Hunduster

Hallo zusammen,

wir haben aktuell auf der Arbeit zwei 16-Bay QNAPs als Backupziel. Eines steht im Headquarter das andere im RZ. Beide syncen sich falls die Hütte mal abbrennt.

Die QNAPS sind nun gut 6 Jahre alt und vom Hersteller auch als Legacy deklariert worden dieses Jahr. Hinzu kommt, dass nun allmählich der Speicher etwas dünn wird.

Aktuell überlegen wir, ob wir auf TrueNAS umsteigen sollen. Leider stellt sich die Kommunikation mit IX-Systems, sehr schwierig dar, da wir hier nur einmal die Woche eine Antwort bekommen. Aus dem Grund haben wir uns aktuell ein TrueNAS System von Thomas Krenn auf Papier zusammenstellen lassen.

Meine Frage an Euch wäre daher: hat jemand von Euch TrueNAS im Business laufen und ggf. auch Erfahrung mit Thomas Krenn? Wir sind sonst sehr Dell verwöhnt mit ProSupport und allem.

Kommen die Mails auch auf beiden Systemen an? Soweit ich weiß nimmt IONOS keine Mails mehr an, wenn man die MX Einträge einer Domain woanders hinzeigen lässt.

vor 11 Stunden schrieb cobratc11.ls:

Wieso nicht auf eine neuere sophos serie wechseln?

Wir haben aktuell zwei XG in einer Niederlassung und sind mit der leider auch nicht Happy. Zudem hat Sophos massiv an Update-Qualität und Support nachgelassen. Dass haben wir die letzten Jahre leider auch merken müssen.

Normalerweise würde ich zudem nun sagen, dass Sophos bei Gartner ja massiv abgerutscht ist aber dann dürfte ich auch nicht nach OPNsense fragen…

Hallo zusammen,

ich benötige mal Euren Rat.

Hintergrund ist, dass wir aktuell noch Sophos UTM im Einsatz haben, welche bekanntlich recht veraltet ist und nun zum Sommer 2026 endgültig abgekündigt wird.

Aus diesem Grund haben wir uns bereits im Frühjahr 2022 mit dem Thema beschäftigt und auf Anraten eines Systemhauses die halbe Produktpalette von Fortinet bestellt.

Forti war leider kaum Lieferfähig, sodass wir erst im Februar 2023 alles an Hardware erhalten haben. Unsere bestellten Lizenzen wurden aber im Sommer 2022 zwangsaktiviert. Nach mehreren Diskussionen mit Forti, wollte man uns dafür keinen Ausgleich geben, sodass dieser nun vom Systemhaus übernommen wurde - in Form einer Lizenzverlängerung hinten raus.

Aktuell sind wir in dem Projekt mit dem Systemhaus die Forti-Sachen zu konfigurieren. Um die Dienste der UTM abzulösen haben wir 2x Fortigate für HA, 1x FortiMail Applicane und 1x FortiSandbox Appliance.

Leider kommen mir allmählich Zweifel was das Ganze angeht. Als UTM Admin, der das Zeug die letzten Jahre quasi geatmet hat, werde ich speziell mit der Fortigate einfach nicht warm, wenngleich es wohl aktuell der heiße Sch*** auf dem Markt ist. Hinzu kommen immer wieder Fallstricken, die vorher vom Systemhaus nicht bedacht worden. Darunter wäre:

• Fortimail kann nur 10 SMIME Zertifikate
  • Wir müssen ein weiteres Produkt einsetzen um weiterhin SMIME machen zu können (wird leider von vielen Kunden gefordert)
• Wir haben nur eine Fortimail Appliance und damit keine Redundanz
• Fortigate hat keine richtige WAF und kann keine Hostheader
  • Ergo müssen wir für jeden einzelnen Webdienst eine dedizierte IP Adresse nutzen wodurch wir nun neue IPv4 Adressen einkaufen mussten

Generell zeigen sich immer mehr Fallstricken bei uns auf und man bekommt den Eindruck, dass wir nicht gut beraten worden und uns selber zu wenig Gedanken gemacht haben; das gebe ich zu. Dadurch wird das Ganze nur immer teurer und Fortinet ist nun auch nicht gerade günstig.

Im Homelab habe ich nun von UTM auf OPNsense gewechselt. Als Mailgateway setze ich Proxmox ein und bin wirklich sehr Happy mit den Lösungen. Alle UTM Admins die ich kenne haben ein ähnliches Konstrukt laufen.

Wenngleich Fortinet aktuell Leader in dem Bereich ist, tauchen OpenSource Produkte an der Stelle ja gar nicht in Erscheinung.

Natürlich sagt mir jeder, dass man nichts besseres als Fortinet im Business Bereich machen kann.
Dennoch frage ich mich, ob irgendjemand eine OPNsense, pfsense oder Vergleichbares guten Gewissens im Business Bereich aktiv laufen hat oder ob ich mich einfach auf Fortinet einlassen soll/muss.

Am 4.6.2022 um 08:31 schrieb bigvic:

@Hunduster
Den Artikel hast bestimmt schon gesehen: https://www.heise.de/news/Mangel-an-IT-Fachkraeften-treibt-Gehaelter-durch-die-Decke-7130630.html

Ich würde also jetzt ziemlich agressiv verhandeln. Denn jemand neues suchen und finden (für dein Gehalt) und einarbeiten und Risiko haben und und und .. macht schlicht kein Sinn für deine Firma. Da kommt sie mit 20k mehr p.a. schon günstig davon imho.

