edv-gahrmann
Goto Top

SBS 2011 - Internet langsam

Hallo,

Ich betreue einen kleinen sbs2011 Server mit 6 Clients und zusätzlich noch 2 Smartphones über Internet an dem Exchange.
Der Exchange 2010 wird verwendet.
Der Server läuft seit 15 Monaten (einigermassen) problemfrei.

Jetzt vor einigen Tagen ist plötzlich ohne erkennbaren Grund das Internet sehr langsam geworden; Das enizige, was ich sagen kann, ist, dass es mit dem Server zusammenhängt.
(Fahre ich den runter oder ziehe das Netzwerkkabel, geht das Internet bei allen Clients normal schnell (Ping nach www.arcor.de bei 74ms)

Läuft der Server, ist das Pink bei allen CLients und das Ping vom Server nach arcor deutlich dreistellig 100ms-900ms, oft vierstellig-1500ms, und ca. 60 von 2500 Paketen kommen garnicht zurück.
Das interne Netzwerk liegt durchschnitlich bei unter 1 ms.
Hardwarefehler oder Kabelfehler sind ausgeschlossen, da gemessen oder getauscht.

Ist der einzige Server und DHCP und DNS.
Wie kann ich da jetzt bei gehen herauszufinden, welches Programm, welche Einstellung da so bremst?

Nachbemerkung:
Zusätzlich sei noch bemerkt, dass ich den Domänennamen mal geändert habe da es einen Namenskonflikt gab, und es da ggf. noch ein Zertifikat-Problem mit dem Exchange und den angeschlossenen Outlooks (2010) gibt.
Sprich ich hatte aus Unkenntnis/Blödheit dem Server als Internetnamen einen Namen "firmenname.de" gegeben, der aber als Domain schon bei einem Provider gehostet ist. Dann hat er seinen Namen auf "firmenname.dtdns.net" bekommen und wir rufen mittels pop-connector die mails von "firmenname.de" ab und versenden sie auch wieder über "firmenname.de". Das Problem ist, dass es dann und wann Meldungen gibt, die auf die Namensungleichheit hinweisen und teilweise auch von "autodiscover.firmenname.de" kommen.
Damit werde ich mich auch beschäftigen (müssen) Gerne arbeite ich mich da auch weiter ein, nur auch hier gilt, dass es eigentlich läuft und ich nicht riskieren kann, das ausser Gefecht zu setzen.

Alle Updates sind installiert, nur die letzten beiden Rollups für den Exchange werden aus irgendeinem Grund nicht installiert (Problem 3?)

Sprich aufgeteilt:
1. wie finde ich die Netzbremse
2. was muss ich mit den Zertifikaten anstellen?
3. Exchange update rollups installieren

Ich komme mittels VPN und RDP aber auch über RDP (dtdns) UND Teamviever6 auf den Server - jetzt natürlich auch recht Langsam.

Content-ID: 208251

Url: https://administrator.de/contentid/208251

Ausgedruckt am: 26.11.2024 um 08:11 Uhr

delirium
delirium 18.06.2013 um 20:46:26 Uhr
Goto Top
Hi,

meine Ansätze:
Irgendwas am Server, das CPU-Last braucht?
Was sagt die Netzwerkauslastung?
Gibt es irgendwelche Paketschleudern (zu finden über WireShark)?
Wie sieht die sonstige Infrastruktur (Switch) aus?

Zum Rest kann ich dir leider nicht weiterhelfen, Exchange ist nicht mein Spezialgebiet und ich bin froh, dass mein SBS rund läuft.
111784
111784 18.06.2013 aktualisiert um 21:00:44 Uhr
Goto Top
Hallo,

ich hatte mal ein ähnliches Problem.

Ich habe folgenden Eintrag gemacht und das Problem war gelöst:

Verwaltung -> DNS -> Rechtsklick [Server] -> Weiterleitungen -> bearbeiten -> IP-Adresse deines Router eintragen

Was ich dazu sagen sollte, dies gilt wohl nur für die Clients wenn die aus deinem LAN ins Internet gehen
Pjordorf
Pjordorf 18.06.2013 um 20:59:39 Uhr
Goto Top
Hallo,

Zitat von @edv-gahrmann:
Der Server läuft seit 15 Monaten (einigermassen) problemfrei.
Einigermassen ist immer uncool.

Jetzt vor einigen Tagen ist plötzlich ohne erkennbaren Grund das Internet sehr langsam geworden
Was wurde gemacht bevor es langsam wurde?

(Fahre ich den runter oder ziehe das Netzwerkkabel, geht das Internet bei allen Clients normal schnell
Auch mal geschaut was dein Router dir so Informationen liefern kann bezüglich was dort alles so passiert?

(Ping nach www.arcor.de bei 74ms)
Das ultimative Werkzeug zum ermitteln ob etwas irgendetwas nicht oder doch tut.

Läuft der Server, ist das Pink bei allen CLients und das Ping vom Server nach arcor deutlich dreistellig 100ms-900ms,
Was läuft denn dann alles auf/über den Router/Gateway?

Das interne Netzwerk liegt durchschnitlich bei unter 1 ms.
ist das ein anderes Netz? Wie ist dein SBS angebunden? Wie sind deine Clients angebunden? Wie ist dein Gateway / Router angebunden? Wie ist dein DNS eingerichtet wenn es ohne deinen SBS angeblich noch funktioniert?

Hardwarefehler sind ausgeschlossen
Sicher? Netzwerkkarte(n) im SBS schon dahingehend eindeutig und zuverlässig geprüft bzw. verdachtshalber mal ausgetauscht? Router / Gateway auch getauscht?

Ist der einzige DNS.
Hast du dann die teste deiner Cklients mit einer IP gemacht?

Wie kann ich da jetzt bei gehen herauszufinden, welches Programm, welche Einstellung da so bremst?
Nachschauen welche Programm Installiert sind und laufen, was diese Programme für einen Sinn und Zweck haben und ob diese auch korrekt Konfiguriert sind.

dass ich den Domänennamen mal geändert habe
Vor oder nach deinem "Internet langsam" Problem?

