GerhardG

am client kann man den port ändern? bisher hätte ich dazu keine möglichkeit gefunden. wir patchen die windows server im dmz nicht mit sus. nachdem hier niemand angemeldet ist würden die server bei bedarf einfach rebooten.

http://www.gruppenrichtlinien.de/HowTo/DOS_Clients_an_Windows_2003_Server.htm dazu sind einige änderungen nötig.

unter http://sourceforge.net/projects/nagios-wsc/ gibt es einen .net webservice welcher diverse wmi abfragen über http ermöglicht. es gibt ein passendes nagios plugin um diverse wmi abfragen zu starten. mir wäre zwar ein ordentlicher snmp dienst lieber, aber es ist eine der wenigen möglichkeiten unter linux an wmi infos zu kommen.

die einzige möglichkeit xp übers netzwerk booten ist bartpe. sinnvoll funktionieren wird es mit der leistungsschwachen thinclient hardware aber nicht.

kopier einfach die dateien rüber. es reicht wenn der dateiname stimmt, sus macht keinen größenvergleich oder gar nen md5 check (was eigentlich ne große lücke ist)

wenn beide auf port 80 laufen sollen, mußt du der netzwerkkarte nur eine 2. ip zuweisen. den iis und apache dann jeweils auf eine ip binden und es läuft. ich würde die einzelnen pakete (apache, php, mysql,...) aber einzeln von hand installieren. wenn du die zusammenhänge nicht kennst ist die fehlersuche im problemfall relativ schwer.

viele platten haben nen eigenen jumper um diese auf 32gb zu fixieren.

mit diversen tools (cacti, mrtg,..) kannst du den traffic sehr einfach per snmp auswerten. http://www.cacti.net

http://www.nagiosexchange.org/uploads/media/CygwinPlugins1-3-1.zip ich habe gerade zufällig entdeckt das es check_tcp auch für cygwin gibt. damit kannst du relativ einfach ein script basteln und den output von check_tcp auswerten.

putty - ssh client mit den entsprechenden key´s winscp - scp gui nxclient - nx-server client tsclient.exe - rdp client vncviewer - tightvnc client lotus notes - client für domino server (db/mail/groupware/...) firefox - webbrowser tkabber- im client

du kannst den port nicht pingen, aber zb mit telnet überprüfen ob der port offen ist. zb "telnet server 80"

wir machen dies mit nagios. für einfache dinge reicht aber ein kleiner batchjob der zb nen ping macht und danach nach entsprechenden ports der server dienste überprüft. wenn beispielsweise der iis crasht ist der port 80 im normalfall nichtmehr erreichbar.

ich vermute du meinst susreport, das verwende ich mittlerweile auch. meiner meinung nach ist es auch die bessere lösung. die php installation ist nicht wirklich ein problem (sind ja nur ein paar dateien die man reinkopiert) und die mssql/mysql db kann man natürlich auch auf einem anderen server laufen lassen :)

bei susserver.com sollte es ein entsprechendes script was diese arbeiten automatisch erledigt.

dann wird entweder der dienst nicht laufen oder ne firewall blocken. was bringt "pstree | grep snmp" auf der linuxkiste?

hast du mit getif oder snmpget mal probiert auf den snmpd zuzugreifen? vielleicht blockt iptables?

wie damian schon gepostet hat, überprüfe ob der snmpd auf der gnu/linux station überhaupt läuft.

anfang 2005, du kannst aber ne beta downloaden.

du mußt ein paar änderungen vornehmen bevor du per dos/win9x auf nen 2003 server zugreifen kannst. mehr dazu unter http://www.gruppenrichtlinien.de/index.html?/HowTo/DOS_Clients_an_Windows_2003_Server.htm

klingt nach sasser http://vil.nai.com/vil/content/v_125007.htm der virenscanner kann die verseuchung des pc's verhindern, aber nicht den neustart. hier hilft nur das einspielen des aktuellen patches von microsoft http://www.microsoft.com/downloads/details.aspx?FamilyID=0692c27e-f63a-414c-b3eb-d2342fbb6c00&displaylang=en

alle aktuellen windows update patches installiert? insbesondere gegen msblaster und sasser?

http://www.openworkbench.org/modules.php?name=Product mit openworkbench gibt es eine freie microsoft projekt alternative. im gegensatz zu anderen freien project alternativen ist openworkbench aber eine sehr umfangreiche lösung. es können auch project 2002/2003 daten (in xml) in owl weiterverwendet werden.

dann würde ich wie wildi schon gepostet hat einfach dem chef sagen das du so keinen sauberen ad betrieb garantieren kannst. ein standort ist womöglich verseucht, aber eine weitere ausbreitung auf andere standorte wird (mit glück) durch die port regelungen verhindert. ich hab die selben überzeugungs probleme mit anderen kollegen/standorten, mehr wollte ich nicht sagen :rolleyes:

samba kann einen nt4 pdc emulieren und als memberserver in ein ad aufgenommen werden. "mehr" geht derzeit noch nicht, aber die vorhanden möglichkeiten funktionieren wunderbar.

wenn es probleme gibt, dann müssen für bestimmte hosts eben ausnahmen oder entsprechende regelungen erstellt werden. wenn ich den normalen pc's den port 135 übers vpn dicht mache, hab ich einen guten schutz gegen weitere blaster würmer. was hilft mir ne antivirus lösung wenn diese relativ einfach deaktiviert werden kann? ich würde mich nicht darauf verlassen das die av hersteller immer rechtzeitig neue signaturen bereitstellen. da ist eine kleine firewall regel ne kostenlose und sehr wirksame lösung. wenn euer ad nicht sauber funktioniert => gib den ball den kollegen weiter. entweder bauen diese eine saubere regel die den nötigen verkehr ermöglicht, oder sie löschen die internen regeln wieder. wir haben mehr oder weniger die selben probleme wie du (nur mit relativ vielen standorten). wenn die kollegen von ihrer lösung überzeugt sind, finden sie auch eine entsprechende doku die ihren weg untermauert.