Ja, hab ich schon gesehen. Ich denke das Problem bei der Diskussion wird eben der große Sprung sein. Aber wie @Rabber schon sagte, kann man das ja auch auf 1-2 Jahre festschreiben.

Ich hatte gestern noch einmal mit meinem alten Ausbilder telefoniert, der mittlerweile bei einem großen Systemhaus Abteilungsleiter ist. Der hat auch gesagt das bei denen die Consultants zwischen 85-90k p.a bekommen und ich da definitiv nachjustieren muss.

vor 3 Stunden schrieb allesweg:

11 Stunden Erreichbarkeit/Rufbereitschaft Mo-Fr, Januar-Dezember? Im Urlaub täglich 1x am Rechner? Hast du eine Ziffer vorm Gehalt vergessen?

 

😄 leider nein...

vor 3 Stunden schrieb Brapchu:

Das heißt ihr habt defacto eine 55 Stunden Woche. Du kannst ja in der Zeit in der du "erreichbar" sein musst nichts wirklich machen.

Richtig. Wir reagieren in der Zeit jedoch nur bei "Notfällen" also wenn einer ein Update oder eine Softwareinstallation haben will, machen wir das nicht in dieser Notfallzeit.

vor 2 Stunden schrieb bigvic:

@hunduster

Bist du der IT-Leiter bzw an wen berichtest du - CIO oder CFO/CEO? Auf den ersten Blick in Düsseldorf als IT Leiter einer KMU im Finanzumfeld sollten 20k mehr kein Problem sein. Die  KMU (200+) IT Leiter die ich in Großstädten kenne verdienen nicht unter 100k.

Ich bin der "IT-Leiter" und berichte direkt an den obersten CEO. Wir haben seit 2 Monaten nun das erste mal einen CFO, der (zumindest aktuell) aber keine Weisungsbefügnis mir gegenüber hat bzw. das ganze Thema IT nicht in seinen Bereich fällt. Große Investitionen werden im gesamten Partnerkreis abgestimmt.

vor 5 Minuten schrieb allesweg:

@Hunduster Manager mit mittlerweile einem Untergebenem und vielleicht bald 2, Kernzeit in den 11h Rufbereitschaft, teilweise bis spät Abends? Wie wird mit Mehrstunden umgegangen? Erreichbarkeit im Urlaub? Weil Einzelkämpfer/nur zu zweit...

Kurz: wie viel wurde dir in den Anfragen geboten und warum verlangst du dieses Gehalt nicht vom aktuellen AG?

Laut Arbeitsvertrag haben wir eine 40 Stunden Woche.

Die Arbeitszeiten kamen damals als Einzelkämpfer schon zustande, als ich noch von 09.00-18.00 Uhr gearbeitet habe, die Mitarbeiter aber schon kurz vor 8 oder nach 19.00 Uhr anriefen und ich damit nicht einverstanden war.

Wir haben dann damals mündlich festgelegt, dass wir die Kernarbeitszeit und Anwesenheit auf 10.00-16.30 Uhr festlegen und ab 08.00 Uhr bis maximal 19.00 Uhr erreichbar sein müssen. Unsere Handys sind auch entsprechend so eingestellt. Damit ist dann alles an Mehrstunden aber abgegolten. Fairerweise muss man dazu sagen, dass es nun nicht so ist, dass vor oder nach der Kernarbeitszeit permanent das Handy klingelt. Im besten Fall haben wir eine 30 Stunden Woche, wenn keiner die Rufbereitschaft nutzt.

Erreichbarkeit ist, zumindest für mich, im Urlaub gegeben. Jedoch nicht für die Benutzer sondern nur für meinen Kollegen auf meiner Privatnummer. Dennoch aber sitze ich im Urlaub mindestens einmal am Tag am Notebook und beantworte Mails. Meist, weil die Kollegen mitbekommen haben, dass ich außer Haus bin und versuchen, uns ITler gegeneinander auszuspielen (neues iPhone, Softwareinstallationen etc.).

Die Anfragen der Headhunter sind in den meisten Fällen nicht konkret. Wenn dann nur, wenn man mir eine Stelle als Sysadmin anbietet. Dann waren es immer um die 56-60k. Diejenigen die mir Führungspositionen als Teamleiter etc. angeboten haben, wollten vor den Zahlen immer erst Gespräche führen, auf die ich nicht eingegangen bin. Im Nachhinein vielleicht ein Fehler von mir.

Hallo zusammen,

da bei mir im im Juli auch wieder mein Jahresgespräch ansteht, wollte ich Euch mal um Eure Meinung zum Thema Gehalt fragen.

Ich bin bei meinem aktuellen Arbeitgeber nun seit 7,5 Jahren als IT-Manager angestellt, bekomme wöchentlich auch Angebote bei LinkedIn etc. aber habe mich nie mit einem Wechselgedanken beschäftigt.

Unser Unternehmen setzt sich aus insgesamt 6 Gesellschaften zusammen wobei eine Gesellschaft alle internen Dienstleistungen für die Gruppe bereitstellt.

