Blacky_24

Sorgt grob ca. dafür dass man anhand der IP-Adresse den Hostnamen ermitteln kann - Reverse-(i.S.v. "umgedrehter" Funktionalität)-DNS eben. Genutzt wird das z.B. bei Ping & Traceroute - ping ip-adresse liefert bei sauberer DNS-Konfiguration dann als Info den Hostnamen mit zurück. In letzter Zeit kommt das ReverseDNS auch in Mode um auf dem MX Spam auszusortieren. Das mit dem "firmenname.de" geht normalerweise i.O., wenn Ihr unter http://www.firmenname.de eine Webpräsenz habt solltest Du noch den Host "www" mit der öffentlichen IP vom Webserver im DNS einpflegen (so nicht schon passiert), sonst kommt Ihr nicht auf Eure eigene Webseite :-) Gruss Markus

Hi, basic-net3 passt für Deutschland unter der Voraussetzung dass Du an einem Standard-ISDN-Anschluss hängst der gemäss ETSI DSS1-Standard funktioniert - davon ist auszugehen, zumal wenn andere Endgeräte am Anschluss funktionieren. Ein normales Patchkabel sollte gehen, zumindest hatte ich damit noch nie irgendwelche Probleme. Das Switch-Gehampel wie in den USA bzw. in Asien hat man in Europa eigentlich nicht, in Deutschland sicher nicht. Um sicher zu gehen könnte man den Anschluss noch mit einem entsprechenden Messgerät prüfen (wie z.B. Trend Aurora oder WGT10 von Goltermann - so Du einen Kollegen hast der bei der Montagetruppe der DTAG arbeitet hat der sowas im Auto) - ab und an hat die DTAG es verschnarcht, die Datendienste auf dem Anschluss freizuschalten und dann ist Essig - man wundert sich nur dass ein Telefon funktioniert und der Router nicht. Ich weiss jetzt nicht welcher "debug isdn" das war aber probier ggf. mal ob der "debug isdn q921 detail" mehr Infos rausgibt. Gruss Markus

Bitte immer nach Möglichkeit vollständig Konfig (ohne Passwörter / öffentliche IPs) posten. Der Debug gibt kaum was her ausser dass die Verbindung beendet wird, mach mal debug ppp / debug ppp auth, ich vermute mal dass da der Hund begraben liegt. Gruss Markus

Warum verwendest Du nicht einfach die speziellen PPTP/IPsec-Forwarding-Features von Linksys - damit funzt es sicher (IPsec- bzw. PPTP Pass-Through im Security-Bereich). Ausserdem gibt es keinen - ich meine jetzt wirklich "keinen" - Grund, irgendwelche NetBIOS-Ports ins Internet zu hängen - und der DNS ist wohl auch eher sinnfrei, dito der L2TP oder hast Du Zertifikate? Solche "Loopback"-VPN-Tests sind auch nicht toll, wenn man einigermassen ordentlich testen will sollte man dafür einen zweiten PC mit einem separaten Internetzugang nutzen. Wenn Du bei solchen Sachen nicht genau weisst was Du tust solltest Du zuerst die Grundlagen lernen und verstehen bevor Du mit irgendwelchen wilden Konfiguration den nackten Hi***n zum Fenster raushängst. Gruss Markus

MX-Record wird auch im DNS gemacht, Eintragstyp ist "Mail-Exchanger". Was diesen Trust-Kram angeht musst Du jemanden fragen der sich damit auskennt, bin Netzwerker ohne Windows-Aktien :D Die MX-Variante ist die Variante nach Standard / RFC / Kochbuch ohne irgendwelchen MS-proprietären Kram - Voraussetzung dafür wäre noch dass in den beiden Exchange eingetragen ist dass Sie die Mails entsprechend zugestellt werden "DNS für Weiterleitung über Connector zu jedem Adressraum verwenden" (Einstellung im SMTP-Connector) - damit fragt Exchange den DNS nach dem MX der Zieldomäne und liefert dahin aus. Ein "sauberes" DNS mit (CC-) TLD ist natürlich die Zierde des gepflegten Netzwerkes :D Gruss Markus

