Assassin

Das ist ein Testsystem wo ich das hier mache. Da ist natürlich bei weitem nicht der Umfang wie im Produktivsystem. Aber daher frage ich vorsichtshalber bevor ich das eben auch im Produktivsystem so anwende

Ok, habe jetzt beim AdminSDHolder die Benutzergruppe Exchange Servers einfach mal entfernt - jetzt geht es, wird nicht mehr als gefährlich erkannt. Admin Accounts sollen auch keine E-Mail adressen bekommen. Aber steht nur deswegen die Exchange Server gruppe da mit drin wegen möglicher E-Mail-Adressen? Oder hat das vieleicht doch noch weitreichendere Folgen wenn man die gruppe entfernt?

OK, aber auch in der Sicherheitsberechtigung des AdminSDHolders gibt es keinen eintrag zum msDS-KEyCredentialLink, also wenn ich da bei den Effektiven Zugriffen schaue. Da wird allerdings der Eintrag msDS-KEyCredentialLink garnicht mit aufgeführt. Ich finde auch nirgendwo infos im Netz, wie ich das schreibrecht entziehen kann. Habe im AdminSDHolder objekt unter den Sicherheitsberechtigungen auch jeden Exchange Servers eintrag durchgeklappert und geschaut ob es da irgendwo den eintrag msDS-KEyCredentialLink gibt wo ein häkchen davor ist - gibt es aber nicht

Zugriff auf den wert msDS-KEyCredentialLink vom Administrator wird für Exchange Servers verweigert, oder hab ich da was falsch gemacht?

Servus miteinander, Ich habe gerade in einer Testumgebung wo es nur einen neuinstallierten und unkonfigurierten DC und einen Exchange 2019 gibt, mal PurpleKnight angeworfen. Da kommen natürlich einige Meldungen zusammen, aber eine ist recht hartnäckig wo ich nicht wirklich weiter weiß, was ich da noch einstellen kann um das Testsystem zu härten (und später natürlich auch das Produktivsystem) PurpleKnight meldet, dass die Gruppe Exchange Servers im Domänen-Administrator Konto den msDS-KEyCredentialLink wert schreiben kann. Nur habe ich ich dies bereits über eine Sicherheits-Verweigerungsregel im Administrator-Konto angepasst, dass die ExchangeServers Gruppe nicht schreiben darf auf den Eintrag. Dennoch meckert PurpleKnight diesen wert an. Was müsste ich den jetzt wie ändern, damit das sauber ist?

muss das Thema nochmal hoch holen...man könnte also jetzt ein Zertifikat kaufen für 99€ im Jahr in etwa (mehrere Subdomains, darum direkt Wildcard-Zertifikat, ReverseProxy unterstützt nur ein Zertifikat) und tauscht das Zertifikat 1x im Jahr aus, oder man bleibt beim LetsEncrypt Zertifikat aber muss es dann halt aller 3 Monate tauschen - ist dafür Kostenlos. Eine sache die ic mich noch etwas frage - wenn der Exchange dann ein öffentliches Zertifikat auf seinem IIS liegen hat, dann müssten die internen Client Computer aber die RootCA des Zertifikat-anbieters über das Internet erreichen müssen, damit Outlook nicht rummeckert, oder? Gibt ein paar Clients die haben zwar Outlook drauf - aber keine Internetverbindung (Webproxy mit authentifizierung only, und einige User dürfen halt nichts)

Jagut, Security kostet, klar...aber manchmal beschleicht einem das gefühl, dass da einige andere ganz gerne mit verdienen wollen wohne effektiven Mehrwert... UTM = Securepoint

jep, habe ich gelesen, dachte nur dass es auch ein SSL Offloading ist weil die anfragen ja erstmal auf dem Reverseproxy "landen" Gekaufte Zertifikate hatten wir früher mal, aber wenns das auch kostenlos mit LetsEncrypt gibt und die Firewall das automatisch aktualisiert kann mans ja auch so machen nur unschön das MS das jetzt unnötig kompliziert macht wenn man ein erhöhtes maß an Sicherheit haben möchte...

