IcedEarthAngel

Hi Leute, habe eine Verständnisfrage zum Cfos Speed Treiber (Traffic Shaping). Mein ISA Server hängt mit einer NIC an einem Router, welcher die Verbindung zum ISP aufnimmt. Die andere NIC des ISA Servers geht zu einem Switch, an dem die Clients hängen. Auf welcher NIC sollte der Cfos Speed Treiber nun installiert werden. An der ersten NIC zum Router, oder an der NIC zum internen Netzwerk am Switch? Habe da so meine Verständnisprobleme. Wo würde er sinnvoll sein und wo nicht und warum? Kann mich mal einer aufklären? Wäre sehr hilfreich für mich. Gruss Iced

Für alle die es interessiert: Man muss den WebProxy HTTP Filter vom ISA abschalten. Dieser blockiert sich mit den Privoxy Settings und es kommt keine GET Abfrage zu stande, da der Privoxy die HTTP Anfragen des ISA nicht versteht.

Hmmm, Man kann Edgefirewall, 3-Abschnitt-Umkreisnetzwerk, Frontfirewall und Backfirewall konfigurieren. Muss ich vielleicht die Backfirewall nehmen? Nur so kann doch der ISA dann auf einen Parent Proxy zugreifen, ansonten meint er: Hey ich bin die einzige Proxy Instanz, ohne mich geht hier nichts". Liegts vielleicht daran?

Hallo Leute, ich bin langsam am verzweifeln... Sitze nun schon Stunden an meinem Problem. Szenario: Habe mir daheim einen ISA Server 2004 aufgestzt. Konfig wie folgt: Internet --> Router --> ISA Server 2004 (1. Nic) -----> ISA Server 2004 (2. Nic) --> Switch --> Clients Also am Router hängt der ISA Server 2004 mit NIC1 und die NIC2 vom ISA geht auf den Switch, an diesem hängen dann die Clients. Ich habe ihn dann mal installiert und es lief eigentlich auf anhieb reibungslos. Nur wollte ich jetzt VOR den ISA 2004 einen Privoxy Proxy hängen. Hintergrund davon: Privoxy kann AD Filtering etc. und soll als Parent Proxy fungieren, also als erster Proxy NOCH VOR dem ISA als Web Cache Proxy. Schön, also Privoxy installiert. Dieser hört auf der IP 10.7.2.10:8118 (NIC2 - Intern) auf anfragen von draussen. Im ISA Server habe ich dann unter "Networks" --> "Web Chaining" die Upstream Route 10.7.2.10:8118 eingetragen. Der ISA selbst wartet auf 8080 auf HTTP Verbindungen. Soweit so gut... Testweise ALLES in der Firewall erlaubt. In den Clients dann die IP 10.7.2.10:8080 eingestellt. Logischwerweise soll der ISA diese anfrage dann an den Privoxy weiterleiten, dieser filter den Contetn und schickt diesen an den ISA zurück und von dort aus wieder an die Clients. Vorteil: Durch das "vor sortieren" von werwertbaren Webdaten, muss der ISA nicht unnötigen Schrott cachen. Nungut, leider geht es nicht. Fehlermeldung im Browser: # Error code: 12206 # Background: The page you requested could not be reached. Dann hab ich mal mit dem ISA mitgeloggt: Bei Source Network: Local Host und Destination: External kommt es bei der GET Anfrage an den Webserver auf Port 80 über http zu einem "Failed Connection Attempt". (Client Username: anonymous) Im Privoxy Log steht folgendes: Jun 15 23:25:41 Privoxy(03388) Request: http://www.msisafaq.de/favicon.ico Jun 15 23:25:41 Privoxy(03344) Request: 217.160.87.122/favicon.ico Jun 15 23:26:06 Privoxy(03448) Request: http://www.chip.de/ Jun 15 23:26:06 Privoxy(03436) Request: 62.67.41.130/ Die Namensauflösung funkioniert, nur weiter passiert gar nichts. Kann mir einer helfen? Ich verzweifel noch.... :( :( :( Gruss Iced

Hab ich versucht. Das funktioniert nicht.

