nicht aufgelöst, wenn Clients aus dem Netzwerk den 2008-er DC als ersten DNS ansprechen, der die Anfrage ja nur weiterleitet. Was sehr wohl geht ist die Namensauflösung, wenn die Clients den 2008-er DC umgehen und den Landenetz DNS direkt ansprechen! Versuchter Lösungsansatz: parallele Neuinstallation eines 2016 DNS Servers mit der gleichen Weiterleitung wie sie der 2008-er DC nutzt. Aber auch der 2016-er DNS Server hat die gleichen Probleme, kann gema.de nicht auflösen, wenn er der DNS Server ist, der vom Client zuerst angefragt wird. Den 2016-er DNS habe ich nur als Domain integrierten Server in das Kundennetz hinzugefügt, DNS Rolle installiert und dann die Weiterleitung eingestellt... also f*** einfaches Szenario. Ich habe aktuell keine Ideen mehr. Fällt euch noch was ein? Update: Auch spannend, jetzt gehts auf dem 2016-er. Einziger Unterschied: Es sind 2-3 Tage vergangen... P.S. Ja bezüglich 2008R2 ist mir klar... Support usw...

Listenansicht ist mir bekannt aber verhunzt natürlich die Wochen bzw. Monatsansicht... das ist leider keine brauchbare Alternative.

Ja das ist klar... der Zeitraum hätte womöglich schon geholfen aber hier ist das Auditlogging wohl putt... ist aber erstmal egal. Das Thema ist damit erledigt, wieder was dazu gelernt.

Besten Dank, da hab ich schon mal Input. Ich gehe auf die Suche!

@NorbertFe: Ich hatte ja nicht geschrieben, dass ich VPN als unangreifbar betrachte. Mir ist natürlich klar, dass es auch hier Lücken gibt und die haben wir vom Hersteller der von uns eingesetzten Appliances auch schon gesehen und fixen müssen. Aber ich sehe es so: Während ich mit HTTPS via Exchange/Reverse Proxy UND VPN 2 offene Türen in der Firewall habe, die ggf. sogar ganz bis auf den Exchange durchgereicht wird, habe ich mit VPN only nur eine Tür. Das ist nach meinen Dafürhalten schon ein zwingend zu berücksichtigender Punkt in der Sicherheits und Patcharchtektur. @cj_berlin: Wir haben bereits erste Kunden umgestellt. Der erste Kunde hatte vorher nur Outlook Sync über iCloud Systemsteuerung. Was das für ein Seegen ist, wenn man dann auf AS via VPN geht muss ich Dir ja nicht sagen... Der zweite Kunde hats auch geschluckt und das Argument mit der Sicherheit zieht auch bzw. muss eben ziehen. Weniger ist eben mehr, ich denke da sind wir uns einig.

Hallo zusammen, gibt es für Exchange 2016 oder generell für Exchange ab 2013 die Möglichkeit herauszufinden wer wann welche oder überhaupt Berechtigungen auf Exchange Postfächer gesetzt hat? Es geht darum, dass Zugriffe auf Postfächer eingerichtet waren, die jetzt zu Ärger in der Leitungsebene geführt haben. Da man keine schriftlichen Anweisungen erteilt und dokumentiert hat, ist nun somit unklar, wann und wer diese Berechtigungen vergeben hat. Ich vermute, dass es sich hier ähnlich wie mit der Dateisystemüberwachung handelt. Geben tut es die Möglichkeit aber aktiv eingeschaltet werden muss es oder?

Es ist ein Webdienst, HTTP/HTTPS... der auf einen LAN Server zeigt. Der RP ist aktuell kein WAP, wenngleich wir vorgeschaltet noch eine Firewall haben mit diversen Sicherheitsmechanismen... aber ich sehe es letztlich genauso wie Du: Portforwarding ist ein No-Go und ich für mich oder wir für uns haben die Entscheidung getroffen, dass wir die Kunden von solchen Szenarien entkoppeln werden. Dann wird es halt künftig AS nur mittels VPN Client geben.