> Damit werde ich mich auch beschäftigen (müssen)
Fehlermeldungen und Ereignissprotokolle sind nur was für faule oder welche einen Server wieder hinbekommen wollen.

eigentlich läuft
Eigentlich heist hier es läuft eben nicht.

irgendeinem Grund nicht installiert
Ja, weil irgendwas nicht so ist wie es erwartet wird.

1. wie finde ich die Netzbremse
Hat dein Netz tatsächlich eine Bremse oder läuft da etwas falsch? Was sagt dein Router / Gateway was dort alles passiert oder eben nicht passiert? Was sagt ein Netzwerkmonitor Log (der Kabelhai tuts auch)?

2. was muss ich mit den Zertifikaten anstellen?
Installieren?

3. Exchange update rollups installieren
Jepp.

aber auch über RDP (dtdns)
RDP direkt OHNE VPN? Wahnsinn.

Gruß,
Peter
edv-gahrmann
edv-gahrmann 18.06.2013 um 21:11:18 Uhr
Goto Top
Netzwerkauslastung laut Bordmitteln gering <1%.

Paketschleudern werde ich prüfen.

Die Netzwerkstruktur: KabelD-Modem - SMC-Router - 1000erNetgear switch, an dem alles (Server, CLienzts, Drucker, WLAN-Accesspoint) dran hängt. Alles geprüft.

Nur die Server-Netzwerkkarte nicht ernsthaft geprüft, daa setze ich auch mal an.

DNS-Weiterleitung sehe ich mal nach.
edv-gahrmann
edv-gahrmann 18.06.2013 um 21:31:55 Uhr
Goto Top
> Der Server läuft seit 15 Monaten (einigermassen) problemfrei.
Einigermassen ist immer uncool.
Heisst, lief ganz gut, kleiner Probleme, wie Einbinden Netzwek-Scanner oder Smartphones gelöst.

> Jetzt vor einigen Tagen ist plötzlich ohne erkennbaren Grund das Internet sehr langsam geworden
Was wurde gemacht bevor es langsam wurde?
Nichts. Nur die MS-Updates liefen. Fertigstellen der Updates und Neustart hat das Problem nicht beseitigt.

> (Fahre ich den runter oder ziehe das Netzwerkkabel, geht das Internet bei allen Clients normal schnell
Auch mal geschaut was dein Router dir so Informationen liefern kann bezüglich was dort alles so passiert?
Nein, Router ist ein kleiner 20€ SMC als "Gateway nach draussen", der mir aber nichts sagt, da er keine erweiterte Protokollierung hat.

> Läuft der Server, ist das Pink bei allen CLients und das Ping vom Server nach arcor deutlich dreistellig 100ms-900ms,
Was läuft denn dann alles auf/über den Router/Gateway?
Über den Router läuft nur der internetverkehrr, der Rest sollte über den vorgeschalteten 1000er Switch (Netgear) laufen, an dem alles gleichberechtigt dran hängt 6PCs, Server, 2 Netzwerkdrucker, 1 wlan-Accesspoint.

> Das interne Netzwerk liegt durchschnitlich bei unter 1 ms.
ist das ein anderes Netz? Wie ist dein SBS angebunden? Wie sind deine Clients angebunden? Wie ist dein Gateway / Router
angebunden? Wie ist dein DNS eingerichtet wenn es ohne deinen SBS angeblich noch funktioniert?
Ist physikalisch alles das gleiche Netz, ich meinte nur, wenn ich die PCS und den server im Netz gegenseitig anpinge, dann <1ms.
Ich habe während einer ping -t den Server und auch nach und nach die Clients wegenommen und das Verhalten beobachtet, dabei ist der Server als Übeltäter herausgekommen.

> Hardwarefehler sind ausgeschlossen
Sicher? Netzwerkkarte(n) im SBS schon dahingehend eindeutig und zuverlässig geprüft bzw. verdachtshalber mal
ausgetauscht? Router / Gateway auch getauscht?
Das einzige, was noch Probleme haben kann ist tatsächlich die Server-Netzwerkkarte, das prüfe ich noch (Hardware und Treiber)

> Ist der einzige DNS.
Hast du dann die teste deiner Clients mit einer IP gemacht?
jein, s.o. ich hab keine neuen "Namen angeping" nachdem der server vvom Netz war. Sonst nehme ich 145.253.2.11, der antwortet ganz gu, hier aber nicht gebraucht.

> Wie kann ich da jetzt bei gehen herauszufinden, welches Programm, welche Einstellung da so bremst?
Nachschauen welche Programm Installiert sind und laufen, was diese Programme für einen Sinn und Zweck haben und ob diese auch
korrekt Konfiguriert sind.
Der ansatz gefällt mir, da brauche ich ggf Hilfe herauszufunden welche Programme/Dienste da bremsen. Rein CPU-Technisch läuft nichts aus dem Ruder.

> dass ich den Domänennamen mal geändert habe
Vor oder nach deinem "Internet langsam" Problem?
Vor 12 monaten.

> Damit werde ich mich auch beschäftigen (müssen)
Fehlermeldungen und Ereignissprotokolle sind nur was für faule oder welche einen Server wieder hinbekommen wollen.
face-wink

> eigentlich läuft
Eigentlich heist hier es läuft eben nicht.
Naja, er tut, was er soll - das meine ich mit läuft. und jetzt eben seit wenigen Tagen tut ers zwar immernoch, aber internettechnisch langsam.

> irgendeinem Grund nicht installiert
Ja, weil irgendwas nicht so ist wie es erwartet wird.
Eben face-wink - Dafür brauch ich dann auch eine Lösung, gerne nacheinander, ausser es hat ursächlich einen Zusammenhang mit dem langsamen Internet.

