Operator

Hi Community, ich hab folgendes Problem: Einen meiner Domain-Controller starte ich einmal wöchentlich neu. Dieser DC hat seine normale Netzwerkkarte und eine virtuelle Netzwerkkarte, die mit unserer IBM iSeries verbunden ist (Benutzerreplikation etc.) Die 2. Karte hat eine IP Adresse im Bereich 192.168.2.0/24, die im normalen Class B LAN bei uns aber nicht geroutet wird, und auch nicht geroutet werden soll. Da der Server DC und DNS ist legt er bei jedem Neustart wieder Einträge im DNS für ALLE Interfaces an, auch wenn ich ihm das in den erweiterten TCP/IP Einstellungen eigentlich abgewöhnen wollte (siehe Bild). Habt ihr noch einen Tipp für mich, wie ich das abschalten kann? Hab evtl. daran gedacht die Berechtigungen für den angelegten Eintrag so zu verbiegen, daß kein Anwender mehr Zugriff drauf hat und somit in keinem DNS Reply auftaucht, aber das wäre ja nur die Milchmädchen-Lösung. Hintergrund ist folgender: Wenn Benutzer sich anmelden wird ein DNS Request für domain.de gestellt, der alle Server zurückliefert, die eine Anmeldung für diese Domain durchführen. Ein Server ist besagter DC, für den dann 2 IP Adressen zurückgeliefert werden. Bedingt durch Round-Robin DNS gelangt dann im Schnitt jede zweite Anmeldung auf das 2. IP Interface, das nicht erreicht werden kann -> die Anmeldung schlägt fehl. Dasselbe gilt für Zugriffe auf dem Fileserver, der ebenfalls auf dem Server aktiv ist. Weiterer Nachteil: Die Clients speichern die falsche IP in ihrem DNS Auflösungscache und erfahren so schnell nicht die richtige IP-Adresse. Also mein Ziel ist das Routing in Ruhe zu lassen und die Round-Robin Einstellungen ebenfalls außen vor zu lassen :) Hat jemand ne Idee, wo ich das Verhalten des DC's ändern kann? Vielen Dank schon mal Andre aka Operator

So. Sorry, daß ich mich lang nicht gemeldet hab, aber ohne die Configs aus der Firma bringt posten ja auch nichts :-) Aber die liefere ich nun nach! (teilweise zusammengeschnitten, wenn was fehlt, bitte melden) Cisco 6000 - A -------------------- set vlan 999 name Transfer type ethernet mtu 1500 said 100999 state active set spantree priority 8192 999 set trunk 3/5 on dot1q 1-1005,1025-4094 Cisco 6000 - A - MSFC Module -------------------------------------- interface Vlan999 description Transfer VLAN ip address 172.29.254.198 255.255.0.0 no ip redirects standby 99 priority 110 preempt standby 99 ip 172.29.254.200 Cisco 6000 - B --------------------- set vlan 999 name Transfer type ethernet mtu 1500 said 100999 state active set spantree priority 16384 999 set trunk 3/5 on dot1q 1-1005,1025-4094 Cisco 6000 - B - MSFC Module -------------------------------------- interface Vlan999 description Transfer VLAN ip address 172.29.254.199 255.255.0.0 no ip redirects standby 99 ip 172.29.254.200 So jeweils am Port 3/5 der 6000er hängen nun die beiden Gigabit Ports des Catalyst 3550: interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 1,330,331,999,1002-1005 switchport mode trunk no ip address udld enable spanning-tree portfast ! interface GigabitEthernet0/2 switchport trunk encapsulation dot1q switchport trunk allowed vlan 1,330,331,999,1002-1005 switchport mode trunk no ip address udld enable spanning-tree portfast ! interface FastEthernet0/30 switchport access vlan 999 channel-group 1 mode on ! interface FastEthernet0/32 switchport access vlan 999 channel-group 1 mode on interface Port-channel1 switchport access vlan 999 Mit einem normalen Switchport im VLAN999 klappt jede Verbindung auch sehr gut (seit 2 Jahren etwa), selbst das IP FailOver des Gateways funktioniert samt Spanning-Tree. Nur im PortChannel komme ich nicht über den Switch hinaus. Ich hab auch schon mal probiert das PortChannel Interface zum Trunk zu machen und VLAN Tagging auf der Netzwerkkarte aktiviert. Das brachte aber leider auch nichts :( Noch jemand ne Idee? Vielen Dank schon mal. Andre

Hi laurasan, letzteres wäre in Ordnung, nur leider bekommt man damit auch nur S/W-Bilder. Nötig wäre ein Adapter, der Farbe und Helligkeit wieder in einem Signal zusammenführt! Sowas z.B.: http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&item=3474241528&category=3666 Gruß Andre

