ew_

Hi

Ich hab eein kleines Problem mit Mandatory Profiles und zwar legt meine NT4 Clients beim erzeugen eines neuen Profiles automatisch eine ntuser.man datei an, womit sie ja sofort schreibgeschützt ist. Dieses ist aber leider nicht erwünscht und ich weiß im moment nicht mehr wo ich anfangen soll nach dem fehler zu suchen.

Ein XP client im selben netzt, erzeugt den fehler übrigens nicht.

MFG

EW

Zum umbeaufsichtigeten Partitionieren gibt es 2 sehr gute tool.

fdisk.exe und xfdisk.exe

Ne genau anleitung wie man fdisk von der Kommandozeile ausführt gibts hier.

http://www.backmagic.de/support/techtalk/fdisk.htm

cu

ew_

SP4 hat teilweise heftig probleme mit Datenbankanbindungen.

Deshalb wird auch geraten. Wer mit DB anwendungen Arbeiten sollte besser auf SP4 verzichten.

cu

ew_

Kommt immer auf den ISP an, einige ISP haben auch intern ein Private Network und somit liegt auf dem Netzwerkadapter des Kunden nur adressen aus dem Privaten bereich und als GW wird auch eine IP aus dem Privaten Bereich angebgen. Somit ist der rechner des Kunden dann gar nicht über Remote tools zu erreichen.

cu

ew_

Schau mal ob die die Tools von ontracks

http://www.ontrack.com

Das powertool kann zumindest edb daten öffnen und gleichzeitig eine verbindung zum Exchange server aufbauen um dann daten rüber zu kopieren.

CU

EW

Wenn mich nicht alles täuscht ist im SP4 der sicherheitspatch nicht mit entahlten du mußt den sicherheitspacht KB 823980 aufspielen und anschließen sollest du nochmal nen Virenkiller drüber laufen lassen.

cu

Svchost dienste die für den normalen betrieb zuständig sind, dortdrutne rläuft alles wie Copy und Paste usw.

Alles völlig normal und wüßte auch nicht was die mit deinen Problem zu tun haben solten.

cu

Ich hab bisher 2 Lösungsmöglichkeiten für solche probleme gesehen.

Die erste steht oben, userrechte für vom programm benötigten Registry einträge. Um herauszufinden welche reg einträge das programm zugreift, gibt es tools, die das mitschreiben wenn das programm läuft. Such einfach mal danach.

Eine andere Methode ist so ähnlich wie ihr es macht, man erlaubt den usern alles und anschließend verbietet man die sahcen die sie nicht dürfen.

Methode 1 ist die sichere ist aber vom aufwand recht ehftig.

Methode 2 birgt das risiko das man nicht alles berücksichtig und evt noch rechte über bleiben die da nicth hin solllen.

dafür ist methode 2 aber Programm unabhängig.

cu

Das was du suchst wie necron schon schrieb sind Portsniffer.

Also das überwachen des Netzwerkvekehrs von anderen Rechnern.

Snort ist so ein Sniffer aber zu einfach mal unter den begriff "Sniffer"

Ich wußte auch noch gar nicht das es snort für XP gibt :-)

Allerdings müßen dann beide Rechner im selben netzwerk liegen.

cu

EW

Original geschrieben von edv-olaf

@ew

Also ich bleibe dabei: ein Webserver in der DMZ mit einer guten (selbstkonfigurierten) (IPTables-)Firewall lebt länger und besser. Bisher hat sich keiner unserer Kunden beschwert :)

 

Grüße

Olaf

Ich frag mich nur für was du die Firewall überhaupt aufbaust wenn du eh nen Offenes scheunentor selber wieder einbaust.

Eine gute firewall läßt keine Packete ins internet die nicht angefordert wurden. Deine läßt alle packete durch und wo endet das öffne bei dir? Was Kommt als nächste?

FTP DNS NNTP Mail server, alles hinter der Firewall und alle Forwarden. Dann wird das Netzwerk bald wie ein Schweitzer Käse sein.

Also mein Sicheherheitskonzept oben ist das Standard Sicheherheitskonzept mit einer DMZ, deins sichehereitskonzept kann man nichmal sicher nennen.

cu

Wie lange soll den deine Sicher Zone existieren wenn du den Webserver neben den geschützten rechner hast.

