IThome

Läuft der DHCP-Server auf dem DC , hat der DHCP-Server Berechtigungen auf SÄMTLICHE Einträge, die im DNS registriert werden, auch auf die, die er nicht selbst registriert hat (DCs zum Beispiel), da der DHCP-Serverdienst mit den Berechtigungen des Computerkontos des DCs läuft. Bei einer erfolgreichen Attacke auf den DHCP-Server können also sämtliche Einträge manipuliert und z.B. umgeleitet werden. Konfiguriert man allerdings ein Benutzerkonto für die Registrierung, hat der DHCP-Server nicht mehr die Berechtigungen des Computerkontos des DCs, kann also nicht mehr alle Einträge verändern, sondern nur noch die, die er selbst erstellt hat (mit den eingegebenen Benutzerdaten). Und das steht in dem von mir geposteten Artikel und in dem geposteten Zitat ... Die Gruppe DnsUpdateProxy, in der sich u.U. DHCP-Server Konten befinden, bewirkt, dass die Registrierungen, die ein DHCP Server im Auftrag eines Clients durchführt, nicht sicher sind, da sich der DHCP-Server nicht als Besitzer einträgt (funktioniert nicht bei nur sicheren Updates in Active Directory integrierten Zonen). Um diese normalerweise nicht sicheren Updates sicher zu machen und sie auch in einer Active Directory integrierten Zone nutzen zu können, die nur sichere Updates zulässt, kann man auch für diesen Zweck ein Benutzerkonto definieren, mit dem registriert wird.

Und vor allem, welcher Adressbereich gilt bei Deiner Freundin ? Der Tunnel scheint ja aufgebaut zu werden ...

Wenn der Laptop per Kabel angebunden ist, ist es einfacher. Wenn Du kein NAT einsetzt, musst Du auf dem Router eine Route in das interne Netzwerk einstellen. Daher ist es besser, den RRAS als NAT-Router zu konfigurieren. Die Schnittstelle, die zum Router zeigt, wird als externe Schnittstelle deklariert, die interne Schnittstelle als privat. Alle Clients bekommen die interne Schnittstelle des Server als Default Gateway. Abhängig davon, ob auf dem Server auch ein DNS-Server läuft (mit Weiterleitung an den Router oder den Internetprovider) oder nicht, bekommt der Client entweder den Server als bevorzugten DNS-Server oder den Rpouter bzw. den DNS-Server des Providers ... Ist das ein Domänencontroller oder Standaloneserver ?

Benutzergruppe ? Das ist eine Gruppe, die auch Computerkonten enthalten. Gerade in diese Gruppe sollen keine Benutzerkonten ... How to configure DNS dynamic updates in Windows Server 2003 Zitat aus obigem Artikel "When the DHCP Server service is installed on a domain controller, you can configure the DHCP server by using the credentials of the dedicated user account to prevent the server from inheriting, and possibly misusing, the power of the domain controller. When the DHCP Server service is installed on a domain controller, it inherits the security permissions of the domain controller. The service also has the authority to update or delete any DNS record that is registered in a secure Active Directory-integrated zone. (This includes records that were securely registered by other Windows 2000-based or Windows Server 2003-based computers, and by domain controllers.)"

Nochmal zum Verständnis, eigentlich funktioniert es (mit dem MDA), nur im Netzwerk Deiner Freundin nicht ? Dort machst Du es via LAN-Verbindung über den Router wahrscheinlich ?!

Was benötigt man für Groove und was kostet es ?

Das ist wahrscheinlich der Watchdog von Trendmicro, dann ist alles okay ...