Guten Morgen, Kurze frage zum Verständnis zwecks dem Extended Protection https://microsoft.github.io/CSS-Exchange/Security/Extended-Protection/ Gegeben ist: - ca. 50 User Umgebung - ca. 10 Außendienstler die sich ebenfalls via Handys und Outlook mit dem Exchange verbinden - einen Exchange 2019 Server, on Premise - eigene interne PKI um Selbstsignierte Zertifikate Netz-intern zu verwalten und zu nutzen - für die UTM/Firewall wird ein LetsEncrypt Zertifikat genutzt - UTM/Firewall mit aktivem ReverseProxy wo nur bestimmte Exchange Dienste durchkommen, ECP wird NICHT durchgelassen (von extern eingehend, URLpath_regex: ^/EWS ^/ews ^/mapi ^/Mapi ^/Microsoft-Server-ActiveSync ^/OAB ^/oab ^/owa ^/Autodiscover ^/autodiscover ^/eas ^/EAS ^/rpc ^/RPC ^/AUTODISCOVER ^/MAPI ^/exchange ^/Rpc ) dieser nutzt auch das LetsEncrypt Zertifikat für zugriffe von extern, intern leitet er die anfragen an den Exchange weiter mit dem selbstsigniertem Zertifikat Nach meinem Verständnis her würde es genau hier beim ReverseProxy knallen wenn ich Extended Protection aktivieren würde, da SSL Offloading nicht unterstützt wird. Ich müsste also das Letsencrypt Zertifikat auch dem IIS vom Exchange zuordnen, aber das wird ja aller 3 Monate getauscht - unschön also jedes mal das IIS Zertifikat zu tauschen, und das Selbstsignierte Zertifikate dem ReverseProxy mitgeben ist auch nicht schön. Wie macht man dann sowas? Oder habe ich da was falsch verstanden?

natürlich nicht so häufig Aber ich finde es halt schade dass man was Konstruiert hat aber nicht voll ausgereizt wird...gut klar, redundanz war da eigentlich eher das Ziel Aber wenns schon mal da ist, will man das doch gern mit nutzen finde ich. 1-2x im Monat schubse ich die VMs umher zwecks Windows-Updates auf den Hosts. Und das dauert dann natürlich ein paar Minuten bei 25 VMs mit insgesamt 320GB Ram verbrauch. Und wenn ich sehe dass Windows - warum auch immer - alles nur über eine 10G Leitung schiebt statt die zweite mit zu nutzen, bringt das immer leichte selbstzweifel auf warum es das so macht. Aber um nochmal auf das eigentliche Thema zurück zu kommen - es ist egal ob ich jetzt noch zusätzlich die Regel 2 und 4 deaktiviere oder aktiviert lasse, da regel 1&3 aktiv ist und damit über den anderen (default) Einstellungen steht?

Serverseitig haben wir natürlich überall SMB1 deaktiviert gelassen, es gibt aber einen Windows 10 Client, welcher leider SMB1 aktiviert haben muss (da aber auch nur SMB1 Client - NICHT Server) weil dieser PC mit ein paar Spezial-Druckern kommunizieren muss. die Drucker sind zwar als Drucker unter Windows10 installiert, allerdings als File-Pipe, das Druckobjekt wird als zip vom Treiber verpackt und per SMB1 an die Drucker geschickt...Fragt nicht - es gibt vom Hersteller leider nix "moderneres" Mir ist halt nur aufgefallen, dass gerade bei den Clients standardmäßig eine der "wenn gegenseite zustimmt" Option aktiv ist - ich hab aber nur die GPO ausgerollt das Client und Server immer signieren sollen und alles andere auf unkonfiguriert gelassen in der GPO. die HyperV knoten haben keine RDMA NICs drin, daher arbeite ich da mit SMB Komprimieren für die Livemigration. Schade nur, dass immer nur eine der zwei möglichen 10G Netzwerkkarten genutzt wird obwohl ich 4 VMs gleichzeitig migrieren lasse -.-

