Wolke2k4

Wie schaut es mit den Sicherheitsrichtlinien aus? Dürfen sich Nutzer überhaupt am TS anmelden? Ich trau mich nicht zu fragen aber ein Image hast Du nicht zufälligerweise?

Wenn es garnicht geht kann man die Befehle auch via Task Planer einrichten. Sollte nicht den Unterschied machen...

Gibt es dazu auch einen MS Artikel, der das bestätigt? Letztendlich scheint es ja so zu sein, schliesslich können alle Datein und Ordner bearbeitet und geändert werden...

Frage: Was stimmt hier nicht??? ;)

Moin, das Phänomen ist ja bereits schon einige male angesprochen worden. Dummerweise stehen wir trotzdem (attrib und registry Eintrag plus diverse Änderungen an den Berechtigungen bis hinauf zum Vollzugriff für die Gruppe Jeder) noch vor dem Problem und bekommen das Attribut Schreibgeschützt, das mit einem grau hinterlegten Haken gesetzt ist nicht weg. Momentan stört die Sache den Betrieb nicht, aber irgendwie hätte ich schon gern gewusst, dass das für ein Schmarrn ist... Ich bin für jeden Tipp dankbar!

Für die kleine Umgebung sollte eigentlich ein Lizenzserver reichen. Welchen Lizenzserver schnappt sich der TS denn? OK die CALs sind also Device TS CALs. Der Lizenzserver ist auch dementsprechend eingestellt?

Es spielt keine Rolle, wie die Server installiert oder lizenziert sind sondern wie der Terminal Server bzw. die Terminaldienste lizenziert sind. Sagt mir leider nichts. Wie schaut es mit anderen Fehlern im Eventlog bezüglich der Terminalserverlizenzierung aus?? Noch mal so zur Sicherheit. Die Terminalserverlizenzierung ist aber schon irgendwo auf einem der Server (muss mindestens W2K3 sein) installiert?

Schau mal bitte in den Netzwerkeinstellungen nach, ob bei manueller IP Angabe zwei Gateways eingetragen sind (Eigenschaften TCP/IP --> Erweitert --> Standardgateway).

Um welchen Lancom handelt es sich denn??? VPN Passthrough bzw. PPTP und der ganze andere Schnickschnack wird vom Lancom unterstützt??

Wir sind gerade am überlegen ob wir zukünftig den Firefox auf unseren TS einsetzen. Hat jemand schon Erfahrungen beim Einsatz des FF auf TS gesammelt???

Das der SBS keine Terminal Dienste im Anwendungsmodus hosten kann ist klar. Wie es mit dem Lizenzierungsdienst aussieht kann ich nicht genau sagen (einfach mal gucken). Da du geschrieben hast, dass keine Lizenzen ausgestellt werden gehe ich davon aus, dass ihr per User lizenziert und den Lizenzierungsdienst auf dem W2K3 TS installiert habt? Solange der TS seinen Lizenzierungsserver findet habt ihr bei der per User Lizenzierung auch erstmal kein Problem. Bei dieser Art der Lizenzierung werden derzeit weder temporäre noch feste TS CALs ausgestellt! Dieser Umstand wird sich wohl auch mit dem SP1 für W2K3 nicht ändern (im RC1 des SP1 werden auch weiterhin keine TS CALs im per User Mode ausgestellt) Wichtig! Solltet ihr bei der per User Lizenzierung zwischenzeitlich mal in die Verlegenheit gekommen sein Windows Komponenten über Software in der Systemsteuerung nachzuinstallieren oder zu entfernen ist die Lizenzierung eures TS mit an Sicherheit grenzender Wahrscheinlichkeit auf per Device zurückgesprungen. Siehe MS KB834651

Router2 - Router der Hauptgeschäftsstelle Anforderungen an den Router: 1. WAN IP = 10.0.0.1/8; LAN IP = 192.168.10.253/24 2. Er soll nur incomming Calls annehmen, selber aber nicht wählen. 3. Idle Timeout soll 300 Sekunden sein, bei Last soll sich der zweite Kanal dynamisch zu und wieder abschalten (siehe Router 1). hostname router2 ! boot-start-marker boot-end-marker ! logging buffered 8192 debugging <-- Was hat dieser Eintrag hier zu suchen, was macht er für "böse" Sachen?? enable secret XXXX. ! username ferdihof password XXXXXXXXX username torgelow password XXXXXXXXX no aaa new-model ip subnet-zero no ip source-route ! isdn switch-type basic-1tr6 ! ! ! interface Ethernet0 ip address 192.168.10.253 255.255.255.0 ip access-group 121 in no ip proxy-arp ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-1tr6 ppp authentication chap pap callin ppp multilink ! interface Dialer1 description RCN ip unnumbered Ethernet0 <-- Hier ist die IP unnumbered, passt doch irgendwie nicht zur Config des Router1 oder? ip access-group 121 in no ip proxy-arp encapsulation ppp no ip split-horizon dialer pool 1 dialer remote-name router1 dialer idle-timeout 300 dialer string vorwahl+msn class DialClass dialer string vorwahl+msn class DialClass dialer hold-queue 10 dialer load-threshold 10 either dialer-group 1 ppp authentication chap pap callin ppp chap hostname remotedial ppp chap password XXXXXXXX ppp pap sent-username remotedial password XXXXXXXX ppp multilink ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip http server ! ! map-class dialer DialClass access-list 121 deny udp any eq netbios-dgm any access-list 121 deny udp any eq netbios-ns any access-list 121 deny udp any eq netbios-ss any access-list 121 deny tcp any eq 137 any access-list 121 deny tcp any eq 138 any access-list 121 deny tcp any eq 139 any access-list 121 permit ip any any time-range TIME dialer-list 1 protocol ip permit ! line con 0 exec-timeout 120 0 transport preferred all transport output all stopbits 1 line vty 0 4 exec-timeout 0 0 login local transport preferred all transport input all transport output all ! ! time-range TIME periodic daily 0:00 to 23:59 ! ! end Auch hier fehlt noch RAS, wobei auch in diesem Fall die IP an den RAS Client automatisch vergeben werden soll. Die Authentifierzierung soll über CHAP laufen. Idle Timeout bleibt 300 Sekunden nur ein Kanal wird genutzt. Für Anregungen jeder Art bin ich dankbar!

