VMware: vCenter VCSA Appliance NTP reflection DOS DDOS Attacke möglich

Es kam eine E-Mail des BSI und von unserem Hosting-Provider herein, dass eine unserer IPs auf eine NTP DDOS Attacke reagiert hat, bzw. ausgenutzt wurde.

In verschiedenen Blog-Postings wurde über eine neue Möglichkeit der missbräuchlichen Nutzung von NTP Servern berichtet. Durch diese missbräuchliche Nutzung kann ein reflektierter und verstärkter Denial-of-Service-Angriff durchgeführt werden.

Es wird ein Update auf Version 4.2.7 oder höher empfohlen. Aufgrund des Verhältnisses von einer kleinen Anfrage (1 UDP Paket) zu einer sehr großen Antwort (max. 600 IP Adressen) wird von einem Verstärker (Amplifier) Angriff gesprochen. Das Feature wird seit Dez. 2013 aktiv für DDoS Angriffe ausgenutzt.

Es stellte sich heraus, dass es unsere vCenter-Server-Appliance selber ist, welche allerdings in der aktuellsten Version (seinerzeit 5.5.0.5201 Build 1476389) läuft.
Daher konnte lediglich über das Hinzufügen der Zeile

disable monitor

in die /etc/ntp.conf Abhilfe geschaffen werden. Ein anschließender Neustart der Appliance war nötig.

3,723 total views, 5 views today

Exchange 2013: Adressbuch wird im Outlook Cached Mode bei externen Clients nicht heruntergeladen

Es war nicht möglich, das Offlineadressbuch herunterzuladen. Outlook hing beim herunterladen, es erschien keine Fehlermeldung.

Bei Clients, die sich in der Domäne befanden, funktionierte es hingegen. Also konnten wir davon ausgehen, dass die Adressbücher grundsätzlich korrekt funktionierten.

Es stellte sich heraus, dass Exchange 2013, anders als 2010, das virtuelle Verzeichnis „OAB“ im IIS nicht mit Basic Authentication $true (Standardauthentifizierung) angelegt hatte.

Dieses bitte NICHT im IIS ändern, Exchange würde es wieder überschreiben.

Der korrekte Befehl für die Powershell lautet:
Set-OabVirtualDirectory -Identity „EXCHANGE2013\oab (Default Web Site)“ -BasicAuthentication $true

3,027 total views, 3 views today

Server 2012 / R2 Testversion umwandeln in Verkaufsversion

Anders, als ich es in diversen anderen Blogs und auch im TechNet gefunden habe, lautet der korrekte Befehl für die „elevated“ CMD:

DISM /online /Set-Edition:ServerStandard /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

So ist es – in diesem Fall – möglich, eine Windows 2012 (oder R2) ServerStandardEval in eine „Echte“ umzuwandeln.

  • DISM /online /Get-CurrentEdition
    liefert die aktuell verwendete Windows Edition
  • DISM /online /Get-TargetEditions
    liefert die möglichen Upgrade-Editionen

http://technet.microsoft.com/en-us/library/dn303416.aspx

5,407 total views, 2 views today

Exchange 2013: Öffentliche Ordner werden in Outlook nicht angezeigt

Nach der Migration unserer Öffentlichen Ordner vom Exchange 2010 auf Exchange 2013 wurden die Öffentlichen Ordner in Outlook 2013 nicht mehr angezeigt.

Wobei hier noch zu differenzieren ist:

Bei Domänen-PCs funktionierte in allen Outlook-Versionen alles korrekt.

Bei PCs ausserhalb der Domain, wurden die Öffentlichen Ordner in Outlook 2007, 2010, Outlook for Mac 2011 und WebApp zwar angezeigt, man konnte jedoch nicht auf sie zugreifen. Fehlermeldung in etwa:
„Der Ordner kann nicht erweitert werden. Microsoft Exchange ist nicht verfügbar. Es bestehen Netzwerkprobleme, oder der Servercomputer mit Exchange wurde für Wartungsarbeiten heruntergefahren.“

Bei Outlook 2013 wurden die Öffentlichen Ordner erst gar nicht eingeblendet. Fehlermeldungen erschienen nicht. Patch-Stand war überall der aktuellste.

Es stellte sich nach tagelanger Fehlersuche heraus, dass mal wieder ein Autodiscover-Problem vorlag.

Hier muss kurz noch etwas zum Hintergrund der neuen „modernen“ Öffentlichen Ordner von Exchange 2013 gesagt werden: diese funktionieren nun als Postfächer in der normalen Mailbox-Database. Es gibt keine eigene Öffentliche-Ordner Datenbank mehr.

Der Fehler entstand dadurch, dass die Standardadresserstellungsrichtlinie das Öffentliche-Ordner Postfach mit der primären SMTP-Adresse @Domain.local angelegt hatte. Autodiscover versucht nun „publicfoldermailbox@domain.local“ zu öffnen, was natürlich fehlschlägt, da DNS @Domain.local natürlich nicht funktioniert. Daher können die Öffentlichen Ordner, bzw. das dazugehörige Postfach, nicht korrekt hinzugefügt werden.

Abhilfe:
http://support.microsoft.com/kb/2788136

Kurz gesagt: Ändern der primären SMTP-Adresse des Öffentlichen-Ordner Postfaches auf eine über Autodiscover erreichbare Domain, optimalerweise natürlich wie die restlichen E-Mail-Adressen der Domain. Alternativ ändern der Standardadresserstellungsrichtlinie auf die Domain, die man auch extern nutzt (@Domain.de). Wir hatten das deshalb nicht gemacht, weil wir auch Hosting betreiben und daher als „Standarddomain“ unsere @local nutzen.

Ändern der primären SMTP-Adresse der PublicFolder Mailbox:
Set-Mailbox -publicfolder „Mailbox-Name“ -PrimarySMTPAddress mailboxname@domain.com -EmailAddressPolicyEnabled $false

Über:
Get-Mailbox -publicfolder | fl Name,*primary*
kann man sich die Adresse(n) auch anzeigen lassen.

Es dauert ca. eine Stunde, bis Active-Directory die Autodiscover.XML wieder überall veröffentlicht hat. Anschließend blenden sich die Öffentlichen Ordner von alleine bei den Outlooks ein.
Vorausgesetzt natürlich immer, dass Autodiscover vernünftig funktioniert. Dabei spielt es auch keine Rolle, ob die PCs sich im internen Netzwerk oder im Internet befinden. Nur Domänen-PCs nutzen noch die Service-URI im AD, so dass Autodiscover hier ggf. umgangen wird.

32,544 total views, 10 views today