Ohne DNS lässt sich doch AD gar nicht installieren... sicher, daß der DC kein DNS installiert hat? Auf den XP Clients darf auch nur der DNS hinterlegt sein und nicht noch der DNS-Proxy des (DSL-?) Routers.... Andre

Hi sepp, was ich von den Laue-Büchern halten soll, weiß ich noch nicht genau. Meiner Meinung nach kosten die Bücher dasselbe wie die MS Bücher (Weil meistens 2 Bücher verkauft werden, die zusammengerechnet wieder dasselbe kosten). Und inhaltlich ist definitiv weniger drin (größere Schrift, mehr Bilder). Ich werde also warten bis die Bücher von MS Press erscheinen, bestellt sind sie ja schon von mir :) Ich denke das englische Buch wird auch sehr gut zu gebrauchen sein dafür, aber ist ja nicht jedermanns Sache. Da ich mich gerade für den CCNA vorbereite mit den Original Cisco Press Büchern (englisch) kann ich aber versichern, daß es nicht so schlimm sein kann. Sofern Du das Englisch eines KB Artikels verstehst :) So.. frohe Ostern! Andre

Denke trotzdem, daß es daran liegt! Vielleicht sind ein paar reboots nötig, so daß die dialer und spytools nicht mehr im hintergrund laufen. danach jedes mal scannen... solange er immer auf neues was findet, scheint das eigentliche problem aktiv zu bleiben. Vielleicht hast du auch Pech und es handelt sich um ein Programm für das es noch kein Gegenmittel gibt. Dann müsstest Du dich selbst mal in die Registry bemühen und nach Schlüsseln ausschau halten, die dafür verantwortlich sein können. Eine Aufstellung der Keys wo Programme gestartet werden können findest Du bestimmt bei google. Gruß Andre

Hi René, bin grad auf Osterbesuch :) daher nur ne kurze Antwort! Du kannst den TS selbstverständlich parallel zur Domäne als Mitgliedserver konfigurieren, dann hast du vom Server aus Zugriff auf alle Domänenkonten und kannst entsprechend Rechte verteilen. Wenn nicht alle User lokale Anmelderechte besitzen sollen, dann leg am besten eine Gruppe im AD an, wo alle User drin sind, die sich anmelden dürfen. Dieser Gruppe räumst Du dann in den lokalen Sicherheitsrichlinien des TS das Recht zur lokalen Anmeldung ein. So hast du Kontrolle über Anmeldemöglichkeiten. Bei einem normalen TS darf sich jeder User anmelden, da hier die lokale Anmeldung standardmäßig erlaubt ist. Nur an einem DC ist dies normalerweise deaktiviert, weshalb du das erst freigeben müsstest. Eine Terminalserveranmeldung gilt immer als lokale Anmeldung, da der Benutzer ja lokal arbeitet (auch wenn Bildschirm und Tastatur/Maus remote sind). Das heißt aber nicht, daß sich der Benutzer nicht mit Domäneninformationen anmelden kann. Ich hoffe das war soweit verständlich :) Eine Richtlinie bzgl. des Terminalservers kann ich Dir nicht vermitteln, da ich nur die Erfahrungswerte aus unserer Firma vorweisen kann. Die kannst Du dir ja aus meinem bisherigen Post ausrechnen... Ich weiß halt nicht wieviel MB Arbeitsspeicher Eure Applikationen so belegen. Am besten sind natürlich immer Client-Programme, die auf nen Server zurückgreifen, da dort auch wieder wenig lokal gemacht wird. Ein Office-Paket, das große Dokumente in den Speicher läd benötigt entsprechend mehr. Dann vielleicht noch so'n IE, der ja auch nicht immer sparsam ist, wenn mal die Flash und JAVA Plug-Ins geladen sind.... Um ein paar Versuche wirst Du nicht drum herum kommen... Du kannst natürlich auch überdimensionieren... dann funktionierts auf jeden Fall :) So das reicht für den Anfang :) Ich eß jetzt noch n Schoko-Ei! Man liest sich Andre

Scan mal mit nem aktuellen Virenscanner deine Platte und prüf deinen Rechner zusätzlich mit AdAware. Ist ein Programm, daß Dialer und Spyware auffindet und entfernt! http://www.lavasoft.de In der Peronal Edition kostenlos und reicht für deine Zwecke :) Gruß Andre

Hi Commandor, schau mal bei http://www.vue.com oder http://www.prometric.com vorbei. Dort kannst Du nach Testcentren suchen, die die Prüfung abnehmen. Gruß Andre

