Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mails aus einem Exchange Postfach verschwunden

Frage Microsoft Exchange Server

Mitglied: WKorell

WKorell (Level 1) - Jetzt verbinden

28.11.2012 um 18:10 Uhr, 8368 Aufrufe, 7 Kommentare

Hallo,

wir betreiben einen Exchange 2010 SP2 auf einem Windows Server 2008 R2 mit neusten Updates und gestern Abend ist bei einem Benutzer der koplette Posteingang verschwunden.

Der Benutzer hatte ca. 10.000 Mails im Posteingang die gestern Abend innerhalb von ca. 20 Minuten verschwunden sind. Es ist nicht der Outlook Client, da die Mails weder auf den Mobilen Endgeräten noch auf den OWA zu sehen sind sind. Außerdem ist auch keine Autoarchivierung eingestellt oder aktiv. Per PowerShell-Befehl Mailboxstatistics wird aber die richtige Anzahl an Elementen angezeigt. Gibt es eine Möglichkeit die Mails zurückzuholen ohne die Backups wieder einzuspielen da dadurch die Mails vom 27ten verloren gehen würden?

Danke im vorraus.

WKorell
Mitglied: goscho
28.11.2012 um 19:18 Uhr
Guten Abend,
Exchange hat eine Vorhaltezeit von 30 Tagen für gelöschte Elemente. Diese können sehr einfach in Outlook wiederhergestellt werden.
Auch die Wiederherstellung einzelner Elemente sollte ein vernünftiges Backupprogramm können.
Bitte warten ..
Mitglied: Stelomat
29.11.2012, aktualisiert 06.03.2013
Spontan wuerde ich drauf tippen das die Mails vieleicht in einen Ordner verschoben wurden. Kann es sein das der User sie versehentlich in einen Unterordner oder auch Kontakteordner (hatte ich letztens) verschoben hat. Tipp Ordner synchronisationsprobleme wenn du im outlook unten auf das kleine Ordnersymbol klickst zeigt Outlook erst alle echten Ordner an hier könnte sich was versctecken.
Bitte warten ..
Mitglied: filippg
29.11.2012 um 00:47 Uhr
Hallo,

etwas tatsächlich _sofort_ von Exchange zu löschen ist ziemlich schwer. Normalerweise greift die "Deleted Item Retention", die auch goscho schon erwähnte. Als Tipp dazu noch der Suchbegriff "Dumpster" und der Artikel http://www.roland-ehle.de/archives/234.
Die Anzeige von get-mailboxstatistics ist trügerisch, da diese (m.W.) nur periodisch durch die Maintenance aktualisiert wird, und in sofern veraltet sein kann.
Ein Restore sollte die Mails von gestern nicht überschreiben. Wird ein "klassisches" Streamingbackup gemacht, so ist ein Restore ohnehin nur in eine Recovery Storage Group (RSG) möglich, Daten aus den Produktivdatenbanken werden dabei nicht überschrieben. Aus der RSG kann man die Daten dann extrahieren und z.B. per PST zur Verfügung stellen. Wenn du ein SnapShot-Backup verwendest sollte die Backupsoftware ein Tool zum Extrahieren mitbringen. Wenn du gar kein Exchange-Aware Backup verwendest, sondern einfach die .edb-Dateien irgendwie sicherst, machst du sowieso etwas falsch und solltest dir dringend etwas neues überlegen

Grüße

Filipp
Bitte warten ..
Mitglied: WKorell
29.11.2012 um 10:18 Uhr
@ goscho, Stelomat, filippg
Das Problem dabei ist das die Mails ohne irgendein Befehl aus dem Posteingang verschwunden sind.
Der Rechner war in einem abgeschlossenen Raum und niemand war drin. Es kan niemand ein Soft- oder Hard-Delete ausgelöst, noch ein Befehl zum Verschieben der Mails gegeben haben.

WKorell
Bitte warten ..
Mitglied: goscho
29.11.2012 um 11:14 Uhr
Morgen,
worum geht es denn jetzt?

