Christoph35

Stimme meinen Vorrednern zu. Standard ACL: nah am Ziel, weil nur die Quell Adresse gefiltert wird. Zu nah an der Quelle würde bedeuten, dass erwünschter Traffic in andere Netze evtl. sein Ziel nicht erreicht. Extended ACL: nah an der Quelle, weil das Ziel schon bekannt ist, und man daher mit den Filtern das Netz entlasten kann. Warum sollte ein Paket bis zum letzten Router gesendet werden können, um dann dort doch verworfen zu werden? Christoph

Es liegt aber am ISA Server. Per Default ist für das FTP Protokoll "Read Only" eingestellt. Damit ist nur Download möglich. Bearbeite also in der FTP betreffenden Regel das FTP Protokoll und deaktiviere das Häkchen bei "Read Only". By the way: Auch wenn MS den SBS 2003 Premium mit einem ISA anbietet, gehört dieses Produkt für mich eigentlich auf einen separaten Server. Der ISA wird auch nicht mehr Bestandteil des SBS 2008 (Codename Cougar) sein. Christoph

Hallo, zusammen! Hat jemand von euch Erfahrung mit einer Cisco ACS in Verbindung mit einem Multi-Domain-AD-Forest? Wir haben das Problem, dass sich User aus einer anderen Domain als der Forest-Root-Domain nicht via ACS am AD anmelden können. Der Cisco Agent für die ACS wurde auf den DCs der ChildDomain installiert. Öffne ich das Cisco WinAgent Log, finde ich folgende Meldungen: Windows authentication SUCCESSFUL (by <DomainController der Subdomain>) MprAdminUserGetInfo returned error 0x6ba Failed to get RAS information for user Falls weitere Infos benötigt werden, nur her mit den Fragen. :) Christoph

Sorry, dass ich erst heute antworte. Die Webverkettung hat mit den Netzwerkregeln nicht direkt zu tun. Zum Thema Chaining (Webverkettung) lies mal hier: Chaining Concepts in ISA Server 2006 Christoph

Die neuen Bestimmungen gelten erst, wenn der User sein Kennwort ändern muss. Du musst also nicht befürchten, dass morgen alle User ein neues PW setzen müssen. Ist das eigentlich mit der Geschäftsleitung abgesprochen? Solche Änderungen und ihre Notwendigkeit sollten von Geschäftsführungs-Ebene o.ä. kommuniziert werden. Sonst handelst Du dir möglicherweise Ärger mit deinen Kollegen (Usern) ein. Christoph

Natürlich kann man mit den Produkten auch noch jede Menge andere nützliche Erkenntnisse sammeln. Sie sind auch nicht ganz trivial zu konfigurieren. Christoph

Sieht erstmal gut aus. Du solltest natürlich immer das Eventlog im Blick haben. Falls das nötige Budget vorhanden ist, kann man ja mal über ein Monitoring System wie den MOM 2005 oder dessen Nachfolger SCOM 2007 nachdenken. Damit kann man die Replikation überwachen lassen. Christoph

Standardeinstellung vom ISA Server ist hier eher NAT, das verbirgt dann deine internen Adressen. Aber funktioniert beides. Und ja, genauso wie vom Internen zum externen Netz eine Regel existiert, brauchst du auch eine Regel vom internen zum HKR Netz und ggf. auch vom HKR-Server Netz zum externen Netz (Internet). Christoph

Nun ja, die Lösung lag ja dann doch woanders ;) Die Replikation kannst Du mit dem Replmon aus den Support-Tools überprüfen. Oder mit dem Repadmin-Commandline-Tool. Christoph

Diese Aussage ist definitiv falsch. Du kannst soviele Standard oder Enterprise 2003 Server (soweit letzteres Sinn ergibt) als DCs dazunehmen, wie du brauchst. Es kann nur keinen weiteren SBS in der Domain geben. Und der vorhandene SBS muss alle FSMO-Rollen auf sich vereinigen. Christoph

Hat der Server sich selbst als DNS Server eingetragen? Oder den anderen DC? Poste mal ein IPConfig Resultat von dem Server. Christoph

Natürlich beeinflusst die Subnetzmaske auch die Anzahl der Netze, die man bilden kann, ausgehend davon, welchen Adressraum man zur Verfügung hat. Habe ich ein Class B Netz kann ich mit /24 eben 256 Sub-Netze bilden, bei einem Class-A Netz kann ich mit dieser Maske 65536 Sub-Netze bilden. Der von mir verlinkte Cisco Artikel zum Thema Subnetting erklärt es ganz imho gut. By the way: 255.255.255.128 entspricht einer Prefix Notation von /25, nicht /26. War sicher nur ein Tippfehler... Christoph

