Pylon

Hallo Community, ich habe bei mir folgende Konstellation: Unsere User nutzen einen ISA Server 2006 Standard als Webproxy, um im Internet zu surfen. Der Server steht in unserer DMZ (da er hier auch andere Aufgaben wahrnehmen muss) und ist somit kein Domänenmitglied in unserem internen LAN. Beim Zugriff auf das Web müssen sich die User anhand ihres Domänenaccounts authentifzieren. Damit der ISA-Server den Zugriff aus der DMZ gewähren kann, habe ich in unserem internen LAN einen NPS-Server als RADIUS-Server aufgesetzt, der die Anfragen des ISA Servers aus der DMZ annimmt und für ihn prüft. Der ganze Ablauf funktioniert. Allerdings erlaubt der ISA Server als Webproxyclient nur die Verwendung von PAP, um mit dem sich authentifizierenden Host zu kommunizieren. Da hier die Anmeldeinformationen im Klartext übermittelt werden, empfinde ich diese Lösung jedoch als nicht befriedigend. Welche Möglichkeiten bestehen, den Ablauf sicherer zu gestalten? Ist das mit dem ISA Server in der DMZ überhaupt vernünftig lösbar oder sollte besser ein zweiter ISA im internen LAN aufgesetzt werden, der dann auch Domänenmitglied ist und direkt mit dem DC über Kerberos kommunizieren kann. Bin gespannt auf eure Antworten :wink2: Gruß Pylon

Hallo zusammen, ich habe einmal gehört, dass es für Computer- und Benutzerobjekte im AD sinnvoller ist, bzw. empfohlen wird, diese zu deaktivieren, anstellen sie zu löschen. Mal abgesehen von der Tatsache, dass dies Sinn macht, wenn die Möglichkeit besteht, dass ein Exmitarbeiter in absehbarer Zeit wieder dem Unternehmen zugehörig ist, gibt es noch andere sicherheitsrelevante Gründe so zu verfahren? Gruß Pylon

Vielen Dank für Eure Antworten. Ich glaube auch nicht, dass es an einen Microsoft Update liegt, dass das Herunterfahren länger dauert. Ich hatte SP3 installiert, um das Problem evtl. damit beheben zu können, da der PC noch auf SP2 lief. Leider ohne Erfolg. Pagefiles löschen wir bei uns auch nicht. Interessanterweise tritt diese Dilatation auch nicht immer auf, sondern ist nur sporadisch nachvollziehbar. Aus zeitlichen Mangel nach der Ursache zu forschen, werde ich wohl den PC re- oder neuinstallieren.

Hallo miteinander, mich beschäftigt zur Zeit eine Frage zum Thema MS Office Sicherheitsupdates in Verbindung mit mehreren Office Versionen auf einen PC. Konkrekt: Installiert sind Office 2007 komplett. Office 2003 Access in einem separaten Installordner. Beide Versionen sollen über WSUS up to date gehalten werden (die Konstellation mehrere Officeversionen in beschriebener Form wird auf eine ganze Reihe an PCs umgesetzt). Kann es hier unter Umständen zu Problemen kommen, wenn ein Update für Office 2007 oder 2003 eingespielt wird (z.B. wenn es Dateien im Ordner "Gemeinsame Dateien" betrifft) oder bleibt die Trennung beider Versionen auch bei den Updates erhalten? Hat hier jemand selber schon Erfahrungen sammeln können?

Hallo miteinander, ich würde gerne mein bestehendes OS reinstallieren. Soll heißen: über die bestehende Installation noch einmal das Win XP Setup ausführen (ohne das also persönliche Daten verloren gehen). Meine Frage hierzu: Wie verhält sich Windows, wenn auf dem derzeitigen OS bereits XP SP3 installiert ist, das Setup, das ich ausführen möchte, jedoch nur SP2 inkludiert hat? Kann dies überhaupt funktionieren oder wird mir der PC nachher aufgrund von Systemdateimisständen wahrscheinlich gar nicht mehr hochfahren? Hintergrund ist der, dass Windows interessanter weise beim Klick auf "Herunterfahren" sich für mehrere Minuten aufhängt. Erst dann erscheint die Abmelden-Dialogbox. Das Herunterfahren selbst dauert dann auch noch einmal ewig. Mal- und Spyware kann ich ausschließen. Ich habe eben auch SP3 installiert, in der Hoffnung, dass es etwas bringen würde. BEvor ich den PC nun komplett neu aufsetze, würde ich gerne obige Lösung noch versuchen. Oder hat jemand vielleicht sogar ein ähnliches Problem und weiß woran der extrem verzögerte Shutdown liegen könnte? Danke für Eure Antworten. Gruß Pylon

