-= Brummbär =-

Hallo, Ich hab den Übeltäter gefunden. Jetzt frag ich mich nur, wie ich das anders konfigurieren kann. Es liegt am ip-helper. Packe ich einen DHCP-Server direkt ins Subnetz, dann fragt der Igel aus irgendeinem Grund auch nach seinem Remoteserver. Per IP-Helper bekommt er zwar auch brav seine IP etc., aber er fragt aus irgendeinem Grund dann nicht nach dem Remoteserver. Hat einer eine Idee woran das liegen kann? Bzw. was macht ip-helper so anders als ein DHCP-Server im Subnetz... Fragen über Fragen. :)

Hallo, Ich hab folgendes Problem. Wir setzen Igel-ThinClients ein die sich mit einem Verwaltungsserver laut Hersteller über die Ports 30001, 30005 (tcp und udp) in beide Richtungen unterhalten. Zu unseren VPN-Außenstellen (angebunden mit PIXen) habe ich die Ports freigeschaltet und alles läuft. Im Hausnetz der Zentrale werden die Subnetze (VLans) der Etagen durch einen 3750 verwaltet. Ich habe die selben Ports freigegeben nur es klappt leider die Kommunikation vom Client zum Server nicht. Baut der Server die Kommunikation auf, klappt alles nur umgekehrt nicht. Das Routing in die Subnetze müsste in Ordnung sein, da andere Dinge (Citrix, Domäne, Exchange) problemlos funktionieren. Kann mir jemand ad hoc sagen, wo IOS und die Pixen sich so dermaßen unterscheiden? Es ist schon etwas merkwürdig, dass es zu den VPN-Außenstellen klappt nur im Hausnetz nicht :-( Alternativ, bzw. auch so bin ich für jede Anleitung zum Debuggen dankbar.

Hallo, Hat von euch jemand Erfahrung damit gemacht einem Exchange 2003 Server die Range für die RPC Ports zu verringern. So wie das im KB-Artikel beschrieben ist, dürfte das ja nicht das Problem sein, aber ich wollte trotzdem vorher mal euer Rat hören. How to configure RPC to use certain ports and how to help secure those ports by using IPsec Ich möchte die Ports einschränken, da der Exchange in einem anderen Subnetz als die Clients steht und ich nicht die Range 1024 bis 5000 erlauben möchte. Ich bin für jeden Hinweis dankbar.

Ah. Ok. Na dann kann ich ja so mit den ACLs weiter machen. Danke für die Hilfe. Ich bin mal gespannt, wann ich das nächste Mal ins Straucheln komme.

Hallo Wrodo, Das funktioniert. Merci dafür. Wie würdest du denn die Regeln definieren? Irgendwo muss ja letztlich der Traffic geblockt oder nicht gerouted werden, den ich nicht ins andere Subnetz haben möchte.

Ich habe die ACL auf dem Interface der Clients inbound angebunden. Damit wollte ich erreichen, dass die Pakete nicht erst unnötig geroutet werden. Am Interface der EDV-PCs ist permit ip any any. Das sollte dann also nicht das Problem sein. Nur warum funktioniert das dann nicht :-(

Hallo, Das Gerät ist ein Cisco 3750. Clients & EDV-PCs sind in unterschiedlichen Subnetzen. Die Clients sollen nur bestimmte Ports ins Subnetz der EDV-PCs nutzen dürfen um Verbindungen aufzubauen. Aber wenn ich mit einem EDV-PC eine Verbindung zu einem Client aufbaue (z.B. VNC über TCP 5900), dann möchte ich, dass der Rückweg natürlich erlaubt ist. Zumindest bei TCP-Verbindungen müsste das doch gehen. Oder muss ich mich von meiner PIX-Denke noch weiter verabschieden :-( Gibt es eine Möglichkeit die ACL so anzupassen, dass die Rückwege automatisch erlaubt werden?

permit udp host 0.0.0.0 eq 68 host 255.255.255.255 eq 67 war die Lösung *freu* Danke für den Schubser in die richtige Richtung!!