Servus, wie sollte man optimalerweise in einem Domänen-Netzwerk die SMB Signierung einstellen? Es gibt ja insgesamt 4 Regeln: 1. Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) 2. Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) 3. Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) 4. Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) sollte man Regel 1 und 3 auf aktiviert setzen und Regel 2 und 4 auf deaktiviert setzen, oder wird Regel 2 und 4 durch Regel 1 und 3 ohnehin ausgehebelt? So richtig schlau werde ich aus der MS Beschreibung nicht: https://go.microsoft.com/fwlink/?LinkID=787136 für SMB1 und SMB2 gilt wenn SMB Signierung erforderlich ist, ist die Regel 1 und 3 zu aktivieren. Regel 2 und 4 würde nur für SMB1 greifen, aber wenn bereits Regel 1 und 3 aktiviert ist - gilt das dann auch zwingend für SMB1? Ist es dann egal ob Regel 2 und 4 zusätzlich aktiv ist? Oder wäre eine unsignierte Kommunikation über SMB1 dann dennoch möglich (auch wenn Regel 1 und 3 aktiv sind) und: Es soll ja einen Leistungseinbruch geben bei aktivierter Signierung, was beim 10G Netzwerk wohl noch höher ausfallen soll. Was mach ich aber bei einem HyperV Failover-Cluster der die VMs per Livemigration via SMB auf ein anderen Knoten schiebt - das würde ja dann auch langsamer gehen, oder?

Fehler war, das es anscheinend die Papierkörbe zwar mit kopiert hat, aber da nicht die Berechtigung des Users gesetzt hat. Ich habe also in jedem umgeleitetem Ordner den $Recycle.bin gelöscht - sodass der Client einen neuen Ordner mit korrekten rechten angelegt hatte. Das ganze natürlich per Skript gemacht (suche Papierkorb in umgeleitete Elemente, rekursiv, und lösche das.

Hallo allerseits, vor ein paar Tagen haben wir unseren Fileserver migriert auf Server 2019 (vorher 2012R2), alle Daten mit dem Windows eigenen Fileserver Migration Toolkit incl. freigaben. Hat auch alles fast wunderbar funktioniert, den bei ein paar wenigen Benutzern lassen sich Dateien die unter Dokumente liegen (also eigen Dateien) nicht löschen. Es gibt für alle User eine Ordnerumleitung GPO, welche auch angepasst wurde für den neuen Servernamen (Häkchen für Dateiumzug in der GPO ist raus). Selbst wenn der User eine neue Datei anlegt - kann er diese nicht löschen, es erscheint dann immer die Meldung, das er selbst rechte für die Datei braucht zum löschen. Wenn man allerdings in die Eigenschaften des Papierkorbs geht und für Dokumente die Option setzt das er sofort löschen soll und nicht in den Papierkorb schieben soll - dann geht auch das Löschen... Es gibt also Probleme mit dem Verschieben aus dem Umgeleiteten Dokumente (was auf dem Server liegt) in den Papierkorb - aber eben nur bei ganz wenigen Leuten...aber warum? Wonach könnte ich da suchen?

bei so einem USN Rollback - da funktioniert die ganze Domäne nicht mehr, oder? Also keiner kann sich mehr anmelden, oder wie macht sich das bemerkbar? und wie verhält es sich wenn man 3 DCs hat, und man einen der untergeordneten DCs aus einem backup wiederherstellen würde (also einen der KEINE FSMO Rollen trägt). würde dann nur dieser eine wiederhergestellte server "sgeperrt" werden, oder auch die anderen beiden die sich eigentlich bestens miteinander "verstanden" haben ?

wegwerf Server sozusagen? joar, da macht das schon sinn dass ein DC nur ein DC ist und nicht noch ein File oder Druckserver. Das heißt - einfach einen neuen DC installieren, Standort definieren und schauen ob der sauber repliziert - mehr nicht? klingt zu einfach um wahr zu sein ^^