Hallo zusammen, weiß jemand von euch, ob es eine Vista-Eigenart ist, dass man nicht mehr über die administrative Netzwerkfreigabe (sogar als Domänenadmin) auf einem Vista-Client auf den Benutzerordner eines Users zugreifen kann? Ich scheitere beispielsweise beim Zugriff auf dessen Startmenu mit der Meldung "Zugriff verweigert". Schöne Grüße Pylon

Hallo zusammen, mich würde interessieren, wie eure aktuellen Erfahrungen zum letzten Service Pack sind, das für Windows XP erschienen ist. Gerade zum Zeitpunkt der Veröffentlichung, gab es ein paar Mängel, die zu Problemen geführt haben - teilweise sogar schon bei der Installation des Updates. Wer von euch setzt es inzwischen selber ein, bzw. verteilt es bereits erfolgreich an eine größere Userzahl? Schöne Grüße Pylon

Hallo Wolke2k4, vielen Dank für deine Antwort. Ich denke, jetzt ist mir die Sache wieder etwas klarer. Mal sehen, ob ich den Rest auch noch auf die Reihe bekomme: Also, um den Lizenzserver zu aktivieren, benötige ich keinerlei Key. Damit ich aber auch einen Nutzen aus dem Server ziehen kann, sollte ich noch TS-CALs einspielen. Diese erhalte ich als Lizenz mit einem entsprechenden Key zugewiesen. Die Frage, die sich mir nun stellt ist, wie wird die eindeutige Zuordnung der TS-CALs zum Lizenzserver sichergestellt? Soweit ich weiß, bekommen diese bei Ihrer Aktivierung die zu diesem Zeitpunkt aktuelle Lizenzserveridentifikationsnummer zugewiesen. Doch wie erfährt Microsoft davon? Der Lizenzserver bedarf ja keiner Verbindung zum Internet, so dass ein Datenbankabgleich wohl nicht vorgenommen wird. Vertraut Microsoft auch bei Terminalserverlizenzen auf die Ehrlichkeit der Kunden und macht in regelmäßigen Abständen Stichproben? Oder gibt es ein technisches Hindernis, dass es mir unmöglich macht, dieselben TS-CALs auch noch einmal auf einen völlig anderen Lizenzserver zu aktivieren? Beste Grüße Pylon

Hallo zusammen, ich habe mal wieder eine Frage zur Terminalserverlizensierung. Und zwar interessiert mich, wie der Vorgang der Terminalserverlizensierung genau abläuft. Aktivierung des Lizenzservers über einen vom Distributor zugesendeten Key und anschließend die Aktivierung der CALs über einen zweiten vom Distributor zugesendeten Key? Wie erfolgt die Zuordnung zum Lizenzserver?

Vielen Dank für eure zahlreichen Antworten. Ich denke, mir ist die Sache jetzt wesentlich klarer :cool:

Vielen Dank für deine rasante Antwort :) Mal sehen, ob ich das System jetzt soweit verstanden habe: Der Server selbst kann via Pro-Server-Lizenz eingerichtet werden. Angenommen, er wird für 5 Teilnehmer auf diese Weise lizensiert, dann dürfen auf ihm 5 Clients zur gleichen Zeit eine Terminalsitzung geöffnet haben. Die Clients selbst bedürfen jedoch ebenfalls einer Lizensierung. Diese erfolgt als Device- oder User-CAL. Der Client erhält dadurch das Recht, sich auf allen Terminalservern im Unternehmen zu verbinden. Hier ergibt sich für mich nun doch noch einmal eine Frage: Die Lizenzen der Clients trage ich unter der "Terminalserverlizensierung" in der "Verwaltung" auf dem Terminalserver selbst ein. Wie wird nun einem zweiten im Unternehmen befindlichen Terminalserver klar, dass anfragende Clients bereits eine gültige Lizenz haben? Müssen dieselben Lizenzen auf diesem ebenfalls noch einmal hinterlegt werden? Mir ist das Ablaufprozedere an dieser Stelle noch nicht ganz klar. Ich hoffe, ich konnte meine Frage verständlich rüberbringen?! LG Pylon