Hi rox, das kann auch der WebProxyServer :) Normalerweise werden im integrierten Modus alle Anfragen des Firewall-Services an Port 80 eh auf den WebProxy umgeleitet. In den Inhaltsregeln kannst Du festlegen, welche MIME Typen erlaubt sind, also z.b. text/html und image/jpeg. Wenn die Sache ein wenig professioneller sein soll und Du z.B. moderierte Downloads haben möchtest (User läd runter, du bekommst eMail und gibst Download frei), virengeprüften Content und aktive Inhaltsuntersuchung (nicht nur anhand der MIME-Typen des Zielwebservers) dann schau Dir doch mal GFI DownloadSecurity for ISA Server unter http://www.gfi.com an. Kostet wie jede gute Software zwar Geld, aber anschauen ist wie immer kostenlos... Gruß Andre

Bei uns setzen wir Citrix Terminalserver ein (ich weiß viel zu teuer, aber Chef wills so) und da haben wir momenten in 4 Servern 3x 2GB und 1x4GB. Die restliche Hardware ist etwas kleiner... genau weiß ichs nicht mal mehr, ist aber schon 1,5 Jahre alt :) In dieser Konstellation arbeiten 50-70 User simultan pro Server. Deshalb wirst Du mit 50 Usern denke ich mal gut zurechtkommen. Die Sache mit TS auf AD ist nur eine Sache der Sicherheit, weil die Domäne dann nicht mehr so sicher ist. Du musst auf dem Server z.B. das Benutzerrecht lokal Anmelden für alle Domain-User setzen, da TS ja nix anderes ist. Ein normaler DC läßt lokale Anmeldungen standardmäßig nur von Dom.Admins zu. Da gabs noch ein paar andere Aspekte was die Server und Domainsicherheit angeht, aber wenn du deinen Usern vertraust oder sie entsprechend unwissend einstufst, kannst Du das ja erst mal so machen :) Getrennt ist auf jeden Fall besser und wird so von MS empfohlen. Mit Jetro hab ich noch nicht gearbeitet und hoffe mal auf Antworten von anderen Boardern hier :) Die Userzahl probierst Du am besten selber aus mit einem Test-Server. Aufsetzen, alles installieren, neustarten und im Taskmanager den aktuell belegten Speicher notieren. Als User anmelden und alle benötigten Anwendungen mit ein paar Beispieldokumenten etc starten. Hauptsache es passiert was mit dem User und Windows zieht sich ein wenig Speicher. Dann wieder Speicher lesen und die Differenz zum vorherigen Wert notieren. Den Basiswert + n * Userwert sollteste dann schon aufbringen können mit Deinem Server. evtl. +10-20% Reserve. Schönen Abend noch Andre

Wozu braucht man eigentlich NIS? In den meisten Fällen muss ichs wegen irgendwelchen ****en Fehlern immer deaktivieren, und bis ich mal rausgefunden hab, daß ein User dieses "Programm" installiert hat und das auch noch toll findet.... die Zeit kann man sich sparen :) Wieviele Vorteile zu wievielen Nachteilen kann man denn aufzählen :) Ist wahrscheinlich nur einfach zu bedienen.... Andre :)

Hi Mullfreak, nene clientseitig brauchste dann nur WinSCP2 bspw. (gibt auch kostenpflichtige Software, falls dein Chef darauf steht ;) ) Das braucht noch nicht mal n Setup.. Ausführen und glücklich sein! Andre

ACDSee, ist aber nicht kostenlos... denke mal, daß irfan view das auch kann, hab aber noch nicht damit gearbeitet! Mit ACDSee gehts auf jeden Fall! Gruß Andre

Hi! Zitat von Microsoft: und weiter... Das sollte hoffentlich alles klären. Es sind also keine Leistungs- und Funktionalitätseinbußen zu erwarten. Noch mehr Infos unter Knowledge-Base ID 326549: http://support.microsoft.com/default.aspx?scid=kb;de;326549 Frohe Ostern :) Andre aka Operator

Via SSH lassen sich auch Dateien übertragen, teste mal WINSCP2. Gruß Andre

Daß Daten auf dem Weg zum Server/Client nicht verändert werden können durch Manipulationssoftware. Hindert aber nicht am Lesen der Daten. Veränderte Daten haben ne falsche Checksumme und werden abgewiesen. Andre

Ja NAT-T ist mal ne tolle Erfindung :) Immer nur das alte PPTP einsetzen ist doof :) DNAT ist Destination NAT. Das normale NAT, das jeder kennst ist SNAT Source NAT. DNAT wird m normalen Sprachgebrauch auch Portforwarding genannt. Leitest den Port 80 bspw. deines Routers auf Port 80 deines WWW Servers um (kein Proxy, sondern nur weiterleiten). Dann braucht der Einwahl-Servern auch kein IP-Routing machen und dein Netz ist nochmal sicherer..... Nur Ideen.. umgesetzt hab ich das noch nicht :) Andre

