StefanWe

@Carlos03: Dann stell dir einen weiteren Server in eine DMZ wo NUR die Webapplikation drauf läuft. Und lass nur diesen Server auf die DB Zugreifen. Somit sind deine Kundendaten "sicher". Vorausgesetzt die Kennwörter deiner Kollegen sind ebenfalls sicher genug. "1234" oder ähnliches sind keine sicheren Kennwörter, da würd auch ein Reverse Proxy oder ähnliches nicht helfen.

jetzt mal ganz anders, kann sein das ic hdas überlesen oder missverstanden habe. WAS willst du ins Internet stellen? Geht es darum eine https Webseite mit deinen Kunden Daten? Geht es um Remotesitzungen, um auf den gesamten Server zuzugreifen? Bei 1. Würd ich vielleicht sagen, nimm nen 2. Server, stell diesen in die DMZ und lass hier deine Webseite laufen, der dann SQL Querys an den internen SQL Server macht, wo deine Kundendaten liegen. Soll es eine Remotesitzung sein. Schau dir mal Citrix im zusammenspiel mit Safeword an. Da hast du eine 3Faktorauthentifizierung. Das bedeutet, jeder User hat einen Benutzernamen, ein Kennwort und zusätzlich ein Token. Das Webinterface zur Authentifizierung lässt du in einer DMZ laufen und lässt in die DMZ weder von dem LAN noch von dem Internet irgendetwas anderes rein als das was wirklich benötigt wird. Und du lässt dann NUR von der DMZ ins LAN deine ICA Sitzung zu. Dann bist du ziemlich sicher und wenn das jemand knackt, dann kann der auch ganz andere Sachen mit deinem System machen. Und du kannst deinen Draytek Router weiter nutzen.

also ne kleine Astaro Security Gateway bekommst du so zwischen 1000 und 2000 Euro. Du musst natürlich regelmäßig Signaturen updaten. Da laufen 2 Virenscanner drauf und die SPAM Filterregeln wollen ja auch upgedated werden, also hast du natürlich auch Jährliche kosten. Aber die hast du bei jedem anderen Produkt auch. Nimm die kleinste Astaro, dann hast du mehr als du brauchst. Wobei meiner Meinung nach würde auch der Draytek reichen, wenn du nur den Port 443 nach innen durchreichen möchtest und sonst NICHTS. 443 ist verschlüsselt und das einzige was dann erreichbar bzw. Angreifbar ist, ist dein IIS. Dieser sollte natürlich immer auf dem aktuellen Stand sein. Wenn du mehr sicherheit für den IIS haben willst, hilft dir nur ein Reverse Proxy und da kannst du dir auch eine virtuelle Maschiene mit Squid ( ich meine Squid kann reverse Proxy) bauen und schaltest diese zwischen den Draytek und dem IIS. Dann landen Verbindungsversuche oder Angriffe erst auf dem Proxy und vom Proxy wird die Verbindung neu zum IIS aufgebaut. Weil, wenn du nur die Astaro nimmst und den Port 443 auf den IIS weiterleitest, bist du genausoweit wie mit dem Draytek, hast nur ne Menge mehr Geld ausgegeben. Ob Astaro nun ab Version 8 ReverseProxy kann, kann ich dir leider nicht sagen. Edit: Also wir haben hier zig webserver gehostet ohne ReverseProxy. Sind deine Daten auf dem SBS "sooo wichtig" das man diese unbedingt haben möchte? Bzw. wie hoch besteht das Interesse an den Daten?

schau welches den fqdn deines servers trägt.

ich bin mir nicht 100% sicher, aber ist ab 2008 nicht die Unterstützung für win98 erloschen ? Oder gilt das nur für den Domänen bzw. Gesamtstrukturmodus ?

nein, da hab ich schon nachgesehen. der Drucker verändert sich ja vor allem auch wenn der user angemeldet ist und z.b. den ganzen Tag Word offen hat. Am Anfang des Tages ist dann druckera der standarddrucker. und irgendwann auf einmal drucker b

Userprofile sind in Ordnung. Würd ich mich jetzt einfach mal sehr weit mit aus dem Fenster lehnen. Aber das mit den Druckern bei fast allen Usern passiert. Muss UPHC eigentlich vorher installiert sein, oder kann man anschließend noch die Profile reparieren ?

ansonsten hätte es auch eine reperaturinstallation getan.