Hallo zusammen, wenn ich mich recht entsinne, gibt es doch bei der Installation eines Windows Domänen Controllers die Möglichkeit auszuwählen, ob man eine Pro-Server-Lizenz oder eine Pro-Arbeitsplatz-Lizenz möchte. Meine Frage an euch lautet nun: Gibt es nicht etwas Vergleichbares wie eine Pro-Server-Lizenz auch für die Betreibung eines Terminalservers? Oder muss ich wirklich eine fest definierte Anzahl an Device- bzw. User-CALs kaufen? Kann man bereits im Einsatz befindliche CALs auf einen anderen Terminalserver nachträglich übertragen? Es handelt sich um einen Windows 2003 Server. Und noch eine Frage am Rande: Haben die in Windows 2003 Terminalserver bereits integrierten temporären Lizenzen eine Begrenzung bzgl. ihrer Anzahl? Vielen Dank für euren Rat LG Pylon

Hallo zusammen, ich sitze gerade vor einem Catalyst 2924M-XL. Gibt es irgendeine Möglichkeit die konfigurierten VTY-Verbindungen zu löschen? Die Running-Config stellt sich an dieser Stelle wie folg dar: ************************* line con 0 transport input none stopbits 1 line vty 0 1 password 7 011D0310095B565C no login full-help line vty 2 4 password 7 011D0310095B565C no login line vty 5 9 password 7 011D0310095B565C login ! ************************* normalerweise würde ich ja folgendermaßen vorgehen: no line vty 0 9 Hier erhalte ich als Antwort jedoch nur, dass die letzten 10 VTY-Verbindungen nicht gelöscht werden können. Gruß Thomas Gruß Pylon

Hallo zusammen, in betreue ein Netzwerk, in dem sich mit aller Regelmäßigkeit ein für mich nicht nachvollziehbarer Fehler ereignet. Zur Ausgangssituation: Das Netzwerk ist in mehrer VLANs untergliedert. In einem davon ist der IP-Adressbereich 10.5.X.X/16 zugelassen. Immer dann, wenn ich in diesem VLAN an einem Rechner mit bestehender Netzwerkverbindung eine statische IP mit 10.105.X.X vergeben möchte (oder auch 10.11.X.X oder 10.90.X.X usw. - willkürliche Klasse-B-Netze mit der 10 als erstes Oktett) taucht unmittelbar eine Fehlermeldung mit Hinweis auf einen IP-Adressenkonflikt auf. Der Adressbereich 10.105.X.X wird derzeit jedoch im gesamten Netzwerk noch nicht genutzt. Auch bekannte DHCP-Server beherbergen keine Scopes in diese Richtung. Mein naheliegenster Verdacht war es, dass ein fremder unbekannter DHCP-Server im entsprechenden VLAN arbeitet (übrigens tritt das Phänomen nur in diesem einen VLAN auf). Doch Tests haben gezeigt, dass ich unter Ausschluss der bekannten DHCP-Server keine IP zugewiesen bekomme. Also vermutete ich, dass die IPs möglicherweise nur an bestimmte MAC-Adressen vergeben werden (sprich: Manual DHCP). Doch jede IP-Adresse - wirklich jede - aus dem 10.105er-Bereich führt unweigerlich zu einem Konflikt. Ich kann mir nicht vorstellen, dass ein gesamtes Klasse B Netz unentdeckt in Funktion ist. Zumal diverse Netzwerkscanns aufzeigen, dass keine IPs aus dem Bereich aktiv sind. Nirgendwo...weder an Firewall noch am Netzwerkmanagementsystem wird irgendetwas mitgeloggt. Es beschränkt sich, wie gesagt, auch nicht auf den 10.105er Bereich. Vergebe ich mir umgekehrt zuerst die IP und connecte mich anschließend mit dem PC ans Netz, bleibt die Konfliktmeldung seltsamerweise auch dauerhaft aus. Hält jemand ein Problem auf Betriebssystemebene (Windows NT,2000,XP Prof, SuSe Linux) für möglich? Möglicherweise ein Server, der die Probleme bereiten könnte? Router oder Firewall? Ich finde es jedenfalls sehr irritierend :suspect: , da sich der Fehler auch nicht eingrenzen lässt. Gruß... Pylon :wink2:

In diesem Zusammenhang hätte ich aber wiederum eine neue Frage, die sich mir auftut. Oder ich habe das Konzept noch nicht richtig verstanden. Ein DHCP-Server befindet sich also in einem Subnetz und erhält per DHCP-Relay auch Anfragen aus anderen Subnetzen, die er beantworten kann. Soweit so gut. Wie wird aber verhindert, dass ein Client, der sich im selben Subnetz befindet wie der Server, eine IP-Adresse zugewiesen bekommt, die für einen anderen Subnetzbereich bestimmt ist? Liest der Server dazu das immer vorhandene IP-Gateway-Feld aus und stellt dann im Zweifelsfall fest, dass dieses leer ist? Ist dem so, bedeutet das dann für ihn, dass der Client im selben Subnetz wie er selber sein muss, so dass er ihm eine IP-Adresse aus dem Bereich zuteilt, in dem auch seine eigene IP-Adresse sich befindet? Wäre über jede Aufklärung sehr froh. Gruß... Pylon

