Canni

Dass eine Appliance eines bekannen Herstellers zuverlässiger und damit besser für den Produktivbetrieb geeignet ist, als ein IP-COP dürfte doch klar sein, oder? 15 Benutzer gleichzeitig - ich würde mich zuerst um eine SDSL - Verbindung kümmern... nicht nötg, haben wir schon!

Weiß noch jemand was?

Hallo, danke für die vielen Antworten. Die Outpost habe ich mal getestet, sagt mir sehr zu. Ist eben aufwändig, bis man die mal alltagstauglich konfiguriert hat. Aber die Desktopfirewall ist ja nur ein kleiner Punkt. In wie weit würdet ihr sagen, haben wir Nachholbedarf, zählt doch bitte nochmal die Punkte auf. Ein zus. Server, eine Appliance für die VPN-Verbindungen und als Firewall vor dem Server (mit DMZ?) und die Desktopfirewall auf den Rechnern der Firma wäre doch schon recht ordentlich, für unsere Verhältnisse? Wenn man eben schon kein XP Prof drauf machen kann ... und da Problem ist eben auch, dass die Notebooks NIE im Lan sind. Das ist ja auch nicht der Normalfall in Unternehmen. Ich weiss, dass es unprofessionell ist - und auch mir ein Dorn im Auge ist. Aber was stört hier noch ein Notebook, das privat ins Lan gebracht wird? Klar, würde ich mir wünschen, dass alles Domänen-Notebooks sind...

Nein und ich habe auch von keinem Profil Kopien erstellt. Woran kanns liegen? Und wie verpacken wir das am besten in ein Skript?

Und die ganz elegante Lösung ist, es via GPO (wie bei uns) zu regeln. Recht praktisch.

Er weiss es, aber begriffen hat er nur sehr wenig. Is schwieig, hier zu arbeiten. Wie verpacke ich das am besten in ein Anmeldeskript? Oder einfach ne *.reg-Datei erstellen und die vom Anmeldeskript aufrufen lassen?

(oder brauchst Du wieder eine Sonderlösung für Deinen Chef??? :-) ) Hey, der war gut ^^ :-) Mein Chef hat seit heute auch keine Admin-Rechte mehr, nur zur Info. Woran liegt das Deiner Meinung nach mit den versteckten Dateien? Wie wird das sein, wenn ich einen neuen Nutzer anlege? Gruß Canni

Hallo zuammen, die versteckten Dateien (z.B. desktop.ini) sind bei allen Usern auf dem Terminalserver eingeblendet. Woran liegt das? Gibt es dazu eine GPO-Einstellung? Wie bekommen wir das geändert? Danke! Canni

Danke für die schnelle Antwort. Wir brauchen aber nunmal 20 User und ca. 15 max. gleichzeitig .. was würde DAS kosten? :-) Danke!