Hallo, Ich habe meinen ersten 3750 bekommen und nun will ich unser Hausnetz in verschiedene Subnetze aufteilen. Jetzt habe ich ein VLan definiert und das einem Port zugewiesen. Per IP-Helper und DHCP-Server mit verschiedenen Bereichen bekommt ein Client hinter dem Port auch eine passende IP zugewiesen. Nun möchte ich aber die Subnetze per ACL einschränken. Nur was muss ich erlauben, damit DHCP weiter funktioniert? Selbst mit permit ip auf den DHCP-Server hat es nicht funktioniert. Ich hoffe, dass mir einer von euch helfen kann. interface GigabitEthernet1/0/7 switchport access vlan 201 switchport mode access ! interface Vlan201 ip address 192.168.201.254 255.255.255.0 ip access-group zugriffe-von-clients in ip helper-address 192.168.100.51 ! ip access-list extended zugriffe-von-clients permit icmp any any permit ip any host 192.168.201.254 permit ip any host 192.168.100.51

Hallo, Ich habe eine PIX 506 und eine Windows 2003 Server mit laufendem IAS. Ich möchte gerne für einige VPN-Clientnutzer die Möglichkeit bieten weitere Ports bei Bedarf freizuschalten. Das klappt soweit ganz gut. Da ich aber den IAS auch für die Einwahl der VPN-Clients nutze, könnten automatisch alle VPN-Benutzer in den Genuss kommen. Gibt es eine Möglichkeit beim Einrichten der authentication eine Gruppe mit zu übergeben, damit der IAS andere Kriterien prüft als bei der VPN-Einwahl? Alternativ müsste ich einen zweiten IAS aufsetzen, aber das würde ich gerne vermeiden, da ich auch intern noch eine solche Konstellation hab und dann schon den dritten IAS bräuchte :-( Ich hoffe es kann mir jemand einen Tipp geben.

Leider wohl schon. Sehr nerviger Fehler, aber welcher Fehler nervt nicht :-)

Hab den Fehler. Ich hab vergessen in "#vlan databases" das Vlan einzurichten.

Hallo, Ich habe einen 876 Router und möchte mich darüber ins Internet einwählen. Auf Eth0 ist das lokale Netz und auf Eth3 hängt das SDSL Modem. interface FastEthernet3 switchport access vlan 10 ! interface Vlan10 no ip address pppoe enable group global pppoe-client dial-pool-number 1 ! interface Dialer0 description Einwahl bei T-Systems ip address negotiated ip access-group AusDemInternet in no ip redirects no ip unreachables no ip proxy-arp ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 priority-group 1 no cdp enable ppp authentication pap callin ppp chap hostname ppp chap password 0 ppp pap sent-username password 0 crypto map SDM_CMAP_1 ! ip route 0.0.0.0 0.0.0.0 Dialer0 Das müsste soweit stimmen. Nur bei sh int vlan10 bekomme ich line protocol is down. Was kann ich tun, damit das Gerät sich endlich einwählt. Modem, Leitung und Zugangsdaten sind definitiv ok. Die habe ich mit einer PIX 501 getestet. Bitte helft mir!

Ich hab's geschafft. Ich hab etwas bei der Anleitung vom MS übersehen.

Hallo, Ich versuche gerade die Systemdatenbanken vom 2005er auf eine andere Partion zu verschieben. Das hat bei den meisten nach dem Artikel von MS geklappt: Verschieben von Systemdatenbanken Leider scheiter ich jetzt an der Systemresource-DB. ALTER DATABASE mssqlsystemresource MODIFY FILE (NAME=data, FILENAME= 'new_path_of_master\mssqlsystemresource.mdf'); GO Wenn ich das eingebe, dann erhalte ich die Fehlermeldung das in den sysdatabases kein Eintrag dafür gefunden wird. Kann mir jemand einen Tipp geben? Freundliche Grüße Robert

Hallo, Ich muss eine Signaturlösung finden, damit alle ausgehenden E-Mails eine elektronische Signatur erhalten. Die Signatur soll in S/MIME geschehen und mit einem zentralen Zertifikat auf einem Signatur-Gateway. Ich habe soetwas z.B. bei der Datev gesehen. Da schicken die Benutzer eine E-Mail mit poststelle@datev.de (o.ä.) und wenn ich auf Antworten klicken kommt die Adresse des jeweiligen Benutzers. Das das ganze mit Adress ReWriting funktioniert ist mir schon klar. Nur mir wurde davon abgeraten, da viele E-Mailclients damit Probleme haben sollen (z.B. beim Abspeichern des Kontakts). Kann mir jemand dazu seine Erfahrungen schildern? Gibt es Alternativen zum ReWriting? Wobei es mir schon lieb wäre, wenn ich nur ein Zertifikat einsetzen müßte. Freundliche Grüße Robert

Der Wechsel zwischen den Anwendungen wird wahrscheinlich kein Problem darstellen, da wir ausschließlich mit verschiedenen Desktopfreigaben arbeite. Bei uns war das Anbinden eines Netzwerkdruckers überhaupt kein Problem. IP des Druckers, Warteschlange lp1 und dann den Treiber angeben, der genutzt werden soll. Wenn noch jemand Rückmeldungen dazu hat, immer her damit :-)

Der LX 2110 ist schon genau das was ich gesucht habe. PNAgent, Linux, Drucken klappt und Remote Management hat mich bisher überzeugt. Dazu kommt dann noch der Preis.

