Exchange 2016 CU Update
- Ersteller Syagrius
- Erstellt am
@JpG Du meinst in den Receive Connectoren? Da habe ich testweise mal alle Haken gesetzt und zumindest gestern alle mal draußen gehabt. Hatte nichts gebracht. Oder direkt auf dem Server? IIS Crypto hat unter Schannel alle Haken, bis auf SSL 2.0 und SSL 3.0 gesetzt. Soll ich die testweise mal setzen?
@holdes Auf die Health Mailbox wurde bei der Googlesuche auch vage mal darauf hingewiesen, ohne konkret mit meinem Fall was zu tun zu haben. Soweit ich das verstanden habe, kann man die löschen und sie generiert sich neu? Den Konformitätsdienst habe ich übrigens jetzt gestartet und läuft auch noch.
Ergänzung ()
@holdes Auf die Health Mailbox wurde bei der Googlesuche auch vage mal darauf hingewiesen, ohne konkret mit meinem Fall was zu tun zu haben. Soweit ich das verstanden habe, kann man die löschen und sie generiert sich neu? Den Konformitätsdienst habe ich übrigens jetzt gestartet und läuft auch noch.
Eine interessante Meldung trotz genügend Speicherplatz, die mail.que ist über 5GB groß: 4.3.1 Insufficient system resources (UsedDiskSpace[C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Queue])
holdes
Captain
- Registriert
- Nov. 2007
- Beiträge
- 3.669
IIS Crypto hat ja auch eine Best Practise Vorlage, damit hast du zwar auch keine perfekten Einstellungen aber die Cipher Suites und Protokolle welche mit Exchange definitiv erstmal laufen müssten.
Der Prüft nicht nur auf Speicher sondern auch CPU und RAM. Aber Exchange möchte eine gewisse Prozentzahl von der HDD frei haben, das hat nichts mit dem realen freien Speicher zu tun.
Der Prüft nicht nur auf Speicher sondern auch CPU und RAM. Aber Exchange möchte eine gewisse Prozentzahl von der HDD frei haben, das hat nichts mit dem realen freien Speicher zu tun.
@holdes Best Practice nimmt nur Haken weg, statt dazu. Das wird wohl nicht weiterhelfen?
Der Arbeitsspeicher ist permanent auf 80% von 16GB. Das könnte erklären, warum das Queue-File nicht geöffnet werden kann, wenn das über 5GB hat. Mehr zuweisen von RAM dürfte kein Problem sein, aber ob es das Problem löst?
Der Arbeitsspeicher ist permanent auf 80% von 16GB. Das könnte erklären, warum das Queue-File nicht geöffnet werden kann, wenn das über 5GB hat. Mehr zuweisen von RAM dürfte kein Problem sein, aber ob es das Problem löst?
holdes
Captain
- Registriert
- Nov. 2007
- Beiträge
- 3.669
Wenn der nur Haken wegnimmt dann muss es auch mit denen laufen die schon da sind, das wird wohl nicht unbedingt die Ursache sein. Wie viel Prozent HDD sind noch frei auf der Exchange Partition der Datenbank?
RAM nimmt sich Exchange meistens mehr als es bräuchte, kann zwar nen Problem sein aber meistens nur wenn man unter 12GB vergeben hat. Ihr werdet euch da ja sicher mindestens ans empfohlene Minimum gehalten haben.
RAM nimmt sich Exchange meistens mehr als es bräuchte, kann zwar nen Problem sein aber meistens nur wenn man unter 12GB vergeben hat. Ihr werdet euch da ja sicher mindestens ans empfohlene Minimum gehalten haben.
Ja, wie gesagt 16GB. Habe mal auf 24 erhöht. Mach mir aber nicht zu viele Hoffnungen dazu. Die Datenbank liegt auf C: (ja, ich weiß. Aber nicht meine Schuld) und C: hat noch ca. 10%=50GB frei. Die Mailbox Database ist über 261GB groß.
holdes
Captain
- Registriert
- Nov. 2007
- Beiträge
- 3.669
Datenbanken kann man mit einem Befehl problemlos verschieben, das ist kein Problem wenn das mal irgendwann so sein soll. 10% könnten die magische Grenze sein, kannst du den vergrößern? Da müsstest du im Eventlog schon Warnungen bekommen. Ich weiß nur das ab 4GB freier HDD der Mailempfang eingestellt wird.
@forceafn Muss ich noch weitermachen. Die Nachrichtenverfolgung findet die Mails meines Privataccounts nicht. Nur die intern versandten unseres Überwachungssystems.
Hier mal ein Ausschnitt aus dem SmtpReceive. Der unrecognized authentication type kann auf TLS hinweisen? Interne IP und Domain soweit wie möglich anonymisiert.