Hallo, vielen Dank für die Antwort. Entschuldigung, dass ich erst jetzt antworte - aber ich habe mir eben sehr viele Gedanken gemacht. "wenn Dein Chef so gut ist, alte PCs aufzutreiben und ansonsten kein Geld in die Hand nimmt, dann bleibt Dir nur soetwas wie IP-Cop oder Monowall etc." "Prinzipiell ja, wobei eben eine echte Appliance den Vorteil einer Firewall UND VPN-Anbindung bringen würde, richtig? Damit könnten wir den Server entlasten UND die Sicherheit erhöhen. Den IPCop möchte ich mehr als eine Firewall-Funktion nicht zumuten. WENN wir schon die VPN-Verbindungen umstellen, dann nur auf ein Profi-Produkt. Frage: Wie viel würde für unseren Bedarf (20 User max, gleichzeitig max. 15) eine Appliance kosten? "Geld wird er dabei aber nicht sparen, denn Installationsaufwand und "Ärger" mit einer Selbstbaulösung fressen den Vorteil eines vorhandenen Rechners schnell wieder auf. Geiz ist eben nicht Geil." Kann ich nur beipflichten. ALLERDINGS: "Wenn ich mir die Anzahl der VPN-Clients vorstelle und davon ausgehe, dass hausintern ja auch noch ein/zwei Leute sitzen, ist die Firma nicht wirklich klein. Damit meine ich, dass er (je nach Rechtsform der gesellschaft) einige Standarts einhalten muss. Es soll/darf hier aber nicht zu einer Rechtsberatung ausarten. " Tut es nicht :-) "Nur soviel: Ich halte den freizügigen Einsatz privater Rechner (Laptop/PC) sowie die Selbstbau-Lösung einer FW und einen einzigen Server, der alles inne hat, für sehr bedenklich. Bitte schreibe wenigstens, dass euer Backup technisch in Ordnung ist. Überprüfe bitte, welche rechtlichen Standarts von euch eingehalten werden müssen und reibe dem Chef das unter die Nase. Basel II ist auch ein Stichwort in diesem Zusammenhang." Basel II sagt mir so noch nichts. Natürlich ist das hier ein Chaos und ICH weiß, dass ICH es anders machen würde. Ziel kann also nur sein, den Server extrem abzusichern und die Verbindung zu diesem möglichst ebenfalls (Appliance - aber was is mit den LAN-Usern?). Wie würde ich es nun umbauen? "1. ich würde 2 weitere Server anschaffen: einer als TS für die DMS, ein weiter ins LAN. Derjenige, der ins LAN kommt wird Ausfall-DC und die Last wird auf die beiden internen Server verteilt" --> Würde ich auch so machen, klappt aber niemals. Maximal bekommen wir noch 1 neuen Server. 2. Eine HW-Appliance als Firewall mit echter DMZ. Je nach Leistungsbedarf könnte eine SSG5 oder SSG140 von Juniper oder eine ASG 120 bzw. ASG 220 von Astaro in Frage kommen --> Was kosten diese Produkte (siehe oben)? Dadurch werden aber ja private Notebooks in der Firma hier nicht ungefährlicher ... 3. Als zentralen Virenschutz F-Secure einsetzen, da man damit die enthaltene Desktop-Firewall sehr fein konfigurieren kann und das geht sowohl mit und ohne Domain-Mitglieder (auch im Mix) und ist einstellbar bis auf den einzelnen PC --> F-Secure hatten wir schon, sind wir böse auf die Nase gefallen. 2 Notebooks wurden unbrauchbar, sobald der Virenschutz aktiv wurde, da die CPU in die Höhe sprang. Einzelne Softwarefirwalllösung mit zentraler Administration? Mensch, ne Domäne wär schon was Schönes. Nur müssten sich die User dann immer schon vor der Authentifizierung mit dem VPN verbinden, wenn Sie während der Sitzung in die Terminalsitzung möchten, richtig?