> 1. wie finde ich die Netzbremse
Hat dein Netz tatsächlich eine Bremse oder läuft da etwas falsch? Was sagt dein Router / Gateway was dort alles passiert
oder eben nicht passiert? Was sagt ein Netzwerkmonitor Log (der Kabelhai tuts auch)?
beim Log gerne Hilfe, da ich da zu selten Kontakt zu habe.

> 2. was muss ich mit den Zertifikaten anstellen?
Installieren?
Ich hab ein selbst ausgegebenes und ggf. noch falsche Einträge drin auf den Firmenname.de, die dann das 'falsche' Zertifikat ansteuern lassen.

> 3. Exchange update rollups installieren
Jepp.
Nur wie?

> aber auch über RDP (dtdns)
RDP direkt OHNE VPN? Wahnsinn.
Gerne konfiguriere ich die Firewall auch noch besser...

Gruß,
Peter
Viele Ansätze, die ich zum Großteil auch schon bedenke.

Ich suche also Tools oder Hinweise auf Boardmittel, wo ich gucken kann und dann bei Ursachenfindung natürlich eine Lösung face-wink

Schonmal Danke!
Pjordorf
Pjordorf 18.06.2013 um 21:33:34 Uhr
Goto Top
Hallo,

Zitat von @edv-gahrmann:
Die Netzwerkstruktur: KabelD-Modem - SMC-Router - 1000erNetgear switch, an dem alles (Server, CLienzts, Drucker, WLAN-Accesspoint) dran hängt.
Dann schau mal was auf deiner Netzwerkleitung deines SBS los ist wenn diese eben nichts tut. Da sollte dann kaum Datenverkehr auf der daten-Autobahn sein.

DNS-Weiterleitung sehe ich mal nach.
Was sagt der BPA deines SBS aus?

Und was du mit keiner Silbe erwähnt hast ist der Status deiner Antiviren / AntiSPAM Software auf dein SBS. Sollte auch deine Antwort auf die Frage nach RDP ohne VPN möglich mit eine jan beantwortet werden so ist es gut möglich das dir dein SBS nicht mehr gehorcht weil ein anderer am Steuerhorn sitzt und lenkt.

Gruß,
Peter
Pjordorf
Pjordorf 18.06.2013 um 21:56:47 Uhr
Goto Top
Hallo,

Zitat von @edv-gahrmann:
> Was wurde gemacht bevor es langsam wurde?
Nichts. Nur die MS-Updates liefen. Fertigstellen der Updates und Neustart hat das Problem nicht beseitigt.
Also können wir dann als gegeben annehmen das dein Internet langsam Problem schon vor den Updates existiert hat?

ist der Server als Übeltäter herausgekommen.
OK.

ist tatsächlich die Server-Netzwerkkarte, das prüfe ich noch (Hardware und Treiber)
Eher die Karte austauschen (auf Verdacht)

da brauche ich ggf Hilfe
Nicht wirklich weil
herauszufunden welche Programme/Dienste da bremsen.
dazu reicht der mitgelieferte Taskmanager schon vollkommen aus. Erst wenn sich dort etwas als wirklich verdächtig und / oder hohe CPU Last und / oder hohe Netzwerklast zeigt wird auf Processmonitor (SysInternals) und andere Werkzeuge zurückgegriffen.

Vor 12 monaten.
Also lange bevor dein Internet langsam Problemn zu ein Problem wurde und somit auch hier nicht von Relevanz.

Eben face-wink - Dafür brauch ich dann auch eine Lösung
Keine Fehlermeldung(en) - keine Lösung, oder was erwartest du hier?

beim Log gerne Hilfe, da ich da zu selten Kontakt zu habe.
Das wird per Fernwartung das LOG aufblähen aber ist auch möglich. So ein LOG mit etlichen MB mal eiinfach so hier rein stellen ist nicht. Du solltest dich aber mit den Wireshark und co. mal anfreunden, er beisst nicht.

Ich hab ein selbst ausgegebenes
Mach doch dazu einen seperaten Thread hier auf oder besser suche erstmal hier im Forum. Das Thema wird sehr oft hier durchdiskutiert.

Nur wie?
Wie oben schon gesagt sind Fehlermeldungen und Ereignissprotokolle nur was für feige. Es ist doch viel besser und macht mehr spass sich ohne irgendein Anhaltspunkt dem Fehler zu nähern und zu erschreckenface-smile Es reicht doch wenn wir wissen das es ein Problem mit Exchange 2010 ist.

Gerne konfiguriere ich die Firewall auch noch besser...
Die frage war doch obn ein RDP ohne ein VPN bei dir von aussen auf dein SBS möglich ist? Wenn es so ist dann ist dies Wansinn im tatsächlichen negativen Sinne. das ist ein NoGo.

Ich suche also Tools oder Hinweise auf Boardmittel, wo ich gucken kann
Fehlermeldung stechem einem oft so ins Auge das man die ganz schnell wegklicken muss. Nur Weicheier nutzen z.B. das MS eigene Snipping Tool oder gar die Druck Taste auf einer Tastatur welche mit der ALT Taste ganz anders reagiert und von unbekannten auch auf deine verwendete Tastatur geklebt wurdeface-smile Und dein SBS sagt dir nicht wo er seine ganzen Ereignissmeldungen Protokolliert weil der nicht will das du ihm auf die schliche kommst ur weil da in Klarschrift drin steht was ihm fehltface-smile. Na - fällt der alte unansehnliche Groschen?

Gruß,
Peter
psannz
psannz 18.06.2013 um 22:45:20 Uhr
Goto Top
Sers,

mal eine Frage: Du sagst ihr holt eure Mails über den POP Konnektor. Dann hast du doch sicherlich dem Exchange verboten von aussen anonym Emails zu empfangen, oder?

Ansonsten: Wireshark! Und mal auf dem Router die Verbindungen mitschneiden. Netstat & TCPview auf dem Server können dir einen ersten Überblick verschaffen bis du Wireshark zur Hand nimmst.