Dafür sorgen dass die beiden Mailserver (Exchange) sich per DNS finden können (die DNS-Server "über Kreuz" gegenseitig als Forwarder eintragen) und im jeweiligen DNS ein MX-Record mit der IP-Adresse vom Mailserver ist. Gruss Markus

Eine recht gute Broschüre zum Thema RAID gibt es als PDF bei Vortex -> http://www.vortex.de/german/download/pdf/raid_d.pdf RAID5 in Software ist IMHO bei einer Produktionsmaschine Murks weil langsam, ein ordentlicher RAID-Controller kostet zwar ein paar Euros, ist sein Geld aber i.d.R. wert. Gruss Markus PS: Läuft die Mühle jetzt auf beiden Kanälen :D

Wenn ich micht recht erinnere ist in der aktuellen c't ein Artikel über das Thema drin - könnte aber auch in der von vor zwei Wochen gewesen sein - wie war der Vorname vom Dr. Alzheimer, grübel? Gruss Markus

Könnte natürlich auch noch sein dass in der Konfig der Konsole-Port abgeschaltet oder anders als 9600/8/N/1 konfiguriert ist :D Gruss Markus

Soweit ich weiss kosten die Kiwi Cat Tools Geld?! Ein recht brauchbarer Einstieg in die Materie was man mit Skripten und Cisco-Routern so anfangen kann ist NCAT, für die konkrete Fragestellung SNARF von NCAT. http://ncat.sourceforge.net/ Gruss Markus

Hi, Kommst Du wieder auf den Switch nachdem Du Ihn neu gebootet hast? In dem Fall würde ein Softwareupdate helfen. Gruss Markus

Der Kollege mit dem I-Net-Cafe scheint keinen Wert auf Kundschaft zu legen :D Solche "Filter" halten oftmals nur die Dummen von einem vermeintlich unerwünschten Tun ab. Macht man HTTP dicht bleibt FTP und E-Mail offen. Macht man alles dicht braucht man selbst bei einer relativ schmalen Internetanbindung recht grosse Hardware für den Filter weil das sonst ziemlich lahm wird. Bei einer verschlüsselten Verbindung (z.B. https / ssh) sieht der Filter nix - oder wird zur totalen Bremse. Wenn man stur auf Zeichenketten im Dateinamen filtert besteht das Risioko von false positives - und der Filter erkennt Dateien nicht mehr wenn sie nicht die "richtige" Erweiterung haben. Es gibt Lösungen die wirklich in den Datenstrom reinsehen und z.B. mp3s auch dann erkennen wenn Sie zusätzlich gezippt sind oder eine andere Erweiterung haben - Kosten der mir bekannten Produkte im mittleren 5stelligen Bereich, nach oben mehr oder weniger offen. Gruss Markus

Wenn das wirklich die aktuelle Konfig ist?! Habs jetzt aktuell nicht getestet aber wenn der Router kein Up-Interface hätte würde er garnicht erst wählen?! Gruss Markus

Die Firmen die sowas professionell anbieten nutzen meistens eigenentwickelte Tools die es für Geld und gute Worte nicht zu kaufen gibt - abgesehen davon dass die einen Reinraum haben und die Platten worst case auseinandernehmen um die Magnetisierung direkt auszulesen. Gerade wenn es um ältere gelöschte Daten geht deren Sektoren schon überschrieben wurden wirst Du an den Diensten eines Spezialisten kaum vorbeikommen. Aber schnall Dich an wenn das Angebot kommt, die Preise sind gepfeffert. Hast Du es schon mal mit der Professional-Version von Ontrak EasyRevovery probiert? Die zeigt wenigstens an was die Kaufversion wiederherstellen könnte, dann kannst Du Dir ggf. überlegen ob Dir das 500 Ois für die Vollversion wert ist. Gruss Markus

Der Trick mit dem Y-Kabel dürfte der sein dass Du dann die SCSI-Controllerinterne Terminierung ABSCHALTEN musst. Such mal im SCSI-BIOS ob es da eine passende Option gibt. Die Sache ist ja eigentlich auch klar - wenn der Controller intern terminiert ist immer ein Strang vom "Y" tot weil hinter der terminierung liegend. Ansonsten einfach normale SCSI-Kabel und beide SCSI-Controller vom MoBo verwenden, dann sollte das sowieso gehen. Gruss Markus