Hallo zusammen, nachdem der andere Thread etwas zu sehr auf das Organisatorische in unserer Firma eingegangen ist, hier nochmal ein "technischer" Thread. Bitte Euch wirklich um konstruktive Kritik, damit ich meinem Chef einen Vorschlag machen kann. Folgendes ist derzeit gegeben: - 1 Windows Server 2003 R2, der als Terminalserver betrieben wird. Hier läuft leider alles auf einer Kiste, VPN-Server, Datenbanken, eMailserver- und Anwendung etc. Onlinebackup wird durchgeführt - vor dem Server: 1 Netgear FVG318 als Router und "SPI-Firewall" - dieser Router verbindet sich zu einem anderen Netgear-Router per IPsec (ein kleines Büro, in dem 2 unserer Mitarbeiter arbeiten - dort wurde DSL eingerichtet, damit die User sich nicht via UMTS ins Internet verbinden müssen) - ca. 7 Firmen-Notebooks und ca. 2 Desktops mit Windows XP Home (alles recht alte Geräte, vom Chef früher aufgetrieben, aber Lizenzierung stimmt, da OEM, Office Basic 2007 installiert). Auf allen Firmenrechnern (+Server) ist NOD32 mit Remote-Administrator installiert - natürlich mit unterschiedlichen Policys (Server/Clients) - die Notebooks sind fast nie im Büro, sondern verbinden sich z.B. via UMTS --> VPN zum Server, auf dem u.a. ja der VPN-Server läuft. - manche Benutzer haben die Erlaubnis von der GL, sich von Ihrem Privat-PC aus a) von zu Hause aus per VPN ins Netz zu verbinden und b) diesen Notebook ins Büro mitzubringen und hier ans LAN anzuschließen. Das findet der GL klasse, da so Kosten für neue Geräte gespart werden :-( Unter anderem verbindet sich so auch das Steuerbüro mit unserem Server - bei bedarf. So, jetzt meine Verbesserungsvorschläge: - Anschaffung eines 2. Servers. Auf diesem Server läuft dann die Datenbank, hier sind die Daten abgelegt, eMailserver, VPN-Server (Frage: VPN-Server besser auf dem TS, wegen DMZ??)), Active Directory etc. / auf dem derzeitigen Server laufen nur noch die Terminaldienste und die Anwendungen --> dringend notwendig, meiner Meinung nach, da der derzeige Server (FSC Primergy Econel 100) total überfordert ist - Anschaffung einer Appliance oder eines IPCops - hierzu bräuchte ich eure Hilfe. Wer kann eine nicht zu teure Appliance empfehlen (max. 20 User VPN, max 15 gleichzeigig, DMZ, nicht zuuu kompliziert zu konfigurieren *checkpoint* <g>) ... die mir gleichzeig als Firewall dient? Oder den TS bzw. den neuen Server die VPN-Verbindungen weiterhin verwalten lassen (Vorteil Benutzerverwaltung / keine Umstellung bei den Clients). --> Terminalserver in die DMZ - Installation einer Desktopfirewall auf den XP-Clients, die zentral verwaltet werden kann; ein Auswechseln der Betriebssysteme auf XP Prof. wird mein Chef sicher nicht genehmigen. ´ So, jetzt legt bitte mal los, ich bin auf Eure Tipps angewiesen. Danke Canni

Gibt es auf dem verwendeten PC zufällig ein HP-Produkt (Drucker?)?

Update: Freitag kam mein Chef zu mir und wollte sehen, wer in der Gruppe der Administratoren ist. Dann durft ich mir was anhören, warum er dort nicht drin stehe. Er müsse Dienste (für ein Fakturaprogramm, das er verwendet) Starten und Beenden können, so der Hersteller der Anwendung. Tolle Situation, was? Ich will nicht jammern, mein Chef hat sehr viele gute Seiten und fördert mich in vielen Dingen auch extrem, aber sowas?! Für das Gespräch mit seinem Bekannten und mir hat er anscheinend auch keine Zeit. Was haltet ihr davon, wenn ich einen neuen Thread eröffne, in dem wir nochmal sachlich über gewisse Dinge diskutieren können, die ich meinem Chef vorschlagen möchte.

Wer hat noch Anmerkungen zu meinen letzten Beiträgen, also eine Art Plan?

Richtig, das stimmt, aber das setzt vorraus, dass schon vor der Anmeldung eine Internetverbindung hergestellt wird. Und unsere User stellen die Verbindung (z.B. per UMTS - schon aus Kostengründen) immer erst nach der Anmeldung her und nur für die Zeit, wo sie sie benötigen.

Hallo, ich will doch eher damit sagen, dass eine Domäne garnicht unbedingt Sinn macht, zumal die Notebooks eigentlich dauerhaft außerhalb der Domäne betrieben werden würden. Konkret: im Normalfall hat doch der Benutzer ein Notebook, das er tagsüber am LAN betreibt (dort besteht die Verbindung mit der Domäne, GPOs werden übernommen etc.) und abends nimmt er das Gerät mit, z.B. nach Hause. Hier erscheint dann bei jedem Start eine Fehlermeldung, dass der DC nicht gefunden werden konnte. Richtig? Unsere User sind aber teilweise dauerhaft an einem bestimmten Objekt - und kommen vielleicht 1 mal im Monat ins Büro. Verstehst Du jetzt, was ich meine?