Auf Cisco-Routern geht es mit Sub-Interfaces. Das sind "virtuelle"/logische Interfaces. Die werden dann z.B. mit fa0/0.1, fa0/0.2 etc. angegeben. Du brauchst aber nur ein physisches LAN-Interface. Kann man auch mit seriellen Schnittstellen nutzen, falls man z.B. mehrere Frame-Relay-Verb. über ein serielles Interface abwickeln will. Siehe z.B. auch: Cisco IOS Switching Services Configuration Guide, Release 12.1 - Configuring Routing Between VLANs with IEEE 802.1Q Encapsulation [Cisco IOS Software Releases 12.1 Mainline] - Cisco Systems Exakt. Damit lässt Du die genügend Freiraum für weitere Hosts und hast die Möglichkeit, weitere Netze abzugrenzen. Christoph

Wenn wir mit privaten Adressen arbeiten, sind wir uns einig, kein Thema. Wenn Du mit öffentlichen Adressen arbeiten musst, ist das eine andere Sache. Christoph

@hforster: Lies mal hier: IP Addressing and Subnetting for New Users - Cisco Systems Und warum willst Du bei max. 100 Hosts bis zu 154 Adressen verschwenden, in dem Du eine 24Bit Maske verwendest? @stp-berlin: Nein, du hast keinen Denkfehler. Ich habe ja geschrieben, dass in meinem Beispiel die Anzahl der Hosts einigermaßen konstant angenommen wird. Falls Du mehr Hosts brauchst, musst Du mehr Bits zur Verfügung stellen. Ob das gleich so viele sein müssen, ist wieder eine andere Frage. Es könnte ja auch sein, dass in Zukunft auch einmal weitere Netze benötigt werden. Du musst eben eine gute Balance finden. Christoph

Ok, sieht so aus, als wäre mit dem DNS was nicht in Ordnung. Das sollte schnellst möglich behoben werden. Schau mal hier: EventID.Net Für das Event 13508 gibt es auch schon diverse Beiträge hier im Board. Z.B. diesen hier: http://www.mcseboard.de/windows-forum-ms-backoffice-31/replikationsprobleme-13568-13508-13509-etc-117552.html Christoph

Kommt auch drauf an, wo du Wachstumsmöglichkeiten haben willst: bei der Anzahl der Netze oder bei der Anzahl der Hosts pro Subnet. Ich würde, falls möglich, VLSM nutzen. Falls die Anzahl der Hosts einigermaßen konstant bleiben wird, kannst Du das z.B. so aufteilen: Die Netze S5 und S6 mit 25 Bit Subnet-Mask. Die Netze S1-S4 und S7-S9 mit 27 Bit Subnet Also: 172.16.0.0/25 für Netz 5 172.16.0.128/25 für Netz 6 172.16.1.0/27 für Netz 1 172.16.1.32/27 für Netz 2 172.16.1.64/27 für Netz 3 172.16.1.96/27 für Netz 4 172.16.1.128/27 für Netz 7 172.16.1.160/27 für Netz 8 172.16.1.192/27 für Netz 9 Christoph

Das mit Local Service ist in Ordnung. Die Frage ist jetzt, warum ist/war der Anmeldedienst (Net Logon) nicht gestartet? Steht dazu was im Log? Gibt es Probleme mit der Namensauflösung? Christoph

Unter welchem Account läuft denn der Dienst? Christoph

Woran stellst Du fest, dass das tatsächlich Dein Exchange Server ist, der da Mails rausschickt?! Kann auch sein, dass es sich bei diesen "NDRs" um Spam handelt. Wenn es Dein Exchange Server wirklich sein sollte, solltest Du mal die Relay-Einstellungen überprüfen: am smtp-connector und am default virtual smtp server. Christoph

Noch zu beachten ist, wenn die Disk vergrößert ist, kannst Du darin eine neue Partition erstellen, oder mit einem 3rd Party Tool die Größe vorhandener Partion(en) anpassen. Christoph

Nein, aber es muss eine Definition für das Netz mit dem HKR Server geben, und eine Regel, die besagt, wie der Verkehr vom internen zum HKR-Server Netz geregelt wird (also Routing oder NAT). So lange es die Netzdef. und die Regel nicht gibt, kommst Du nicht vom internen Netz zum HKR-Server. Christoph

Hast Du auch den Reg.-Key gesetzt? Christoph

Off-Topic: Demnach verzichtest Du nach Möglichkeit auf Ressource Mailboxen? Wobei solche ja gerade mit Exchange 2007 wieder forciert werden und ÖO bei Exch 2007, zumindest in der RTM Version, eher stiefmütterlich behandelt werden. Christoph

Nein, aber die Beschränkungen werden erst beachtet, wenn er gesetzt ist. Du musst die Eigenschaften des SMTP Connectors aufrufen. Sorry, habe selten mit dt. Servern zu tun, hier sind alle Exch.Server englisch. Hab gerade mal bei msxfaq.de vorbeigeschaut, so oder so ähnlich sieht der Dialog auf einem dt. Exchange Server aus (3. Abbildung): MSXFAQ.DE - Internet Mail Connector 200x Christoph