@moped: du hast also nun eine universelle gruppe in deiner domäne erstellt, in welcher der benutzer existiert? Und in der zweiten Domäne, wo die Resource steht, kannst du diese Universelle Gruppe nicht finden ? Wird die Domain denn überhaupt richtig gefunden bzw. aufgelößt ? edit: Hast du in deiner Domäne wo die Resource steht eine Globale Gruppe angelegt? Und in dieser Gruppe dann versucht, die Universelle Gruppe hinzuzufügen?

Hi, kurz zur Umgebung. 2 Win 2003 TS mit Citrix. Es gibt lokale Drucker welche auf den CTS's installiert sind. Einige Benutzer nehmen ihre lokal angeschlossenen Drucker mit in die Sitzung. Drucken funktioniert soweit ohne Probleme. In den Citrix Regeln ist eingestellt, dass der lokale Standarddrucker auch in der Sitzung der Standarddrucker sein soll. Klappt auch einwandfrei. Der Kunde hat mir nun folgendes Phänomen mitgeteilt. Der Kunde startet morgens seine Anwendungen. Unter anderem auch Word. Nun kann er über seinen Standarddrucker drucken. Aber sporadisch verändert sich der Standarddrucker nun auf einen "SBS PDF Softwaredrucker". Dieser PDF Drucker kommt durch die SBS Lohn Software. Aber der Benutzer nutzt diese Anwendung überhaupt nicht. Hat jemand eine Idee, warum sich der Standarddrucker mitten im Betrieb sich einfach ändert ?

indem du das Root Zertifikat deiner CA auf allen PCs in den Trusted Root Store importierst.

Hast du mal für den User eine Universelle Gruppe in seiner Domäne erstellt. Den User in die Gruppe hinzugefügt. Und in der anderen Domäne dann mal geschaut, ob die Universelle Gruppe vorhanden ist, so dass du die Universelle Gruppe zu den lokalen Administratoren hinzufügen kannst.

Hi, wir betreuen hier eine größere TS Umgebung auf Server 2008. Meine Kollegen versetzen die TS Server immer vor einer Software installation in den install Modus und später wieder in den execute Modus. Ich kenn dies noch von Win 2000. Aber soweit ich weiß braucht man das ab 2003 nicht mehr. Ist das korrekt ? Bzw. was passiert im Hintergrund, wenn ich den Modus wechsel ?

Ist es nicht einfach möglich, ein Image zu erstellen ohne Lizenzkey? Bzw. diesen später mit Sysprep zu löschen. Dann das Image ohne Key auf die zig Netbooks spielen. Und beim ersten Start kann dann der Kunde seinen Key, der ja unterm Netbook steht eingeben und hat ein Notebook mit seinem Key und euren Einstellungen. So wie es auch die "großen" Hersteller von PC Systemen machen.

fahr die virtuellen maschienen doch nachts per script herunter. Kopiere dir die VM Files aufs NAS, oder sonstwohin und starte die VMs wieder. Ist nicht schön, aber selten. Oder nimm BackupExec oder ähnliches mit dem VMWare Agent, dann kannst du die Maschinen auch im laufenden Betrieb sichern.

per Mail :D

du kannst schon dein selbstausgestelltes zertifikat nehmen. du musst aber das root zertifikat deiner ca in jedes Device importieren, welches auf owa zugreifen soll. Nimmst du ein fertiges von Verisign oder ähnliches, dann kannst du dir das importieren sparen. das ganze soll ja eine testumgebung sein, daher würd ich dir empfehlen, einfach das selbstsignierte zu importieren und gut ist.

schau mal mit Get-ExchangeCertificate | fl nach wann das zertifikat abläuft bzw. ob dort auch alles richtig ist, was den fqdn anbelangt. anschließend kannst du mit Export-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXXXXX -BinaryEncoded:$true -Path c:\msxfaq.de.pfx -Password:(Get-Credential).password das zertifkat exportieren und in IIS und dein mobil Device wieder importieren.

