monstermania

Moin, nur mal so als Tipp für die Zukunft. Nutze lieber einen eigenen FTP-Server. Den IIS als FTP-Server zu benutzen ist PITA! Ich habe in der Vergangenheit sehr gute Erfahrungen mit dem Filezilla FTP-Server gemacht. Der läuft sehr gut unter Windows (auch SBS). Haben damit für diverse Kunden FTP-VZ zur Verfügung gestellt. Da brauchst Du keine Ports umzubiegen, sondern jeder FTP-User erhält sein persönliches VZ. Gruß Dirk

Du könntest ein Image der physikalischen Maschine zu ziehen (z.B. mit Clonezilla). Anschließend dann eine entsprechende Suse VM installieren und anschließend dass Image in die VM übertragen.

Wie authentifiziert dich das ERP gegenüber dem Exchange (SMTP). Hast Du einen entsprechenden SMTP Konnektor auf dem Exchange eingerichtet?

Nur so am Rande, ich gehe davon aus, dass Du ein funktionierendes Backup des Exchange-Servers hast!? Kann man ja nicht oft genug drauf hinweisen.

Wir hatten hier bis letztes Jahr Forefront für Ex2007 im Einsatz. War seinerzeit (2007) zusammen mit dem EX 2007 beschafft worden. Der Auditor bestand darauf, dass wir dann auch Enterprise CAL für Exchange benötigen würden, da FF für Exchange dies voraussetzen würde. Außerdem würden wir noch eine aktive SA für die CAL benötigen. Wir mußten tatsächlich die alten Rechnungen rauskramen um dem Auditor aufzeigen zu können, dass das seinerzeit von MS so angeboten und verkauft wurde!

Hmm, evtl. mal den PDF24 Creator probiert. Der sollte das m.W. nach auch können. https://de.pdf24.org/creator.html Ansonsten ist beim PDFCreator ja irgendwas mit Version 2.X aktuell. Gruß Dirk

@All Danke, ist erledigt und funktioniert wie gewünscht!

Moin, ich habe hier folgende Anforderung auf dem Tisch: Bei einigen Postfächern von ausgeschiedenen Mitarbeitern sollen die Postfächer zwar erhalten bleiben, der Empfang neuer Emails aber verhindert werden. D.H. wenn Jemand eine Email an ausgeschienden@firma.de schickt, soll die Mail gar nicht erst angenommen werden, sondern direkt ein Bounce erfolgen, dass das Empfängerkonto nicht in der Domäne exisitiert. Meine Idee wäre die Emailadresse des MA aus dem PF zu entfernen und dem PF eine Fake-Adresse zuzuweisen (z.B. xyz1@firma.de). Besser wäre es natürlich, wenn ein Emailempfang für das Postfach komplett unmöglich wäre. Deaktivieren der PF geht nicht, da die PF im Zugriff bleiben sollen/müssen (für Recherchezwecke). Wie wäre die optimale Vorgehensweise für diese Anforderung mit Exchange 2010? Gruß Dirk

Nicht die Sachen vermischen, es geht hier ausschließlich um Exchange Device CAL! Die reine Windows Server CAL-Lizenzierung hat damit ja erstmal nichts zu tun. Und das ist bei uns eh über entsprechende Anzahl Windows User CAL lizenziert. Fakt ist, dass der Auditor auf die Exchange Device CAL für die Multifunktionsgeräte, USV, Switche, usw. bestanden hat! Wir hatten bis zum Audit nur 50 Exchange User CAL! Ja, sind auch nur Menschen. Aber man darf doch wohl erwarten, dass sich die Auditoren mit dem eigenen Lizenzdickicht auskennen, oder!? Schließlich wird von Seite MS auch eine ganz schöne Drohkulisse aufgebaut und dann man nachher ja froh, wenn da nur Kleinigkeiten wie ein paar fehlende Exchange Device CAL herauskommen.

@Dr. Melzer Nö, man kann unter Exchange einen SMTP Empfangskonnector einrichten der Mails ohne Authentifizierung annimmt. Sollte man natürlich beschränken, so dass anonymes Senden nur von bestimmten IP-Adressen aus möglich ist (z.B. Multifunktionsgeräte). Mich würde nur Interessieren, ob das stimmt, dass man dafür dann keine Exchange Device Cal benötigt. Dann hätten wir nämlich 35 Device CAL's gekauft die wir gar nicht brauchen. Könnte man ja dem MS-Auditor in Rechnung stellen, da dieser uns ja zum Kauf genötigt hat. ;)

Hmm, auch wenn das so in den PUR steht kann ich das nicht so recht glauben. Wir haben 2015 ein MS Audit gehabt und da mussten auch explizit unsere Multifunktionsgeräte eine Exchange-Device-CAL haben. Zumindest lt. Microsoft. Und die machen ja auch keine Autentifizeirung am Exchange, sondern haben nur den Exchange als SMTP eingetragen.