Eine Sache noch: Du hast den Server aber nicht als DMZ im Router konfiguriert, oder? Welche Ports werden an den SBS durchgeleitet?

Grüße,
Philip
edv-gahrmann
edv-gahrmann 18.06.2013 um 23:02:39 Uhr
Goto Top
Hier kann ich ja nochwas lernen face-wink
Ich hab dem Exchange dieses nicht verboten. Wo muss ich da schauen, wo kann ich mich da einlesen?

Als DMZ nicht - muss mal in den Router gucken, gerne nehme ich Tipps entgegen, welche Ports empfehlenswert sind - ein Link auf eine gute Liste reicht, ich hab noch keine gefunden und (auch wenns leichtsinnig ist) eher ein paar ports mehr aufgemacht.

Jetzt schau ich erstmal was läuft und was was sendet und empfängt,
optimiere dann die Ports, und Firewall.

ggf wünsche ich mir auch - auch ohne Weihnachten - mal eine Vergleichsseite(Test) für gute Server-Virenschutz-Programme.
Aktuell läuft eine Avira Server Edition.

Beste Grüße
Stefan
Pjordorf
Pjordorf 18.06.2013 um 23:27:30 Uhr
Goto Top
Hallo,

Zitat von @edv-gahrmann:
eine gute Liste reicht, ich hab noch keine gefunden und (auch wenns leichtsinnig ist)
Eingehend folgende Ports auf den SBS weiterleiten (ohne Reverse proxy etc)
- TCP Port 25 TCP um Mails zugestellt zu bekommen (der Normale Weg zwischen mail server)
- TCP 443 für alle HTTP<S anfrage. (RWW, OWA, EAS, Outlook (RPC) over HTTPS (Outlook Anywhere) usw weiter).
Mehr barucht es eigentlich nicht.

- TCP 987 falls auf das Companyweb(Intranet) von extern zugegriffen werden soll z.B. per RWW
- TCP 1723 für PPTP VPN.
- GRE (Protokoll 47) falls VPN PPTP genutzt werden soll. (Achtung! das ist kein Port)

- TCP Port 80 falls es den externen Anwender unmöglich ist sich ein HTTPS zu merken oder einzugeben. Port 80 wird automatisch auf 443 gemappt im IIS.

Alles andere ist am Router eingehend zu. Ausgehender Traffic wird davon nicht betroffen und ist immer möglich.

Diese Blatt hast du aber dann damals beim erstellen des SBS 2011 nicht ausgefüllt http://technet.microsoft.com/en-us/library/gg637877.aspx. Es steht auch in den Hilfen deiner Asisstenten welche ports dein SBS gern nutzt.

eher ein paar ports mehr aufgemacht.
Nicht gut.

ggf wünsche ich mir auch - auch ohne Weihnachten - mal eine Vergleichsseite(Test) für gute Server-Virenschutz-Programme.
Nicht noch eine unnütze Vergleichsdatenbank die keinem weiterhilft.

Aktuell läuft eine Avira Server Edition.
Wenn du damit zufrieden bist, diese deine Wünsche und den Bedarf abdeckt und du damit klar kommst, dann ist es doch gut. Oder willst du hören wie viel besser Sophos oder Eset oder Kaspersky oder Mcafee oder XXX sein soll? 100% Sicherheit gibt es im Internet nicht. Hat dein Rechner Zugang zum Internet? Ja, dann brauchts du eine Antivirus Lösung welche dein Zugang überwacht. Hat dein SBS ein CDROM/DVD? Ja, dann brauchst du eine Lösung die diese überwacht. Hat dein SBS USB Ports und du USB Sticks? Ja, dann brauchst du eine Lösung die diese Überwacht. hat dein server Exchange? Ja, dann brauchst du eine Lösung welche SPAM schon im Vorfeld weitestgehend abhält. Kann deine Avira lösung dies? Wer prüft auf den Client Rechnern oder gar auf den Androids (IOS noch nichts erhältlich - noch). Auch das gehört zum Konzept. Wie soll mit Spam verfahren werden und wann darf gelöscht werden. Arbeiten tun die alle aber du musst auch damit klar kommen.

Gruß,
Peter
eumel1979
eumel1979 19.06.2013 um 07:49:05 Uhr
Goto Top
Hi,

keine Ahnung, Domänennamen ändern, die logs kennt er nicht...man man das wird hier ja noch richtig spannend.

Hol dir doch prof. Hilfe. Vllt sogar den der den Server eingerichtet hat.


Gruß Eumel
manuel1985
manuel1985 19.06.2013 um 09:58:46 Uhr
Goto Top
Für mich klingt das alle ein wenig, als sei der Server gekapert worden.
Schlage vor, du schnappst dir am WE/nach Feierabend mal ne Desinfe't/Avira Rescue Disk/Kaspersky Rescue Disk und scannst das System mal offline. Rein prophylaktisch.

Und wie schon genannt: Wireshark, Netstat & TCPview sind deine weiteren Kumpels!
keine-ahnung
keine-ahnung 19.06.2013 um 10:01:12 Uhr
Goto Top
Zitat von @eumel1979:
Hi,
keine Ahnung
Ich war das nicht! Ich habe damit nichts zu tun!!

Was für eine Serverhardeware ist das? Wieviele NIC sind verbaut und aktiv? Ist der Server und die Treiber aktuell? Was sagt BPA? Was sagt DCDIAG? Hast Du die Büchse mal offline gescannt? Hast Du jemanden, der sich mit sowas auskennt? Wenn nicht, eher schnell suchen.

Schon Dein bis hierher erkennbares setup ist eine Katastrophe ...

LG, Thomas
edv-gahrmann
edv-gahrmann 19.06.2013 um 12:29:13 Uhr
Goto Top
Kurzer Zwischenbericht:

Virenscan Unauffällig
Rootkit-Scan Unauffällig
Mir ist bekannt, dass das keine absolute Sicherheit bringt!

Router untersucht und das Entsetzen bekommen - Der war modifiziert. Alle Ports offen, Server als DMZ eingetragen, Standardpasswort gesetzt.
Ich war das nicht.