Wir sind, abgesehen von MS Teams, komplett on Premise unterwegs. Diese Strategie fahren wir ganz bewusst, da die meisten unserer Kunden aus dem Banken- und Versicherungssektor kommen und die TOMs hier knallhart sind.

Wir betreiben also eine eigene Serverlandschaft mit aktuell 38 VMs, haben in Summe aktuell 4 Niederlassungen in Deutschland und Österreich.

In der IT arbeiten wir fix von 10.00-16.30 Uhr, haben im Umkehrschluss aber Rufbereitschaft von 08.00-19.00 Uhr.
Serverwartungen machen wir einmal im Monat am MS-Patchday in der Nacht, da unsere Berater auch bis spät Abends (23-24.00 Uhr ist hier keine Seltenheit) und am Wochenende arbeiten. Gleichzeitig halte ich mir die Wochenenden aber auch strikt frei, sofern möglich.

Über meinen Schreibtisch laufen quasi alle IT-Themen von der Budgetplanung, Einkauf, Infrastruktur bis hin zum Enduser-Support.

Die ersten 6 Jahre war ich eine One-Man-Show. Seit letztem Jahr haben wir noch einen IT Mitarbeiter, der mir untersteht. Da das Unternehmen in der Coronazeit massiv gewachsen ist (von 55 auf 140 Mitarbeiter), haben wir nun vor wenigen Wochen noch eine weitere IT-Stelle ausgeschrieben.

Darüber hinaus kam vergangenes Jahr eine Private Equity mit on Board, die richtig Geld in unser Unternehmen rein gepumpt hat. Ziel ist es nun, kleinere Beratungshäusern zu schlucken/bei uns zu integrieren. Hier sind aktuell wohl zwei Unternehmen im Fokus womit pro Unternehmen noch einmal 30-40 Mitarbeiter (Non-IT) auf einen Schlag hinzukommen würden - beide Unternehmen haben keine eigene IT und müssten daher von uns in Zukunft mitversorgt werden.

Ich hatte im Grunde bisher jedes Jahr eine Gehaltserhöhung. Anfänglich um die 250€ im Jahr, 2020 & 2021 dann jeweils 500€ brutto.

Zitat

Bei allem was man aktuell in der Fachpresse liest und bei den Gehaltsanforderungen unserer Bewerber (gemessen an deren Qualifikation zum Teil jenseits von gut und böse), frage ich mich um meinen Wert. Bin bin von den Eindrücken halt maximal verwirrt ob ich nun angemessen, gut oder "schlecht" für meine Position verdiene.

Mein ursprünglicher Gedanke, den ich schon recht frech fand war, dieses Jahr eine Gehaltserhöhung von 1.000€ anzupeilen. Ich wäre damit bei einem Brutto Grundgehalt von 84.000€ p.a.

Ich frage mich auf der einen Seite, ob meine Forderung - gemessen an der Branche meines Arbeitgebers, der Mitarbeiteranzahl und der Führung von zwei Mitarbeitern - angemessen ist oder ob ich zu hoch oder gar zu niedrig liege.

Alter: 34

Wohnort: Viersen

letzter Ausbildungsabschluss (als was und wann): FISI 2009

Berufserfahrung: 13 Jahre

Vorbildung: Mittlere Reife

Arbeitsort: Düsseldorf

Grösse der Firma: 140

Tarif: /

Branche der Firma: Unternehmensberatung

Arbeitsstunden pro Woche laut Vertrag: 40

Arbeitsstunden pro Woche real: 36

Gesamtjahresbrutto: 72.000

Anzahl der Monatsgehälter: 12

Anzahl der Urlaubstage: 26

Sonder- / Sozialleistungen: 50€ Tankgutschein/Monat

Variabler Anteil am Gehalt: -

Verantwortung: 2 Mitarbeiter

Tätigkeiten (Aufgaben/Aufgabenbereich): IT Manager

Hallo zusammen,

vielen Dank für die zahlreichen Antworten.

Wir haben in der Zwischenzeit noch einmal verschiedene Clients und VMs getestet und vermuten, dass es an einer Inkompatibilität unserer Sophos Endpoint Protection liegt.

Deaktivieren reicht hier leider nicht. Nur wenn diese komplett deinstalliert ist und wir mit dem Windows Defender unterwegs sind, kommen wir durch die Endpunktanalyse und zur Anmeldemaske.

Bei unserem Kollegen wo es die ganze Zeit funktioniert hat, haben wir festgestellt, dass die Sophos bei ihm einen Hau weg hatte und nicht richtig installiert war.

Ich habe das dem Kunden nun mitgeteilt und sie wollen bei sich noch einmal gucken, ob sie hier etwas ändern können. Ist leider eine sehr schwierige Kommunikation da wir nur Kontakt mit dem 1. Level haben, der das ganze dann in beide Richtungen durchreicht -.-
 

Hallo zusammen,

wir haben bei einem Mitarbeiter aktuell das Problem, dass dieser nicht auf die Citrix Umgebung eines Kunden kommt. Bis vor wenigen Wochen lief noch alles einwandfrei bis plötzlich die Citrix Endpunktanalyse ihn nicht mehr reinlassen will.

Unsere Rechner sind alle mittels Master betankt. Es gibt hier keine Unterschiede in der Konfiguration oder der Software.
Alle Kollegen in seinem Team können das Citrix des Kunden nutzen, nur besagter Mitarbeiter nicht.

