NorbertFe
-
Gesamte Inhalte
42.518 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von NorbertFe
-
-
ja, die Beschreibung kann sogar zur Lösung führen.
Sag ich doch: "Lösungsansatz" ;)
Bye
Norbert
-
Ich habe nur grad ein Teil der DNS Zonen (auszugsweise) gesehen, das reicht schon :(
Das fällt dann ja auch unter die Devise: ...denn sie wissen nicht, was sie tun. ;)
Bye
Norbert
-
Ist es nicht empfohlen keine Globalen Gruppen auf Lokalen Elementen anzuwenden sondern lieber dem Umweg über eine Lokale Gruppe zu machen bei der die Globale Gruppe Member ist?
Sagen wir mal so. Es verursacht eine Menge mehr Aufwand mit (aus meiner Sicht) fragwürdigen Vorteilen. ;)
Bye
Norbert
PS: Und bspw. bei Fileclustern geht es auch gar nicht mit lokalen Gruppen.
-
Ich lese mir mal die komplette Fehlerbeshreibung durch.
Doch schon. ;) Frechheit, dass die da soviel reinschreiben, nicht? ;)
Schöne Pfingsten schonmal
Norbert
-
das problem trat nach jahren auf,
bis dahin lief es problemlos.
Da der Server so von Dell ausgeliefert wurde,
schließe ich "Unverträglichkeit HDD und Controller" aus.
Genau deswegen bietet Dell ja auch keine Urgent Updates für RAID Controller und Festplatten auf seiner Webseite an. Weil das immer zu 100% funktioniert ;)
Bye
Norbert
-
Hallo zusammen,
ich würde gerne wissen, ob es eine Möglichkeit gibt, dass ich in irgeneinem Tool eine Gruppe angeben, und mir wird angezeigt wo diese Gruppe auf welcher Freigabe etc. sitzt.
Vielen Dank für die Information
KFN
Klar sowas steht in deiner Dokumentation. Solltest du keine haben, wird es Zeit eine anzulegen. ;)
Bye
Norbert
-
Haben leider keinen Dienstleister. Irgendwann hat hier jemand mal die server aufgesetzt, und nun läuft alles, keiner hat mehr was daran gemacht.
Schlecht.
leider habe ich gar keine Erfahrung mit der Planung. Die Lehrinhalte werden nur sehr kurz behandelt. Hab aber auch nichts gefunden, was mir bei der Planung helfen könnte.Welche Position hast du denn im Unternehmen?
Ich müßte also beide hochstufen und dann vertrauensstellungen bilden?[/Quote]
Du sagtest, du hast keine physische Verbindung zwischen den beiden Netzwerken ;) Willst du die Pakete ausdrucken und zum anderen Server tragen?
Oder geht das auch mit einer 2. Netzwerkarte im Server?Du hast keine physische Verbindung. Sollte das änderbar sein, dann kann man auch anders planen. Ich kann dir nur raten, zieh dir das Know How irgendwie an Land. Berater einkaufen lassen, Schulung besuchen usw. Jedenfalls kann man sowas nicht in einem Forum klären.
Bye
Norbert
-
aber auch hier ist es mal wieder so... "das ist mein lieber mitarbeiter, dem vertraue ich, bei dem ist bisher noch nie ein virus erkannt worden..." ...so oder so ähnlich wirds kommen :(
Und die haben immer die gleichen festen IPs? Dann spricht doch eigentlich noch viel weniger dafür es so zu belassen. Denn dann kann man eigentlich mit Site2Site VPN arbeiten.
#editwobei mir grad einfällt, dass das bei der nutzung eines vpn's nicht helfen würde...
VPNs sind aber authentifiziert. So wie es jetzt ist, kann sich jeder darauf klinken. OK, bei Site2Site VPN wäre ebenfalls Aufwand zu betreiben...
