MrCocktail

Hi, also ich kenne im weiteren Umfeld alles ... Wir direkt haben wohl Schwein gehabt und waren anscheinend nicht betroffen .... keine Firewall Logs zeigen auffälligkeiten keine Veränderungen an den Systemen usw. Zwei befreundete Admins haben nur in den Logs der Firewall etwas gefunen Netscaler 2FA hat die Systeme gerettet 1 bekannter erzählte, dass die Firma ihre komplette Landschaft dichtgemacht hat und jetzt gerade neu aufbaut etwa 70 vServer usw. inkl. Sap, Datenabfluss ist noch nicht geklärt Ich glaube, das letzte wird man so lange es geht vermeiden und wenn im ersten Schritt auch nicht groß kommunizieren wollen.

Hi, dann ist mein Tipp wie oben bereits genannnt: Surface Go und dazu eine Otterbox Defender

Wir haben als Dienstleister auch schon mal einfach entschieden, dass wir patchen... Unsere Verträge sehen dass vor, und ich ziehe mir lieber den Unmut zu, dass Systeme mal schlechter Verfügbar sind, oder auch einfach während der Office Zeiten neustarten, als dem Kunden erklären zu müssen, du wurdest erfolgreich angegriffen, weil wir uns nicht abstimmen konnten.

In dem Moment wo ich eine ernste Gefahr annehme, erkläre ich das nicht, sondern würde es einfach machen. Sicherheit geht vor Komfort.

Wir haben Sie nie vom Netz genommen, allerdings momentan unter permanenter Beobachtung.

Einfach noch einmal die neueste Version des Scriptes nutzen? MS ist immer noch dabei und prüft alle Versionen. Bei uns hat er auch die web.config angemeckert und wie sich herausstellt, zu recht Wir haben da Änderungen vorgenommen, wie in unserem Change Log nachzulesen ist, dieses muss man berücksichtigen. Microsoft kann nicht wissen, ob ihr darin Einstellungen verändert habt. 15.1.1211.39 ist jetzt da 15.1.1713.7 & 8 auch Wenn ihr die Checkergebnisse also Microsoft zur Verfügung stellt, dann schauen Sie auch die Versionen an und bringen weitere Baselines, die letzten Updates sind vor 60min bereitgestellt worden.

Hi, hast du denn nur "Versuche" gefunden, oder danach wirklich dann gesucht, ob etwas ungewöhnliches los ist? Wir haben alle Kunden direkt am Mittwoch gepatcht und sind seit dem jeden Tag dabei, zu schauen ob nicht doch irgendwo etwas ist, was wir im ersten Moment nicht gesehen haben.... Bisher scheint es so, dass wir schnell genug gewesen sind. Ein Vorteil, alles Outsourcing, unsere Betriebsverantwortung und wir haben entschieden und nicht mehr groß gefragt. Allerdings will ich mir gar nicht vorstellen, was wir tun würden, wenn wir wirklich annehmen müssten, der Exchange Server sei betroffen, ich glaube dann würde ich direkt den kompletten Neuaufbau empfehlen, denn sicher sein könnte man sich nicht mehr, dass nicht doch irgendwas / irgendwo schlummert. Gruß J BSI Stream zu dem Thema

Hi, die Aussage von @NorbertFe ist fast korrekt (war ab 2007) und auch für die aktuellen Exchange Server so, zwischen den Exchange Servern einer Site und den dazugehörigen DCs darf keine Firewall stehen, dieses ist weder supportet, noch wirklich sinnvoll. Und ja, als Linux Admin ist das wahrscheinlich eine entsprechende Umstellung. siehe https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-firewalls-and-support-8230-oh-my/ba-p/595710 und bevor du sagst, das ist keine Microsoft Quelle, das ist das Dev Team

Wenn du Microsoft fragst, nein. Die Aussage ist seit Exchange 2013, es ist das überspringen eines Updates erlaubt. Technisch gehen tut es.

Bei den beiden Norberts bist du gut aufgehoben... Ich habe noch eine ganz doofe Vermutung, ist bei uns mal passiert... Bist du dir sicher, dass du dich mit Benutzername und Kennwort anmeldest und da nicht sich irgendein Clientzertifikat vordrängelt? Und was passiert, wenn du das ganze mal mit Telnet durchführst?