Securepoint wäre auch meine Empfehlung (In dem genannten Preisbereich). Setzten wir hier selbst ein. Allerdings sollte man nicht verschweigen, dass bei einer UTM regelmäßig Folgekosten wegen Lizenzverlängerungen anfallen (Subscription). Die Qualität der SP Spamfilter ist jetzt auch nicht so doll! Wenn ich mich nur darauf verlassen würde, könnte ich kaum noch ruhig schlafen. Eine mögliche Option wäre auch der Einsatz einer OpenSource-Lösung (z.B. ipfire, pfsense, opnsense). Generell gilt dass was Norbert geschrieben hat: Bei allen obigen Lösungen braucht es eine gescheite Grundkonfiguration. Ohne entsprechendes Wissen kann eine größere Sicherheitslücke entstehen als mit einem 08/15 Router ala Fritzbox.

Ich weiß jetzt nicht 100%ig, ob ich Dich richtig verstehe. Grundsätzlich braucht jedes Device (z.B. Switch, USV, usw.), dass eine Status-Email über einen Exchange verschickt auch eine Exchange Device-CAL. Ob die Mail nach intern extern geht ist völlig unerheblich! Wenn alle Mitarbeiter eines Unternehmens eine Exchange User CAL haben, sind auch automatisch alle Devices im Unternehmen für die Nutzung von Exchange lizenziert. Bei uns haben wir rund 100MA, 50 Exchange User CAL und 35 Exchange Device CAL Bei den Devices kommt ganz schön was zusammen (USV, mehrere SQL Server, Switch, Server, Drucker, usw.) Grundsätzlich ist das immer ein Rechenexempel ob eine Lizenzierung nach Device/User CAL's oder eine Mischform günstiger ist. Viele unserer User haben teilweise 3 oder gar 4 Devices (PC, Laptop, Tablet, Smartphone) die allesamt auf Exchange zugreifen. Von daher würde ich das mal in einer Tabelle zusammenfassen und dann aufrechnen, was für Euch das günstigste ist.

Was bitteschön ist an einer SAS-Anbindung für ein SAN uncool!? SAS ist eine professionelle und günstige Möglichkeit ein SAN mit den Hosts zu verbinden. Und wie jede andere Verbindungsart auch hat SAS seine Vor-und Nachteile. Aber deswegen würde ich SAS nicht als 'uncool' bezeichnen. Ob die Platten für ein Backup nun per SAS/SATA oder NL-SAS angebunden werden hängt m.E. in erster Linie vom geplanten Einsatzzweck bzw. Wichtigkeit der Daten ab. Es gibt im Archivierungsbereich durchaus Speicherboxen die mit großen SATA-Platten betrieben werden (irgendwo im PB-Bereich). Auf diesen Speicherboxen laufen dann u.a. auch BS die Bitfehlertolerant sind. Nur bekommt man sowas nicht mal eben für 3,90€ beim Discounter um die Ecke.

@msdtp Was Norbert Dir zu sagen versucht (wie immer sehr charmant :) ), ist folgendes: Prüfe, ob Dein Server nur Mails für existierende Empfänger bzw. Emailadressen deiner Domäne annimmt. Viele Spammer schicken einfach wahllos Emails an alle möglichen und unmöglichen Adressen einer Domain (xxxxxx@domain.de). Ein gut konfiguriertes Mail-Gateway (z.B. UTM) prüft vor Annahme einer Email, ob es die angegebene Email-Adresse in der Organisation überhaupt gibt! (z.B. per LDAP) Im gleichen Kontext solltest Du dann auch sicherstellen, dass der Emailserver keine Emails von extern annimmt, die von Deiner eigenen Absenderdomain kommen (Adressspoofing). Das wird z.Zt. gern verwendet um Email-Benutzern zweifelhafte Dokumente (Trojaner) von angeblichen Netzwerkscannern/-kopierern aus der Domäne unterzujubeln.

Moin, ich würde, (wenn es denn nichts kosten darf) eine der folgenden UTM-Lösungen empfehlen. ipFire pfsense opnsense Diese Produkte können neben dem reinen Proxy noch wesentlich mehr (z.B. Virenschutz, VPN, WLAN-AP, usw.) Schaue mir immer mal wieder die Produkte an und bin wirklich begeistert, was dort kostenlos angeboten wird. Im Augenblick begeistert mich opnsense (fork von pfsense) besonders. Sehr aufgeräumtes UI und bessere HW Unterstützung als pfsense. Wenn es Dir speziell um das Caching von Windows-Updates geht solltest Du Dir ipFire mal ansehen. Hier ist speziell für Windows-Updates ein Caching der Daten vorgesehen, so dass die Updates in der Tat nur einmal auf den Proxy geladen werden müssen. Alle PC's ziehen sich die Daten dann vom Proxy. Die Updates werden natürlich nicht automatisch installiert. Dazu bräuchtest Du dann schon einen eigenen WSUS im Netz. Dazu eine Hardware von pcengines und man hat ab rund 300€ eine recht gute Lösung für kleine Betriebe. Habe mir selbst für 30€ in der Bucht eine UTM Hardware gekauft (Securepoint Red Dwarf mit 3 x LAN). Einfachmal zum Testen.