Aber ich schrieb ja schon: Sicherheit ist kein schalter, den man an oder aus schaltet. ;)
Bye
Norbert
-
gibts da vielleicht 3rd party tools mit denen ich eine verschlüsselung des ordners anlegen kann ?
Klar gibts die. Aber EFS ist halt schon dabei. ;)
ich glaub ich beschäftige mich mal genauer mit kryptografieMach das.
Bye
Norbert
PS: Wenn die GF der EDV Abteilung nicht traut, dann ist irgendwas verkehrt. :)
-
hallo zusammen,
ich habe folgendes problem:
wir sind eine gruppe von 5 administratoren in unserer ads
es geht um rechte auf einige ordner
hier wünscht die geschäftsführung das dort niemand zugriff hat, aber
auch absolut niemand
dies einzutragen und den gewünschten usern den zugriff zu geben ist einfach
aber wie kann ich verhindern das ein dom admin sich die rechte wieder aneignet
ich soll mich also quasi selbst aussperren :confused:
bin für hilfe dankbar
Vergiß es einfach. Das geht nicht. Einzige Aussnahme wäre eine Verschlüsselung dieser Daten ohne RecoveryAgent. Aber dann solltest du ihnen auch klar machen, was das im Zweifel bedeutet. Jedenfalls kannst du der GF sagen, dass ein Admin ist, weil er Admin ist. ;) Man kann einen Admin rechtetechnisch nicht beschneiden.
Abgesehen davon finde ich 5 Dom-Admins allerdings auch schon recht viel. Schonmal über Administrationskonzept nachgedacht?
Bye
Norbert
-
Servus,
danke für die Antwort!
Es ist ein weiterer DC!
Gruß
–
Der Dateireplikationsdienst hat ermittelt, dass sich der Replikatsatz "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" sich in JRNL_WRAP_ERROR befindet.
Das ist die Fehlermeldung!
Gruß
In der Fehlermeldung steht aber ne Menge mehr. Soweit ich mich erinnere sogar die Lösungsansätze.
Bye
Norbert
-
Sowas ist grob fahrlässig.
Was sagt der Kunde in so einem Fall? ;)
"Bisher gabs noch nie Probleme..."
Bin schon weg...
Bye
Norbert
-
die client-side-extensions (KB943729) werden als .msu zur verfügung gestellt.
mein GPME (Software Settings, Software installation) erlaubt nur .msi zu verteilen.
Cool ne? :D Tja Startupscript würd ich sagen.
(WSUS gibts bei uns nicht.)Warum nicht? Selbst alleine nur für die CSE wäre das jetzt die schnellste Lösung. :)
.msu hab ich heut überhaupt zum ersten mal gelesen :shock:Du hast noch nicht lange Vista, oder?
Bye
Norbert
-
Hallo Norbert
wenn Du DER Norbert aus den NG's bist bin ich ja froh dich hier auch anzutreffen ;)
Jupp der bin ich.
Also die DMZ wurde ursprünglich so benannt, weil die Firewall ihre Interfaces so bennent... Ich habe das ganze nun aber umbenannt in intern2... Bei intern1 und intern2 handelt es sich um zwei interne Netze, intern2 mit Windows Systemen, intern1 mit "feindlichen" Systemen ;) ...das zur Erklärung. Es ist nicht so, dass der Exchange in die DMZ gestellt wurde, seine Clients und DC's aber woanders stehen...
OK, wobei selbst das im Normalfall ja eher kontraproduktiv ist (in meinen Augen, aber naja, da lasse ich mit mir diskutieren). ;)
RPC over HTTPS ist eine Möglichkeit, auch die einzige, die mir einfällt, die gewöhnte Arbeitsweise nicht zu verändern. Big Problema: Wir machen zwar die Firewall, nicht aber die internen Systeme... aber drauf hinweisen kann ich ja...Also ich würde mir an deiner Stelle mal eine Liste anlegen, in der ich meine Bedenken an der gesamten Konfiguration (so wie sie dir jetzt bekannt ist und sich darstell) formuliert sind. Gleichzeitig mußt, du wie du ja sagst, ein paar argumente finden, die den Kunden davon überzeugen, dass Sicherheit sehr wohl etwas ist, was nicht per <Knopf an> einfach mal so herzustellen ist. RPC Veröffentlichungen ins Internet (auch wenns nur bestimmte Bereiche sind) sind immer kritisch. Hat denn immer noch nicht jeder mitbekommen was Blaster war? Nachteil dieser Lösung ist ja, dass das Arbeiten mit Outlook auch nur von vorher definierten Standorte möglich ist. Also schonmal nicht Active Sync, oder wirklich mobiles Outlook.