Möchtest du herausbekommen, warum die Mails verschwunden sind oder sie wiederherstellen?

Bei ersterem würde ich so vorgehen:

Wer hat alles welchen Zugriff auf dieses Postfach (Outlook, Stellvertreter, OWA, mobile Geräte)?
Könnte es denn eine Regel sein, die alles gelöscht hat (die eventuell anschließend wieder gekillt wurde)?
Gibt es ein AV-System auf dem Exchange oder dem Client, das dafür verantwortlich sein könnte?
Hat der Admin mit dem Postfach "herumgespielt" (Einstellungen geändert, gelöscht und wieder erstellt)?

Der Rechner war in einem abgeschlossenen Raum und niemand war drin. Es kan niemand ein Soft- oder Hard-Delete ausgelöst, noch ein Befehl zum Verschieben der Mails gegeben haben.
Was ist denn das für eine Aussage?

Hatte der Rechner in dem abgeschlossenen Raum einen aktiven Netzwerkanschluss?
Könnte man sich nicht remote auf das Gerät eingewählt haben?
Könnte der Zugriff nicht von einem anderen PC oder mobilen Gerät erfolgt sein?
Bitte warten ..
Mitglied: WKorell
29.11.2012 um 12:28 Uhr
Möchtest du herausbekommen, warum die Mails verschwunden sind oder sie wiederherstellen?

Am besten beides

Bei ersterem würde ich so vorgehen:

Wer hat alles welchen Zugriff auf dieses Postfach (Outlook, Stellvertreter, OWA, mobile Geräte)?

Nur der User hat die Berechtigungen auf dieses Postfach kein Stellvertreter oder ähnliches. Der Benutzer nutzt in der Regel Outlook und iPad oder Smartphones über ActiveSync

Könnte es denn eine Regel sein, die alles gelöscht hat (die eventuell anschließend wieder gekillt wurde)?

Regeln sind keine definiert weder auf dem Client noch auf dem Exchange

Gibt es ein AV-System auf dem Exchange oder dem Client, das dafür verantwortlich sein könnte?

Eigentlich setzten wir nur Microsoft Produkte ein Forefront for Exchange und Endpoint Protection

Hat der Admin mit dem Postfach "herumgespielt" (Einstellungen geändert, gelöscht und wieder erstellt)?

Der Admin hat auf diesem Postfach keinerlei Befugnisse da dieses mit Unternehmenskritischen Mails gefüllt wird

Der Rechner war in einem abgeschlossenen Raum und niemand war drin. Es kan niemand ein Soft- oder Hard-Delete ausgelöst,
noch ein Befehl zum Verschieben der Mails gegeben haben.

Was ist denn das für eine Aussage?
Hatte der Rechner in dem abgeschlossenen Raum einen aktiven Netzwerkanschluss?
Könnte man sich nicht remote auf das Gerät eingewählt haben?
Könnte der Zugriff nicht von einem anderen PC oder mobilen Gerät erfolgt sein?

Der Vorfall ist gegen 22 Uhr eingetreten und da war nur der Benutzer anwesend bzw. kurzzeitig aus dem Büro raus gegangen.
Per Remote konnte sich keiner eingewählt haben ohne die Zugangsdaten des Users zu kennen. Fernwartungssoftware ist auf diesem Gerät auch nicht installiert. Die meisten mobilen geräte lagen auch in diesem Büro nur ein Smartphone hatte der Benutzer dabei. Und dieser hat sowieso nur eine 3 tägige Synchronisierung auf dem Gerät und es sind Mails von mehreren Jahren verschwunden.

Natürlich verstehe ich dass, das kein absoluter Schutz gegen Fremdeinwirkung ist aber diesen gibt es ja sowieso nicht.

WKorell
Bitte warten ..
Mitglied: goscho
29.11.2012 um 13:03 Uhr
Zitat von WKorell:
> Möchtest du herausbekommen, warum die Mails verschwunden sind oder sie wiederherstellen?