Die Authentifizierung über Benutzername und Passwort existiert auch weiterhin bei NT-basierenden Betriebssystemen, wie Windows XP. Sie wurde sogar erheblich verbessert. Das Stichwort NTFS-Sicherheitseinstellungen sollte dich einen Schritt weiterbringen. Voraussetzung für die Nutzung dieser Einstellungen ist, dass sich die freizugebenden Dateien in einer Partition mit einem NTFS-Dateisystem befinden. Im Gegensatz zu den einfachen Freigabeberechtigungen, lassen sich diese für den Ordner, Unterordner bis zur einzelnen Datei konfigurieren und erlauben auch lokalen Benutzern nur dann Zugriff, wenn sie über die Erlaubnis dazu verfügen. Vielleicht hilft dir dieser Link ein wenig weiter: http://www.ghostadmin.org/mcse/70-210.htm Gruß.... Pylon :)

Hi cloooned! Bist du sicher, dass dieser Punkt vorher schon einmal zur Auswahl freigegeben war? Denn für die "Einwahl" via DSL solltest du den Punkt PPPoE ohnehin auswählen. Genaugenommen wählst du bei DSL ja auch gar nicht mehr, sondern authentifizierst dich lediglich mit deinem Benutzeraccount beim Provider. Gruß Pylon :)

Hi! Erst einmal danke für die rasche Antwort :) @weimer Ich habe deinen Vorschlag ausprobiert und die NAT-Schnittstelle aktiviert. Leider ohne Erfolg. Im Gegenteil: Vorher konnte ein interner PC die IP des VPN-Clients noch anpingen, wenngleich er damit auch nur den VPN-Server erreichte. Nach der Aktivierung ging jedoch nicht einmal mehr das. Ist es vielleicht nötig eine zweite Netzwerkkarte einzubauen und zwischen den beiden NICs zu routen? So gesehen muss ich doch den VPN-Server als eine Art zweiten Router ansehen, oder? Das heißt, ich wähle mich auf Port 1723 zunächst am äußeren Router ein. In diesem ist ein PortForwarding zum VPN-Server hinterlegt, der sämtliche VPN-Anfragen aus dem Internet annimmt. Möchte ich nun mit meinem VPN-Client von draußen auf einen weiteren Client im Netzwerk zugreifen, dann muss der Server auch als entsprechender Router eingerichtet sein. Habe ich das vielleicht so zu verstehen? @jobe Ich denke nicht, dass eine manuelle Eintragung meines DNS Servers etwas ändern könnte. Das Problem besteht ja bereits im Umgang mit der IP-Adresse ohne Verwendung der Namensauflösung. Zumindest kann ich keinen Zusammenhang erkennen. Falls es doch einen gibt, darfst du mich aber eines besseren belehren ;) Gruß... Pylon

Hallo zusammen! Seit geraumer Zeit betreibe ich auf einer Windows 2003 Enterprise Edition einen VPN-Server, den Microsoft ja bereits mitliefert. Wähle ich mich nun vom Internet aus über einen Router per VPN ein, dann erreiche ich den Server ohne Schwierigkeiten und kann auf seine Ressourcen zugreifen. Gerne würde ich den Zugriff von außen auf das gesamte Subnetz ausdehnen, doch sämtliche Versuche scheiterten bislang. In der Annahme, dass IP Routing aktiviert sein muss, habe ich auch an dieser Stelle ein Häkchen gesetzt. Ohne Erfolg. Die VPN Clients erhalten die interne IP dynamisch zugewiesen. Was mir desweiteren aufgefallen ist: Wenn ein Client z.B die IP 192. 168.100.110 zugewiesen bekommt, dann kann er zwar keine weiteren PCs im LAN, außer den VPN-Server selbst, anpingen, diese ihn wiederum aber schon. Mittels dem Befehl nbtstat stellte sich dann jedoch heraus, dass die restlichen LAN-PCs gar nicht wirklich mit dem VPN-Client korrespondierten, sondern mit dem VPN-Server. Ist das richtig, dass in diese Richtung keine "direkte" Kommunikation möglich ist? Eine weitere Überlegung von mir war, dass der Router eventuell den Datenverkehr in eine Richtung blockt. Das der VPN-Client die restlichen PCs im LAN vielleicht erreicht, deren Response jedoch vom Router geblockt wird. Irgendwo meine ich dies jedenfalls bereits einmal gelesen zu haben. Doch da ja eine intakte Verbindung zwischen VPN-Client und Server schon besteht, habe ich auch diesen Gedanken verworfen. Am Router selbst habe ich lediglich den Port 1723 geöffnet und eine Weiterleitung zum VPN-Server eingerichtet. Hat jemand noch eine Idee oder vielleicht selbst einmal diese Schwierigkeiten gehabt und eine Lösung gefunden? Gruß... Pylon

