winmadness

Hallo Peter, Malwarebytes ist ein sehr guter Scanner. Wird auch in allen "Virenscanner-Foren" empfohlen wenn es um einen potentiellen Virenbefall geht. Ich war nicht vom ProxyLogon Exploit betroffen. Exchange / IIS waren bei mir schon immer nur über VPN erreichbar. Ausnahme ActiveSync. Wie schon beschrieben habe ich für EAS ein eigenes virtuelles Verzeichnis mit eigenem Port angelegt. Alle Authentifizierungsmöglichkeiten für EAS sind deaktiviert. Zugriff nur mit Benutzer Zertifikaten. Des Weiteren Geo IP und Allowed DeviceID. In meinen Firewall Protokollen konnte ich feststellen, dass keine unberechtigten Anfragen auf den EAS Port stattgefunden haben.

Hallo Peter, wenn Du Dein System weiter absichern willst, hätte ich noch einige Ideen: auf der Firewall Geo IP zur Blockierung von unberechtigten Anfragen. Ich nutze die Datenbank von MaxMind Proxy für ausgehende Verbindungen Block bzw. Begrenzung aller ausgehenden Verbindungen für die Windows Server (Exchange, DC, Fileserver), benötigt einen WSUS

Ich habe mich für Eset Endpoint Protection entschieden. Kann sowohl auf Windows 10 als auch Server eingesetzt werden. Ausserdem ist bei den Lizenzen auch eine Cloud Console dabei. Diese bietet unter anderem einen MDM und somit kann ich unsere iPhones darüber verwalten. Gutes Preis / Leistungsverhältnis. Weiterer Vorteil - für die Management Console gibt es auch eine on-premise Version für Windows und Linux.

Hallo Peter, klasse, eine Sicherheitsproblem weniger.

Hi, wenn das Profile schon vor der VPN Verbindung angelegt wurde, würde ich es löschen und neu anlegen. Welche FQDN ist als EAS Server angegeben? Wird der richtig aufgelöst? Ausserdem mal im IIS Protokoll prüfen, ob überhaupt die Anfrage vom iPhone ankommt. Verwendest Du die OpenVPN App und auf welchem System läuft der VPN-Server?

@magicpeter Wie beschrieben, habe ich EAS über andere Wege abgesichert. iOS hat einen eigenen VPN Client (über App Einstellungen -> VPN). Ob Du eine eigene App benötigst kommt auf die VPN Server Sofware / Protokoll an. Der eingebaute Client kann IKEv2, IPSec und L2TP, kommt aber nicht mit allen VPN Servern / Protokollen klar. Für OpenVPN gibt es z.B. eine eigene App. Für SMTP (25) auf jeden Fall noch einen MTA vor dem Exchange Server stellen, unter anderem zur Spamfilterung.

@magicpeter Ganz einfache Lösung - VPN. Damit können sowohl Laptops auch Handis eine Verbindung aufbauen. Ich selber habe allerdings ActiveSync über Benutzerzertifikate, eigenes virtuelles Verzeichnis (eigene IIS Seite), GEO-IP an der Firewall, Allowed DeviceIds abgesichert. Ich bin noch am Recherchieren bzgl. eines Reverse Proxy für EAS.

Kein Wunder, dieses Update ist auch für Exchange 2010 bestimmt. Ich denke Du meinst KB5000871 als Patch für den ProxyLogon Exploit. Dieses Update bekommst Du deshalb nicht angeboten, da es bereits in CU 9 enthalten ist. Also alles richtig gemacht.

@=BT=Viper Hallo, evtl. hilft Dir die Anleitung von Franky bzgl. "Exchange Neuinstallation ohne Datenverlust" weiter.

@katze78 Wenn Du als DNS Server in der Netzwerkkonfiguration die IP-Adresse des Server einträgst, muss auf diesen auch ein DNS Dienst konfiguriert sein. Hier findest Du eine Anweisung, ab Punkt 22. Falls der Server noch keinen Eintrag im DNS hast, kannst Du dann über das Kommando "ipconfig /registerdns" auf dem Server den Eintrag in die Zone forcieren. Dann Client in die Domain aufnehmen.