Am besten beides
Wie die Mails wiederherzustellen sind, haben wir dir ja bereits ausführlich beschrieben, oder?

> Wer hat alles welchen Zugriff auf dieses Postfach (Outlook, Stellvertreter, OWA, mobile Geräte)?

Nur der User hat die Berechtigungen auf dieses Postfach kein Stellvertreter oder ähnliches. Der Benutzer nutzt in der Regel
Outlook und iPad oder Smartphones über ActiveSync
Die Zugangsdaten dieses Users kennt auch ganz sicher niemand sonst?

> Gibt es ein AV-System auf dem Exchange oder dem Client, das dafür verantwortlich sein könnte?

Eigentlich setzten wir nur Microsoft Produkte ein Forefront for Exchange und Endpoint Protection

Bzgl. Forefront solltet ihr euch für die Zukunft eine ALternative suchen.
Sicher, dass es kein AV-Problem war? Alle Logs der AV-Programme gecheckt?

> Der Rechner war in einem abgeschlossenen Raum und niemand war drin. Es kan niemand ein Soft- oder Hard-Delete
ausgelöst,
> noch ein Befehl zum Verschieben der Mails gegeben haben.

> Was ist denn das für eine Aussage?
> Hatte der Rechner in dem abgeschlossenen Raum einen aktiven Netzwerkanschluss?
> Könnte man sich nicht remote auf das Gerät eingewählt haben?
> Könnte der Zugriff nicht von einem anderen PC oder mobilen Gerät erfolgt sein?

Der Vorfall ist gegen 22 Uhr eingetreten und da war nur der Benutzer anwesend bzw. kurzzeitig aus dem Büro raus gegangen.
Ich würde nochmal mit dem User reden.

Wenn es sich um einen Ordner handelt, der nicht zu den Default-Ordnern gehört, so ist es sehr einfach möglich, dass man versehentlich den ganzen Ordner an eine andere Stelle verschiebt, wo man doch nur eine Mail anfassen wollte.
Ebenso passiert es sehr häufig, dass ein User nur eine oder ein paar Mails löschen will, versehentlich aber alle killt.
Natürlich verstehe ich dass, das kein absoluter Schutz gegen Fremdeinwirkung ist aber diesen gibt es ja sowieso nicht.
Wer sagt denn, dass es Fremdeinwirkung war?

Am Wahrscheinlichsten war es der User oder aber ein Fehler im Zusammenspiel vom Mailserver mit etwas, das Zugriff darauf hat
(AV, Archivierung, Anwenderprogramme wie Outlook).
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2007 Postfach deaktiviert und anschließend verschwunden
gelöst Frage von BlackVictoryExchange Server2 Kommentare

Hallo Zusammen. Folgende Gegebenheiten: Exchange 2007 Server 2003 3 Speichergruppen Ein Postfach eines Benutzers hat unerkläörlicherweiße 34 GB. Die ...

Exchange Server
Exchange 2010 - Diverse Ordner im Postfach verschwunden
Frage von Rene1990Exchange Server10 Kommentare

Hallo, ein Benutzer vermisst einen bestimmten Ordner mit mehreren Unterordnern im Postfach. Wie kann dieser einfach verschwinden? Laut Benutzer ...

Exchange Server
Exchange 2003 Mails werden nicht an das Postfach übergeben
gelöst Frage von wireless-teamExchange Server8 Kommentare

Hallo Leute, ich habe hier ein Problem welches mich seit 2 Tagen beschäftigt und ich keine Lösung finde. Wir ...

Exchange Server
Exchange - Mail an gelöschtes Postfach - Meldung?
gelöst Frage von MajorNExchange Server3 Kommentare

Hallo zusammen, bin noch neu in der IT, daher entschuldigt bitte die Frage, doch habe mit Google keine Aussagekräftige ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 8 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 9 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 23 StundenInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server12 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...