Irgendwie hat es den oberen Post zerschossen...
hier nochmal korrekt formatiert:
Hallo Zusammen,
erst einmal nochmal herzlichen Dank für eure vielen Tipps. Ich bin davon überzeugt, dass diese richtig sind und dies im Normalfall auch alles perfekt (meine Screenshots) funktioniert.
Bei uns gab es allerdings den Totalen Servercrash.
Ich schildere mal den Ablauf:
Nachdem alles auf dem neuen Server war, haben wir den alten Exchange (mit der Exchange CD) deinstalliert. Dies verlief reibungslos. Exchange hatte nach der Deinstallation auf dem neuen Server nach wie vor volle Funktionalität.
Von daher, alles was Exchange betrifft, war hier in diesem Thread 100% richtig.
Nun war die Active Directory auf dem alten Server dran. Die AD wurde nicht korrekt deinstalliert. Die NETLOGON konnte nicht richtig beendet werden. Leider lies sich dies nicht mehr rückgängig machen. Ok, also der AD wurde nicht korrekt deinstalliert.
Danach habe ich auf dem neuen Server den alten aus der AD per Hand rausgeschmissen mit dem verweis, dass der Server offline ist und nicht mehr per DCPROMO herabgestuft werden kann.
Danach gabs auf einmal Fehler im DNS. Beim durchstarten des neuen Servers dauerte der Startvorgang teilweise 15min bis man zum Login kam. Es gab dutzende DNS Fehler im Protokoll.
Nun war der Server leider vorübergehend nicht korrekt durch unsere Hardwarefirewall geschützt, da aus Testgründen die komplette Hardwarefirewall deaktiviert war.
Anschliessend kam vermutlich ein massiver Angriff aus dem Internet, was durch Log Dateien eingesehen werden konnte. Sämtliche User, Postfächer und Active-Directory Dienste wurden auf einem schlag komplett zerschossen.
Die Stimmung hat nun den Nullpunkt Erreicht.
Als Krönung hat dann noch eine Opteron CPU den Geist aufgegeben.
Auf dem neuen Server waren schon sehr wichtige Systemdaten übertragen und da auf unseren Speichereinheiten schon Zugriff war, konnten sich die Hacker noch zugriff auf wichtige Daten verschaffen und haben ca. 20% der Daten gelöscht. Einen teil konnten wir wieder rekonstruieren, aber die Bestellung von neuen SSL Zertifikaten sowie Unternehmenswichtige Daten lassen sich schwer ohne viel Geld auszugeben wieder rekonstruieren.
Der neue Server ist also Hardwaremässig sowie die Domäne total kaputt.
Danach haben wir aus allen Clients die Neztwerkkabel gezogen, Internet komplett abgeschaltet und alle Daten der User in sogenannte .PST Dateien gesichert.
Nun haben wir auf dem alten Server die System Partition formatiert, Windows Server 2003 neu aufgespielt, sowie DHCP, DNS, WINS, Exchange 2003 usw.
Anschliessend alle User von Hand neu eingegeben.
Danach alle Clients neu in die Domäne rein und die .PST Dateien von Hand auf dem neu installierten Exchange Server neu importiert. Schliessdlich wurde die Hardwarefirewall aktiviert, die Ports, wie SMTP, IIS usw. auf dem neuen Server umgestellt und wir haben nun wieder eine funktionsfähiges Netzwerk...
Tja, das war der Hauptteil von Weihnachten
Ich bin mit den Nerven ziemlich fertig, aber froh, dass wir jetzt heute am Dienstag wieder ein funktionsfähiges Neztwerk habe, wenn auch mit erheblichen Datenverlust.
Ich bin echt total fertig, und weiss irgendwie immer noch nicht, wie das alles passieren konnte...
Schreibt doch mal eure Meinung dazu. Besten Dank an euch schon im Vorraus.