Ob du nun nen Portforward durch eine Firewall zu nem Webserver machst oder ihn vor der firewall betreibst und nur den den einzelnen dienst anbietest.

der einzige unterschied bei den beiden sachen ist, daß wenn deiner gehackt wird, der hacker vollen zugriff auf dein intranet hat und bei der anderen variante nur nen Webserver hat und nicht soviel schaden anrichten kann.

cu

ew

Original geschrieben von edv-olaf

VOR die Firewall? Dann aber wohl in die DMZ, oder wie meinst du das?

 

Grüße

Olaf

Wenn du einen Webserver von außen erreichbar machst und ihn in der DMZ hast ist es keine DMZ mehr.

Aufbau ist

Webserver -> Firewall -> DMZ

Oder für ganz paranoide

Firewall -> Webserver -> Firewall -> DMZ

nun zu deinem Heimnetzwerk.

Paranoid wäre ein aufbau

Router --> Server (Webserver)

............|-> Firewall -> Server (vpn) -> Switch

wobei dann immer noch das Risiko deine VPn wäre, aber die einaldung Webserver fällt zumindest wech.

cu

ew_

Daran solte es aber eignetlich nicht liegen.

2 DHCP server zu betreiben ist ohne probleme möglich.

Beiden anderen Adreßbereich zuteilen und es läuft, man hat somit ausfallsicherheit falls ein server ausfällt.

Bei den 2 DNS Servern würde ich mal ansetzen.

Bei allen client beide DNS server eintragen.

Die DNS Server müßen sich repliziezieren. Einer Primäre DNS der andere Secundärer DNS. Dann sollte das ganze eigenltich reibungsloß laufen.

CU

EW

Nachtrag: Es geht auch 2 DHCP Server mit der gleichen IP Range, da die antwort vom client eine Broadcast ist und somit auch der DHCP Server der nicht geliefert hat seine IP Liste korriegieren kann. (Ich weiß allerding nicht ob MS DHCP sowas schon mitmacht :-))

Portforwarding in den entmilitarisierten bereich ist immer eine sicherheitslücke. Zu Schnell tretten bei solchen diensten Sicherheitlücken auf und dann hat jemand zugriff auf das Private geschütze netzwerk.

Dieste für die öffentlichkeit wie Webserver,FTP server ect gehören vor die Firewall. Grade beiM IIS ist es eine einladung wenn er läuft, aber auch Apache Webserver stellen eine Sichherheitlücke da.

MFG

EW_

Hier mal nen ungetester Lösungsansatz, hat mir grade ein arbeitskollege genannt.

Wurde aber noch nicht ausprobiert, wegen ressourcen mangel.

Auf einen Rechner Server aufspielen, diesen zum PDC machen.

Den anderen Server runterstufen das verzeichnis löschen.

Den Server wieder ins netz hängen, zum PDC machchen und den anderen Server wieder rausnehmen.

Alles ohne gewähr.

CU

EW

Die rechte sind ganz einfach.

Ich bin besitzer des Ordners, habe volle rechte drauf.

cu

ew

Wie grizzly schon schrieb, solltest du vorsichtig sein mit diesem Ordner.

Ich hab im moment das gleich problem, ich wollte den sysvol ordner kopieren und die kopie wird automatsich replizeirt.

alles was ich mit der kopie machen passiert sofort mit der original.

Ich arbeite grade an dem Problem, wenn ich eine lösung finde poste ich das.

MFG

EW

Ich hab mich da wohl etwas zu undeutlich ausgedrückt.

Es ist klar das die mein Server die DNS die er nicht selber auflösen kann von den anderen DNS server bezieht. Und es ist auch klar das dieses Traffic verursacht.

Wo jetzt aber mein Problem ist, daß auch eine Kommunikation stattfindet wenn keine DNS auflösung irgendwo angefragt wird.

Und das ist unnötiger Traffic den ich gerne vermeiden würde. Vorallem da diese anfrage in einen intervall von ca 10s stattfindet.

Wie gesat ohne das irgendeine application eine DNS anfrage braucht oder gestellt hat.

cu

EW

Na meiner und die beiden vom ISP

MFG

EW

HI

Ich hab folgenden netzwerkaufbau.

W2k Server AD

-DNS Server mit weiterleitung

-Weiterleitun DNS die Server vom ISP eingetragen.

Das ganze funktioniert einwandfrei, was mich allerding etwas stört ist das die 3 DNS Server ständig miteinander kommunizieren.

Das sind zwar nur ein paar kb aber im laufen eines Tages/Monats summiert sich das. Und da hier mnach Volumen abgerechnet wird sind das natürlich unnötige Kosten die ich gerne senken würde.

Also hat jemand einen Tip wie man dem DNS server beibringen kann nur dann nachzufragen wenn es notwendig ist?

CU

EW