So ich hab mir mal zwei Config zusammengebastelt (zugegeben mit Cisco Fast Step). Ich schreibe mal die jeweiligen Anforderungen dazu und das was noch fehlt. Vielleicht kann mir ja noch jemand auf die Sprünge helfen. Router1 - Router der Außenstelle Anforderungen an den Router: 1. WAN IP = 10.0.0.2/8; LAN IP = 192.168.190.253/24 2. Soll den Hauptrouter zunächst mit 64Kbit/s anwählen, wenn Zugriff auf Ressourcen der Hauptstelle erfolgt. 3. Idle Timeout soll 300 Sekunden sein, bei Last soll sich der zweite Kanal dynamisch zu und wieder abschalten. hostname router1 ! boot-start-marker boot-end-marker ! enable secret XXXXXX ! username user1 password XXXXXX username user2 password XXXXXX <-- Warum werden hier sowohl Username und Passwort für beide Router angegeben??? no aaa new-model ip subnet-zero no ip source-route ! isdn switch-type basic-1tr6 <-- DerSwitch-Type sollte für einen ganz normalen ISDN Mehrgeräteanschluss richtig sein oder? ! ! ! interface Ethernet0 ip address 192.168.190.253 255.255.255.0 ip access-group 121 in no ip proxy-arp ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-1tr6 ppp authentication chap pap callin <-- ist das Callin an dieser Stelle richtig? Der Router soll schliesslich nur wählen und nicht angewählt werden, ausser beim RAS. ppp multilink ! interface Dialer1 description RCN ip address negotiated <-- Sollte hier nicht die WAN IP stehen? ip access-group 121 in no ip proxy-arp encapsulation ppp no ip split-horizon dialer pool 1 dialer remote-name router2 dialer idle-timeout 300 dialer string vorwahl+msn class DialClass dialer string vorwahl+msn class DialClass dialer hold-queue 10 dialer load-threshold 10 either <-- Reicht der Wert 10? Ab wann würde sich der zweite Kanal dazu schalten? dialer-group 1 ppp authentication chap pap callin ppp chap hostname remotedial ppp chap password XXXXX ppp pap sent-username remotedial password XXXXXXX ppp multilink ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 <-- Wenn ich mich nicht täusche sollte dies die kriegsentscheidene Route sein, die sämtliche Pakete über die ISDN Leitung zum Router 2 schickt?? ip http server ! ! map-class dialer DialClass access-list 121 deny udp any eq netbios-dgm any access-list 121 deny udp any eq netbios-ns any access-list 121 deny udp any eq netbios-ss any access-list 121 deny tcp any eq 137 any access-list 121 deny tcp any eq 138 any access-list 121 deny tcp any eq 139 any access-list 121 permit ip any any time-range TIME dialer-list 1 protocol ip permit ! line con 0 exec-timeout 120 0 transport preferred all transport output all stopbits 1 line vty 0 4 exec-timeout 0 0 login local transport preferred all transport input all transport output all ! ! time-range TIME periodic daily 0:00 to 23:59 ! ! end Theoretisch wäre die Config an sich schon ok oder gibt es Einwände bzw. Kommentare zu meinen Fragen in der Config? Was fehlt ist noch ein RAS Zugang, wobei die IP an den RAS Client automatisch vergeben werden soll (CHAP). Idle Timeout kann auch 300 Sekunden sein und nur ein Kanal soll genutzt werden! Weiter mit der Router2 Config im nächsten Post...

Gehst du direkt über den Desktop? Also hast du den Drucker nicht als Admin in der TS Sitzung am Server installiert? Was passiert, wenn du mit einem Nutzer Konto den Drucker oder irgendeinen anderen im Netz erreichbaren Drucker nachinstallierst???