Aber ich muss feststellen, dass ich das mit dem Router schonmal hatte, dass plötzlich wieder das Standardpasswort gesetzt war und einige Einstellungen weg waren, damals schob ich das auf einen Bedienungsfehler (Rücksetztaste erischt) - Jetzt tausche ich das Mistding aus.

Nachdem ich das korrigiert habe (noch mit dem alten Router) hat er auch Protokoll geschrieben über geblockte zugriffe. sehr viele:
Alle von untzerschiedlichen IPs auf UDP:53

Leider ist das Routerprotokoll kurz 35 sec, 310 Einträge alle nach dem Muster
Wed Jun 19 11:02:21 2013 Unrecognized attempt blocked from 86.163.156.224:46085 to 31.xxx.xxx.xxx UDP:53
Gerne hänge ich das Protokoll als Datei an oder sende es per Mail.

Jetzt werde ich wohl, da ich nicht weiss, was dem Server widerfahren ist, trotz unauffälliger Scans, diesen neu aufsetzen...
Und dann auch den Arbeitsbogen verwenden, danke @peter

Grüße.
edv-gahrmann
edv-gahrmann 19.06.2013 um 12:41:12 Uhr
Goto Top
900 Anfragen von 10 Unterschiedlichen IPs innerhalb 3*35 sec weltweit verstreut (USA, Großbritannien, Frankreich, Saudi Arabien, Japan....)
Ich weiss nicht, ob es zweckmässig ist, die IPs hier reinzuschreiben, sende das LOG aber gerne mal weiter...
keine-ahnung
keine-ahnung 19.06.2013 um 12:46:14 Uhr
Goto Top
Zitat von @edv-gahrmann:
900 Anfragen von 10 Unterschiedlichen IPs innerhalb 3*35 sec weltweit verstreut (USA, Großbritannien, Frankreich, Saudi
Arabien, Japan....)
Ich weiss nicht, ob es zweckmässig ist, die IPs hier reinzuschreiben, sende das LOG aber gerne mal weiter...
Spreng das Teil und verbrenne residuale Teile face-wink ...

You get what you pay. Hoffentlich ist Dein nick kein Hinweis auf Deine Profession ...

LG, Thomas
manuel1985
manuel1985 19.06.2013 um 13:05:28 Uhr
Goto Top
Stell halt statt nem 20€-Ding ne ordentliche Firewall-Appliance hin. Kostet zwar das 20-30-fache, abersollte - richtig konfiguriert - seinen Dienst tun.
psannz
psannz 19.06.2013 um 13:17:16 Uhr
Goto Top
Sers,

...und, ist die Firmware des (Ramsch-) Routers aktuell? Würde das "Ich war das nicht." erklären. Alternativ: Strommangel verursacht bei so manchem Billigmodell Gedächnisverlust. Drum: Router mit an die USV!

Also: Entweder gleich nen vernünftigen Router kaufen, oder zumindest Firmwareupdate auf den Router, ein k0mp|3xes P@$$w0r7 verwenden, möglichst mit mehr als 10 Stellen. Da du dir deiner Sache nicht sicher bist deaktiviere sämtliche Möglichkeiten den Router aus dem Internet zu warten. SSH & Telnet-Zugänge wirst du wohl ebenfalls deaktivieren.
Dann den Server aus der DMZ nehmen, und erst mal NUR den TCP Port 443 durchlassen. UPNP deaktivieren. Der SBS wünscht sich das zwar, brauchst du aber nicht.

Zwecks der restlichen Ports halte dich doch bitte an die Liste von @Pjordorf und nimm nur die Ports die du auch wirkliche brauchst.

Auf UDP Port 53 läuft übrigens DNS.

Grüße,
Philip
edv-gahrmann
edv-gahrmann 19.06.2013 um 13:20:57 Uhr
Goto Top
Abschliessend:

Die Anfragen auf Port 53 sind anscheinend alles NS-Anfragen, da eben jener Server mit offenem Port 53 als NS zur verfügung stand, wegen der Fehlers am Router. (Doof, ich weiß)

Jetzt läuft er wieder schnell.

Dennoch werde ich den Rest prüfen und die Sicherheitseinstellungen verschärfen.
Nebenbei bemerkt war ich nicht für die sogeartete Einrichtung dieses Routers zuständig, die das Problem verursachte...

Danke für die qualifizierten Kommentare.
Auch Danke für die Belehrungen face-wink,
(wobei da teilweise mal über Formulierungen oder Zynismus oder Ironie nachgedacht werden sollte, führt leicht zu Missverständnissen)

Dieses Problem werde ich mal als gelöst markieren.
Mit den Zertifikaten lese ich nach... face-wink
Achja und dem Echange war das Empfangen anonymer mails verboten, ich hab nachgesehen face-wink

@111784 - weils eine Ähnliches Problem war, hats nicht geholfen *gg*
@Pjordorf - Natürlich lese ich LOGs und Fehlerberichte, hier hätte ein Hinweis auf den reichtigen Bericht einfach Sucharbeit abgenommen.
@psannz - DAS war die Lösung, auch wenns anders konfiguriert war - den Router tausche ich aus.
@eumel1979 - DAS mag vielleicht eine Äusserung Deines Eindruckes gewesen sein, half aber absolut nicht bei der Problemlösung.
@manuel1985 - nicht gekapert (vllt der Router) aber überlastet.
@keine-ahnung - Gerade Leute, die sich auskennen unterhalten sich mitenander zwecks informationsaustausch, daher bin ich hier im Forum gelandet. Verbrennen ist übrigens auch keine Lösung was verbrennen, den Server - mit der Hardware? die hier völlig uninteressant war, den Router?

