grizzly999

Hallo langerLulatsch und willkommen im bOard :) Gehört nicht zum Problem, aber warum so komplex? eine zweistufige CA tut's in den allermeisten Fällen. Das geht nicht. Wenn du ein Webfrontend benutzt, dann muss dieses Mitglied des Forest sein, weil die INfos über CAs und CertTemplates aus dem AD gesaugt werden. Abrufen von CRL über eine beliebeige (erreichbare) File-URL geht, aber veröffentlichen kann die CA nur auf dem lokalen Filesystem. So weit ich das weiß. grizzly999

Kontorichtlinien für AD Objekte funktionieren nur auf der Domain Ebene, daher wäre dieser Versuch sinnlos. Sehr gute Idee, das :) Nur muss man dazu vorher die ALTools von Microsoft entsprechend installiert haben, was ich aber empfehle, und für diesen besonderen Fall sowieso. Da bekommst du doch wesentlich nähere Infos ;) Und: ich gebe Johannes recht, sehr stimmig sind die Kenwortrichtlinien in dem Fall nicht .... grizzly999

Nein, sondernso, wie es in der GPO steht. Im Moment ist es glaube ich bei allen betroffenen GPOs so, dass die Einstellungen unter Computer im Konfliktfall Vorrang vor den Benutzereinstellungen haben. Aber das morgen imt einer neuen Richtlinie schon wieder anderes geregelt werden. grizzly999

Schau mal in den System32-Ordner auf deinem 2003 Server. Oder auf die Server CD ins I386 ;) grizzly999

Hast du schon mal die Boardsuche benutzt :suspect: grizzly999

Welche Fehlermeldung sind exakt im Log? Was sagt ein repadmin /showreps? Was sagt ein dcdiag /v ? grizzly999

Gar nicht. Ein Domänen-Admin ist nunmal Domänen-Admin. Der korrekte Weg ist ein anderer: gib dem Benutzer nur diejenigen Rechte, die er benötigt. Nur um einen Dienst zu starten, muss man kein Domänen-Admin sein, da muss man genau genommen nicht mal lokaler Admin sein. grizzly999

Also zunächst: Eine interne Domäne muss gar nicht die Endung xy. haben. Das einzige, was ist, sie sollte eine gepunktete Domain sein, also ind er Form xyz.abc, sonst gibt es Namensauflösungsprobleme. Es gibt zwar zwischenzeitlich einen KB-Artikel, wie man das richten könnte, aber besser ist es so. Bei der Benennung der internen Domain hat man 3 Möglichkeiten: 1.) interner Name wie externer Name 2.) interner Name = Subdomain von externem Namen 3.) interner Name ist eine 2nd level domain mit nicht offiziell exisierendem TopLevel Name, also z.B. .local, .lan, .intern oder wie auch immer. Empfohlen ist eigentlich die 3. Option, denn dann können interne Resourcen sauber von externen getrennt werden und ein potentieller Zugriff von außen über den Namen ist auch nicht möglich. Es gehen aber auch die anderen Möglichkeiten, bei uns heißt die interne Domain wie die externe. Das kann aber manchmal ein kleine Erschwernis darstellen, z.B. in manchen Namensauflösungsfällen oder wenn man dem Browser sagt, er solle für interne Namen den Proxy umgehen. Aber wenn man nun auf die externen Homepage zugreifen will :rolleyes: Ich rate zur Option 3, aber nochmals betonend es ist hier kein MUSS! grizzly999

KiloBit. Üblicherweise werden Leitungsgeschwindigkeiten rund um den Erdball in dieser Maßeinheit angegeben, auch bei Microsoft für den Schwellenwert für langsame Verbindungen. grizzly999

JA :D ;) grizzly999

Weil es manche Einstellungen geben kann, die auf Computerebene für alle User geltend gesetzt werden können, die man aber beim User auch setzen kann. Schau dir mal die Administrativen Vorlagen durch, als MCSE +Security findest du bestimmt welche davon ;) @marzli: bei den Administritaiven Vorlagen (und da dürften beinahe alle solche "Konfliktkanditaten" darunter sein), steht es immer in der Erklärung. grizzly999

Da wird einfach eine WHOIS-Abfrage auf den Registrar der IP gemacht. Kannst du selber auch machen. Ermittle deine externe IP und gebe die hier ein: Query the RIPE Database grizzly999

Ich nehme eine Virtual Machine Windows 2000 Server mit 128MB RAM und verpasse dem mehrere virtuelle Netzwerkkarten. Dann Routing uns RAS als "Lan-Routing" eingerichtet. Fertig ;) grizzly999

Aber was die Umfrage soll entzieht sich meinem Vorstellungsvermögen? :rolleyes: Die wurde diese von mir mit Verweis auf die Boardregeln geschlossen. grizzly999