Hatte ich nicht schon irgendwas über asiatischen SCSI-Schwachfug geschrieben? Egal. Immerhin läuf die Kiste jetzt auf einem Bein. Bei dem was das Case wahrscheinlich kostet würde ich der Sache mal nachgehen warum der zweite Cage nicht will, vielleicht ist da ja wirklich was auf der Backplane defekt. Gruss Markus

Da wird Dir wohl nur das Handbuch von Deinem Router weiterhelfen können. Mit NAT hat das nichts zu tun, Du brauchst ein Protocol-Forwarding, kein IP-/Port-Forwarding. Gruss Markus

Port 1723 und Protokoll 47 (GRE). Gruss Markus

Siehe mein letztes Post. Entweder den Murks ins Auto packen und herkommen oder 1.), 2.), 3.) .... Gruss Markus

Glaube nicht dass das der Fehler ist und dass es ohne Probleme möglich wäre, das Board in dem Case ans fliegen zu kriegen. SCSI ist standardisiert und Gehäuse sind standarddisiert, da wird Asus kaum eine spezielle Boardserie für ein spezielles Case auflegen und kein Case-Hersteller wird ein Case bauen dass nur mit ein paar MoBos kompatibel ist. Der Wurm ist im SCSI-System und wenn es nicht mit dem Teufel zugeht kann man den da auch rauskriegen. Gruss Markus

Mit den entsprechenden Tags kannst Du sauber quoten, dann bleibt das übersichtlich :D Wenn alle Stricke reissen und Du willst kannst Du einen Ausflug ans deutsche Bodenseeufer einplanen, wenn ich das richtig sehe wohne ich nicht soweit weg von Dir - musst den Kram halt irgendwie über die Grenze bringen. Das mit dem kompatiblem MoBo habe ich aus der von Dir verlinkten Seite vom Gehäuse, da ist eine Tabelle "IW-R Series Server Chassis M/B AVL" und da lese ich u.a. "ASUS PR-DLS533, PR-DLS ". Das mit dem komischen Y-kabel ist mir gestern auch schon aufgefallen -> "Support Ten one-inch Ultra320 SCSI hot-swap bays configuration through single SCSI channel (y-cable)." Für den Anfang könntest Du mal das Fenster aufmachen und dieses komische Y-Kabel ganz weit rauswerfen. Y-Kabel haben im SCSI nicht zu suchen, zumindest nicht in Mitteleuropa, in Taiwan mag das anders sein. Zur Not habe ich hier eine grosse Kiste mit SCSI-Kabeln aller möglichen Bauformen. Das Board müsste PRO SCSI-Anschluss 15 Devices können, ich vermute diese Murkser in Taiwan haben da ein Y-Kabel für Arme gebastelt die nur einen SCSI-Channel zur Verfügung haben. Grundsätzlich kann man sowas machen, dann muss man aber die controllerseitige Terminierung abschalten, Murks unendlicher, sowas macht man nicht. Der Controller gehört ans eine Ende vom Kabel und Schluss. Normalerweise hätte ich erwartet, dass die da auf eine Backplane zwei SCSI-Anschlüsse machen dass man da vom Controller auf die Backplane 1 und von der dann auf die Backplane 2 fahren kann, so wäre das ein sauberer Bus. Aufreg. Durch die DIP-Switches auf den Backplanes muss man sich halt mit dem Handbuch durchwühlen was da wie gesetzt werden muss bzw. ob der Default passt - ich hatte da mal so ein tolles Case wo alle DIPs per Default aus SCSI-ID 0 gesetzt waren, ging natürlich garnix. 1.) Ordentliches, nicht terminiertes SCSI-Kabel verwenden, am besten eins mit nur zwei Abgängen - Controller MoBo auf Backplane HDD-Cage. 2.) Handbuchstudium wie die DIP-Switches auf der Backplane gesetzt werden müssen, SCSI-ID-mässig müssen die von 0 bis 4 gehen 3.) Terminierung auf der Backplane einschalten (so dafür ein Schalter vorhanden ist). Ich glaube nicht dass das ein grundsätzliches Problem mit einer eventuellen Hardware-Inkompatibilität ist, da trifft eher asiatischer Schwachsinn auf einen Anfänger :D Macht aber nichts, da lernt man am besten und sooooo kompliziert ist SCSI nicht, wenn man das einmal geschnallt hat läufts für den Rest vom Leben. Also immer weiter fragen, irgendwann tut das Ding. Gruss Markus