Hmm ein ISA wird wohl nicht drin sein ("wir haben ja schon eine Firewall") dann muss es der Exchange halt selbst managen.Welche Firewall steht denn dort jetzt im MOment? Ansonsten kann ein Exchange das halt auch alleine (je nach Größe des Unternehmens und Risikoabschätzung). Aber selbst wenn der Exchange das alleine handhabt, ist das in meinen Augen noch besser als RPC offen im Internet (teile davon). ;)
...und (oh graus!) die DNS Infrastruktur ist nicht nur "renovierungsbedürftig", die ist sanierungsbedürftig! Und dann noch Split-DNS...Naja split DNS hab ich auch. Wenn man weiß, was man tut, tut das gut.
Nur was soll man nun sagen auf die Frage, welche Sicherheitsbedenken man hat? Dass es kein anderes Unternehmen, welches Geld für Sicherheit ausgibt, so machen würde?:eek:Dass man mal den Datenschutzbeauftragten fragen sollte?
Soll ich nun ein Gesetzbuch zücken?
erstmal obige argumente (Mobility) besser handhabung mehr features. Das Gesetzbuch Verpflichtungen des Unternehmers usw. sollte man zumindest mal fallen lassen. ;) (Aber da kann man in Foren jetzt schlecht beraten)
Viel Erfolg jedenfalls. Allerdings kann aus so einer Ausgangssituation auch ein gutes Projekt werden. Man muß halt den Kunden erstmal von seiner seit Jahren vorgehärteten Meinung (Weltbild) abbringen und ihm auch klar machen, dass man natürlich damit sein Geld verdient. (Leider helfen Autovergleiche TÜV usw. ja eher selten). ;)
Bye
Norbert
-
Danke für die Antwort. Beide Win 2003S stehen an einem Standort, verwalten je ein Netz mit je einer AG , sind nicht miteinander gekoppelt. Die sollen auch getrennt bleiben.(da das mein Chef will , die GF darf ohne Proxy raus) Das eine Netz ist für die GF, das andere für MA. Die Mitarbeiter haben je nach Zugehörigkeit NLW verbunden. Ich würde gern die Netze getrennt lassen, aber sie über einen DC verwalten. [/Quote]
Denk doch mal logisch drüber nach. Wie willst du zwei physisch von einander unabhängige netzwerke mit einem DC verwalten? Du kannst bei dir in die Wohnung ja auch einen Schliessanlage einbauen lassen und erwartest nicht, dass der Generalschlüssel dann auch beim Nachbarn mit funktioniert, oder? Ich würde eher vorschlagen, den Chef mit einem richtigen Konzept zu überzeugen
Und ich bin allein mit der Planung :-( sind nur 150 Pcs auf dem einen, nochmal ca 20 auf dem anderen....Super. Wie ist denn dein Know How im Bereich Infrastrukturplanung? Denn das was hier im Moment steht, läßt mich vermuten, dass da nicht soviel vorhanden ist (nicht böse gemeint). In so einem Fall kannst du eigentlich nur mehr falsch als richtig machen. Wie siehts denn mit externem Dienstleiser aus? Ihr habt doch nicht 170 PCs ohne Dienstleister, oder? Brrr mich schüttelt der Gedanke an 170 Pcs in einer Arbeitsgruppe (ok sind zwei).