Sonst noch jemand Kommentare zu meinen Gesprächsvorschlägen?

Hallo, danke für die Blumen! Freut mich WIRKLICH sehr! Jetzt bin ich noch auf Eure Hilfe im anderen Thread angewiesen.

Hallo zusammen, um auch weiter zu experimentieren, habe ich vor, mir privat einen kleinen Server mit Windows 2003 Server anzuschaffen. Ich betreue hier in der Firma "nebenher" das Netzwerk und würde gerne zu Hause gewisse Konstellationen nachstellen. Gibt es da spezielle Bezugsquellen? Danke

Danke für die Antwort. Nun, die Auslagerung des VPN-Servers auf einen Linksys würde aber keine Erhöhung der Sicherheit, sondern nur einen recht großen Aufwand (Umstellung bei den Usern) bedeuten? Welche Angaben zur derzeitigen Last brauchst Du? Liste der aktiven Prozesse (inkl. Auslastung), wenn mehrere User angemeldet sind, sozusagen im Produktivbetrieb :-) ? Was sagst Du zu meinen anderen Punkten? Danke. Apropos Domäne: würden alle Notebooks in eine Domäne kommen, dann könnte doch von unserem 2. mit VPN angebundenen Standort (das is kein eigener Standort, dort muss nur teilweise was aufm Server nachgeschaut werden) kein Notebook eine Verbindung zum DC herstellen, wenn nicht ein eigener DC dort vor Ort wäre, richtig? Dann würden - beispielsweise - Gruppenrichtlinien nur übernommen werden, wenn ein User wirklich hier im LAN ist. ?

Vielen Dank für Eure Bemühungen! Ich bebe innerlich schon wieder, weil mein Chef "eigenmächig" die Backuppfade der Finanzbuchhaltungsanwendung verändert hat und nicht begreift, dass ich diesen Pfad kennen muss, um eine Datensicherung durchzuführen! Aber jetzt mal zum Konstruktiven. Ich muss ja einen Vorschlag in dieser Besprechung mit seinem "Bekannten" machen. Und meine Vorschläge wären folgende: - Ein zusätzlicher Server als DC (erstmal nur für den TS), als eMailserver, als VPN-Server (Frage: würdet ihr den VPN-Server auf dem TS lassen?), Fileserver und Datenbankserver Frage an Euch: was für ein (Dell?)-Gerät könntet ihr empfehlen, für diese Anforderung? Bitte Kosten im Auge behalten. Rack-Server wäre das Vernünftigste. Den derzeitigen Terminalserver stufe ich zum Memberserver runter und klinke ihn in die Domäne des neuen Gerätes ein. Alles, was nicht auf dem TS gebraucht wird, kommt auf den neuen Server (Remote Administrator für NOD32 etc.). --> ISA Server werde ich mir abschminken können. Da bin ich mir ziemlich sicher. Ich habe den 2004er mal in einer Schule verwaltet, weiß, was der kann und weiß aber leider auch, was er kostet. - die Notebooks wird man so belassen müssen, wie sie sind - wie wäre denn die Idee einer Software-Firewall auf den Notebooks, die zentral verwaltbar ist? Ich denke da an so ne praktische Lösung wie NOD32, mit entsprechend zentral steuerbaren Policys? Ich warte auf Eure Antworten :)

Was heisst, weiterentwickelt? Nein, aber der alte "EDV-Profi" hat ihm da einfach zugestimmt.

Nun, ich glaube nicht, dass er eMails anderer Mitarbeiter liest, es ging mal darum, dass er denen Termine in den Kalender eintragen kann. Mal schaun, was passiert. Das Problem ist einfach der Umgang mit mir und das fehlende Verständnis zur Sache.

An was denkst Du da genau?

Wie könnte ich denn ins IT-Lager wechseln? Das würde ja bedeuten, dass ich diese Ausbildung hier abbreche. Nun, eine gute Stellung - für einen Auszubildenden - habe ich hier sicher. Und eine Ausbildung abzubrechen macht sich sicher nicht sonderlich gut.