Vor der Anmeldemaske am Citrix Gateway, läuft die Endpunktanalyse durch und schließt mit folgendem Fehler ab:

Hierdurch kommen wir erst gar nicht zur Anmeldung selbst.

Wir haben nun die Citrix Workspace App und die Endpunktanalyse mehrfach neu installiert und auch verschiedene Versionen probiert. Antiviren Definitionen sind aktuell - wir haben das Antivir auch einmal komplett deinstalliert. Die Maschine ist Windows 10 x64 21H2, den angegebenen Dienst "CcmExec" finde ich bei keinem Kollegen. Bisher blieben alle unsere Versuche leider ohne Erfolg.

Als Kreuztest haben wir besagten Mitarbeiter gebeten sich mit seinem Citrix Login auf einem Notebook seines Kollegen beim Kunden anzumelden. Hier läuft die Endpunktanalyse durch, der Kollege kann sich via Webinterface authentifizieren. Beim Start des virtuellen Desktops erhält er dann aber die Meldung "Der Desktop 'Desktop Dedicated ' ist aufgrund von geplanter Wartung vorübergehend nicht verfügbar".

Die Kunden IT ist hier bisher auch wenig hilfreich und schreibt uns nur:

Zitat

Sein Notebook ist nicht in Ordnung. Wir Supporten fremde Rechner nicht. Hier muss die IT seiner Firma prüfen, warum es mit dem einen geht und mit dem anderen nicht.

Die Ihm zugeordnete VDI startet nicht, hier im Citrix Director einmal schauen was mit der VDI los ist.

Ich bin hier leicht am verzweifeln, da ich nicht wirklich Citrix Affin bin, die Kunden IT uns nicht viel weiterhelfen kann/will und weil ich nicht weiß, was ich noch tun soll. Fakt ist, dass unser Mitarbeiter seit Tagen auf dem Projekt nicht mitwirken kann.

Danke für Eure Antworten,

ich konnte nun das Dell bei uns durchsetzen. Zu meiner eigenen Überraschung, ohne großen Widerstand.

Hallo zusammen,

bei uns steht die Anschaffung eines neuen Storage für unseren VMware Cluster an, da unser aktuelles System (Dell) EoL ist und wir hier auch keine Support-Verträge verlängern können.

Zur Debatte steht nun ein Dell PowerStore 500T sowie ein Huawei OceanStor Dorado 3000.

Das Huawei wird uns von unserem Distributor wärmstens empfohlen, da er das System schon mehrfach an Kunden verkauft hat und man hiermit von der Performance bis hin zum Support wohl sehr gute Erfahrungen gemacht hat. Für uns interessant ist natürlich die Preisdifferenz von ~30k bei selbiger Konfiguration.

Unabhängig von irgendwelchen politischen Diskussionen wollte ich einmal fragen, ob einer von Euch bereits Erfahrungen mit Huawei Hardware im Infrastruktur-Bereich gesammelt hat.
Ich habe neben Dell vorher mit Fujitsu gearbeitet (arbeiten müssen) welche mich nicht überzeugen konnte. Mit Dell habe ich, gerade im ProSupport, TOP Erfahrungen gemacht die letzten 13 Jahre und habe nun ein wenig Sorge am falschen Ende zu sparen; wenn es drauf ankommt.

Gerade eben schrieb Takeshi95:

Also wird das doch über den Mail Flow geregelt? Okay, so hatte ich das nicht verstanden, aber gut zu wissen, danke!

Wie gesagt habe ich wenig Ahnung von M365, wir nutzen selber nur Teams und sind ansonsten ausnahmslos on Prem unterwegs.

Aber wenn es um das Kontingent von gesendeten Mails geht muss ja einer die Dinger entgegen nehmen. Und das wird in deinem Fall der Crux sein.
 

Alternativ könntest du auch alle Mails über deinen eigenen Exchange entgegen nehmen und über die Hybrid Schnittstellen zu EXO durchreichen. Ob an der Schnittstelle auch besagter Zähler läuft, vermag ich nicht zu sagen.

Falls ja, würdest du ja nur die Mails an EXO durchreichen, deren Postfächer dort liegen. Wenn nur das Info@ derart Masse produziert, bist du fein raus. Sollte besagter Zähler dort nicht laufen (was ich nicht glaube), könntest du auch das Info@ in der Cloud lassen und missbrauchst deinen lokalen Exchange als Relay.

Ich bin persönlich nicht so M365 Affin und Verfechter von On Premise Lösungen.

Du kannst in jedem Fall aber die Postfächer in einer Hybridumgebung aufteilen, wie du lustig bist; die einen in der Cloud, die anderen on Prem.

Die eigentliche Frage ist aber generell der Mailflow. Wer soll die Mails denn am Ende annehmen?

Wenn ich dich richtig verstanden habe beschränkt MS das Limit von ein- und ausgehenden Mails auf 10k pro Postfach.
Es geht also nicht um die Postfachgröße.

Ergo bedeutet dies, dass die MX-Einträge für eingehende Mails ja dennoch auf MS zeigen und MS die Mails für das Info Postfach dann nur an euren lokalen Exchange durchreicht. Dennoch wird bei MS hierfür der Zähler für ein- und ausgehende Mails weiter laufen; egal wo das Postfach liegt.