Auf dem Server mit dem Bandlaufwerk wird BackupExec installiert, während der Installation kannst Du die License-Keys für die übrigen Komponenten (Agents) eintragen, am Ende der Installation von BackupExec kannst Du die Agents dann auf die anderen Server pushen. Der Exchange-Agent kommt nicht auf den Exchange-Server (der braucht nur einen normalen Server-Agent) sondern auf den backupExec-Server (der mit dem Streamer). Wenn Du schon den BackupExec-Server installiert hast: Einfach das Setup nochmal starten und dann auswählen dass Options oder Remote Options (weiss ich jetzt gerade nicht) installiert werden sollen. Ansonsten hilft die Lektüre des Handbuches, da steht das alles schön erklärt drin. Gruss Markus

Knoppix ist normalerweise ziemlich genügsam. Ich würde mal vermuten dass Du entweder superneue Hardware hast die Knoppix noch nicht kennt oder dass in Deiner Hardware irgendwo der Wurm drin ist. In der vorletzten c't war auch eine Boot-CD mit etlichen Tools zur Diagnose, Knoppix ist da glaube ich auch drauf. Wenn die div. Freeware-/ Kostenlostools nicht weiterhelfen und Dir sehr viel an den Daten liegt gibt es noch die Möglichkeit, die Platte an einen professionellen Datenretter zu schicken, die haben ganz andere Werkzeuge zur Verfügung - und verlangen dafür auch richtig Geld, je nach Problem / Datenmenge / Eilfaktor. Gruss Markus

Ich glaube das wird nix. Konzeptionell ist sowas in Exchange nicht vorgesehen. Bleibt "sauber" nur die Cluster-Lösung - und die kostet wegen dem erforderlichen shared storage deutlich mehr als nur den zweiten Server. Von MS gibt es ein umfangreiches Whitepaper zu E2K und Disaster Recovery: Disaster Recovery for Microsoft Exchange 2000 Server http://go.microsoft.com/fwlink/?linkid=1714 Gruss Markus