@katze78 Hast Du ein DNS konfiguriert - ist dort der Server mit der korrekten IP-Adresse eingetragen. Kannst Du einen ping mit der FQDN des Servers vom Client erfolgreich absetzen? Welcher Firewall (Öffentlich oder Privat oder Domain) ist die Netzwerkverbindung auf dem Server / Client zugeordnet? Auf dem Server muss diese Domain sein, auf den Clients vor Domain-Aufname "Privat".

Sind Trigger auf die Original-Tabelle konfiguriert - oder Fremdschlüssel (Referentielle Integrität)?

Hallo, die Funktion "to_Date" ist für die Umwandlung von Strings in Typ Timestamp vorgesehen. Du benötigst den umgekehrten Weg: Timestamp -> String. Hierzu verwendest Du die Funktion "to_varchar", in Deinem Fall also TO_VARCHAR (MAX(DATEUPD), 'DD.MM.YYYY HH:MI:SS.FF3') Falls es sich um den Datentyp "Date" handelt bzw. Du die Millisekunden nicht benötigst, dann einfach ".FF3" weglassen

@tesso sorry, war natürlich für @DocZenith bestimmt.

@NilsK Danke für den Tipp - das ist des Rätsels Lösung. In "Erweiterte Berechtigungen" habe auch ich "Jeder" stehen - passt also. @DocZenith Noch eine Idee bzgl. Deines Problems. Hast Du das Feature "Ressourcen-Manager für Dateiserver" installiert. Evtl. funkt hier eine Einstellung dazwischen.

@tesso Ich habe in den Dateiegenschaften auf Tab "Freigabe", Button "Freigabe" die Berechtigung für "Jeder" gelöscht. Wie schon geschrieben, arbeite ich nur mit NTFS Freigaben, also Tab "Sicherheit". Wenn ich dort für Gruppen / Benutzer Berechtigungen bearbeite werden diese auch automatisch in der Dateifreigabe übernommen. Ich habe es soeben noch mal getestet. Ein neue Ordnerfreigabe erstellt. In den Berechtigung für die Ordnerfreigabe war kein Berechtigung "Jeder" eingetragen, sondern nur die Berechtigung "Besitzer" für meinen Account. Nachdem ich über die NTFS Berechtigung eine Gruppe eingetragen habe, war diese auch in den Dateifreigabe zu sehen und ich konnte vom Client als Mitglieder der Gruppe auf den freigegebenen Ordner zugreifen und Dateien erstellen. Mein Tipp: lege dir doch einfach einen Testordner mit der Konstellation Deiner "Personal" Ordnerfreigabe an und spiele dort mit den Berechtigungen. Also z.B. mal "Jeder" löschen. Ich behaupte ja nicht, dass es an "Jeder" liegt, aber wenn man die Lösung für ein Problem sucht ist es immer hilfreich Dinge auszuprobieren.

Hallo, auf Freigabeebene habe ich gar nichts gesetzt. Wenn ich auf NTFS Ebene eine Berechtitung eintrage, so erscheint diese auch automatisch in der "Dateifreigabe" (Window Server 2016). Danke für den Link bzgl. Freigabe / NTFS Berechtigungen. Der Zusammenhang war mir nicht klar.

@NilsK beim Hinzufügen von einer weiteren Gruppe für einen freigegebenen Ordner wurde der Zugriff vom Client verweigert. Nachdem ich "Jeder" in der Freigabe deaktiviert hatte der Benutzer Zugriff. Ich hatte aber mit einigen Einstellungen herumprobiert, deshalb kann ich die Fehlerbehebung nicht zu 100% auf "Jeder" zurückführen. Ich habe auf jeden Fall für alle meiner Ordnerfreigaben "Jeder" gelöscht und arbeite nur mit den NTFS Berechtigungen.

