Operator

Mehr als nochmal auf aktuelle BIOS Version und aktuelle Treiber (oder wenn aktuell, vielleicht mal ein paar ältere) zu verweisen fällt mir momentan auch nicht ein, sorry... Andre

Hi, welche DNS Server sind denn via DHCP übergeben worden? Viele machen den Fehler die IP-Adresse des ActiveDirectory DNS anzugeben und zusätzlich noch einen DNS-Server, der die Namensauflösung für's Internet übernimmt. Dies führt immer zu Problemen, da externe Server nach Anmeldeserver für die Domain gefragt werden könnten. Übergebe via DHCP nur die AD-DNS Server und richte auf den entsprechenden DNS Servern Weiterleitungen zum DNS deines Providers (bzw. DNS-Proxy des Routers ein). Auf diese Problematik deutet auch die Fehlermeldung im Ereignisprotokoll. Der Client kann einfach keinen Anmeldeserver finden, wenn er einen Internet DNS befragt. Irgendwann (nach Timeout für den Internet DNS Server) fragt er vielleicht auch mal den richtigen DNS-Server und erhält die benötigten Informationen. Check das mal und poste im Zweifel mal die Ausgabe von ipconfig /all eines fehlerhaften Rechners. Primär interessiert mich dabei ebenfalls die DNS Konfiguration. Gruß Andre

Hast Du die Möglichkeit die besagten Programme als Dienst zu starten? Dann werden sie früher gestartet, als via Autostart. Zumindest beim Virenscanner sollte dies möglich sein. Was das Laden des CAPI Treibers angeht, kann ich Dir nicht direkt helfen. Da müsste man schauen, wie Die gestartet werden. Ob das wirklich Treiber sind, oder auch "nur" Userspace-Programme, die über den Autostart aufgerufen werden. Gruß Andre

Was hast Du denn für Kunden ;-) Empfehl ihm doch nen Drucker mit hoher DPI Zahl für hohe Druckdichte ("richtig schwarz"). Meiner Meinung nach reichen da 600dpi aus. 1200dpi wenns unbedingt sein muss. Wenn er heller drucken will, soll er halt ne graue Schrift nehmen... Und solange der Toner hat druckt der auch schwarz.... Andre PS: Falls Du ne Empfehlung hören möchtest: Mir gefällt mein Kyocera-Mita FS-1010 (14 Seiten/Min., 6000 Seiten Toner Kartusche bei 5% Seitendeckung, Longlife-Trommel (100.000 Seiten) )

Nicht ganz... Es würde heißen Disk(0)RDisk(1)... DISK ist für SCSI Geräte, RDISK für IDE usw. Es heißt immer "Disk(0)", wenn vorne multi steht... disk(0) wird nur ausgewertet, wenn vorne SCSI steht... Außerdem würde die Boot.ini benötigt.. ja! Referenz: http://support.microsoft.com/kb/102873/EN-US/ Gruß Andre

Hi der Systemstate beinhaltet alles der genannten Sachen: AD, Registry, Sysvol und Systemdateien. Du musst Windows 2000 erneut installieren, da dein Systemstate ja auf diesem System erstellt wurde. Nach der Installation stellst Du die Sicherung wieder her, startest neu und fertig. Andre

Ich sag mal so: Wenn Du nicht unbedingt darauf angewiesen ist, laß es doch einfach. Diese ganzen Tipps sind eh für'n A.... Microsoft wird sich wohl was dabei gedacht haben, das so zu machen :) Und zur Erklärung: Den gesamten Kernelspeichern auszulagern macht Dein System nur unnötig langsam, da häufig gebrauchte Routinen sonst generell von der Festplatte geladen werden müssten. Und wenn da steht, daß der Eintrag keine Auswirkung mehr hat und Du das auch so nachvollziehen kannst, dann wird das mit hoher Wahrscheinlichkeit auch so sein :-) Also weiterhin viel Spaß beim Tunen! Gruß Andre PS: Weniger ist manchmal mehr...