2020-06-27T15:59:49.815Z,EX1\Default Frontend EX1,08D81AB19818B34B,2,192.168.x.x:25,185.143.75.153:55893,<,EHLO User,
2020-06-27T15:59:49.815Z,EX1\Default Frontend EX1,08D81AB19818B34B,3,192.168.x.x:25,185.143.75.153:55893,>,250 EX1.domain.local Hello [185.143.75.153] SIZE 37748736 PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XRDST,
2020-06-27T15:59:49.842Z,EX1\Client Frontend EX1,08D81AB19818B341,9,192.168.x.x:587,46.38.145.249:35714,>,504 5.7.4 Unrecognized authentication type,
2020-06-27T15:59:49.883Z,EX1\Client Frontend EX1,08D81AB19818B341,10,192.168.x.x:587,46.38.145.249:35714,<,QUIT,
2020-06-27T15:59:49.884Z,EX1\Client Frontend EX1,08D81AB19818B341,11,192.168.x.x:587,46.38.145.249:35714,>,221 2.0.0 Service closing transmission channel,
2020-06-27T15:59:49.884Z,EX1\Client Frontend EX1,08D81AB19818B341,12,192.168.x.x:587,46.38.145.249:35714,-,,Local
2020-06-27T15:59:49.968Z,EX1\Default Frontend EX1,08D81AB19818B345,7,192.168.x.x:25,46.38.150.132:50308,<,AUTH LOGIN,
2020-06-27T15:59:49.968Z,EX1\Default Frontend EX1,08D81AB19818B345,8,192.168.x.x:25,46.38.150.132:50308,*,Tarpit for '0.00:00:05' due to '504 5.7.4 Unrecognized authentication type',
2020-06-27T15:59:50.237Z,EX1\Default Frontend EX1,08D81AB19818B34A,4,192.168.x.x:25,212.70.149.82:29888,<,RSET,
2020-06-27T15:59:50.237Z,EX1\Default Frontend EX1,08D81AB19818B34A,5,192.168.x.x:25,212.70.149.82:29888,*,Tarpit for '0.00:00:05' due to '250 2.0.0 Resetting',
2020-06-27T15:59:50.503Z,EX1\Default Frontend EX1,08D81AB19818B346,6,192.168.x.x:25,185.143.73.41:43284,>,250 2.0.0 Resetting,
Ergänzung ()
Hier mal ein Ausschnitt aus dem SmtpReceive. Der unrecognized authentication type kann auf TLS hinweisen? Interne IP und Domain soweit wie möglich anonymisiert.
2020-06-27T15:59:49.815Z,EX1\Default Frontend EX1,08D81AB19818B34B,2,192.168.x.x:25,185.143.75.153:55893,<,EHLO User,
2020-06-27T15:59:49.815Z,EX1\Default Frontend EX1,08D81AB19818B34B,3,192.168.x.x:25,185.143.75.153:55893,>,250 EX1.domain.local Hello [185.143.75.153] SIZE 37748736 PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XRDST,
2020-06-27T15:59:49.842Z,EX1\Client Frontend EX1,08D81AB19818B341,9,192.168.x.x:587,46.38.145.249:35714,>,504 5.7.4 Unrecognized authentication type,
2020-06-27T15:59:49.883Z,EX1\Client Frontend EX1,08D81AB19818B341,10,192.168.x.x:587,46.38.145.249:35714,<,QUIT,
2020-06-27T15:59:49.884Z,EX1\Client Frontend EX1,08D81AB19818B341,11,192.168.x.x:587,46.38.145.249:35714,>,221 2.0.0 Service closing transmission channel,
2020-06-27T15:59:49.884Z,EX1\Client Frontend EX1,08D81AB19818B341,12,192.168.x.x:587,46.38.145.249:35714,-,,Local
2020-06-27T15:59:49.968Z,EX1\Default Frontend EX1,08D81AB19818B345,7,192.168.x.x:25,46.38.150.132:50308,<,AUTH LOGIN,
2020-06-27T15:59:49.968Z,EX1\Default Frontend EX1,08D81AB19818B345,8,192.168.x.x:25,46.38.150.132:50308,*,Tarpit for '0.00:00:05' due to '504 5.7.4 Unrecognized authentication type',
2020-06-27T15:59:50.237Z,EX1\Default Frontend EX1,08D81AB19818B34A,4,192.168.x.x:25,212.70.149.82:29888,<,RSET,
2020-06-27T15:59:50.237Z,EX1\Default Frontend EX1,08D81AB19818B34A,5,192.168.x.x:25,212.70.149.82:29888,*,Tarpit for '0.00:00:05' due to '250 2.0.0 Resetting',
2020-06-27T15:59:50.503Z,EX1\Default Frontend EX1,08D81AB19818B346,6,192.168.x.x:25,185.143.73.41:43284,>,250 2.0.0 Resetting,
Zuletzt bearbeitet:
holdes
Captain
- Registriert
- Nov. 2007
- Beiträge
- 3.669
Sieht tatsächlich so aus als ob niemand anonymes eine Mail an den Empfangsconnector liefern darf. Erklärt auch warum die in der Nachrichtenverfolgung gar nicht erst auftauchen. Was ist für Authentifizierungsmethoden sind denn da alle aktuell angehakt? Dann wissen wir schon mal ob’s Richtung TLS geht oder nicht nur ein Haken fehlt.
