MadBoy's questions

Tenho que fazer uma migração do Office 365 do Postfix com o Sogo. Meu objetivo é configurar o pequeno híbrido do Office 365 com o Postfix, um pouco da mesma forma que você faz com o Exchange On-premises.

Atualmente, o postfix é um servidor primário com 1000 usuários e envia e recebe todos os emails de um domínio.xyz . Configurei o Office 365 e adicionei o mesmo domínio a ele. Eu criei 2 caixas de correio nele e configurei o Exchange Online que domain.xyz está definido como domínio InternalRelay.

Exchange online tem até agora 2 contas

• usuárioA@domínio.xyz
• usuárioB@domínio.xyz

O Exchange está configurado para que, se alguém no Exchange enviar um email para domain.xyz e a caixa de correio estiver no Exchange, o email deve permanecer no Exchange, mas se o Exchange não puder encontrar a caixa de correio para domain.xyz, ele deverá usar o Outgoing Connector que eu configurado para encaminhar e-mail para postfix. Isso significa que qualquer email enviado de userA para userB funciona bem, mas no momento em que userA envia um email para userC que reside no postfix - ele o bloqueia.

Erro relatado: 554 5.7.1 userC@domain.xyz: Endereço do destinatário rejeitado: Rejeição de política não conectada

Meu entendimento é que o Postfix pensa que é o único servidor que possui o domínio domain.xyz e trata qualquer email de domain.xyz como algum usuário/serviço tentando enviar um email sem autorização e nega. Isso está provando quando criamos um email totalmente aleatório no Office 365 que não possui a respectiva conta no postfix e ao tentar enviar um email de test.user123456@domain.xyz para UserC@domain.xyz obtemos

O servidor remoto retornou '550 5.1.0 test.user123456@domain.xyz: endereço do remetente rejeitado: usuário desconhecido na tabela de caixa de correio virtual'

Qual é uma maneira de dizer ao postfix (SoGo) para começar a confiar no Office 365 (intervalo de endereços IP) e permitir o recebimento de emails do domínio que ele acredita possuir e para contas que possui. Na última etapa da migração do postfix para o Office 365 cada conta no postfix terá conta idêntica no O365 e usaremos o redirecionamento de emails 1 caixa de correio por vez para o endereço onmicrosoft.com para garantir que os usuários possam usar o O365 sem precisar se preocupar com sua conta postfix. Mas para que isso aconteça, o tráfego entre o O365 e o postfix precisa funcionar.

Meu palpite não é apenas um problema para a coexistência do Office 365, mas qualquer serviço como SendGrid ou similar que alguém usaria teria um problema idêntico.

Último - não tenho acesso ao postfix/sogo. Eu só "possuo" o lado o365. Estou tentando fornecer informações para a equipe Linux/Postfix para corrigir isso

Bits de configuração potencialmente relevantes que recebi da equipe, mas eu mesmo não tenho ideia se isso está correto

# HELO restriction
smtpd_helo_required = yes
smtpd_helo_restrictions =
    permit_mynetworks
    permit_sasl_authenticated
    reject_non_fqdn_helo_hostname
    reject_invalid_helo_hostname
    check_helo_access pcre:/etc/postfix/helo_access.pcre

# Sender restrictions
smtpd_sender_restrictions =
    reject_unknown_sender_domain,
    reject_non_fqdn_sender,
    reject_unlisted_sender,
    permit_mynetworks,
    permit_sasl_authenticated,
    check_sender_access pcre:/etc/postfix/sender_access.pcre
    #reject_sender_login_mismatch

# Recipient restrictions
smtpd_recipient_restrictions =
    reject_unknown_recipient_domain,
    reject_non_fqdn_recipient,
    reject_unlisted_recipient,
    check_policy_service inet:127.0.0.1:7777,
    permit_mynetworks,
    permit_sasl_authenticated,
    #reject_unauth_destination

# Data restrictions
smtpd_data_restrictions = reject_unauth_pipelining

# O365 addresses
mynetworks = 127.0.0.0/8, 40.92.0.0/15, 40.107.0.0/16, 52.100.0.0/14, 104.47.0.0/17

#
# Lookup virtual mail accounts
#
transport_maps =
    #regexp:/etc/postfix/transport_regexp
    proxy:ldap:/etc/postfix/ldap/transport_maps_user.cf
    proxy:ldap:/etc/postfix/ldap/transport_maps_domain.cf

sender_dependent_relayhost_maps =
    proxy:ldap:/etc/postfix/ldap/sender_dependent_relayhost_maps_user.cf
    proxy:ldap:/etc/postfix/ldap/sender_dependent_relayhost_maps_domain.cf