ähm, ich kann dir leider grad nicht den powershell befehl runterbeten, aber googel doch mal. Man kann mit der Powershell ganz einfach ein cert erstellen ( ohne request Datei ). Das cert muss den externen dns Namen haben, worüber euer ex07 von außen erreichbar ist. Wenn du das soweit hast, musst du das cert natürlich dem IIS bekannt machen und anschließend auch auf das mobile Gerät. Hier übrigens das Powershell Script, welches man auch auf der msxfaq Seite findet. Entsprechend anpassen und dann läuft die sache. Eigentlich ganz einfach ;)

aber panda und etrust ist auch mist ^^ Also normal z.b. hat auch ab und an nen false positiv. Von dem Produkt bin ich allerdings auch nicht wirklich begeistert.

also meine Erfahrung sagt, das ich bei avira sehr oft false positives hatte. Mal wurde mir sogar der iexplorer als Virus gelöscht. Fand ich damals nicht so nett. Kaspersky ist relativ langsam, vor allem mit integrierter Firewall. Ich bin allgemein kein Freund davon, wenn man am Client zuviel mit irgendeiner schicken GUI einstellen kann, das braucht alles nur unnötig viel Performance. Sophos, haben wir hier ca auf 1000 Rechnern laufen. Aber selber bin ich da auch noch nicht so der große Freund von. Norton oh mein Gott. Wo ich bis jetzt auch ur positives gehört habe, ist der Forefront von MS. Den würd ich an deiner Stelle vielleicht wirklich mal in einer Testumgebung installieren und ausrollen.

Zum Thema Router/Firewall noch folgendes: Du sagtest zwar, das ihr eure Switches austauschen wollt, aber ihr benötigt nicht unbedingt managebare wenn ihr zwischen den beiden Netzen Routen wollt. D.h. ihr nehmt einen oder entsprechend viele Switche für das Konstruktionsnetzwerk. Und entsprechend viele Switche für das normale Netz. So das ihr Hardwaremäßig zwei unterschiedliche voneinander getrennte Netzwerke habt. Dann nehmt ihr einen Ordentlichen Router/Firewall, welcher auch entsprechend Durchsatz schafft und verbindet jeweils eine Netzwerkkarte mit einem Netzwerk. Dann habt ihr das ganze sauber getrennt. Einen L3 fähigen Switch und VLANs benötigst du, in deinem Fall nur, wenn du beide Netzwerke( Konstr. und "normal" ) auf einem Switch abhandeln möchtest. Interessant für die Lösung mit der Firewall wäre noch zu wissen, um welche Datenmengen wir hier sprechen auf dem Fileserver. Exchange verursacht nicht wirklich viel Traffic. Word Dokumente oder ähnliches auch nicht. Wollt ihr allerdings CAD Zeichnungen oder ähnlichen 100MB-> Größer von dem Fileserver ins Konstr. Netzwerk laden, dann ist die Lösung mit der Firewall definitiv mehr als nur ein Flaschenhals. Edit: Zum Thema Broadcastminimierung würde ich mir keine Gedanken in der kleinen Umgebung machen.

ist die Frage was er möchte. Ob ein Router mit 2 1GB Nics als Router ausreicht. Oder ob es ein Teurer Switch mit InterVLAN Routing sein muss. Jenachdem was zwischen den beiden VLANs für Daten transportiert werden sollen.

Also du kannst jeden x beliebigen Router für die Aufgabe nehmen. Ok nen DSL Router sollte es nicht unbedingt sein. Aber wenn du es "billig" haben willst, nimm ne Kiste, steck da zwei Netzwerkkarten rein und installier dort ne m0n0wall. Und routest zwischen den Netzen und kannst sogar noch Paketfilterregeln erstellen, so dass z.b. nur SMB Verkehr geroutet wird.

naja ich denke er will wahrscheinlich zwischen den subnetzen noch kommunizieren? Dafür reicht ein einfacher Router, der in beiden VLANs ein "Beinchen" stehen hat. Am sinnvollsten im Zusammenhang mit einer Firewall, dann kann man auch den Datenverkehr genau eingrenzen, was darf und was eben nicht. Aber für das reine VLANing reichen normale L2 Switche die VLANs können.