Dann war's wohl wirklich was im Dateisystem.... :)

Hab ich das richtig verstanden, daß Du zuhause und in der Firma das gleiche IP-Subnetz verwendest (also z.B. 192.168.1.0 255.255.255.0)? Wie da das Routing ins Firmennetz klappen soll musst Du mir mal erklären :) Auf jeden Fall wirst Du NetBIOS und Arbeitsgruppen via Netzwerkumgebung nicht so leicht via DialUp realisieren können (oder siehst Du in der Netzwerkumgebung alle anderen Rechner in deiner Stadt?) Dazu müsste der Einwahlrouter alle NetBIOS Broadcasts an die Dialup-User weiterleiten, was im Normalfall wegen Bandbreite schon nicht gemacht wird. Mit ner Windows-Domäne hättest Du weniger Probleme, da dort alles über DNS gehandhabt wird. Gruß Andre aka Operator

Hi Marty, ja es liegt an der digitalen Signierung. Versuche mal an den DC's folgende Einstellungen: - Microsoft network server: Digitally sign communications (always) - Microsoft network client: Digitally sign communications (always) zu deaktivieren. Alle anderen Signieroptionen bitte nicht disablen. Teste mal ob danach wieder alles funktioniert! Sollte es damit immer noch nicht funktionieren, setze über die lokalen Sicherheitseinstellungen auf den Servern und Clients dieselben Optionen. Dies kann nötig sein, wenn die Gruppenrichtlinien immer noch nicht übernommen werden, weil aufgrund von widersprüchlichen Signierungsoptionen (REQUIRE auf Server und DENY auf Client z.B.) keine Kommunikation und damit kein Update der GPOs möglich ist. Andre aka Operator

Nur noch mal so ne Idee und schade, daß Du sie nicht mehr ausprobieren kannst. Hatte letztens einen Fall, wo ein User eine CD ins Hauptverzeichnis eines Laufwerks kopiert hat. Beim Zugriff kam dann auch immer eine Fehlermeldung. In diesem Fall lag's einfach daran, daß er die AUTORUN.INF mitkopiert hat, und diese immer noch das Setup Programm starten wollte, wie es auf der CD abgelegt war. Nur leider war das Setup an der Stelle nicht mehr verfügbar. Durch Löschen der Datei war der "Fehler" dann behoben. Gruß Andre aka Operator

Hi! Auf die schnelle konnte ich nix passendes finden. Es gibt einen Registry Key, der Long-Filenames auf FAT deaktiviert, vielleicht greift dieser ja auch bei NTFS. Kannst ja mal nachprüfen! System Key: [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem] Value Name: Win31FileSystem Quelle: http://www.winguides.com/registry/display.php/216/ Gruß Andre aka Operator

Hi, das geht zwar ein wenig weiter als Du es vielleicht willst, aber es gibt sogenannte "Verbindliche Profile". Wenn du die Datei ntuser.dat des betreffenden Benutzers in ntuser.man (mandatory = verbindlich) umbenennst, sind alle Einstellungen des Users nur für diese Anmeldung gültig und sind nach der Abmeldung wieder verloren. Die Datei kann nicht umbenannt werden, solange ein Benutzer angemeldet ist. Speicherort bei W2k/XP: C:\Dokumente und Einstellungen\%username%\ntuser.dat %username% muß durch den Benutzernamen ersetzt werden. Sollte die Datei nicht angezeigt werden, muss unter Extras / Ordneroptionen im Explorer das Anzeigen von Systemdateien eingeschaltet sein (bzw. das Ausblenden selbiger ausgeschaltet). Gruß Andre aka Operator

Hi mullfreak, also ich bevorzuge immer noch die VPN Methode und zwar mit folgenden groben Einstellungen: - Verschlüsselung IPSEC - Via IP Filter nur Zugang zu bestimmten Servern oder Netzsegmenten - Benutzer anlegen pro Firma (werden ja keine 100 Stück sein oder?) mit fester IP je Benutzer (wegen IP Filter) - Wenns sein muss DNAT durchführen für anzusprechende Server, so daß es für die User aussieht, daß alle Dienste, die sie benötigen auf dem VPN Gateway laufen Zugang zu FileServern via SMB würd ich denen dann auch nicht geben, aber in so einer Konstellation kannst Du dann immer noch WebDAV oder FTP nutzen, weil Du dann ja wieder sicher bist, was Abhörsicherheit angeht. Zuviel zu meinen ersten Ideen! Andre aka Operator