Du könntest dem nur dann entgegen kommen, wenn du zumindest ausgehende Mails von deinem lokalen Exchange NICHT über die SMTP Server von MS sondern deinen eigenen Anschluss jagst. Die Frage ist nur, wie lange Euch damit am Ende geholfen ist.

Gedanken würde ich mir dann auch noch um das Thema Firewall vor dem on prem Exchange, statische IP Adresse etc. machen.

vor 20 Minuten schrieb Maniska:

Ok, damit wäre zwar das Problem identifiziert, aber eine Lösung kann/will/wird MS nicht bieten? Offensichtlich tritt das Problem ja einzig aufgrund deren interner Relaystruktur auf.

Die Lösung ist, deren SPF Record bei uns zu setzen.

Ich empfinde das auch als Nötigung aber anders geht es wohl nicht.

Hallo nochmal,

so, nachdem meine Recherchen alle ins Leere liefen, hatte ich einen Blog gefunden, der selbiges Problem bei einem einzigen M365 Kunden hatte. Nach 30 Stunden und Hilfe von Microsoft konnte das Problem aber wohl nie gelöst werden.

Unser Kunde hatte in der Zwischenzeit auch noch einmal ein Ticket bei Microsoft eröffnet. Man ist nun wohl an einen Techniker geraten, der das Problem ausfindig machen konnte.

Zur Erinnerung:

Wir haben einen M365 Tenant um MS Teams zu nutzen. Unser Exchange ist NICHT im Hybridmodus und wir haben auch kein Problem E-Mails an andere M365 Kunden zu senden.

Zitat

This situation occurs if both sender and recipient are in the same EOP forest and from the header you can see sender has HE1EUR02FT095 and recipient has VE1EUR02FT072 so both tenants have EOP forest EUR02.

Wir sind mit besagtem Kunden zufällig im selben EOP Forest wodurch dieser Fehler wohl durch das Relay untereinander entsteht.

Hallo noch einmal,

ich hatte heute Morgen noch einmal unsere Config mit einem M365 Spezi eines externen DLs angesehen.

Er sieht den Fehler auch nicht bei uns.

Unser Exchange ist in keiner Weise mit EXO verknüpft. Alle DNS-Einträge zeigen ausnahmslos auf unsere on Prem Infrastruktur. Wir haben den Mailversand auch noch einmal mit M365 Postfächern getestet und alles geht sauber durch. Es betrifft also wirklich nur diesen einen Kunden.

Ich habe den Ball daher nun einmal zurück gespielt.

vor 1 Minute schrieb Maniska:

Alternativ könnte man auch laut überlegen sich aus der M365 Welt zurückzuziehen. "Ach der Mist passiert wegen Teams.. Naja, so dringend brauchen wir das nicht".

Nur leider weiß jeder, dass das ein hohler Bluff ist und man spätestens wenn MS den Exchange nicht mehr (bezahlbar) für OnPrem anbietet doch wieder um die Ecke kommt (kommen muss).

Ich fände es aber auf jeden Fall gruselig wenn MS den Mail-Header so vergewaltigt dass der ursprüngliche Absender nicht mehr ersichtlich ist, und damit durchkommt. Aber das ist nur meine Meinung.

...Teams ist leider alternativlos. Habe mich auch lange dagegen gewehrt...

Dieser Cloud-Zwang geht mir halt auf die Nüsse. Frei nach Tolkien: „Ein Dienst sie zu finden, ins Dunkel zu treiben und ewig zu binden.“

Anbei mal das Log des Kunden:

Received
Hop: 1
From: mail.das-sind-wir.de

Hop: 2
From: mail.das-sind-wir.de (unser.schoene.ip.adresse)
By: AM5EUR02FT020.mail.protection.outlook.com (10.152.8.125)
With: Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
Id: 15.20.4909.7
Via: Frontend Transport
Date: 1/21/2022 12:40:48 PM
Delay: 27379420 minutes 48 seconds
Percent: 99.99999908690546

Hop: 3
From: AM5EUR02FT020.eop-EUR02.prod.protection.outlook.com (2603:10a6:20b:31f:cafe::db)
By: AS8P189CA0016.outlook.office365.com (2603:10a6:20b:31f::7)
With: Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
Id: 15.20.4909.12
Via: Frontend Transport
Date: 1/21/2022 12:40:49 PM
Delay: 1 second
Percent: 6.087296965202508e-8

Hop: 4
From: AS8P189CA0016.EURP189.PROD.OUTLOOK.COM (2603:10a6:20b:31f::7)
By: AS1PR01MB9081.eurprd01.prod.exchangelabs.com (2603:10a6:20b:4db::14)
With: Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
Id: 15.20.4909.8
Date: 1/21/2022 12:40:49 PM
Delay: 0 seconds

Hop: 5
From: EUR05-AM6-obe.outbound.protection.outlook.com (40.107.22.55)
By: VE1EUR02FT044.mail.protection.outlook.com (10.152.13.51)
With: Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
Id: 15.20.4909.7
Via: Frontend Transport
Date: 1/21/2022 12:40:54 PM
Delay: 5 seconds
Percent: 3.043648482601254e-7

Hop: 6
From: VE1EUR02FT044.eop-EUR02.prod.protection.outlook.com (2603:10a6:208:69:cafe::cf)
By: AM0PR03CA0085.outlook.office365.com (2603:10a6:208:69::26)
With: Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
Id: 15.20.4909.12
Via: Frontend Transport
Date: 1/21/2022 12:40:54 PM
Delay: 0 seconds