Bye
Norbert
-
Off-Topic:
Sorry, ich hatte das nicht gelesen, wollte dem auch nicht widersprechen. :)
Kein Problem ;) Hatte mich nur gewundert, wo jetzt da der Unterschied sein sollte...
Bye
Norbert
-
Hallo NG
Mir hats jetzt echt die Sprache verschlagen... Wir haben vor einiger Zeit ein Firewallsystem eines Neukunden übernommen... Folgendes muss man sich dabei vorstellen:
1. any zwischen allen Netzbereichen
2. 2/3 des Regelwerks bestand aus Testregeln die nicht mehr bereinigt wurden, die auch nur zum Teil funktionieren konnten
3. VPN Zugang wurde vom vorherigen Dienstleister als zu umständlich empfunden und daher entweder ausgeredet (???) oder absichtlich nicht zum Laufen gebracht (???)... man weiß es nicht
4. und nun die Härte: any Zugriff auf eine DMZ mit Exchange Servern von bestimmten öffentlichen IP Bereichen (VPN hat ja nicht funktioniert ;-) )
... jetzt haben wir die Firewall komplett neu aufgebaut, VPN implementiert und nun sagt der Kunde, dass die Arbeit früher mit Outlook wesentlich einfacher war... ist ja kein Wunder bei any...
Er fragt mich nun nach meinen Sicherheitsbedenken, wenn Exchange von öffentlichen IP Bereichen aus komplett zugänglich ist :suspect::suspect::suspect:
Ich bin platt.... da fragt man sich, warum VPN so kompliziert sein sollte? Wo denn bitte? Wir haben uns ja schon auf PPTP "geeinigt", statt L2TP / IPSec
Weiß jemand etwas Internet-Literatur, wo man Angriffsmöglichkeiten nachlesen kann, die z.B. auf den 4. Punkt abzielen? Für den Kunden "scheint" es sicher zu sein, weil ja nur bestimmte IP Bereiche zugreifen können. Den Aspekt des unverschlüsselten Datenverkehrs lässt er dabei gerne ausser Acht, ist ja bisher nichts passiert :suspect: Aber welche anderen Möglichkeiten gibt es, sowas auszunutzen?
Besten Dank
(...etwas platter) HemLock
:) Grins. Gut, ich dachte nur ich erlebe solche Stories ;) Allerdings ist das schon wirklich hart, was du erzählst. Wie wärs denn, wenn du dem Kunden RPC over https vorschlägst. Das erspart ihm die VPN Konfiguration und ist mehr oder weniger genauso einfach wie bisher.
Zum Thema Exchangeserver in DMZs sag ich jetzt lieber nichts, sonst kannst du deinen Kunden gleich mal darüber auch noch aufklären, dass diese DMZ eh für die Katz ist.
Bye
Norbert
-
Ja, was ich mit OU ´s und Usern anstelle weiß ich, jedoch für Computerkonten ? Ist das vom handling her gleich ?
Ja. Wo vermutest du denn Probleme? Schonmal überlegt, warum es eine OU Domain Controllers gibt, in de die DCs automatisch landen?
Bye
Norbert
-
Ich würde die Fremdsoftware auch nicht auf dem DC installieren, ich würde wohl auch nicht den Dienst installieren, ich würde für den Dienst eine GPO bauen zum Beeinflssen die Startverhaltens des Dienstes auf der WS. Mir erscheint das jedenfalls einfacher.
Lies doch nochmal mein Post von 09.05.2008 10:28. Daach liest du deine Aussage von oben nochmal und erklärst mir, wo genau du jetzt einen Widerspruch in meiner Empfehlung siehst ;)
Bye
Norbert
-
Hallo, bisher haben wir 2 Windows 2003 Server, mit Arbeitsgruppen eingerichtet.
An einem Standort?
Nun möchte ich einen hochstufen.Wieso nur einen?
