nobex

Ich drücke es mal so aus: Es tut nicht weh und vermeidet Komplikationen. Evtl. kennt jemand hier noch den genauen Hintergrund.

Ein DHCP-Client unter Windows 'wünscht' sich bei der erneuten Adress-Anfrage seine letzte IP wieder und erhält sie auch, so nicht schon anderweitig vergeben.

Schau Dir mal im ESM die Einstellungen unter Nachrichtenübermittlung -> Verbindungsfilterung an. Die Hilfe gibt da einige Einrichtungstipps. Hier auch noch ein KB-Artikel zum Thema: How to configure connection filtering to use Realtime Block Lists (RBLs) and how to configure recipient filtering in Exchange 2003

Wirkungvoll ist in dem Fall wohl relativ, falsche Markierungen und durchgerutschte Spams wird es wohl immer geben. Ich habe 3 Systeme gleichzeitig im Einsatz. Per Firewall prüfe ich die eintreffenden Nachrichten gegen RBLs, danach vergibt der IMF vom Exchange seine Wertung und am Ende prüft Panda Exchangesecure auf dem Server noch auf Spamverdacht. Abhängig vom Ergebnis werden die Mail in speziellen Postfächern 'vorsortiert', wo nach einer Sortierung nach SCL die 'Niedrigsten' manuell überflogen und danach gelöscht werden. Letzten Monat hat beispielsweise der RBL-Check von 145000 Mails 125000 als Spam markiert.

Siehe MSXFAQ.DE - Relay mit Exchange 200x Ansonsten Du gegen Spam an Deine eigene Domain nur zusätzliche Antispam-Maßnahmen ergreifen, der Server nimmt die Mails standardmäßig 'korrekt' an.

Der DHCP des RIS muss, so nicht bereits beim Setup geschehen, über eine DHCP-Konsole im AD autorisiert werden.

Ich denke, ein Spambot aus Russland versucht, seiner Mails bei Dir loszuwerden ... entweder als Relay an andere Domains (sollte bei Standardeinstellungen nicht offen sein) oder direkt an Eure Postfächer.

Sieht hier genauso aus und ist m.E. auch logisch, da 'lokal' auch auf dem DC nur für den lokalen Conputer gilt. Warum MS sich da so auf Mitgliedsserver einschränkt, ist mir unklar. Vielleicht weil es auf dem DC in der Verwaltung den Eintrag 'Lokale Sicherheitsrichtlinie' in der Verwaltung gar nicht gibt?

Tritt der Effekt auch bei einem neuangelegten User auf? Wenn Ja dann Nein ;) Ansonsten würde ich das Profil des Problem-Users neu erzeugen lassen.

Ich denke, ein Löschen der Root-Einträge ist wirklich der bessere Weg als den Server gegen die Firewall laufen zulassen oder auf nicht existente IPs zu verweisen.

Ich würde vor dem aus- und wieder einhängen erst mal die Ursache des Problems suchen. In der Ereignisanzeige (des 2ten DCs) steht doch sicherlich etwas zum Thema. Du kannst ja gleich mal versuchen, die Ereignisanzeige vom ersten DC aus zu öffnen.

Dies war auch mein Gedanke. Also habe ich an der Stelle keinen Weiterleiter eigetragen und den Haken gesetzt mit dem Ergebnis, dass er weiterhin alles auflöst. Die Konfig mit einem nicht existenten Server an dieser Stelle habe ich noch nicht getestet, klingt mir allerdings auch nicht sooo sauber. Schön wäre, wenn man einfach den Eintrag 'Alle anderen DNS-Domänen' entfernen könnte, so eine bedingte Weiterleitung gesetzt wurde.

Welche ISA-Version ist denn im Einsatz?

Nein. Ich denke, dieser Haken lässt den Server bei seinen Weiterleitungen die Rekursion nicht anzufordern.

Ich erläutere den Fall mal genauer: Der DNS-Server hostet unsere externen Domains. In 2 Domains befinden sich CNAME-Aliase, welche auf Hostnamen in externen Zonen/Domains verweisen. Nun gibt der Server, warum auch immer, nur eine sinnvolle Antwort, wenn er selber Anfragen an diese externen Domains absetzen kann und aufgelöst bekommt. Es würde ja theoretisch reichen, wenn er den Alias rausgibt und der Requester kümmert sich um den Rest selber. Ok, morgen wird weitergetestet.

Dann kann ich aber keine Weiterleitung mehr konfigurieren

Also doch .... mir kam die Lösung irgendwie so radikal vor, dass ich sie ich sie gleich wieder abgetan hatte :rolleyes:

Hallo Zusammen, ich möchte an einem DNS-Server folgendes erreichen: 1. Anfragen nach den von ihm gehosteten Zonen sollen von ihm beantwortet werden -> kein Problem. 2. Anfragen nach einer bestimmte Domain sollen per Weiterleitung (egal ob Rekursiv oder nicht) von ihm beantwortet werden -> bedingte Weiterleitung eingerichtet 3. Anfragen nach anderen Domains sollen von ihm nicht beantwortet werden -> diese kann ich ihm allerdings nicht abgewöhnen :confused: Ist diese Konfig nicht vorgesehen oder übersehe ich etwas? Vielleicht kann mir jemand auf die Sprünge helfen Danke und Gruß Robert

Aus Deinem letzten Posting werde ich nicht ganz schlau :suspect: aber zum Thema fällt mir noch die Benutzerrichtlinie 'Drag and Drop-Kontextmenüs aus den Startmenü entfernen' ein.

Ist evtl in den erweiterten Startmenü-Eigenschaften 'Ziehen und Ablegen' deaktiviert?

Beim ISA2000 konnte man in der ISA-Verwaltung -> Eigenschaften des Servers unter 'Eingehende Webanfragen' die IPs und Ports konfigurieren. Ist dort evtl. SSL aktiviert?

Als erste Maßnahme wäre evtl. ein Rückruf der Nachricht hilfreich: http://office.microsoft.com/de-de/outlook/HA010917601031.aspx

Ist evtl. in der Terminaldienstekonfiguration am Server die max. Farbtiefe eingeschränkt worden bzw. bekommst Du ohen span eine höhere Farbtiefe (am Server)?

Was steht denn im Protokoll des VPN-Servers?

Also der Zugriff auf die IP der Servers (ping, Zugriff auf Freigaben) funktioniert? Startest Du das (Client-)Programm mit Admin-Rechten?