Jep, an dem Standort gibts nur den einen Server...und ein NAS wo ich daten auslagern könnte. Downtime ist auch einplanbar, also relativ entspannt das ganze. Also ich kann ja auf den jetzigen DC der da steht noch die HyperV rolle installieren, um somit schonmal "in ruhe" die VMs fertig zu machen, also den neuen DC und den Fileserver vorbereiten, und dann den Server neu installieren zu einem HyperV Only server und die VMs die ich vorher vorbereitet habe die auf einer anderen Partition liegen - wieder einbinden. Dann noch die Daten von der Datenpartition in die neue Fileserver VM kopieren, viel mehr ist es ja dann eigentlich nicht denke ich, oder? Das sollte auch die Downtime recht gering halten Ich frage mich gerade - wie sichert man eigentlich die DCs, also wenn man mehrere hat? eine Rücksicherung von einem einzelnen Server würde doch sowieso nie funktionieren, oder gibts da "tricks" um den USN-Rollback zu umgehen?

und dem dann die IP des alten servers geben? Der server ist in einer außenstelle, wo ich nur per Remote drauf komme, oder über das iKVM modul im Server (worüber ich den Server auch neu installieren könnte) Auf dem server liegt aber auch auf LW D: die ganzen Freigaben...wobei auch das mal getrennt werden soll, damit der DC wirklich nur für sich slebst ein Server/VM hat, wo dann nur noch mit DNS und DHCP drauf läuft.

Servus...ich habe einen sekundären DC Server der noch auf Baremetal installiert wurde - diesen würde ich nun gerne zu einer VM Convertieren. Ich schätze mal, wenn ich von dem Laufendem Server ein VHDX erstelle per schattenkopie, und dann den laufenden Server einfach abschalte, neuinstalliere als HyperV und danach das VHDX starte - dasss ich danach ein USN-Rollback erleiden werden, oder? Weil der DC ja noch eingeschaltet war, wärend eine sicherung von dem gezogen wurde. Oder gibts sowas wie ein Zeitkontigent, wo der zweite DC auf einmal einen älteren datenstand haben haben darf? (nachdem ich die VM hochgefahren habe? oder würde das gehen, wenn ich den zweiten DC vom Netz trenne sodas sich die beiden server nicht mehr sehen, und dann von dem server ebenfalls per schattenkopie eine VHDX erstellen?

Ja, eb man da an einen fähigen bei MS kommt dauert es schon... 2 stufiges Spamfilter System und Zertifikate haben wir ebenfalls, stimmt schon, das man die auch mit in die Kosten einrechnen müsste. Mit dem Online Exchange haben wir bisher keinerlei berühung gehabt - Wie läuft es da ab mit Spamfilter und Verschlüsselte Mails? Aktuell wird das über Eset MailSecurity und NoSpamProxy realisiert

Servus allerseits, wir haben aktuell noch den Exchange 2013 mit ca. 150 Usern im einsatz und überlegen wie es weitergehen soll. Exchange 2019 geht ja auch nur bis zum jahr 2025 wie Exchange 2016 auch. Unserer 2013er geht bis zum Jahr 2023. Jetzt gibts ja von MS das schöne Microsoft 365 Business Standard paket für 10,50€ im Montag pro User (im jahresabo) - da ist das Office paket und ein Hostet Exchange dabei. von MS Seite her sol es wohl keinen eigenständigen Exchange mehr geben, weil wohl der Exchnage 2022 auch nur noch als Abo version verfügbar sein wird. Daher meine frage: Was habt ihr so im einsatz? Macht es sinn auf die Online dienste zu wechseln? Kostenmäßig wird der spaß teurer wenn ich das richtig sehe, schon nach 3 jahren ist es teurer als ein eigener Exchnage + Office Pakete dazu. aber was hat man da noch für alternativen?