Abschliessend: der Server hat seine Arbeit korrekt gemacht, der Fehler lag am Router und dem Umstand, dass die Infrastruktur durch die Anfragelast einfach belastet wurde.
Fehler gefunden, behoben, dazugelernt.
manuel1985
manuel1985 19.06.2013 um 13:25:36 Uhr
Goto Top
Na dann, Beitrag als gelöst markieren und ab ans Werk face-wink
Pjordorf
Pjordorf 19.06.2013 aktualisiert um 13:41:59 Uhr
Goto Top
Hallo,

Zitat von @edv-gahrmann:
900 Anfragen von 10 Unterschiedlichen IPs innerhalb 3*35 sec
Innerhalb von 3 mal 35 Sekunden ist doch nicht viel. Das sind doch nur 8,57 Anfragen pro Sekunde.

Ist deine Firewall jetzt so eingerichttet das dort nur der TCP Port 443 zum SBS weitergeleitet wird (Du willst ja keine Mails per SMTP bekommen)? alles andere erst mal weg lassen, dazu auch die VPN Ports falls das nciht eh dein Router gemacht hat.

Dann nimmst du dir den Netzwork Monitor von MS oder den Kabelhai und schaust was auf deiner Leitung los ist. Dazu kannst du auch die anderen Geräte am Switch alle deaktivieren (Ports) oder den Stecker ziehen damit du in ruhe sehen kannst was dort passiert. Dann kannst du entweder in Panik fallen und den SBS mitsamt Domäne (Anwender freuen sich dann immer besonders) neu aufsetzen oder du schaust nach was dort tatsächlich passiert und was sich dahinter verbirgt und stellst es ab oder wenn nicht anders möglich, ignorierst es. Aber jetzt wegen Port 53 DNS flooding attack in Panik zu verfallen...

Wie ist dein DNS eingerichtet? Rekursion? Weiterleitung? Das was dein Router jetzt wegschmeist kann ohne weiteres eine Antwort auf eine Anfrage aus deinem Netz heraus sein, was aber vorher wegen der DMZ fröhlich zum SBS geleitet wurde.

Bedenke, dein SBS war lange direkt im Internet und hatte lange Zeit anderen zu zeigen das er alles annimmt und für alles offen ist...

Vielleicht noch eine feste IP?

Ich weiss nicht, ob es zweckmässig ist, die IPs hier reinzuschreiben, sende das LOG aber gerne mal weiter...
Definitiv nein. Was sollen wir damit?

Es ist dein Kunde. Du kassierst dort ab. Du bist dort als allmächtiges wesen was alles weis angesehen. Und weil @keine-ahnung das so nett formuliert hat: Du hast auf deiner Homepage die Worte
Seit Anfang 2005 bin ich als EDV-Dienstleister 

bin ich auch gerne bei der Herstellung eines sicheren Netzwerkes behilflich

Ein besonderes Augenmerk richte ich auf Datenschutz und Datensicherheit

und Schutz vor unbefugtem Datenzugriff sind
geschrieben und hier im Forum angegebn das du Student seist.

Jetzt tue das was ein Studnt tun sollte und Lerne damit dein Kunde wieder sicher ist.

Wie helfen dir gerne bei gezielten Problemen aber wir machen nicht deine Arbeit. Und wenn du meinst es sei nicht nötig manche Fragen hier zu beantworten so ist das auch dein gutes Recht. Du bist nicht gezwungen irgendeine Frage zu beantworten geschweige diese auch fachlich sinnvoll zu beantworten damit wir nicht immer alles erraten müssen. Aber dann erwarte nicht das wir uns Kopfschmerzen über das Netz deines Kunden machen. Sorry für die harten Worte.

Ein
netstat -ano oder
netstat -anoep UDP oder
netstat -anoebp UDP
netstat -ano | find ":53"
kann dir schon weiterhelfen. Und der Taskmanager sagt dir welche Prozess welche PID hat. Und ein Tasklist /svc oder Tasklist /v sagt dir den rest.

Gruß,
Peter

[Nachtrag]
Ist irgendwie verloren gegangen.
http://www.us-cert.gov/ncas/alerts/TA13-088A
[/Nachtrag]
Pjordorf
Pjordorf 19.06.2013 um 13:53:43 Uhr
Goto Top
Hallo,

Zitat von @edv-gahrmann:
Nebenbei bemerkt war ich nicht für die sogeartete Einrichtung dieses Routers zuständig, die das Problem verursachte...
Aber du bist jetzt der zuständige EDV Dienstleister aus Lübeck. Warum schaust du dir nicht an was andere falsch gemacht haben?

führt leicht zu Missverständnissen)
Ein Smiley hilft nicht immer dies zu erkennen. face-smile und lässt daher den einen oder anderen Kommentar böser Lesen als er gemeint istface-smile

Achja und dem Echange war das Empfangen anonymer mails verboten, ich hab nachgesehen face-wink
Gibt es einen wichtigen Grund warum der trotzdem keine Mails per SMTP bekommt, du machst ja dort das ganzen per poppen.

@Pjordorf - Natürlich lese ich LOGs und Fehlerberichte,
Wir wissen aber nicht *+was du wo liest. das sehen wir nicht.

hier hätte ein Hinweis auf den reichtigen Bericht einfach Sucharbeit abgenommen.
Es ist nicht unsere Aufgabe
deine Arbeit zu machen. Das suchen musst du schon übernehmen. Wenn wir (ich) es machen sollen, dann bezahle uns auch dafürface-smile Und wie sollen wir dir sagen in welchem deiner LOGS alles rot ist? Dazu müssten wir ja den Inhalt deiner** Logs kennenface-smile

Fehler gefunden, behoben, dazugelernt.
Klasse. Nein, keine bösen hintergedanken.

Gruß,
Peter
edv-gahrmann
edv-gahrmann 19.06.2013 um 14:40:45 Uhr
Goto Top
Das ist Kritik mit der ich Leben kann,
ehrlich und höflich formuliert.

Richtig, ich hätte die alten Konfigurationen eingehender prüfen müssen, auch wenn das nur mittelbar geholfen hätte.