Das kann mein Fehler gewesen sein. Ich hatte vorher mal alle Haken und Unterhaken bei TLS und Basis Authentification gesetzt. Ich erzeuge nochmal Logs mit den Standardeinstellungen. Anonymous users habe ich bei allen Connectoren angehakt.
Oh ja. Ich glaube es geht nun. Ich habe bei sämtlichen Connectoren nun die Haken bei Enable domain security und Offer basic authentification only after starting TLS rausgenommen. Da muss gestern wohl eine andere Kombi am Start gewesen sein, die nicht funktioniert hat.
Ich bin geistig jetzt durch. Vielen lieben Dank an alle. Viel gelernt in den letzten zwei Tagen. Ich denke von hier aus, komm ich alleine weiter, um Stück für Stück wieder alles abzusichern.
@holdes Verstellt nachdem die Standardeinstellungen nach dem CU-Update auch nicht gingen. Da wird wohl nur ein Connector das Problem verursacht haben. Aber ich wollte die Extreme mal durchprobieren. War für heute ja kein Risiko. Vielleicht lag auch gestern der Fehler daran, dass ich den Transport-Service nicht neu gestartet habe.
Ich bin geistig jetzt durch. Vielen lieben Dank an alle. Viel gelernt in den letzten zwei Tagen. Ich denke von hier aus, komm ich alleine weiter, um Stück für Stück wieder alles abzusichern.
Ergänzung ()
@holdes Verstellt nachdem die Standardeinstellungen nach dem CU-Update auch nicht gingen. Da wird wohl nur ein Connector das Problem verursacht haben. Aber ich wollte die Extreme mal durchprobieren. War für heute ja kein Risiko. Vielleicht lag auch gestern der Fehler daran, dass ich den Transport-Service nicht neu gestartet habe.
holdes
Captain
- Registriert
- Nov. 2007
- Beiträge
- 3.669
Bei der Gelegenheit prüf mal online bei Franky oder anderen welche Haken da wo am besten sind bzw. Standard. Wenn du dann fertig bist kannst du ja mal überlegen einen anderen Speicher für die Datenbank zu erzeugen je nachdem was ihr da für Storage habt. Dafür gibts ne Menge Empfehlungen wie viel Pagefile, Partitionen etc. einiges davon kann man problemlos ändern ohne da alles abzuschiessen aber bitte erst wenn wirklich alle Probleme behoben sind. Wie viele User greifen auf den Exchange zu? Da könnte man im Zweifel auch über bisschen mehr RAM nachdenken je nachdem wie viele es wirklich sind.
@holdes Das mach ich auf jeden Fall. Die Standard-Einstellungen hab ich mir eigentlich von einer Microsoft-Page geholt. Aber vielleicht war da irgendwas nicht mehr aktuell. Ideal wäre natürlich reines TLS1.2, aber das erzwingen viele noch nicht. Hab auch im 1st-Level im Banken-Sektor gearbeitet und da war ausschließlich nur noch TLS1.2 gefragt. U.a. weil unser Mailanbieter der ersten Domain für seinen Relay-Server keine TLS-Verschlüsselung anbietet, sind wir momentan so stark dran, das abzusichern, damit wir umziehen können. Die Datenbank schau ich mir als nächstes an, wenn das TLS-Thema geklärt ist. RAM habe ich auf 24GB gesetzt, aber da haben wir noch genügend zum aufstocken. Muss ich unter Last mal beobachten.
Übrigens: Habt ihr zwei PayPal für ne kleine Spende?
Übrigens: Habt ihr zwei PayPal für ne kleine Spende?
holdes
Captain
- Registriert
- Nov. 2007
- Beiträge
- 3.669
Ich hab meinen auch so eingestellt das ich bei SSLLabs damit volle Bewertung bekomme was Cipher Suites angeht und TLS, es gibt ja auch schon 1.3. Wenns ganz hart auf hart kommt und die Gegenstelle das nicht beherrscht liefert er sowieso auf Port 25 unverschlüsselt ein. Wiederum ist es bei mir aber auch total Wurst weil die Mails die UTM annimmt und das tut sie übrigens auch nur mit TLS 1.2.
PS: vielen Dank für dein Angebot aber dafür musst du wirklich nichts spenden, der Dank genügt und dafür ist eine Community ja auch da. Ich kann mir gut vorstellen wie viele Steine dir da vom Herzen gefallen sind
.
PS: vielen Dank für dein Angebot aber dafür musst du wirklich nichts spenden, der Dank genügt und dafür ist eine Community ja auch da. Ich kann mir gut vorstellen wie viele Steine dir da vom Herzen gefallen sind
.
Zuletzt bearbeitet:
Ähnliche Themen