Hop: 7
From: AM0PR03CA0085.eurprd03.prod.outlook.com (2603:10a6:208:69::26)
By: AM7PR03MB6625.eurprd03.prod.outlook.com (2603:10a6:20b:1b7::16)
With: Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
Id: 15.20.4909.11
Date: 1/21/2022 12:40:54 PM
Delay: 0 seconds

Hop: 8
From: EUR05-DB8-obe.outbound.protection.outlook.com (104.47.17.109)
By: VE1EUR02FT042.mail.protection.outlook.com (10.152.13.70)
With: Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
Id: 15.20.4909.7
Via: Frontend Transport
Date: 1/21/2022 12:41:03 PM
Delay: 9 seconds
Percent: 5.478567268682257e-7

Hop: 9
From: VE1EUR02FT042.eop-EUR02.prod.protection.outlook.com (2a01:111:e400:7e1e::45)
By: VE1EUR02HT117.eop-EUR02.prod.protection.outlook.com (2a01:111:e400:7e1e::298)
With: Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
Id: 15.20.4909.7
Date: 1/21/2022 12:41:03 PM
Delay: 0 seconds

ForefrontAntiSpamReport
Country/Region: NL
Language: en
Spam Confidence Level: 9
Spam Filtering Verdict: SPM
IP Filter Verdict: NLI
HELO/EHLO String: EUR05-AM6-obe.outbound.protection.outlook.com
PTR Record: mail-am6eur05on2055.outbound.protection.outlook.com
Connecting IP Address: 40.107.22.55
Protection Policy Category: HSPM
Spam rules: (4636009)(2616005)(19627235002)(108616005)(36756003)(166002)(66574015)(6666004)(6916009)(966005)(26005)(15974865002)(4001150100001)(7696005)(15650500001)(24736004)(83380400001)(33964004)(7636003)(336012)(54906003)(4326008)(30864003)(8676002)(107886003)(118246002)(45080400002)(8636004)(5660300002)(1096003)(6486002)(53546011)(36736006)(81226003)(16416004)(579004)(559001)
Source header: CIP:40.107.22.55;CTRY:NL;LANG:en;SCL:9;SRV:;IPV:NLI;SFV:SPM;H:EUR05-AM6-obe.outbound.protection.outlook.com;PTR:mail-am6eur05on2055.outbound.protection.outlook.com;CAT:HSPM;SFS:(4636009)(2616005)(19627235002)(108616005)(36756003)(166002)(66574015)(6666004)(6916009)(966005)(26005)(15974865002)(4001150100001)(7696005)(15650500001)(24736004)(83380400001)(33964004)(7636003)(336012)(54906003)(4326008)(30864003)(8676002)(107886003)(118246002)(45080400002)(8636004)(5660300002)(1096003)(6486002)(53546011)(36736006)(81226003)(16416004)(579004)(559001);DIR:INB;
Unknown fields: DIR:INB;

AntiSpamReport
Bulk Complaint Level: 0
Source header: BCL:0;

Other
ARC-Seal: i=2; a=rsa-sha256; s=arcselector9901; d=microsoft.com; cv=pass; b=HWLM3lQ/3z5nVP8XGYrgxvQbDVm31LULLqP9PMsjoCYoTIMowALLBYEht4CJ2gsMgkVvfpgxaYJ1MitHOcHRQcKbi06mzj5k1CnKEMzoj6TKwT7kYATTi5c/NDLziGq0Imdj2Rrtb8I5XMVDRehxdNAgZ1JAICPbAxs0warX+oaQPRoyGgVbHr717sKSqmboKti31sOFTwUQBttmSEHRhB+0GWxNSAH6dvWnaisgHv7f5YBSEB0Zt3cli8LSFBQqYLYXid5n/zyrk4+dkN/ovWkc0I3wmdvCLWnCLCpvvD3a4mlWCPM6vy+js9bJciWAPDQBF/3qsfqekzlX5ZJ1oA==
ARC-Message-Signature: i=2; a=rsa-sha256; c=relaxed/relaxed; d=microsoft.com; s=arcselector9901; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-AntiSpam-MessageData-ChunkCount:X-MS-Exchange-AntiSpam-MessageData-0:X-MS-Exchange-AntiSpam-MessageData-1; bh=eqVREp6jx5iDAPjGXNuDkJxSI7OdfeU1w3KCkxANNJI=; b=MUolKrq4lNaexdB5Lk4LqoTMQy7YFShDhKgpQDBKcPTQQpfQv95TOAjI1ylnG78WU0AlViEnJ+4bg0KI5um0QC8uxVoCEdqhAG+IOJGpUl0tEkJulf0qcINLRrPoRnMokWi45Dswv2gNcRNq1EqBc0U2a/kVhdH0w9Ly2IOTVVxvwpXTw9HRv38VnsKhBogzwiASxXEeDoA72KCXNN4dEBh1YSelhw32noWSbwAlzrALYxR8GhmltbLOp1Lei7KWbJk0HpcwZaJX1IUQKZKVPr1tBlZ3bY6Uitffb7u5d6I78DfDwuZqxFL3XMB7us7bz2X14A3EVMHevTV9ZwjK/Q==
ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=fail (sender ip is 40.107.22.55) smtp.rcpttodomain=acp.de smtp.mailfrom=das-sind-wir.de; dmarc=pass (p=reject sp=reject pct=100) action=none header.from=das-sind-wir.de; dkim=fail (no key for signature) header.d=das-sind-wir.onmicrosoft.com; dkim=pass (signature was verified) header.d=das-sind-wir.de; arc=pass (0 oda=1 ltdi=1 spf=[1,1,smtp.mailfrom=das-sind-wir.de] dkim=[1,1,header.d=das-sind-wir.de] dmarc=[1,1,header.from=das-sind-wir.de])
Authentication-Results: spf=fail (sender IP is 40.107.22.55) smtp.mailfrom=das-sind-wir.de; dkim=pass (signature was verified) header.d=das-sind-wir.de;dmarc=pass action=none header.from=das-sind-wir.de;compauth=pass reason=100
Received-SPF: Fail (protection.outlook.com: domain of das-sind-wir.de does not designate 40.107.22.55 as permitted sender) receiver=protection.outlook.com; client-ip=40.107.22.55; helo=EUR05-AM6-obe.outbound.protection.outlook.com;