Natürlich erwarte ich hier nicht, dass jemand meine Arbeit tut,
Ich erwarte Anregungen oder Ideen, da ich immer etwas übersehen kann bei den komplexen Systemen.

Glücklicherweise weiß ich schon was ich tun muss, weiss nur nicht immer, wo die notwendigen Schalter sind. Und ab und an neige ich auch dazu betriebsblind zu sein, so dass mir naheligendedinge später einfallen.
hier war das beispiel, dass ich den Server identifiziert hatte, weil das Problem nichtmehr da war, als der Server aus war. Dass es dann doch der Router war, der dinge an den Sever durchlies, hätte ich auch früher sehen können face-wink

Wenn ich Fehlermeldungen sehe, geb ich die gern weiter, nur da waren keine face-wink der Server hat ja seine Arbeit gemacht.

Und weil ich lernfähig bin, werde ich in Zukunft auch im FOrum alle Fragen beantworten, vllt hilfts ja - normalerweise bin ich auf der anderen Seite face-wink da verlernt man schonmal sich helfen zu lassen face-wink

Noch kurz zum Server:
die bestehende Domain firmenname.de empfängt die Mails. der Exchange firmenname.dtdns.net holt per pop3-connector.
Der Exchange sendet per smarthost wieder über firmenname.de. Da der Server selber keinen vollqualifizierenden Namen hat.
Der Server soll via VPN erreichbar sein.
Mobiltelefone sollen von Extern auf der Exchange zugreifen können (Kontakte, Kalender, Mails) (Android, Windws Phone)
OWA soll auch gehen.
(Dafür weiss ich aber die Ports, Einstellungen oder habe das schon mit o.g. Liste abgeglichen) face-smile
Tägliche Datensicherung mit Boardmitteln zeitgesteuert auf USB-Platte.


Ich selber gehe immer mit der einstellung herum, dass ich noch hinzulernen kann und muss face-wink

Nochmals vielen Dank!
keine-ahnung
keine-ahnung 19.06.2013 um 14:52:12 Uhr
Goto Top
Zitat von @edv-gahrmann:
Verbrennen ist übrigens auch keine Lösung was verbrennen, den Server - mit der Hardware? die hier völlig uninteressant war, den Router?
Du hast echt keine-ahnung ... Was bitte ist an der Hardeware uninteressant, wenn man nicht in der Lage ist, ein Problem einzugrenzen??
der Exchange firmenname.dtdns.net holt per pop3-connector
Das muss ein völlig neuer Exchange sein, wenn er selbst die mails per pop-connector abholen kann. Oder ist das kostenpflichtiges Sonderzubehör?
Ich selber gehe immer mit der einstellung herum, dass ich noch hinzulernen kann und muss
Genau. Auf Kosten Deiner "Kunden" ... ich habe das zunächst für einen witzigen nick gehalten face-wink.

Ist mir ja eigentlich völlig Wurscht, aber wegen Experten wie Dir war ich gezwungen, mein Zeug selber machen zu müssen ...

LG, Thomas
goscho
goscho 19.06.2013 um 15:23:50 Uhr
Goto Top
Zitat von @keine-ahnung:
> Ich selber gehe immer mit der einstellung herum, dass ich noch hinzulernen kann und muss
Genau. Auf Kosten Deiner "Kunden"
Auf jeden fall ist er sehr sehr ehrlich und gibt zu, dass er auf diesem/seinem Gebiet nicht der Guru ist und dazulernen will.
Wir haben schließlich alle mal klein angefangen.
Zitat von @keine-ahnung:
... ich habe das zunächst für einen witzigen nick gehalten face-wink.
kann ja nicht jeder mit seinem Namen als nick (wie ich) bzw. seiner Passion (wie du) in Foren auftreten. face-big-smile
Ist mir ja eigentlich völlig Wurscht, aber wegen Experten wie Dir war ich gezwungen, mein Zeug selber machen zu müssen
Mensch Thomas, was würdest du viele Patienten behandeln und glücklich machen können, wenn du einen fähigen IT-Dienstleister hättest. face-big-smile
Pjordorf
Pjordorf 19.06.2013 um 16:38:22 Uhr
Goto Top
Hallo,

Zitat von @goscho:
Mensch Thomas, was würdest du viele Patienten behandeln und glücklich machen können
Vielleicht hat er da ja auch keine ahnung face-devilish 0face-smile face-smile

Gruß,
Peter
edv-gahrmann
edv-gahrmann 19.06.2013 um 16:49:57 Uhr
Goto Top
*lach* und dann gibt es noch den Unterschied zwischen Ahnung und Wissen...

So genug, der Server läuft.
Jetzt fehlt nur noch das UpdateRollup für den Exchange 2012, 7 und 8,
Fehler 57E

Aber da hilft vvlt Selbststudium. Wobei Fehler selten im Handbuch stehen face-wink und noch weniger in der Theorie, da geht nämlich immer alles.
und bislang hab ich jeden Fehler, der sich mir in den Weg stellte beseitigt, mal mit mal ohne Hilfe, das macht ja gerade den Reiz aus!
Pjordorf
Pjordorf 19.06.2013 um 16:58:34 Uhr
Goto Top
Hallo,

Zitat von @edv-gahrmann:
Wenn ich Fehlermeldungen sehe, geb ich die gern weiter, nur da waren keine
OK, aber dann sag es auch deutlich

die bestehende Domain firmenname.de empfängt die Mails.
Du meinst dein Hoster im Inet wo du noch die E-Mail Konten zusätzlich pflegen musst, oder? (weil du sagst ja vorher noch das du jetzt von deinen Server redest)


der Exchange firmenname.dtdns.net holt per pop3-connector.
Wie schon angemerkt. Kein Mailserver kann mails abholen. Einem Mailserver werden Mails immer per SMTP zugestellt. Anders funktionieren die nicht in unserer Welt. Keiner beherscht hier das abholen durch poppen. Der SBS hat ein kleines Zusatzprogramm (was ein standalone Exchange nicht hat aber nachgeholt werden kann) und nennt sich POP3-Connector. Es gibt auch andere teils kostenpflichtige POP3 abholer.