# Lookup table with the SASL login names that own the sender (MAIL FROM) addresses.
smtpd_sender_login_maps =
    proxy:ldap:/etc/postfix/ldap/sender_login_maps.cf

virtual_mailbox_domains =
    proxy:ldap:/etc/postfix/ldap/virtual_mailbox_domains.cf

relay_domains =
    $mydestination
    proxy:ldap:/etc/postfix/ldap/relay_domains.cf

virtual_mailbox_maps =
    proxy:ldap:/etc/postfix/ldap/virtual_mailbox_maps.cf

virtual_alias_maps =
    #regexp:/etc/postfix/transport_regexp
    proxy:ldap:/etc/postfix/ldap/virtual_alias_maps.cf
    proxy:ldap:/etc/postfix/ldap/virtual_group_maps.cf
    proxy:ldap:/etc/postfix/ldap/virtual_group_members_maps.cf
    proxy:ldap:/etc/postfix/ldap/catchall_maps.cf
    proxy:ldap:/etc/postfix/ldap/sender_login_maps.cf
    
sender_bcc_maps =
    proxy:ldap:/etc/postfix/ldap/sender_bcc_maps_user.cf
    proxy:ldap:/etc/postfix/ldap/sender_bcc_maps_domain.cf

recipient_bcc_maps =
    proxy:ldap:/etc/postfix/ldap/recipient_bcc_maps_user.cf
    proxy:ldap:/etc/postfix/ldap/recipient_bcc_maps_domain.cf

Em master.cf

smtps     inet  n       -       n       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_client_restrictions=permit_sasl_authenticated,permit_mynetworks
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING

Alguma idéia seria bem-vinda.

Estou trabalhando um pouco com logs e parece que Get-EventLog não é capaz de mostrar o tamanho máximo real. Está levando o máximo que é definido pelas configurações "antigas" do gpo.

Apenas por diversão, configurei o tamanho do log de eventos para 2 TB e posso ver que o tamanho atual é de 6 GB, portanto, mais de 4 GB que é mostrado por Get-EventLog.

Alguém sabe um motivo para isso? Ou estou usando o comando errado? Ou interpretando mal os resultados?

Mesmo tipo de resposta ao usar o WMI ...

Existe uma maneira de começar gpresulta trabalhar sem nunca fazer login no computador como um usuário real?

Digamos que o UserA esteja efetuando login no computador XYZ . Você faz login via TeamViewer para ele ou está localmente como AdminA , clica com o botão direito do mouse em Executar como administrador , digita suas credenciais administrativas digita o famoso comando gpresult /R para obter GPOs do computador e simplesmente não está lá.

gpresult /R
INFO: The user adm.test does not have RSoP data.

Você tenta fazer isso remotamente e também falha ...

gpresult /S DDD9D5 /SCOPE COMPUTER /R
INFO: The user does not have RSoP data.

Como forçá-lo para que você possa realmente obter esses dados como administrador ou administrador de domínio nesse computador (mas não um usuário) e um usuário que nunca fez login nesse computador?

Durante anos, pensei que isso estava apenas "funcionando", mas parece que sempre estive logado no computador via RDP ou outros meios e sempre funcionou. Agora não... e eu preciso de uma maneira de depurar isso corretamente.

Minha única opção é realmente fazer login como usuário padrão e depois fazer os comandos?

Eu tenho o Windows 2016 DC no domínio Super.Dom. Eu configurei o encaminhador condicional no DNS para o domínio test.dom. Agora, este test.dom é um domínio separado e, portanto, tem vários outros domínios configurados nele. Incluindo algum domínio externo external.com.

Por algum motivo, as consultas para external.com retornam resultados de sub-redes "locais" em vez de usar encaminhadores externos (8.8.8.8/8.8.4.4).

Portanto, parece que o DNS está usando o encaminhador condicional de test.dom para fornecer resposta para external.com, o que é estranho (pelo menos inesperado). Isso é padrão? Como posso forçar o DNS do Windows a usar apenas o encaminhamento condicional para test.dom (e talvez subdomínios de test.dom) e não retornar mais nada de outros domínios?