Hi, ja ist es :-/ (Zumindest wenn meine Quellen stimmen), was mich etwas überrascht hat, war der Patch für Exchange 2010 ... Gruß J

Coole Idee Gerade in Zeiten von Corona, beim nächsten Meeting stellen wir dann die Plakate an den Tisch

Vielleicht noch eine Idee, habe ich nämlich auf meinen Clients teilweise auch: Alternative IP eingetragen, wenn der Client eigentlich DHCP machen soll?

wir haben für ein ähnliches Szeanrio mal einen "SMB" Proxy gebaut... Linux was auf die XP Freigabe zugreift, und dann einen SMB Share bereitstellt (läuft glaube ich immer noch, war ein ähnliches Problem...), bei 2 Personen vielleicht machbar.

Hatten wir mal per Ironport, der NoSpamProxy kann es meines Wissens nach auch.

Das kann ich auch, aber nicht wegen 12 Cals und einer VM... Inzwischen nutzen wir die auch für den Versand an die Cloud...

Tja ... die Kollegen sagen dann: das ist indirekter Zugriff, weil ja alle User einen Zugriff auf das AD haben... Und wenn du dann nicht alle Nutzer des ADs mit Exchange Plänen ausstattest, müsste dennoch eine CAL genutzt werden. Bei dem Kunden gab es halt etwa 1.200 Accounts im AD, die nichts anderes gemacht haben, als als Schnittstelle zur Zeiterfassung zu dienen. Wir haben dann für die 12 Zeiterfassungsterminals DEV Cals gekauft, den Exchange installiert und gut ist. (der Kunde nutzt OnPrem Domino...) und jetzt muss ich nicht mehr diskutieren und die KPMG kann sagen, siehst du, wir haben etwas gefunden. Auch wenn das etwas lachhaft ist, wenn man überlegt dass drei Auditoren, drei Lizenzspezialisten und 3 Admins über 3 Tage teilgenommen haben und es dann wirklich 12 Dev Cals für Exchange & Server gebracht hat.

POP Connectoren sind böse...

Nicht der Kunde, sondern die KPMG

@testperson @NorbertFe Damit habt ihr beide recht, nur wir haben tatsächlich bei einem Kunden die Diskussion führen müssen, ob wir einen Lizenzverstoß begehen oder nicht, wenn wir nur das Schema erweitern ohne einen Exchange einzusetzen die Attribute mit Drittsoftware pflegen, wenn kein Exchange eingesetzt wird und da die eine Maschine bei unseren Kunden meist wirklich nicht ins Gewicht fällt, installieren wir ihn halt mit, OS Patche kommen eh automatisch, Applikation machen wir noch von Hand, wobei ich kurz davor bin, auch dass zu scripten und dann automatisiert durchlaufen zu lassen.

Jap ... Aber was viele nicht wissen, das könnte dann im Lizenzaudit relevant werden, da aber unsere Kunden meist eh noch etwas OnPrem haben spielt die eine VM auch keine Rolle

Hi, darauf gibt es in meinen Augen kein richtig, oder auch kein falsch, sondern nur ein, lass uns die Use Cases anschauen und bewerten Wir haben zum Beispiel Kunden, die gehen sehr bewusst mit allen Postfächern von Anwendern in die Cloud, einige kritische Mailboxen (Meist Mailvolumen je Stunde) bleiben OnPrem, oder zentrale Mailverschlüsselung oder ... Und was viele im ersten Moment übersehen und worüber wir immer wieder aufklären müssen, wenn mit dem Exchange nicht auch der AAD Connect abgebaut wird, ist das ganze von Mircosoft bis heute nicht supportet, ein AAD Connect setzt immer auch einen Exchange OnPrem vorraus. Gruß J

Also ich würde mal in die Richtung Conditional Access suchen und vielleicht schauen, was die Anwender denn noch mit ihrem iPhone machen... VPN? Tor? Gibt da genug Gründe, und wenn es immer die gleichen sind, wahrscheinlich auch immer die gleiche, eine ähnliche Ursache

und ich frage mich die ganze Zeit was ein Exchange Hybrid denn mit PTA zu tun hat ...

Und ich glaube auch nicht, dass Microsoft die Probleme fixen wird ... (irgendwie habe ich da den glauben dran verloren, vielleicht in vNext...)