naja aber einbrüche die auf 0 gehen dürfen auch da nicht passieren. Das Storage von dem Kopiert wurde und das Ziel Storage sind zwei SAS12G Enterprise SSDs im Raid1. Klar hängt da noch ein Raidcontroller davor mit 2GB Cache (PRAID EP420i) aber am controller cache wirds wohl nicht liegen, da müsten viel häufiger einbrüche kommen bei einer 35GB datei

*Update* Habs rausgefunden: die 1G Onboard karten sind ja Inte x722 Karten - diese unterstützen RDMA (iWARP) - die anderen 10G Karten unterstützen aber kein RDMA...Windows bevorzugt immer RDMA Karten - egal wie schnell diese angebunden sind. Sobald auch nur eine RDMA aktivierte 1G Karte drin steck neben vier 10G nicht RDMA fähige Karten, nutzt SMB3.0 immer diese eine RDMA fähige karte RDMA auf den X722 Karten deaktivert (wird da eh nicht gebraucht da über die schnittstellen nur wenige kByte übertragen werden) und schon Schwankt SMB3.0 auf die 10G karten um. Komisch sind dennoch die EInbrüche aller paar Gb datentransfer (Testdatei war 35Gb groß)

Servus...es geht um zwei Server 2019 welche die FailoverCluster Rolle installiert haben, und als ClusterStorage den eigenen internen Speicher nutzen der intern über iSCSI angebunden ist, bereitgestellt durch die Datacore SanSymphony Software (wird gesynct über 2x 16Gbs FC undmittels MultiPath über 2x 10Gbs überkreuz verbunden) die beiden LiveMigration 10G Netzwerke existieren auch auf den 2. Knoten genau so, stecken auch in einem Subnet und im selben VLAN. das selbe gilt auch für die Management Karten die geteamt sind, sowie für das BackupNetz und die ClusterCommunication. was mich stark wundert ist: Wenn ich vom Knoten1(HV01) auf Knoten2 (HV02) eine große VHDX Kopiere welche NICHT im Clustershare ist, sondern wirklich auf der lokalen SAS SSD Liegt - dannn nimmt Windows immer bevorzugt die backupNetz Netzwerkkarte und die ClusterCommunication zum übertragen der großen Datei. Da kopiert er zwar schon mit 200MB/s dank SMB3.0 , aber warum zum geier nutzt windows da nicht einfach die beiden 10G Karten im MultiChanel SMB3.0 betrieb? Das macht Windows erst dann, wenn ich die BackupNetz karte und die Cluster Com karte deaktiviere - erst dann geht er über beide 10G Karten. gut, da kopiert er auch nur mit 1GB/s aber das könnte an den SAS SSDs liegen...er nutzt dann aber auch wirklich beide 10G karten. Die Nic Teams die zu sehen sind sind als LACP HASH eingerichtet. Ich habe schon die Metrik manuell auf 1 und 2 gesetzt bei den beiden LiveMigration karten...aber ignoriert Windows trotzdem und nimmt bevorzugt die anderen karten...Windows könnte ja auch das Management NicTem mit nutzen - machts aber auch nicht. Verstehe ich nicht diese logik... Eine Livemigration der VMs nutz auch immer nur ein LAN Adapter, obwohl 2 Migrationen gleichzeitig durchgeführt werden

Aber meint ihr, der 2019er Server kann eine VM wirklicht direkt Registrieren, die ich einfach per Copy&Paste von einem 2008R2 Hypervisor rüberkopiert habe? Und dannn das Konfigurationsleve anheben lassen um die xml zu aktualisieren? Ich Teste das mal hier aus wäre ja zu einfach um wahr zu sein Ich müsste also vorher die MAC adresse aus der VM auslesen, und der VM dann erstmal fest zuordnen, ja? Sollte die automatisch vergebene MAC adresse nicht aber im Konfig File (xml) zur VM mit drin stehen? da steht ja auch diese Computer-ID mit drin.. Befürchtung ist eine Neuaktivierung der installierten Selectline Software - ich weiß nicht wie empfindlich diese reagiert wenn die mitbekomt das sich was an der "Hardware" Geändert hat...