vor 2 Minuten schrieb Chief Wiggum:

Hilft aber auch nicht... auch mit einem On-Prem-Exchange ohne Teams kann man massive Probleme haben, seine Mails in die EXO-Welt abzuliefern..

Das Problem muss definitiv sauber gelöst werden. Ich will keine temporärer "Bastellösung". Es muss ja möglich sein hier zu klären, was genau MS da macht und warum. Einfach die MS IPs freizugeben ist für mich aber keine Lösung. Allen voran weil wir die Thematik bei keinem anderen unserer M365 Kommunikationspartner haben.

Hallo zusammen,

vielen Dank für die prompten Antworten.

Ich befinde mich passenderweise im Urlaub und sitz erst jetzt wieder am Rechner. Parallel hatte ich auch noch zwei Dienstleister aus der M365 Welt mit ins Boot geholt, die mir die Frage auch nicht zu 100% beantworten konnten und eher dazu tendierten, den SPF Record von MS doch einfach zu schalten. Nur das ist ja genau das, was wir nicht wollen.

Ich selber habe MS noch nicht mit ins Boot geholt, der Kunde aber wohl schon. Wobei der Hinweis von MS hier auf das klassische SPF ging und keinen Bezug auf unsere Konfiguration hatte.

 

vor 7 Stunden schrieb Maniska:

Ich bin eher im Lager "macht keinen Sinn", weil:

• es nur einen Kunden bei M365 betrifft und nicht alle
• das "Austauschen" des ursprünglichen, externen Absenders innerhalb des MS-Universums doch recht dubios wäre.
  • Wenn MS das per Default machen würde, müssten noch viel mehr "O365 ja, Exchange on Prem nein" Kunden betroffen sein, dann würde sich dazu auch einiges im Internet finden

Da bin ich eben auch bei dir. Das Problem würde ja generell auch andere Kommunikationspartner von uns betreffen und am Ende müssten ja zig Serveranbieter MS im SPF autorisieren, weil die sich als Relay ausgeben.

Ich warte hier nun noch auf die Antwort von einem DL und bin gespannt. Halte Euch auf dem Laufenden.

Hallo zusammen,

wir haben aktuell leider bei einem Kunden das Problem, dass unsere E-Mails an den Kunden aufgrund einer fehlgeschlagenen SPF Prüfung im SPAM landen.

Wir selber sind, abgesehen von MS Teams, komplett in Premise unterwegs. Unser Exchange Server steht also auch bei uns.
Alle eingehenden und ausgehenden Mails laufen über unsere Firewall. Eingehende MX Einträge zeigen ausschließlich auf unsere IP Adressen, entsprechend sind unsere SPF Einträge auch nur auf diese IP Adressen ausgewiesen.

Besagter Kunde konnte nun anhand der Routing Protokolle aus machen, dass unsere Mails bei MS über 9 Hops geleitet werden. Ab dem dritten Hop fungiert MS als Relay für unsere Domain, wodurch am Ende die SPF Prüfung fehl schlägt.

Der Kunde bittet nun darum unseren SPF Eintrag um die Range von Microsoft zu erweitern, da er der Meinung ist, dass durch unseren MS Teams Tenant (selbe Domain) die Mails von MS automatisch intern über deren Relays laufen und ich meinen SPF erweitern muss.

Der Witz ist nur, dass wir auch zig andere Kunden haben, welche M365 nutzen und hier überhaupt keine Probleme haben.

Leider habe ich hier in meinem Bekanntenkreis keine saubere Aussage zu bekommen, da die einen sagen es macht Sinn, die anderen sagen es macht keinen Sinn.

Hallo zusammen,

wir sehen uns gerade mit der Herausforderung konfrontiert, dass unsere Benutzer die im AD veröffentlichten Drucker nicht mehr installieren können.

Ich habe mir das ganze Thema nun schon zusammengesucht und offenbar geht es hierbei um ein Windows Update im Zusammenhang mit der Print Nightmare Geschichte. Ich habe hierzu auch die neue empfohlene Gruppenrichtlinie von MS konfiguriert aber leider brachte das auch nicht den gewünschten Erfolg.