Nach RFC 950 ;) hast du kein Subnetz zur Verfügung. Wenn ich z.B. im 3. Oktett Subnetting mache und nur das erste Bit zur Netz-ID hinzunehme, dann habe ich nur ein einziges Subnet-Bit. Das kann - ja wer hätte es gedacht - auf 0 oder 1 stehen. Also hat man hier zwei möliche Subnetze, von 0-127 und 128-255. Die SubnetMask wäre 255.255.1280.0 Da man nach RFC 950 diejenigen Subnetze nicht verwenden darf, bei denen alle SubnetBits (also hier im Beispiel das eine einzige dazu verwendete, das 25. Bit) entweder auf 0 stehen oder alle auf 1 stehen, fallen beide rechnerisch möglichen Subnetze für die Verwendung heraus. Ich kann nach RFC 950 in diesem Fall keines der beiden Netze nehmen. grizzly999

Andre hat recht, es ist .240 In der Prüfung wir immer nach RFC 950 gerechnet, danach müssen zwei Netze von den berechneten maximalen Kombinationsmöglichkeiten abgezogen werden. Bei 3 Bist wären das also 2^3=8 minus 2 macht 6 verwendbare Netze, daher sind 3 bits zu wenig ;) Warum nach RFC 950 gerechnet wird? K.A. :confused: :( Denn technisch ist das schon seit vielen jahren überholt und Mumpitz. Nicht der Pflaum gilt, sondern das RFC950 ;) Das 25. Bit? Na, 1 oder 0 Das Verständnis mit den 2 SN ist richtig, aber ich verstehe die Frage nicht. Wie das 25. Bit steht, das legst du doch fest, indem du eine entsprechende Netzadresse vergibst :suspect: Wenn du eine netz-ID von 0-127 wählst, steht dieses bit auf 0, wenn du eine Netz-ID von 128-255 wählst. dann steht dieses Bit auf 1. Und nach RFC 950 dürftest du dann keines der beiden Netze verwenden ...... grizzly999

Sind auf der Partition irgendwelche Quotas gesetzt? Dananch sieht es nämlich aus. grizzly999

Hatte er doch oben geschrieben:

Heartbeats, NLB, Cluster? Von was sprechen wir denn jetzt? Von NLB oder von einem "echten" Server Cluster? Das sind zwei paar Stiefel und auch die Hardwarevoraussetzungen(-Empfehlungen) sind andere. Was genau hast du vor zu erreichen? grizzly999

Sit mir jetzt aus der Ferne mangels Infos unklar. Aber Spoofing Pcket dropped deutet auf einen Konfigurationsfehler bzgl. Netzwerkkonfig hin (wenn es auch genau diese OWA-Verbindungsversuche betrifft). grizzly999

Achja, wie gesagt, ich kenne mich mit PIX und Co. nicht so dolle aus, aber ich habe gerade trotzdem auf Anhieb das hier gefunden: Configuring an IPSec Tunnel through a Firewall with NAT - Cisco Systems Permitting PPTP Connections Through the PIX/ASA - Cisco Systems :p grizzly999

Ob das Unsinn ist oder nicht (eher nicht), muss immer im Zusammenhang des ganzen erörtert werden. Sagen wir mal so: es ist keine unübliche Konfiguration. ROFL :D :D Ich verstehe nichts von PIXen und ASAs, aber das eine weiß ich. Das kann jede Billig-Pix. Das haben wir schon vor Jahren mit Uralt IOS von PIX und CO. gemacht. Anm.: Das kann sogar so gut wie jeder 34,95,- DSL Router aus dem saugeilen Markt mit den schwarzen Buchstaben auf rotem Grund :cry: Also such's dir aus, schmeiß die Pix weg und kaufe dir im M.....M....t einen Billigheimer, oder schmeiß den Dienstleister weg. grizzly999

Am liebsten verwende ich für unsere >40 Server das Freewaretool Royal TS. Das finde ich einfach genial: code4ward grizzly999

[quote name='Herbert LeitnerMir scheint nur der Aufwand etwas groß, mit jemden Packet (Layser3) zwei Byte zu verschwenden. Da ist nichts verschwendet. Die Fenstergöße ist ein Parameter, der zur Flußsteuerung auf dieser Ebene verwendet wird. Forsche mal nach "Sliding Window" in Verbindung mit TPC/IP. Außerdem kann die Fenstergröße manchmal von Applikationen verwendet werden, um Pufferüberläufe und damit verlorene Daten zu vermeiden (Bsp. Telnet). Wie meinst du das, da steht nicht drin , wo es hin soll :suspect: Natürlich steht das drin, dafür gibt es das Feld DST(-Port). Das geht den Layer 3 überhaupt nichts an. Der muss seine Aufgabe erfüllen, und bezogen auf Layer 4 ist das maxinmal nioch zu wissen, ob er es an TCP oder UDP hochgeben muss. Was dort passiert sieht IP nicht, und muss es auch nicht sehen/wissen. Das ist genau der "Trick" bei einem Schichtenmodell. grizzly999

Ich höre auch immer was vom Cousin von meines Opas Bruders Onkels Großtante. :rolleyes: Ich weiß nicht, wo du das gehört hast, aber das ist falsch. grizzly999