Hi, suchst Du Übungen zum Lernen? Oder eine Art Lernbuch? Liefern Google und Amazon keine Ergebnisse? Ich denke, daß dieses Forum erst mal die falsche Anlaufstelle ist. Frag doch mal in diversen .NET Foren nach. Da ist die Antwortquote wahrscheinlich höher. Andre

Hi Darkmind, "C:" hat in diesem Falle nichts damit zu tun. Zumindest nicht direkt. Meist stellt C: die erste Partition einer Festplatte dar. Aber angenommen C: ist Partition 2, weil sich vorher noch eine ext3 Linux Partition befindet, heißt das Laufwerk immer noch C:, diesmal allerdings auf Partition 2. Dies nur zum Verständnis :-) Gruß Andre

Ja, es liegt an den SID. Und zwar den SID der Domain, der Computer- und der Benutzerkonten. Daß die Namen identisch sind reicht in dem Falle nicht. Du wirst also alle PC's neu in die Domäne aufnehmen müssen. Gruß Andre

Da Du ja schon einen AP hast, schau doch erst mal in die Spezifikation deines AP und schau ob der's kann. Oder welcher höherer AP deines Herstellers das unterstützt. Welchen AP hast Du denn? Andre

Na der mit Einstellung werden die meisten auch keine Lust mehr haben zu antworten... Aber um den Thread dennoch produktiv zu halten: Ich tippe auf Treiberfehler (z.B. LowLevel der Netzwerk- oder PCCards Treiber) oder auf Hardwarefehler... mangelnde PnP Unterstützung etc. Alles andere macht, wie Du schon erkannt hast, ja keinen Sinn mehr. Andre

Kann ich so nicht bestätigen.. habe meinen Key in ASCII eingegeben. Na dann halte dich doch erst mal GENAU an den Artikel von MS, bevor wir weiterforschen. Nochmal zur Wiederholung: Du sprichst immer davon, daß DHCP nicht funktioniert. Dies ist aber nur ein SEKUNDÄRES Problem. Du bekommst keine IP via DHCP, weil Du keine Netzwerkkonnektivät besitzt. PEAP findest Du wahrscheinlich an der Uni, richtig? Vielleicht hat dein dortiger Admin noch einen Tipp parat. WEP sollte auf jeden Fall klappen, sofern der Key richtig eingegeben ist (am einfachsten den konfigurierten Key 1 im Access Point). MAC Filter sollten stimmen und natürlich die erweiterten Parameter wie Preamble Type etc. Einfach mal Einstellungen AP und WLAN Karte vergleichen. Bei WLAN Karten empfiehlt es sich manchmal auch die Hersteller Software zu verwenden (wie z.B. bei Intel -> ProSet). Gruß Andre

Hi, wie misst Du die 4MBit/s? Falls Du wirklich 4MBit meinst, ist das natürlich etwas wenig. Sollten es aber 4MB/s sein ist dieser Wert schon sehr praxisnah. - Es gibt jeweils für AP und Client immer erweiterte Netzwerkeinstellungen, die auf beiden Einheiten identisch sein sollten. Long/Short Preamble etc. - Hast Du schon mal einen anderen Kanal versucht? Teste mal den 1. und den letzten. Es kann sein, daß in unmittelbarer Umgebung ein anderes "verstecktes" WLAN existiert, daß Du nicht sehen kannst, das aber durchaus denselben Frequenzbereich nutzen kann und damit die Rate senkt. Die Bandbreite teilt sich dann für beide Netze. - Irgendwelche Störquellen in der Nähe? Hochspannungsleitungen, Mikrowellen, Access Point auf dem Fernseher :) Zu deinem Peer to Peer Problem fehlen mir noch ein paar Infos: - IPs fest vergeben? - Dieselben WLAN Parameter auf beiden Seiten? - Kopierst Du via IP oder Name? (Auflösungsverzögerung? Eintragen der Hosts in die Hosts-Datei) Mehr fällt mir gerade nicht ein... Gruß Andre