Wir haben in Summe nur 5 Drucker welche alle über den selben Printserver (w2k16) laufen. Die User finden die Drucker bei der Suche auch, aber Installationsvorgang schlägt bei allen Druckern fehl.

Anbei einmal unsere GPO Einstellungen:

Der Server ist einmal mit FQDN und einmal mit Netbios eingetragen (ich hatte gelesen, dass es bei jemandem ohne Netbios nicht ging), getrennt durch Semikolon.

In der Liste haben wir auch den Server mit FQDN eingetragen.

Leider brachte beides bisher keinen Erfolg. Es kommt auch kein UAC prompt sondern nur Fehler 283 (Installation über die Einstellungen) oder 0x0000011b (Installation mittels SMB Freigabe).

Ich hoffe jemand von Euch hat noch einen Tipp.

Hallo Enno,

Danke für deine Antwort.

Quota benötige ich nicht. Ich bin der Einzige, der hier Schreibrechte besitzt.

Mich verwirrte nun eben diese Zeichnung von QNAP:

Die Überlegung war daher, ob es am Ende sinnig ist mit einem Volume zu arbeiten, was dann über die Jahre irgendwann auf z.B. 60TB wächst. Ich denke hierbei weniger an einen Ausfall des RAID selber als viel mehr an Probleme mit dem Dateisystem an sich. Das EXT4 hier mir der Größe des Volumes kein Problem hat, ist mir klar. Ich frage mich eben nur, ob es vom Konstrukt her sinnig ist nur ein Volume anzulegen und dieses permanent zu erweitern, ohne nun aber konkret sagen zu können, welchen Vorteil ein weiteres Volume hätte 😅

Sollte es zu einem totalen Ausfall kommen wäre ich sicherlich tot traurig aber mehr auch nicht. Schließlich liegen hier am Ende keine lebensnotwendigen Daten sondern alles für'n Spaß.

Derzeit priorisiere ich auch:

1. RAID Group: 1 Volume = 4x4TB HDD Backup RAID 6

2. RAID Group: 1 Volume = 3x10TB HDD Data RAID 5 + 1x10TB HDD HotSpare

Wir haben zwei Exchange 2016 als DAG mit zwei Datenbanken laufen. Bei uns wird kontinuierlich durch Mailstore Archiviert (bitte denk dran, das du als Firma eigentlich sofort archivieren musst -Journaling- damit das Archiv revisionssicher ist) und Mailstore löscht alles was älter ist als ein Jahr (mehr konnte ich intern nicht durchsetzen).

Eine Postfachbegrenzung haben wir nicht.

Du musst bedenken, dass eine Exchange Datenbank auch Fragmente aufweist mit der Zeit und einmal belegten Speicher nicht wieder hergibt, wenn du ein Postfach mal gelöscht hast. Der Speicher wird zwar wieder überschrieben aber die Datenbank wird on Demand nicht kleiner.

Ich persönlich würde dir empfehlen eine neue, frische Datenbank aufzusetzen und die Postfächer in die neue DB zu migrieren und die alte DB dann zu löschen. So wirst du die Fragmente los und gibst noch ungenutzten Speicher frei.

Ich habe dies vor kurzem erst bei unseren beiden Datenbanken gemacht.

Hast du kein DAG Cluster, kannst du deine bisherigen Datenbanken auch defragmentieren. Eine Migration in eine neue DB ist aber der sauberste Weg.

Hallo zusammen,

ich habe zuhause seit zig Jahren zwei QNAPs laufen. Ein 4-Bay fürs Backup und ein 8-Bay mit 8x 4TB HDDs im RAID-5 + HotSpare laufen auf welchem ich meine Filmsammlung digitalisiert habe, auf welche wir dann mittels mehrerer Kodi Instanzen im Haus zugreifen.

Das bisherige 8-Bay NAS ist schon länger EoL und auch mit dem verfügbaren Speicherplatz bin ich schon lange am haushalten.

Nach langem hin und her habe ich mir nun ein neues, 16-Bay von QNAP bestellt (TS-1635AX)

Der Plan ist, das bisherige 4-Bay komplett abzulösen und die 4 HDDs im neuen 16-Bay als einzelnes Volume zu übernehmen und hier wie bisher meine Backups drauf zu legen. Das 8-Bay EoL NAS soll ebenfalls komplett abgelöst werden, indem ich in dem neuen NAS mit 10 TB HDDs arbeiten und bei Bedarf HDDs nachschieben möchte. In meiner Frage geht es also einzig und allein um den Neuaufbau für meine Filmsammlung - die 4 HDDs für das Backup sind hier außen vor.

Derzeit hat das alte 8-Bay ein statisches Volume mit 21 TB.

Ich habe mich schon lange nicht mehr mit solchen Themen beschäftigt, weshalb sich mir nun die Frage stellt, wie ich das oder die Volumes im neuen NAS sinnvoll aufbauen soll.

Nehme ich noch ein RAID-5 + Hotspare oder doch direkt RAID-6? Ist es sinnvoll noch mit einem Volume zu arbeiten oder ist bei der, in Zukunft potenziell wachsenden Größe des Volumes, zu heikel im Fehlerfall?

Ich würde mich freuen wenn Ihr mir Eure Meinung und Erfahrungen mitteilen könntet und für den ein oder anderen Gedankenanstoß bei mir sorgen könntet.