Kann ich das 2. Netz, was bisher einzeln auf einem Server ist, mit in die AD aufnehemen?.Kannst du erklären, was genau du damit meinst? Es sind also zwei Standorte, die nicht mit einander gekoppelt sind? Auch nicht über VPN?
Die Netze sind auch pysisch getrennt.Weil es so ist, oder weil es nicht sein soll, oder weil ...?
Einige MA haben einen Proxy, den sie nutzen müssen, andere nicht.Aha.
Auch laufen im Moment mehre andere Server auf dem Windows 2003 Server (Lizensmanager, Anitvirus..). Ich habe gelesen, das die nicht auf dem DC laufen sollen. Geht das wirklich nicht?Kann man so pauschal nicht beantworten. Prinzipiell tendiere ich dazu, zu sagen ein DC ist ein DC und übernimmt möglichst keine anderen Dienste, ausser Infrastrukturdienste. Allerdings ist das nicht immer und überall machbar. Und für eine Empfehlung lieferst du eindeutig zu wenig Infos.
Danke für eure Hilfe. Bin frisch von der Schule und es fehlt mir an praktischer Erfahrung.Hmmm und dann sitzt du alleine an so einer Planung? Ist ja nur ein Computer, oder wie? ;)
Bye
Norbert
-
verstehe ich das richtig? : wenn ich auf den Vista-Clients das SP1 raufschiebe (was sowieso geplant ist in nächster zeit) funktionieren auch diese Preferences-GPOs?
Nein, du brauchst auch da die Preferences extra. Die sind nicht im SP1 integriert.
RSAT benötige ich nur zum administrieren dieser GPOs. (braucht man nicht wenn ma's über'n 2008er macht)
RSAT brauchst du auf einem Vista damit du auch ohne Windows 2008 die Einstellungen vornehmen kannst. Das SP1 für Vista brauchst du für RSAT. ;) Ist doch ganz einfach.
Bye
Norbert
-
Ich erwähnte das bereits in Post 5.
Wie füge ich denn Dienste von "Fremd" Software dazu?
Ich meine, die Fremdsoftware muss dann regulär auf der Quelle für die GPO installiert werden, auf dem DC also.
Bloß nicht ;) Oder installierst du auf deine DCs dann schnell mal alle Dienste nach, die du bearbeiten willst? :D Viel Spaß. Wie es besser geht steht in meinem anderen Post.
Bye
Norbert
-
Erstmal Danke für die schnelle Antwort,
unter der AD flutscht es, ohne Probleme.
Ich kopiere etwas in die Sysvol, gehe auf den 2ten Win2003Server, der auch in der Domäne ist, und kann das Skript dort nicht wiederfinden.
Wenn der zweite W2k3 Server kein DC ist, dann wäre das normal ;)
Keine Ahnung was ich überprüfen muss, bzw. wo ich nach dem Fehler suchen muss?
Prüfe ob der zweite auch ein DC ist. Wenn nein, dann hast du deinen Fehler gefunden. Falls er schon DC ist, dann schaut man dahin, wo man bei der Fehlersuche immer beginnt.
INS EVENTLOG ;)
Bye
Norbert
-
Vertue ich mich oder sind hier nur die XP / 2000 Standarddienste zu finden? Wie füge ich denn Dienste von "Fremd" Software dazu?
Es werden dir nur die Dienste angezeigt, die auch auf der Maschine verfügbar sind, von der aus du das GPO gerade bearbeitest. Das Einfachste wird wohl sein, dass du mal die GPMC auf einer der betroffenen XP Maschinen installierst und von dort aus das GPO editierst.
Bye
Norbert
Nach SP3 Probleme mit dem neuen RDP Client
in Windows Forum — Allgemein
Geschrieben
Sagen wir so, es in Windows 2008 entspricht die Admin bzw. "Console"session. nicht mehr Session 0. Damit kann kein User also auch der der vorm Server steht auf die Session 0 zugreifen. ;)
Jason Conger Blog » Blog Archive » Windows Server 2008 Parallel Session Creation
Bye
Norbert