Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mails aus einem Exchange Postfach verschwunden

Frage Microsoft Exchange Server

Mitglied: WKorell

WKorell (Level 1) - Jetzt verbinden

28.11.2012 um 18:10 Uhr, 7150 Aufrufe, 7 Kommentare

Hallo,

wir betreiben einen Exchange 2010 SP2 auf einem Windows Server 2008 R2 mit neusten Updates und gestern Abend ist bei einem Benutzer der koplette Posteingang verschwunden.

Der Benutzer hatte ca. 10.000 Mails im Posteingang die gestern Abend innerhalb von ca. 20 Minuten verschwunden sind. Es ist nicht der Outlook Client, da die Mails weder auf den Mobilen Endgeräten noch auf den OWA zu sehen sind sind. Außerdem ist auch keine Autoarchivierung eingestellt oder aktiv. Per PowerShell-Befehl Mailboxstatistics wird aber die richtige Anzahl an Elementen angezeigt. Gibt es eine Möglichkeit die Mails zurückzuholen ohne die Backups wieder einzuspielen da dadurch die Mails vom 27ten verloren gehen würden?

Danke im vorraus.

WKorell
Mitglied: goscho
28.11.2012 um 19:18 Uhr
Guten Abend,
Exchange hat eine Vorhaltezeit von 30 Tagen für gelöschte Elemente. Diese können sehr einfach in Outlook wiederhergestellt werden.
Auch die Wiederherstellung einzelner Elemente sollte ein vernünftiges Backupprogramm können.
Bitte warten ..
Mitglied: Stelomat
29.11.2012, aktualisiert 06.03.2013
Spontan wuerde ich drauf tippen das die Mails vieleicht in einen Ordner verschoben wurden. Kann es sein das der User sie versehentlich in einen Unterordner oder auch Kontakteordner (hatte ich letztens) verschoben hat. Tipp Ordner synchronisationsprobleme wenn du im outlook unten auf das kleine Ordnersymbol klickst zeigt Outlook erst alle echten Ordner an hier könnte sich was versctecken.
Bitte warten ..
Mitglied: filippg
29.11.2012 um 00:47 Uhr
Hallo,

etwas tatsächlich _sofort_ von Exchange zu löschen ist ziemlich schwer. Normalerweise greift die "Deleted Item Retention", die auch goscho schon erwähnte. Als Tipp dazu noch der Suchbegriff "Dumpster" und der Artikel http://www.roland-ehle.de/archives/234.
Die Anzeige von get-mailboxstatistics ist trügerisch, da diese (m.W.) nur periodisch durch die Maintenance aktualisiert wird, und in sofern veraltet sein kann.
Ein Restore sollte die Mails von gestern nicht überschreiben. Wird ein "klassisches" Streamingbackup gemacht, so ist ein Restore ohnehin nur in eine Recovery Storage Group (RSG) möglich, Daten aus den Produktivdatenbanken werden dabei nicht überschrieben. Aus der RSG kann man die Daten dann extrahieren und z.B. per PST zur Verfügung stellen. Wenn du ein SnapShot-Backup verwendest sollte die Backupsoftware ein Tool zum Extrahieren mitbringen. Wenn du gar kein Exchange-Aware Backup verwendest, sondern einfach die .edb-Dateien irgendwie sicherst, machst du sowieso etwas falsch und solltest dir dringend etwas neues überlegen

Grüße

Filipp
Bitte warten ..
Mitglied: WKorell
29.11.2012 um 10:18 Uhr
@ goscho, Stelomat, filippg
Das Problem dabei ist das die Mails ohne irgendein Befehl aus dem Posteingang verschwunden sind.
Der Rechner war in einem abgeschlossenen Raum und niemand war drin. Es kan niemand ein Soft- oder Hard-Delete ausgelöst, noch ein Befehl zum Verschieben der Mails gegeben haben.

WKorell
Bitte warten ..
Mitglied: goscho
29.11.2012 um 11:14 Uhr
Morgen,
worum geht es denn jetzt?

Möchtest du herausbekommen, warum die Mails verschwunden sind oder sie wiederherstellen?

Bei ersterem würde ich so vorgehen:

Wer hat alles welchen Zugriff auf dieses Postfach (Outlook, Stellvertreter, OWA, mobile Geräte)?
Könnte es denn eine Regel sein, die alles gelöscht hat (die eventuell anschließend wieder gekillt wurde)?
Gibt es ein AV-System auf dem Exchange oder dem Client, das dafür verantwortlich sein könnte?
Hat der Admin mit dem Postfach "herumgespielt" (Einstellungen geändert, gelöscht und wieder erstellt)?

Der Rechner war in einem abgeschlossenen Raum und niemand war drin. Es kan niemand ein Soft- oder Hard-Delete ausgelöst, noch ein Befehl zum Verschieben der Mails gegeben haben.
Was ist denn das für eine Aussage?

Hatte der Rechner in dem abgeschlossenen Raum einen aktiven Netzwerkanschluss?
Könnte man sich nicht remote auf das Gerät eingewählt haben?
Könnte der Zugriff nicht von einem anderen PC oder mobilen Gerät erfolgt sein?
Bitte warten ..
Mitglied: WKorell
29.11.2012 um 12:28 Uhr
Möchtest du herausbekommen, warum die Mails verschwunden sind oder sie wiederherstellen?

Am besten beides

Bei ersterem würde ich so vorgehen:

Wer hat alles welchen Zugriff auf dieses Postfach (Outlook, Stellvertreter, OWA, mobile Geräte)?