Wenn Du das Drucken auf einem Drucker mit integriertem Printserver oder vorgeschaltetem Printserver meinst, ist die Thematik ja diesselbe. Du verbindest Dich immer noch mit einem Printserver. Nur ist dies kein Windows-Printserver sondern eine Hardware-Variante. Dies sollte auch machbar sein, allerdings kannst Du dann nicht reglementieren wer auf welchem Drucker drucken darf (z.B. wichtig bei Druckern, wo das Drucken viel Geld kostet) und kannst auch keine Druckjobs verwalten oder die Jobs ausgefallener Drucker auf einen anderen baugleichen umleiten. Also, immer erst Netzwerkdrucker lokal an einem Printserver einrichten, freigeben und darüber dann die Clients verbinden. Gruß Andre

psexec.exe installiert auf dem Remote PC (oder auch lokal) immer einen zusätzlichen Dienst. Dies ist nicht immer gewünscht. Seit Windows 2000 (SP3 glaub ich...) kann man auch sehr gut mit runas.exe Kommandos in einem anderen Sicherheitskontext laufen lassen. Der entsprechende Dienst hierfür ist also schon installiert. runas /user:Domäne\Admin "rmtshare <parameter>" Gruß Andre

Hi, bei allem was zur Darstellung den Internet Explorer nutzt hilft es meist den Internet Explorer 6 einmal neuzuinstallieren. ie6setup.exe bietet eine entsprechende Option. Gruß Andre

Hi, die Zeit bekommst Du nicht via Kerberos sondern für Kerberos. Die Zeit ist Teil der Authentifizierung. Die Zeiten zwischen Server und Client dürfen sich maximal um 5 Minuten unterscheiden (Standardeinstellung). Die Zeit bekommst Du in dem Fall nur über den Domain-Controller. Du kannst allerdings den DC mit einer anderen Quelle synchronisieren und damit allen Clients die korrekte Zeit geben. Gruß Andre

Hi, ja sowas in der Art sollte für zuhause vollkommen ausreichen :) Hab mir vor 2 Jahren einen 8-Port Switch für 30€ gekauft. Die Preise sind bestimmt noch gefallen.... Viel Erfolg dabei Andre

Gibts für die Karte vielleicht auch aktualisierte Treiber oder Firmware-Updates? Andre

Hi, Ich fasse mal zusammen :) - Internetzugang hat NUR der Vigor -> 1. Barriere - Der ISA hängt hinter dem Vigor -> 2. Barriere - ISA und Vigor sind nicht gleichzeitig im Internet, ISA bekommt Internet durch Vigor - DMZ ist momentan bei Dir nur die Verbindung zwischen Vigor und ISA - Bei nur einem Switch für LAN und DMZ ist ein Rechner in der DMZ einfach nur ein Rechner, der am Vigor hängt mit einer IP-Adresse im Subnetz des Vigor und des ISA - Die 2 Subnetze trennt man eigentlich physikalisch, da ein Angreifer derzeit in der DMZ einfach nur eine IP aus dem sicheren Netzwerk nehmen müsste, um am ISA vorbeizukommen. Mit einer Trennung wäre dies nicht möglich. Für konzeptionelles Experimentieren aber in Ordnung :) - Das was der Vigor als DMZ bezeichnet ist keine ernsthafte DMZ. Also gar nicht erst damit arbeiten. DMZ bezeichnet, wie erwähnt, ein vom lokalen Netz getrenntes Zwischen-Netz (Perimeter-Netz), daß das LAN vom Internet trennt. Hoffe das genügt als Erklärung :-) Andre