Hallo, Nachdem ich mich nun oft genug über HP XPe ThinClients geärgert habe, habe ich jetzt einen Igel Linux ThinClient als Test hier. Soweit überzeugt der mich doch sehr. PNAgent und Remote Manager sind so wie ich das für meine Zwecke brauche und auch das Drucken klappt bisher ganz gut. Bevor ich aber den Schwenk von HP zu Igel mache, wollte ich mal fragen, ob noch andere Erfahrungen mit Igel gemacht haben (positive / negative), damit ich mir ein besseres Bild machen kann.

Hallo, Unsere TK-Anlage bietet die Möglichkeit TIFF-Dateien in E-Mailanhängen als Fax zu verschicken. Dazu gibt es auch einen Druckertreiber, der automatisch eine E-Mail mit dem Druck als TIFF-Datei im Anhang erstellt. Soweit so gut. Auf meinen Citrix-Servern würde ich aber gerne auf einen Kernelmode Druckertreiber verzichten! Und der Treiber des Anbieters ist leider im Kernelmode geschrieben :-( Gibt es evtl. noch andere Möglichkeiten einen solchen Drucker zu installieren?

Leider nicht. Ich möchte auf den DFS-Shares die selben Berechtigungen wie auf den Zielen haben.

Hallo, Nachdem ich jetzt weiß, dass ich mit Cacls mein DFS mit Access Based Enumeration versehen kann, muss ich jetzt "nur" noch die ganzen Berechtigungen kopieren. Jetzt stellt sich mir die Frage, ob ich nicht irgendwie die Berechtigungen automatisch auslesen und dann im DFS share eintragen kann und zusätzliche Berechtigungen auf dem DFS share löschen kann. Dann könnte ich das ganze skripten und hätte im Fall der Fälle auch ein schnelles Backup. Hat evtl. jemand für das Problem schon eine Lösung oder einen Ansatz?

How to implement Windows Server 2003 Access-based Enumeration in a DFS environment Das dürfte wohl die Lösung sein. Jetzt muss ich nur schauen, ob es eine einfache Möglichkeit gibt, ACLs abzugleichen.

Hallo, Kann mir jemand sagen, ob und wenn wie ich im DFS-Bereich auch ABE nutzen kann. Unterhalb der Verknüpfungen klappt es automatisch. Ich habe aber das Problem, dass ich am besten auch die Verknüpfungen individuell anzeigen lassen muss. Ansonsten muss ich doch unseren Fileserver umsortieren und das möchte ich eigentlich nicht so gerne.

Guten Morgen, Ich versuch mein Problem, dessen Lösung immer mehr ABE heißt, noch mal zu schildern. Normaler User hat Abteilungslaufwerk G:\. Jetzt ist er aber für zwei Abteilungen zuständig. Hauptabteilung wäre Einkauf, andere Abteilung ist Buchhaltung. G:\Einkauf I:\ Buchhaltung Der nächste Mittarbeiter hat die EDV-Abteilung und den Einkauf. G:\EDV-Abteilung ?!?! I:\Einkauf Ich könnte es so machen, dass es Buchstaben für Abteilungen gibt. G\I\J\K und dann einfach die jeweilige Abteilung anhängen. Mit eine if-Abfrage müsste ich dann in jeder Gruppe abfragen welche Buchstaben schon belegt sind. Natürlich ginge das irgendwie mit ifmember, if exists und net use. Nur müsste ich dass dann auch für jede Abteilung skripten. Aber der größte Pferdefuß kommt noch. Wie erklär ich meinen Usern in welchem Laufwerk sie was finden... Mit ABE brauche ich, wenn es keine gravierenden Nebenwirkungen hat, nur noch Laufwerk G: mappen. Danach ist alles gut und die Zugriffsrechte regeln den Rest. Und wenn ich mir mein Skript im Moment ansehe, dann fallen da eine ganze Menge an Abfragen und Zuweisungen einfach weg *freu*