Hallo DocZenith, hast Du "Offlinedateien" auf dem freigegebenen Laufwerk aktiviert? Wenn ja, bitte mal deaktivieren. Des weiteren würde ich eine Gruppe mit allen benötigen Usern für die Ordnerfreigeabe "Personal" anlegen und die Rechte entsprechend für diese Gruppe auf den Hauptordner setzen. Mit der Freigabe "Jeder" zu arbeiten ist immer kritisch. Ich hatte damit auch schon Probleme bei Freigaben.

Natürlich wird auch ein Remote Wipe durchgeführt - versteht sich von selbst. Was ich meine ist wie schnell erfolgt der Remote Wipe nach einem möglichen Diebstahl / Verlust? Hat der "Finder" noch die Möglichkeit die Daten abzugreifen bevor Du den Remote Wipe absetzt bzw. deaktiviert er die Internet-Verbindung? Aber Du hast Recht, ist meine Philosophie und ich will keinen von meinem Konzept überzeugen. Ich beschreibe nur, wie ich agiere.

Ok, wäre mir aber zu unsicher. Mein Grundsatz: sobald ein Gerät nicht mehr unter meiner Kontrolle steht, sehe ich die darauf gespeicherten Daten als kompromittiert an -> alle Zugangsdaten ändern. In unserem Fall also neue Zertifikate ausstellen und alte löschen.

Nein, es wird für jeden Benutzer, der auf das freigegebene Postfach zugreift, ein eigenes Zertifikat ausgestellt. Somit musst Du nur das Zertifikat des betroffenen Benutzers löschen und nur für diesen ein neues ausstellen. Ich verwende das Konzept für die Domain Anmeldung der Mitarbeiter Laptops, welche sich über VPN verbinden. Einige Mitarbeiter haben zwei Laptops und bekommen somit für jedes Gerät ein eigenes Zertifikat. Auch ActiveSync läuft bei uns über Zertifikate. Damit ersparen wir uns das Hantieren mit Passwörtern. Falls mal ein Gerät abhanden kommt, müssen wir kein Passwort mehr ändern, sondern nur Zertifikate im AD löschen. Und die Mitarbeiter bekommen keine Passwörter an die Hand, welche Sie sich somit nich merken müssen bzw. leaken können.

Hallo Nobbyaushb, Problem ist nur, wenn einem Mitarbeiter sein Handy abhandenkommt, dann müsstest Du aus Sicherheitsgründen das Passwort auf allen Handis ändern -> sehr aufwendig. Alternative wäre ActiveSync mit Benutzerzertifikaten zu nutzen und somit für jeden Benutzer ein extra Zertifikat auszustellen und über AD für das betroffene Postfach zu veröffentlichen. Wenn ein Handy dann verlorengeht, musst Du nur das betroffene Zertifikat im AD löschen. @teletubbieland Falls der Einsatz von Tools für Dich in Frage kommt, dann schaue Dir mal Somebytes ExMixedFolders an. Damit kannst Du Ordner zwischen verschiedenen Postfächern synchronisieren. Läuft als Windows Dienst. Wir benutzen es zum Kopieren der GF Kalender für die Assistenz. Damit hat sie Zugriff auf die GF Kalender über ihr iPhone / ActiveSync. Wir hatten vor Exchange 2016 CodeTwo Exchange Sync im Einsatz, was aber ab Ex 2016+ nicht mehr unterstützt wird.

Ich würde es im emClient Forum probieren. Dort kann sich jeder anmelden und Fragen einstellen.

Ich würde mal Richtung "gelöschtes Mitglied" einer Gruppe suchen. Mit Powershell könntest Du Dir ein Skript erstellen, welche alle Mitglieder der Gruppen auf "Vorhandensein" prüft. Hast Du Dir die Gruppen im Active Directory Editor angeschaut? Dauert es dort auch solange?