Guten Morgen ihr da draussen! :) Wir haben hier ein echt nerviges Problem und kommen der Sache einfach nicht bei. Unsere User Profile werden auf dem Server gespeichert. Die lokalen User Profile Ordner liegen typischerweise unter C:\Dokumente und Einstellungen\%user%\ Viele User haben allerdings ein Problem. Unter C:\Dokumente und Einstellungen\ sind x-Fach Ordner mit ihrem Namen angelegt. Also zb. User: Ulrich.User Pfad: C:\Dokumente und Einstellungen\Ulrich.User (so sollte es sein!) Flasch: C:\Dokumente und Einstellungen\Ulrich.User.001 Flasch: C:\Dokumente und Einstellungen\Ulrich.User.002 Flasch: C:\Dokumente und Einstellungen\Ulrich.User.003 Flasch: C:\Dokumente und Einstellungen\Ulrich.User.004 Es sind also weitere Ordner angelegt mit einer hochzählenden Ziffer am Ende. Der User hat hier zb. Zugriff auf den Ordner C:\Dokumente und Einstellungen\Ulrich.User.004 Die anderen Ordner sind völlig leer. Es kann dann durchaus vorkommen, dass auf einem Rechner 60-70 solcher Ordner angelegt wurden. Wir haben es jetzt schon mit UPH Clean versucht: http://www.microsoft.com/downloads/details.aspx?FamilyID=1b286e6d-8912-4e18-b570-42470e2f3582&displaylang=en Zusätzlich auf mit einer Heraufsetzung der Reg Werte: HangUpTime und WaitToKill Service. Es hat nichts gebracht. Jemand eine zündende Idee?

Hi Leute, mein ISA Server läuft soweit ganz gut, nur bekomme ich häufig folgende Meldung: ISA Server detected an all port scan attack from Internet Protocol (IP) address x.x.x.x. Mir ist klar, das ich keinen von einem Port Scan hindern kann, aber gibt es im ISA Server die Möglichkeit die IP Adresse für zb. 3 Stunden auf eine Blacklist zu setzen? Ansonsten muss ich mir wohl keine Sorgen machen, der Win2k3 Server ist gepatcht, hat alle unnötigen Dienste abgeschaltet und hat den ISA installiert. Davor kommt sogar noch ein Router von Draytek. Ist zwar teilweise doppelte Config (wegen NAT), aber läuft soweit ganz gut.

Hi, also ich hab es denk ich verstanden. Wenn ich jetzt mehr Sicherheit erreichen möchte, müsste ich mir einen zusätzlichen Switch anschaffen, um meine beiden Subnetze nicht nur logisch, sondern auch physikalisch voneinander zu trennen. Den eMule Cient Server würde ich dann in die DMZ setzen, gemeinsam mit dem ISA und dem Router. Empfehlungen für einen Switch? :D Ich würde das gerne machen. Ein 4-5 Port Switch sollte aussreichen.

Hi Andre! :) Noch zum Verständnis. Wenn ich den ISA jetzt aber in eine DMZ setzte, dann ist er nicht mehr durch den Router geschützt, ist das soweit richtig? Er wäre dann auch direkt aus dem Internet erreichbar, wie eben der Router auch. Simulieren wir mal einen Angriff, bei der derzeitigen Situation. Der Angreifer müsste erstmal den Router hacken. Danach ist er praktisch auf dem ISA Server und muss diesen erstmal überwinden. Auf meine Clients hätte er durch das andere Subnetz erstmal keinen Zugriff. Stelle ich den ISA Server in die DMZ, dann ist er (wie ich momentan noch denke) von aussen erreichbar. Der Angreifer müsste dann entweder den Router ODER der ISA Server hacken und hätte nicht mehr beide Barrieren vor sich. Ich weiss nicht ob ich mit dem Gedankengang richtig liege, da ich bisher damit noch nicht gearbeitet habe. ------ Das oben erstmal zur Erklärung. Ich habe dann mal kurz spasseshalber den ISA Server in die DMZ des Vigors gesetzt. Prompt ging das Internet erstmal nicht mehr. Da muss ich wohl noch was umkonfigurieren. Und nochwas, erstmal möchte ich eigentlich alles an einem Router (also den Vigor) lassen und keinen zusätzlichen Switch dazukaufen. ------- Ach und nochwas: Vielen Dank für deine Bemühungen, mich bei meinen Fragen zu unterstützen! :) :) :)

So der ISA Server 2004 läuft. Caching ist auch schon aktiviert. Feine Sache! :) Von der Konstellation her, habe ich alles wie folgt angeschlossen: ISA Server mit zwei Netzwerkkarten beide am Router angestöpselt. Der ISA Server befindet sich HINTER dem Router. Der Router ist also erste Instanz, dann kommt der ISA Server. Nun hätte ich aber wieder ein paar Fragen.... Wenn ich direkt auf dem ISA Server einen eMule Client laufen lassen, verschlechtert dies die Sicherheit, wenn ja warum? Und wie würde es ausschauen wenn der eMule Client nicht direkt auf dem ISA Server läuft, sondern auf den Clients? Wie sieht es dann mit der Sicherheit aus? Nur zum Verständnis! Und dann noch eine Frage zum ISA Server. Wie kann ich dort eigentlich Web Content Filter einstellen, also Banner/Werbe Blocker? Habe noch ein paar gute Seiten zum Thema gefunden: http://www.msisafaq.de http://www.isaserver.org/ Gruss Iced

Hi, ich route jetzt erstmal zwischen den beiden Netzen. Das funktioniert soweit wunderbar. (Config wie am ThreadStart) Mit dem ISA Server werde ich mal morgen in Angriff nehmen. Allerdings brennt mir noch eine Frage auf der Zunge, zu der ich keine Antwort gefunden habe. Gibt es für den Squid Proxy für Windows die Möglichkeit Werbung und Banner rauszufiltern? Dies geht unter Linux mit SquidGuard, welche es aber leider nicht für Win gibt. Ideen?