Nur der User hat die Berechtigungen auf dieses Postfach kein Stellvertreter oder ähnliches. Der Benutzer nutzt in der Regel Outlook und iPad oder Smartphones über ActiveSync

Könnte es denn eine Regel sein, die alles gelöscht hat (die eventuell anschließend wieder gekillt wurde)?

Regeln sind keine definiert weder auf dem Client noch auf dem Exchange

Gibt es ein AV-System auf dem Exchange oder dem Client, das dafür verantwortlich sein könnte?

Eigentlich setzten wir nur Microsoft Produkte ein Forefront for Exchange und Endpoint Protection

Hat der Admin mit dem Postfach "herumgespielt" (Einstellungen geändert, gelöscht und wieder erstellt)?

Der Admin hat auf diesem Postfach keinerlei Befugnisse da dieses mit Unternehmenskritischen Mails gefüllt wird

Der Rechner war in einem abgeschlossenen Raum und niemand war drin. Es kan niemand ein Soft- oder Hard-Delete ausgelöst,
noch ein Befehl zum Verschieben der Mails gegeben haben.

Was ist denn das für eine Aussage?
Hatte der Rechner in dem abgeschlossenen Raum einen aktiven Netzwerkanschluss?
Könnte man sich nicht remote auf das Gerät eingewählt haben?
Könnte der Zugriff nicht von einem anderen PC oder mobilen Gerät erfolgt sein?

Der Vorfall ist gegen 22 Uhr eingetreten und da war nur der Benutzer anwesend bzw. kurzzeitig aus dem Büro raus gegangen.
Per Remote konnte sich keiner eingewählt haben ohne die Zugangsdaten des Users zu kennen. Fernwartungssoftware ist auf diesem Gerät auch nicht installiert. Die meisten mobilen geräte lagen auch in diesem Büro nur ein Smartphone hatte der Benutzer dabei. Und dieser hat sowieso nur eine 3 tägige Synchronisierung auf dem Gerät und es sind Mails von mehreren Jahren verschwunden.

Natürlich verstehe ich dass, das kein absoluter Schutz gegen Fremdeinwirkung ist aber diesen gibt es ja sowieso nicht.

WKorell
Bitte warten ..
Mitglied: goscho
29.11.2012 um 13:03 Uhr
Zitat von WKorell:
> Möchtest du herausbekommen, warum die Mails verschwunden sind oder sie wiederherstellen?

Am besten beides
Wie die Mails wiederherzustellen sind, haben wir dir ja bereits ausführlich beschrieben, oder?

> Wer hat alles welchen Zugriff auf dieses Postfach (Outlook, Stellvertreter, OWA, mobile Geräte)?

Nur der User hat die Berechtigungen auf dieses Postfach kein Stellvertreter oder ähnliches. Der Benutzer nutzt in der Regel
Outlook und iPad oder Smartphones über ActiveSync
Die Zugangsdaten dieses Users kennt auch ganz sicher niemand sonst?

> Gibt es ein AV-System auf dem Exchange oder dem Client, das dafür verantwortlich sein könnte?

Eigentlich setzten wir nur Microsoft Produkte ein Forefront for Exchange und Endpoint Protection

Bzgl. Forefront solltet ihr euch für die Zukunft eine ALternative suchen.
Sicher, dass es kein AV-Problem war? Alle Logs der AV-Programme gecheckt?

> Der Rechner war in einem abgeschlossenen Raum und niemand war drin. Es kan niemand ein Soft- oder Hard-Delete
ausgelöst,
> noch ein Befehl zum Verschieben der Mails gegeben haben.

> Was ist denn das für eine Aussage?
> Hatte der Rechner in dem abgeschlossenen Raum einen aktiven Netzwerkanschluss?
> Könnte man sich nicht remote auf das Gerät eingewählt haben?
> Könnte der Zugriff nicht von einem anderen PC oder mobilen Gerät erfolgt sein?

Der Vorfall ist gegen 22 Uhr eingetreten und da war nur der Benutzer anwesend bzw. kurzzeitig aus dem Büro raus gegangen.
Ich würde nochmal mit dem User reden.

Wenn es sich um einen Ordner handelt, der nicht zu den Default-Ordnern gehört, so ist es sehr einfach möglich, dass man versehentlich den ganzen Ordner an eine andere Stelle verschiebt, wo man doch nur eine Mail anfassen wollte.
Ebenso passiert es sehr häufig, dass ein User nur eine oder ein paar Mails löschen will, versehentlich aber alle killt.
Natürlich verstehe ich dass, das kein absoluter Schutz gegen Fremdeinwirkung ist aber diesen gibt es ja sowieso nicht.
Wer sagt denn, dass es Fremdeinwirkung war?

Am Wahrscheinlichsten war es der User oder aber ein Fehler im Zusammenspiel vom Mailserver mit etwas, das Zugriff darauf hat
(AV, Archivierung, Anwenderprogramme wie Outlook).
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
Zweite Exchange Postfach in Outlook 2010 einbinden (2)

Frage von DieAzubinne zum Thema Exchange Server ...

Exchange Server
gelöst Exchange - Postfach anlegen erstellt Mail mit "falschen Namen" (3)

Frage von Nuke.RJ zum Thema Exchange Server ...

Datenschutz
gelöst Mailanbieter löscht einfach bestimmte Mails aus Postfach (7)

Frage von FFSephiroth zum Thema Datenschutz ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...