Du hast eine Enterprise Edition und 3 Clients ??? In Deiner Konstellation ist das ziemlich schwierig. Dass die Clients die Adressen vom Server bekommen, wäre nicht so das Thema, dafür müsste auf dem WLAN-Router DHCP-Relay konfiguriert werden (für die WLAN-Clients). Der kabelgebundene Client würde ebenso eine Adresse vom Server beziehen. Mit dem RRAS sieht das schon anders aus. Normalerweise ist der RRAS (bei Deiner Anforderung) der einzige Zugang für die Clients zum Internet und trennt quasi. Dazu benötigt er 2 Karten, eine für das interne Netzwerk und die andere für die Verbindung zum Router. RRAS wird dann üblicherweise als NAT-Router konfiguriert. Da der Router aber auch gleichzeitig ein Accesspoint ist, kann der RRAS nicht als zentraler Zugang dienen, da das Notebook sich mit dem Accesspoint verbindet, welcher aus RRAS-Sicht aussen steht. Bei dieser Anforderung würde ich einen Accesspoint kaufen, den in das interne Netzwerk stellen und die WLAN-Funktionalität des Zugangsrouters abschalten. Dann kann der RRAS auch als zentraler Zugang konfiguriert werden. Welchen Zweck soll das alles eigentlich erfüllen, bei der geringen Anzahl an Clients ? Zum Thema Virenschutz, von Microsoft gibt es sowas derzeit nicht ...

Hm, 1480 ist der Standardwert bei einer PPPoE Verbindung mit dem Microsoft Treiber. Wo zeigt DrTCP Dir denn 1492 an, für die Netzwerkkarte ?

Hallo und herzlich willkommen, der RRAS ist für Deine Anforderungen schon geeignet, aber um Dir helfen zu können, benötigen wir mehr Infos. Wieviele Karten hat der Server, was hast Du im RRAS konfiguriert usw., ist das ein Domänencontroller oder Memberserver, eventuell ein Small Business Server. Hast Du einen Router oder nur ein Modem oder gehst Du gar nicht über DSL ins Internet ... Wenn Du einen Virenscanner für Deinen Server und Deine Clients suchst, dann kann ich Dir die Trendmicro Suites ans Herz legen ... Gruss Sven

Ich meinte von einem Draytek zu einer Watchguard :) , das sollte Deine Aussage eigentlich unterstützen, war aber wirklich dämlich ausgedrückt ... :rolleyes:

Jetzt geht´s in Kiel auch nicht mehr ...

Eröffne einen eigenen Thread und übernehme keinen anderen ...

Reine IPSEC-Tunnel funktionieren auch, auch mit Routern anderer Hersteller (im Einsatz mit Watchguards) ...

Mit einem A-Eintrag für WWW im DNS oder eine Zone WWW.<DNS-Name>, bei der Du einen Host erstellst und dort keinen Namen angibst ...

Hi und herzlich willkommen und viel Spass bei der Benutzung des Boards ... :)

Schau mal bei .:. www.SBSPraxis.de, die MCSEBoard Hilfe Seite für den Microsoft SBS Server 2003 .:. rein ...

Ich benutze Truecrypt ...

RRAS ist nur ein (NAT)Router, da kannst Du nicht festlegen, dass irgendeine URL nicht angesurft werden darf bzw. dass Chats (die auch HTTP nutzen) nicht genutzt werden können. Du kannst allenfalls Filter für Zieladressen setzen ...

Das hat Marka doch gerade gemacht ... :suspect:

Wie schon gesagt, sind das Standard oder SBS Lizenzen ? Was steht denn da drauf ?

Ist die LAN-Verbindung noch zu sehen ? Kannst Du dort eine feste IP einstellen ? Du kannst auch versuchen, den STack zu resetten NETSH INT IP RESET C:\RESETLOG.TXT NETSH WINSOCK RESET CATALOG oder Download WinSockFix 1.1.0.13 - WinSockFix - A free Winsock/Tcp repair utility - Softpedia

Sowas stellt man normalerweise auf einem geeigneten Gateway/Firewall ein , nicht auf dem Server ... Was hältst Du von einem persönlichen Gespräch ?

Nur auf "Ohne" stellen reicht nicht aus ?

Oder mit Boardmitteln - Batchdatei mit SCHTASKS ...