Der Exchange sendet per smarthost wieder über firmenname.de. Da der Server selber keinen vollqualifizierenden Namen hat.
Das hat doch nichts mit dem FQDN zu tun. Warum auch. Per smarthost bedeutet für euch keien Kopfschmerzen mit den nicht erreichbaren Servern, IP-Bereich nicht akzeptiert, Reverse DNS nicht zwingend korrekt sein muss usw. das hat doch eher Vorteile für euch. Willst du dich wirklich mit notfalls hunderte von SMTP Warteschlangen rum ärgen?

Der Server soll via VPN erreichbar sein.
Nur der Server oder evtl auch andere Geräte im Netz? Warum muss dein SBS zwingen den VPN Server machen (Er ist ja auch DC)? Warum nicht z.B. eine UTM wie von Sophos dazwischen? Die gibt es auch kostenlos als Software für Firmen. http://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-fi ... oder eine pfSense oder Monowall. Dann ist das VPN unabhängig vpom zustand des SBS.

Mobiltelefone sollen von Extern auf der Exchange zugreifen können (Kontakte, Kalender, Mails) (Android, Windws Phone) OWA soll auch gehen.
Dann tu es doch.

(Dafür weiss ich aber die Ports, Einstellungen oder habe das schon mit o.g. Liste abgeglichen) face-smile
Du brauchts nut den TCP Port 443 weiterzuleiten (oder alles durch ein reverseProxy jagen) und damit ist alles möglich. Beschäftige dich mit den Funktionen (OWA, RWW, EAS usw.) und vor allem wie diese funktionieren und was MS beim SBS durch verwenden der Asisstenten dir alles an Arbeit abnimmt. Allerdings ohne Fachwissen von Server, AD, DC, DNS, DHCP, IIS, Sharepoint, Exchange usw. kannst du zwar die setup.exe des SBS ausführen, aber einen SBS niemals korrekt konfigurieren. Entweder du lernst oder du bezahlst jemand. Und denke daran, bei einem SBS gibt es Fünf Regeln:
1. Nimm die Asisstenten
2. Nimm die Asisstenten
3. Nimm die Asisstenten
4. Nimm die asisstenten
5. Finger weg wenn du keine Grundlagen und Fachwissen dein eigen nennst sondern nimm die Asisstenten.

Ich selber gehe immer mit der einstellung herum, dass ich noch hinzulernen kann und muss face-wink
Das wird dir dein Kunde aber auf dauer übelnemhen wenn er immer die Schule bezahlen soll! Er erwartet Fachkompetenz und dafür gibt es ja auch kein Falschgeld von ihm, oder?

Gruß,
Peter
Pjordorf
Pjordorf 19.06.2013 um 17:04:16 Uhr
Goto Top
Hallo,

Zitat von @edv-gahrmann:
Jetzt fehlt nur noch das UpdateRollup für den Exchange 2012, 7 und 8,
Exchange Server 2012? Wann gab es den denn?

Fehler 57E
Soll das jetzt Stop 0x0000057E bedeuten oder nur eine fehlernummer 0x0000057E oder nur einen Event ID? face-smile
Aber mit meiner Suchmaschine meiner Wahl in meinem Internet gibt es ca. 3.210.000.000 Treffer dazu wenn ich nur ein "exchange 2010 57e" eintippe.face-smile

Mach dazu eine eigen Thread auf wenn nötig und sei etwas präziser mit deinen Angaben.

Gruß,
Peter
keine-ahnung
keine-ahnung 19.06.2013 um 17:57:29 Uhr
Goto Top
Zitat von @Pjordorf:
Vielleicht hat er da ja auch keine ahnung face-devilish 0face-smile face-smile
Woher weisst Du .... kann man das ganz schnell wieder aus dem Internet löschen? Bitte?? face-wink

LG, Thomas
edv-gahrmann
edv-gahrmann 19.06.2013 um 18:36:31 Uhr
Goto Top
Hihi,
Dochdoch, ich verfüge über Grundlagen und einiges an Fachwissen und Handbüchern, sonst würde ich da nicht bei gehen. Und weitere Ansprechpartner mit Spezialwissen habe ich durchaus im Zugriff, nicht nur über das Forum.

Jetzt stelle ich nur noch ein paar Dinge klar,
Ja, die Mails werden auf "firmenname.de" extern gehostet empfangen, dann holt 'mein' Exchange das per POP3-Connector, eben diesem Zusatzprogramm ab. Läuft wunderbar. War ein Assistent.
Bei Senden geht es dann anders herum, mein Exchange sendet via Smarthost (auch Assistent) über den smtp des 'firmenname.de'
Soll beides so bleiben, läuft wunderbar einien eigenen smtp wollte ich nicht erst einrichten. (Gibt sonst noch Probleme die Mails loszuwerden wg genug anderer Regelungen und Stolpersteine beim Empfänger, (Zertifikate, Blacklists, Whitelists, ...))
Auf das Exchange greifen 6 Outlook im eigenen Netzwerk zu mit gegenseitig freigegebenen Kalendern, läuft wunderbar.
Die Smartphones greifen via exchange/Active Sync zu, konnte eingerichtet werden, Assistent, läuft wunderbar.
Auch VPN geht. (Assistent face-wink )
Und man lernt nie aus.
Nochmals danke!
edv-gahrmann
edv-gahrmann 19.06.2013 um 21:51:27 Uhr
Goto Top
Vertippt, ist der 2010er Exchange
Update fehlgeschlagen
Grund: Unbekannter Fehler 57E (ohne 0x....)
Aber da forsche ich erstmal selber ;) und mache bei Bedarf einen neuen Thread auf.
edv-gahrmann
edv-gahrmann 24.09.2013 um 13:04:37 Uhr
Goto Top
Auch das Update-Problem ist inzwischen schon länger gelöst.
nur mal so nebenbei face-wink