Morgähn :D Mal ein paar lose Gedanken zur Security bei WLANs: "Security" ist immer ein Massnahmenbündel, bestehen aus mehreren Einzelmassnahmen. 802.11b/g / WEP nach Standard bietet: Authentifizierung nach Key, Keylängen 40 Bit oder 128 Bit. Es geistern zwar auch noch 56 Bit- und 64 Bit-Key durchs Gelände, das sind aber dank unserer amerikanischen Freunde nur Beruhigungspillen. Intern werden die 56/64-Bit Keys abgeschnitten auf 40 Bit. Hat historische Gründe und damit zu tun dass "starke" Kryptographie früher nicht oder nur eingeschränkt aus den USA exportiert werden durfte. Bei den kurzen Schlüsseln (40/56/64) wird generell alles länger als 40 Bit abgeschnitten und mit einem vordefinierten Bitmuster wieder aufgefüllt damit es die Mitarbeiter bestimmter US-Organisationen nicht ganz so schwer haben, den Traffic zu entschlüsseln - 40 Bit dürften die on the fly können. Ach ja, Hexadezimale 128 Bit-Keys haben genau 26 Stellen, nicht mehr und nicht weniger, einige Hersteller bieten an dass man beliebige Zeichen ASCII eintragen kann und rechnen das dann auf HexDez um - dann sind da 13 ASCII-Zeichen einzutragen weil ein ASCII-Zeichen durch zwei HexDez-Zeichen repräsentiert wird (13x2=26) Die SSID (Service Set ID): Im Prinzip nur der Name des jeweiligen Funknetzes, kann mehr oder weniger frei vergeben werden. Beliebt sind aus irgendwelchen Gründen "sprechende" SSIDs damit auch ja jeder der vorbeikommt gleich weiss wem das WLAN gehört - und daraus schlussfolgern kann ob es sich vielleicht "lohnt", sich das mal näher anzusehen. SSID-Besonderheiten: Es gibt eine Wildcard-SSID "Any". Weiterhin werden die SSIDs im Standard als "Beacon" von den APs gebroadcastet - unverschlüsselt! Könnte man also auch genausogut eine nette, unauffällige Leuchtreklame "Hier ist ein WLAN" aufs Dach stellen. Authentication Mode - "shared" oder "open": Open heisst dass sich jeder anmelden kann, egal mit welcher SSID und welchem WEP-Key. Die MAC-Adressen der WLAN-Karten können als zusätzliches Sicherheitsmerkmal in den APs hinterlegt werden, nur hinterlegte MACs dürfen sich anmelden. Wenn man das WLAN einigermassen sicher machen will ist da halt ein Massnahmenbündel angesagt: - Authentication auf "shared" setzen. - Nur 128er WEP-Keys verwenden. Die Keys nicht-trivial wählen, 0101010101010101... oder deadbeef.... geht zwar, das sind aber Klassiker die jeder Hacker mit Berufsehre kennt, ausserdem braucht Kryptographie den Zufall, Musterwiederholung oder triviale Bitmuster machen dem Hacker das Leben leicht. Wenn der Access-Point Key-Rotation kann dann nutzt dieses Feature (wenn die Clients das auch können). Bei Key-Rotation switchen die WLAN-Teilnehmer automatisch / zyklisch zwischen max. vier Keys - wenn das vier sehr unterschiedliche Keys sind hat der Kollege im Auto vor dem Haus mit seinem Sniffer viel Freude. - Eine SSID setzen, die nicht so wählen dass aus der SSID auf Betreiber oder Standort geschlossen werden kann - die SSID wird eh nur benötigt wenn man die Verbindung in der Clientsoftware konfiguriert - Den SSID-Beacon AUSSCHALTEN ("Leuchtreklame"). Einige "Hackertools" erkennen ein WLAN nur dann wenn Beacons in der Luft sind - kein Beacon kein Netz und der Hacker fährt weiter. Der Beacon ist für die Authentifizierung unwichtig, die SSID muss ja sowieso in der Clientkonfiguration hinterlegt werden. - MAC-Adressen sollten auf den APs hinterlegt werden. Wenn MAC-Adressen auch nicht das hammermässige Sicherheitsfeature sind sorgen sie vielleicht doch dafür dass einige pubertierende Scriptkiddies nicht auf euer Netz kommen. - DHCP - Administrators Liebling: Auch so eine Sache die einem "das Leben leichter" machen sollen. Was Euch das Leben leichter macht macht auch dem Hacker das Leben leichter, alles was dem Hacker das Leben leichter macht ist abzuschalten. Natürlich kann man immer zwischen LAN und WLAN eine Firewall stellen und VPN konfigurieren - das dann bitte auch nur zusätzlich zu einem "richtig" konfigurierten WLAN. Schaut Euch die WLAN-Komponenten an bevor Ihr sie kauft und lasst den Billigschrott aus Asien gleich im Laden. Sicherheit UND sparen verträgt sich nicht. Gute Adressen sind z.B. Cisco, Proxim, Symbol (in alphabetischer Reihenfolge). Das Mindeste sollten sein echtes 128 Bit WEP mit Key-Rotation. Cisco z.B. kann das - und zusätzlich noch RADIUS und LEAP (zertifikatsbasierende Authentifizierung) - und viele Karten von Markenherstellern unterstützen mittlerweile auch Cisco LEAP. Bei den Markenherstellern kann man sich auch drauf verlassen dass man neue Sicherheitsstandards per Softwareupdate nachrüsten kann. Gute APs - wie z.B. die Cisco 12xx - schreiben ein Log mit, da kann man ab und zu mal einen Blick reinwerfen ob da "fremde" MAC-Adressen auftauchen oder abgelehnte Anmeldungen. In grossen Infrastrukturen sollte man über ein zentrales Management nachdenken, da hat jeder bessere Hersteller was im Angebot und es gibt auch einige 3rd-Party-Lösungen. Mit einem zentralen Management stellt man einerseits sicher dass alle APs "richtig" Konfiguriert sind und normalerweise schlagen diese lösungen auch sofort Alarm wenn jemand versucht ins Netz reinzukommen oder wenn plötzlich "fremde" APs oder Clients im Netzbereich auftauchen. Gruss Markus