Mir ist noch nicht ganz klar, wie Deine Umgebung aussieht... Wenn du auf deinen Firmenserver via VPN zugreifen kannst wieso öffnest du das Word Dokument nicht dirket auf deinem Rechner Zuhause und jagst es dann zum Drucker???

Vorausgesetzt die TC unterstützen hardwareseitig eine größere Auflösung kann man diese ggf. in den RDP Client Einstellungen anpassen. Auch hier gilt: Solange es der Thin Client unterstützt kann man die entsprechende Option im RDP Client einstellen. siehe RDP Client Einstellungen...???

Der Haken für Drucker unter Lokale Geräte im Karteireiter Lokale Ressourcen ist gesetzt, wenn sich die Nutzer am TS anmelden?? Wie wurde der "richtige" Drucker am TS installiert? Wie schaut es aus, wenn du den "richtigen" Drucker der am TS installiert ist direkt an den Clients installierst? Der Drucker sollte dann im Normalfall in die Sitzung gemappt werden. Probleme welcher Art? Habe bis jetzt noch keine feststellen können... Was schon fast darauf schliessen lässt, dass der oben genannte Haken nicht gesetzt ist. Das Eventlog wird IMMER mit Meldungen bombadiert, wenn Drucker erstellt oder gelöscht werden.

Gibt's das Ganze mal irgendwo zum Nachlesen, am besten leicht verdaulich mit einer Prise Praxisbeispiele???

Auch hier spielt wieder eine Rolle, welchen Weg zum CCNA du beschreiten möchtest. Es gibt Bootcamps, da bekommst Du den Stoff innerhalb weniger Tage reingehämmert. Um sich auch einigermaßen dem Stoff widmen zu können sollte man jedoch ca. 6-8 Wochen bei der Academy einplanen. Wenn Du kannst empfehle ich Dir den CCNA berufsbegleitend zu machen. Da sollte es von den Kosten her nicht ganz so viel sein (1.000€ - 2.000€). Wie es sonst mit den Kosten ausschaut erfragst Du am besten bei einer Academy in Deiner Nähe (siehe Academy Locator) In der Regel dürften sich die Kosten aber im Rahmen um die 3.500 - 5.000€ bewegen.

Dazu mal folgenden interessanten Link . Dabei geht es zwar unter anderem um den Terminal Server aber der Rest ist durchaus wissenswert.

Imho ist der CCNA ein absolutes Muss in Sachen Grundlagen für Netzwerke/Netzwerkkommunikation. Der CCNA war (zumindest als ich ihn gemacht habe) eine gute Mischung aus Grundlagenwissen bis hinauf zum 1x1 des IP Routings. Ich kann auch nicht behaupten, dass Cisco an jeder Ecke das vorherschende Thema war, obwohl der CCNA natürlich schon darauf ausgelegt ist IOS und Co. an den Mann zu bringen. Wer sich wirklich reinhängt und gewillt ist zu lernen, der kann viel aus dem CCNA holen - auch wenn man recht schnell vergisst was NCP, SAP und wie sie alle heissen ist. Auch wer später nichts mehr mit Cisco Geräten zu tun hat wird die Grundlagen öfters mal gebrauchen. Natürlich kommt es auch darauf an, wie man den CCNA macht. Den Weg über die Cisco Academy halte ich dabei für den besten (von den Kosten mal abgesehen). Wichtig in diesem Zusammenhand sind dann natürlich auch die Dozenten. Meiner war zwar ein kleiner Freak aber verstehen konnte man ihn nur, wenn er ein Megafon mit sich rumtrug... ;)

Beispiel: 2 NT4.0 Server, einer PDC einer BDC 2 Windows Server 2003, einer Member Server auf dem SQL Server läuft, der andere ist TS (TS Lizenzierung ist klar) Sagen wir es gibt insgesamt 65 Clients im Netz. Nach der obigen Aussage würde ich dann lediglich 65 CALs für Windows Server 2003 benötigen...???? Wie und wenn überhaupt beisst sich das mit der CAL Lizenzierung per Device und per User????

Feste Strukturen lassen sich eben nicht so leicht umbiegen. Das Problem ist, dass die Umgebung hauptsächlich aus ThinClients besteht, denen die GPO egal ist. Da jedoch auch zwei "FatClients" im Netz stehen greift die GPO. Der bequemste Weg wäre also einfach zu verhindern, dass die GPOs für die zwei Clients greift... Ist der Ordner Grouppolicy sowohl für lokale als auch für die Domain GPO relevant???

Was aber, wenn die GPO an der Domain bzw. OU festgemacht wird? Klar sie gilt dann erstmal Domain weit. Würde es theoretisch reichen, dem Nutzer die Rechte des lokalen Grouppolicy Ordners zu entziehen/verweigern, damit die GPO lokal nicht wirkt???

Clients von NT rauf bis XP... Der DNS Server wird wahlweise via DHCP oder statisch zugewiesen, da sonst die Anmeldung schon kaffepauselang dauert. Daran kann es also nicht liegen.