Hi Iced, danke für die URL's ;-) Ich glaub jeder der schon mal mit ISA Server gearbeitet hat, kennt die :-) Die Sicherheit eines Netzwerks verschlechtert sich mit jedem Port, der der Öffentlichkeit präsentiert wird. Falls es also mal einen Exploit für den Port 4662 und einer bestimmten eMule Version geben sollte, ist es möglich den PC auf den der Port umgeleitet ist zu übernehmen und böse Dinge im Netzwerk anzurichten. Jeder weiter ins Netzwerk Du den eMule weiterreichst desto schlimmer, weil Du ja eigentlich das Netzwerk schützen willst, in das Du externe Ports weiterleitest. Also sollte eMule (oder auch jeder andere Internetserver) in der DMZ laufen. Nichts anderes ist die Verbindung zwischen deinem Router und dem Server im ersten Netzwerk. (Anstatt DMZ wirst Du vielleicht auch noch den Begriff Perimeternetzwerk hören; das bezeichnet dasselbe). Auf dem Router hätte eMule eigentlich auch nichts verloren, weil dieser ebenfalls eine Verbindung in das zu schützende Netzwerk hat. Richtig wäre eigentlich einen weiteren Rechner in der DMZ aufzustellen, der diese Funktion dann übernimmt. In deinem Falle also zusammen an einem einzelnen Switch: Vigor, Router, eMule-Client. Sollte dann der Client übernommen werden können, ist der Angreifer immer noch im Perimeter Netzwerk, wo er ja weiter nichts machen kann, sofern er nicht auch noch eine Sicherheitslücke im Router findet. Aber der ISA sichert da eigentlich recht zuverlässig ab. Also müsste jemand erst 2 Barrieren überwinden, um Zugriff auf sentitive Daten zu erlangen. In der DMZ darf dann natürlich kein weiterer wichtiger Server stehen. Soviel zur Einführung in die Sicherheit :-) Einen Webcontent Filter gibts standardmäßig in ISA 2000 nicht, ob's den in ISA 2004 gibt kann ich nicht beantworten. Sorry. Aber es gibt massenhaft Plugins dafür. Leider fast immer kostenpflichtig. Ich konnte auf die schnelle nichts kostenloses finden. Aber es gibt ja auch kostenlose Filter-Proxies für Werbung, die Du dann dem ISA Proxy vorschalten kannst (Content nicht direkt abrufen, sondern von alternativem Proxy). Dieses Konzept bezeichnet man als Proxy-Chaining. Dazu findest Du mit Sicherheit auch Informationen auf den genantnen Webseiten. Gruß Andre

Hi, also bei uns setzen wir bislang noch Scanprodukte der InterScan Familie von Trend Micro ein, die bislang auch sehr gut laufen. Leider meint unserer Sicherheitsmensch jetzt auf integrierte Appliances wie der BlueCoat umsteigen zu müssen. Ich bin aber nicht sehr überzeugt von solchen Lösungen, weil ich ungern etwas Fertiges benutze, das ich schlecht abändern/erweitern kann. Hab mir den SquidGuard mal angesehen... soweit ich das sehe ist das doch "nur" ein cgi/perl script, das via Squid eingebunden wird. Also sollte doch die Installation von Perl ausreichen, um das Script auch unter Windows in Betrieb nehmen zu können. Gruß Andre

Hi, schau mal unter Verwaltung / Terminaldienstekonfiguration / Verbindungen / Eigenschaften von RDP-tcp / Clienteinstellungen Dort muss der Haken für Audio deaktiviert werden. Gruß Andre

Hi Iced, sicher sind deine Daten nur in dem Netzwerk hinter dem Windows-Router. Dort sollten also keine Daten liegen. Der Server entspricht nach dem Router der ersten Hürde für einen Angreifer. Wenn dort schon Daten zu finden sind ist eh vorbei :) Der Server sollte auch kein DC oder ähnliches sein... das würde die Sicherheit wieder gegen Null schrauben. Also nur Firewall. Vom Aufbau siehts ungefähr so aus.. DSL-Modem->Vigor---Crossoverkabel--X--->Netzwerkkarte1-Windows-Server (Internetverbindung, externes Interface in den Augen des ISA Servers) Die 2. Netzwerkkarte des Server steckst Du dann in den Switch für's lokale Netz. (Als Behelfsvariante stöpselst Du alle Komponenten in den Switch des Vigor und vertraust auf die Trennung auf Layer 3 des OSI Modells, sprich der Trennung durch andere IP Netze. Richtig sicher wird es aber erst, wenn du hinter dem Server einen seperaten Switch nutzt, um das Netzwerk physikalisch vom restlichen Netz zu trenen). Der Vigor macht dann NAT für den Server, der Server macht NAT für die Clients. Das ist ziemlich sicher. Allerdings doppelt viel Konfigurationsaufwand, wenn Ports an die Clients im LAN weitergeleitet werden sollen (z.B. für Games, P2P etc.) Daher die Konfiguration des Servers als "Exposed Host", damit Du nur an einer Stelle Portforwarding machen musst. Allerdings wieder auf Kosten der Sicherheit. Das Problem ist halt immer den goldenen Mittelweg aus Sicherheit und Bequemlichkeit zu finden. Viel Spaß Andre