Moin, da wir Veeam auch einsetzen folgende Hinweise zu den Jobs: Anzahl der Restore Point für alle VM in einem Job sind gleich Evtl. möchte man einzelne Maschinen mehrfach täglich sichern, andere nur 1 mal täglich oder gar wöchentlich Es ist schwierig das B2D mit Veeam optimal zu timen, wenn alle VM in einem Job sind Bei uns laufen die Jobs leicht zeitversetzt an. So können wir sicherstellen, dass z.B. die SQL Server als 1. gesichert werden und der Job abgeschlossen ist bevor die SQL db-Optimierungsjobs in der VM laufen. Im Falle des Falles dauert ein Tape Restore u.U. sehr lange, da der gesamte Job zunächst von Tape wieder auf den Backupserver zurück gesichert werden muss (Veeam Standard). Hier bieten dann kleinere Jobs Vorteile Wir haben hier 8 Jobs für ca. 50 VM am laufen. Die Jobs sind nach Funktionen eingeteilt (DC, MS_NAV, Exchange, Storageserver, usw.)

Bei uns funktioniert es. Nutzen allerdings auch die Bedingung: 'wenn mindestens ein Dateiname von Anlagen Textmuster entspricht'

Kann schon, geht schon, darf aber nicht! Ist ein ganz klares Lizenzvergehen. Ich habe schon mal testweise ein Windows 7 so 'modifizert', dass es als Terminalserver gearbeitet hat. Da läuft dann sogar ein Office 2010 (OEM) auf dem 'RDP-Server' :cool: Wie auch immer würde ich den Kunden ganz klar darauf hinweisen, dass es sich um einen Lizenzverstoß handelt.

Setz mal ein '$'-Zeichen hinter die Dateiendeungen (.zip$, .doc$, .docx$, usw.). Dann klappt das auch.

Na, dann ist doch Alles gut! Wenn es nur diese eine kleine Problemchen nicht wäre, hätte man doch richtig Geld sparen können. ;) Ja und Backup ist eh was für Weicheier, dass unnütz Geld kostet und niemand wirklich braucht. :D Und außerdem kostet die Arbeitszeit des Admins ja auch kein Geld. Der ist ja eh da und sitzt den ganzen Tag b***d vorm Rechner rum. Ich versuche auch immer Geld zu sparen, trotzdem sollte m.E. die Funktion im Fokus stehen. Gerade, wenn mit der IT Geld verdient werden soll. Was hätte bei der Anschaffung z.B. gegen ein NAS von QNAP oder Synology gesprochen!? Auch nicht gerade Premium, aber die Dinger funktionieren zumindest.

Da ja offenbar keiner direkt auf die Frage antworten mag... Ja, ist grundsätzlich problemlos per Transportregel machbar. Ich würde aber auch nicht unbedingt ein Postfach nehmen, dessen User administrative Rechte hat! ;) Außerdem würde ich alle diese Mails dann automatisch als 'Junk-Mail' = SCL9 kennzeichnen. Damit die Mails dann zusätzlich noch im Junk-Mail Ordner landen (besondere Rechte). Bitte beachte die Besonderheiten der MS Bearbeitung von regulären Ausdrücken in den Transportregeln: https://technet.microsoft.com/de-de/library/aa997187(v=exchg.141).aspx MS verhält sich hier leider nicht Standardkonform. Und ja, wir haben 2 unabhängige AV und Spamfilter hier (UTM und GData Mailgateway). Trotzdem rutscht immer mal wieder eine solche Mail durch und wird erst per Transportregel umgebogen. Ein grundsätzliches Blocken aller problematischen Anhänge ist gemäß Geschäftsführung nicht gewünscht. Schön, wenn dass bei Euch im Unternehmen anders ist!

Haben auch Quantum Super Loader 3 mit LTO5 im Einsatz (Seit 2 Jahren). Sichern täglich ca. 2,5 TB / wöchentlich 3,4 TB. Läuft problemfrei. Davor ca. 5 Jahre einen Quantum SL mit DLT600 genutzt. Nach 3 Jahren hatte das Bandlaufwerk einen Schaden und das Gerät musste eingeschickt werden. Der Loader selbst hat aber immer problemlos funktioniert. Zum Thema RDX vs. LTO: Eine RDX Laufwerk ist preislich günstiger wie ein LTO-Laufwerk. Dafür kosten halt die RDX-Medien mehr. Kommt dann halt auf die Anzahl der für das Backup benötigten Medien an, ob sich RDX oder ein Tape Loader rechnet. Auch das Argument von Norbert (WORM-Bänder) kann den Ausschlag pro Tape geben.

Schau mal hier: https://www.psw-group.de/newsletter/splitDNS.pdf Da wird die Split DNS- und Exchange-Einrichtung dazu sehr gut schritt für schritt erklärt.

Da behauptest Du aber falsch! Jedes Mailgateway/UTM sollte so etwas können. Einfach den (externen) SMTP-Empfang von '@eigenedomäne.de' verhindern (Sollte natürlich sichergestellt sein, dass man nicht doch von irgendwoher Mails von der eignen Domäne bekommen soll (z.B. Kontaktformular Webseite o.ä.!).