Danke für die Antwort! :) Also ich hab grad geschaut, der ISA Server 2004 wird auch zum Download angeboten. Da liegt der Einsatz wohl nahe... Jetzt aber bitte nochmal im Detail... Wenn ich das richtig verstanden habe, dann muss ich das so aufziehen: DSL Modem Verbindung mit: Netzwerkkarte Internet Router Verbindung mit: Netzwerkkarte LAN Der Server macht dann komplett NAT und leitet Anfragen aus dem Internet etc. an den Router weiter. Mit dem ISA Server habe ich dann auch eine Firewall, NAT etc. VOR dem Router. Der Server ist praktisch die erste Instanz. Nur wie sicher ist das wirklich, wenn ich zum Beispiel auch meine Files auf den Server ablege, dieser sitzt dann direkt hinter dem DSL Modem... Ahh richtig, die eine Netzwerkkarte ist ja komplett im anderen Subnetz, also sollte dies keine Probleme machen. Also wie gehe ich nun im Detail vor? Brauche da doch etwas Hilfestellung. Was kommt zuerst? Danke schonmal. Iced

Also eines Vorweg. Es handelt sich um eine legale Win2k3 Standard Version. Ich mach gerade eine Ausbildung zum Fachinformatiker und von der Schule aus, haben wir Zugriff auf folgendes: MSDN Academy von Microsoft. Dort gibt es fast die komplette Palette zum Download + Keys. ------------------------------------------------------------------------------------------ Jetzt wieder zum Thema. Mit dem zusätzlichen Netzwerk möchte ich die Clients einfach komplett vom Internet bzw. vom Router fernhalten und den kompletten Verkeher über den Server laufen lassen. Dort möchte ich später dann noch nen Virenscanner zwischenschalten. Die Lösung von Operator scheint mir also logisch. Nur die Frage: Bringt mir das mehr Sicherheit oder nicht? Und welche "Spielerreien" könnt ihr mir sonst noch für meine Server empfehlen? Netzwerkmonitor etc. Danke! Iced

Hallo Leute, ich möchte ein kleines Heimnetz aufbauen, habe aber noch ein paa Probleme bzw. bräuchte Tipps es vielleicht besser zu gestalten. Ich habe DSL + einen Draytek Vigor 2200E Router. An Hardware habe ich einen Server (Win2k3) mit zwei Netzwerkkarten und mehrere Clients (WinXP). Server + Clients sind alle am Router angeschlossen. Momentan habe ich es folgendermassen konfiguriert: Server: 1. Netzwerkkarte Internet IP: 192.168.1.10 255.255.255.0 Gateway / DNS: 192.168.1.1 (mein Router) 2. Netzwerkkarte LAN IP: 192.168.2.10 255.255.255.0 Gateway / DNS: Nichts Auf dem Server läuft der der Squid Proxy 2.5 STABLE. Alles ohne Probleme. Meine Clients hängen auch am Router und haben folgende IP's: 192.168.2.1 ... 5 255.255.255.0 Gateway / DNS: Nichts Sie sehen also nur die LAN Netzwerkkarte mit deren Freigaben. Den Router und die andere Netzwerkkarte sehen sie nicht. Soweit ist alles klar. Als Proxy für die Clients zum surfen verwende ich dann die 192.168.2.10, also die LAN IP. Funktioniert auch tadellos. Nur wie in Gottes Namen bring ich es jetzt zu Stande, dass meine Clients auch "Gamen" können, oder ICQ nutzen können. Aufgrund des anderen Subnetzes in dem sie sich befinden, sehen sie den Router nicht. Folglich ist auch nichts mit ICQen oder sonstwas. Internet surfen und der LAN Betrieb funktionert mit der Config tadellos. Wie muss ich jetzt routen, bzw. wo kann ich das realisieren? Bringen mir diese zwei getrennten Subnezte überhaupt was? Klärt mich mal bitte auf! Für Verbesserungsvorschläge bin ich immer zu haben, möchte schliesslich noch viel dazulernen. MfG Iced

Dank dir! Werde es mal versuchen.