Eu tenho um script simples de falha que em algum momento chega a esta linha

$user = get-aduser -Server <server> -Filter { UserPrincipalName -eq $email } -Properties passwordlastset, passwordneverexpires, Name, DisplayName,UserPrincipalName, extensionattribute15,SamAccountName | Select-Object Name, SamAccountName, DisplayName,UserPrincipalName, extensionattribute15, passwordlastset, passwordneverexpires 

1. Se eu executar este script no AD1 com -Server definido como AD1, ele exibirá passwordlastset e passwordneverexpires conforme o esperado.
2. Se eu executar este script no AD1 com -Server definido como AD2, ele exibirá a saída conforme o esperado.

Em seguida, copio o mesmo script para o AD2 e o executo

1. Se eu executar este script no AD2 com -server definido como AD1, ele exibirá os campos corretamente.
2. Se eu executá-lo no AD2 com -server definido como AD2, ele não exibe valores para passwordlastset, passwordneverexpires e extensionattribute. Todos os outros campos são exibidos corretamente.

Por que haveria diferença?

Temos sub-rede padrão /24 para usuários, computadores e outros dispositivos. Estamos chegando ao ponto em que temos mais usuários e queremos usar várias sub-redes para diferentes tipos de dispositivos. Embora isso seja simples de implementar, uma das outras maneiras de ter mais dispositivos na rede era simplesmente expandir a rede para a máscara /23 ou /22.

Ouvi de várias fontes que não é recomendável usar sub-redes maiores devido à transmissão e outros problemas/problemas que surgirão disso. Eu tentei encontrar uma fonte adequada para essas questões e problemas e não consegui encontrar um artigo (talvez eu seja tão ruim no google) que me dê uma clara vantagem e desvantagem para sub-redes maiores, problemas potenciais. Embora eu entenda que sub-redes maiores, como /16 ou mais, seriam muito ruins para algumas coisas, estou tentando entender o que seria tão problemático nessas redes um pouco maiores que o padrão (/23 ou /22). Também estou ciente de que ter VLANs dará aumentos de segurança adicionais, mas embora eu possa entender os prós de ter VLANs, não consigo encontrar o que '

Atual:

Address:   192.168.0.1           11000000.10101000.00000000 .00000001
Netmask:   255.255.255.0 = 24    11111111.11111111.11111111 .00000000
Wildcard:  0.0.0.255             00000000.00000000.00000000 .11111111
=>
Network:   192.168.0.0/24        11000000.10101000.00000000 .00000000 (Class C)
Broadcast: 192.168.0.255         11000000.10101000.00000000 .11111111
HostMin:   192.168.0.1           11000000.10101000.00000000 .00000001
HostMax:   192.168.0.254         11000000.10101000.00000000 .11111110
Hosts/Net: 254                   (Private Internet)

Planejado:

Address:   192.168.0.1           11000000.10101000.000000 00.00000001
Netmask:   255.255.252.0 = 22    11111111.11111111.111111 00.00000000
Wildcard:  0.0.3.255             00000000.00000000.000000 11.11111111
=>
Network:   192.168.0.0/22        11000000.10101000.000000 00.00000000 (Class C)
Broadcast: 192.168.3.255         11000000.10101000.000000 11.11111111
HostMin:   192.168.0.1           11000000.10101000.000000 00.00000001
HostMax:   192.168.3.254         11000000.10101000.000000 11.11111110
Hosts/Net: 1022                  (Private Internet)

Realmente apreciaria se alguém tomasse um tempo e realmente desse uma boa visão geral para isso.

Eu tenho um problema estranho com a guia bitlocker dupla com exatamente a mesma aparência. Alguma ideia de como posso remover um?

Eu queria criar um novo domínio com uma abordagem um pouco plana. Em vez de ter várias OUs com sub-ou's e sub ou's dependendo do projeto, localização do usuário, eu queria criar grupos e colocar usuários em grupos.

Por exemplo, todos os usuários seriam colocados em alguns OU=Users em DC=DOM,CN=LOC e, em seguida, vários grupos seriam criados:

• GRP-LOC-Varsóvia
• GRP-LOC-Nova York

No entanto, acabo pensando em como delegar permissões a esses grupos para que eu possa redefinir as senhas do gerente (ou fazer outras ações em Varsóvia).

Como parece que a delegação é feita apenas por UO, ainda estou preso às UOs se quiser ter um controle granular (por projeto, local, sublocal, etc.)? Ou alguém fez isso e eu simplesmente estou perdendo alguma coisa?