Hallo AndiW! Ich hab mich für folgende Konstellation entschieden: 70-210 70-215 70-216 70-217 70-218 --->MCSA 70-219 (Core) 70-220 (Elective) ---> MCSE Gruß Pylon :)

Hallo zusammen! Ersteinmal danke für Eure zahlreichen Rückmeldungen ;) Ich habe meine Examensplanung nun soweit abgeschlossen. Nun bin ich damit beschäftigt eine Kostenaufstellung aufzusetzen, die ich meinem Ausbilder vorlegen möchte. Es ist doch schon richtig, dass ich für ein Selbststudium nur die Anmeldegebüren zu den Examen und die Ausstattung mit Lernmaterial zu berücksichtigen habe, oder habe ich etwas übersehen? Gruß... Pylon

Ich befinde mich zur Zeit im 2. Ausbildungsjahr zum Fachinformatiker. Habe bereits an diversen Schulungen teilgenommen und auch daheim eine kleine Client-Server-Netzwerkumgebung realisiert. Nun bin ich daran interessiert auch die Zertifizierung zum MCSA/MCSE für Windows 2000 zu erlangen. Das ganze möchte ich in einem Selbststudium absolvieren. Ich habe mir soweit auch die dafür benötigten Examen und Bücher herausgesucht. Allerdings würde mich interessieren was ihr von dieser Zusammenstellung haltet und ob ich eventuell etwas übersehen oder gar falsch verstanden habe. Da ich möglichst schnell den MCSA erlangen möchte, habe ich vor mit den folgenden Examen in der entsprechenden Reihenfolge zu starten: 70-210 --> Core Exam:Client Operating System (Windows 2000 Professional) 70-215 --> Core Exam: Networking System (Windows 2000 Server) 70-216 --> Elective Exam: Implementierung und Administration einer Windows 2000 Netzwerkinfrastruktur 70-218 --> Core Exam: Networking System (Administration einer Windows 2000 Netzwerkumgebung) Nach erfolgreichen Abschluss dieser vier Examen sollte ich doch die Zertifizierung zum MCSA erhalten, oder? Dann geht es auch gleich weiter in Richtung MCSE: Da ich 70-210, 70-215, 70-216 nun schon habe, brauche ich nur noch zwei Core-Exams, wovon eines zum Bereich "Design" gehören muss. 70-217 ist ohnehin Pflicht, so dass ich mir nur noch Gedanken über das eine Core-Exam "Design" und zwei Elective Exams machen muss, richtig? Für ersteres habe ich 70-219 --> Core Exam: Design (Entwurf einer Microsoft Windows 2000 Directory Services Infrastruktur) oder 70-221 --> Core Exam: Design (Entwurf einer Microsoft Windows 2000 Netzwerk Infrastruktur) in die engere Wahl gezogen. Je nachdem für welches ich mich entscheide, so nehme ich das andere mit als eines der beiden Elective Exams. Wenn ich also 70-219 als Core Exam Design machen möchte, dann werde ich 70-221 als Elective Exams abschließen und umgekehrt. Das zweite Elective Exam, was auch gleichzeitig das Letzte sein sollte wäre für mich dann noch 70-222-->Elective Exam: Migration von Microsoft Windows NT 4.0 auf Microsoft Windows 2000 Nun sollte ich nach meinen Überlegungen die Zertifizierung MCSA/MCSE for Microsoft Windows 2000 erhalten haben, oder? Für mein Selbststudium möchte ich auf die MS Press Books für die jeweiligen Examen zurückgreifen, da ich gelesen habe, dass diese eine sehr gute Vorbereitung ermöglichen und auch das nötige Hintergrundwissen noch einmal aufgreifen. Bin gespannt, was ihr von meiner Planung haltet! ;)