Pylon

Hallo Community, ich habe bei mir folgende Konstellation: Unsere User nutzen einen ISA Server 2006 Standard als Webproxy, um im Internet zu surfen. Der Server steht in unserer DMZ (da er hier auch andere Aufgaben wahrnehmen muss) und ist somit kein Domänenmitglied in unserem internen LAN. Beim Zugriff auf das Web müssen sich die User anhand ihres Domänenaccounts authentifzieren. Damit der ISA-Server den Zugriff aus der DMZ gewähren kann, habe ich in unserem internen LAN einen NPS-Server als RADIUS-Server aufgesetzt, der die Anfragen des ISA Servers aus der DMZ annimmt und für ihn prüft. Der ganze Ablauf funktioniert. Allerdings erlaubt der ISA Server als Webproxyclient nur die Verwendung von PAP, um mit dem sich authentifizierenden Host zu kommunizieren. Da hier die Anmeldeinformationen im Klartext übermittelt werden, empfinde ich diese Lösung jedoch als nicht befriedigend. Welche Möglichkeiten bestehen, den Ablauf sicherer zu gestalten? Ist das mit dem ISA Server in der DMZ überhaupt vernünftig lösbar oder sollte besser ein zweiter ISA im internen LAN aufgesetzt werden, der dann auch Domänenmitglied ist und direkt mit dem DC über Kerberos kommunizieren kann. Bin gespannt auf eure Antworten :wink2: Gruß Pylon

Hallo zusammen, ich habe einmal gehört, dass es für Computer- und Benutzerobjekte im AD sinnvoller ist, bzw. empfohlen wird, diese zu deaktivieren, anstellen sie zu löschen. Mal abgesehen von der Tatsache, dass dies Sinn macht, wenn die Möglichkeit besteht, dass ein Exmitarbeiter in absehbarer Zeit wieder dem Unternehmen zugehörig ist, gibt es noch andere sicherheitsrelevante Gründe so zu verfahren? Gruß Pylon

Vielen Dank für Eure Antworten. Ich glaube auch nicht, dass es an einen Microsoft Update liegt, dass das Herunterfahren länger dauert. Ich hatte SP3 installiert, um das Problem evtl. damit beheben zu können, da der PC noch auf SP2 lief. Leider ohne Erfolg. Pagefiles löschen wir bei uns auch nicht. Interessanterweise tritt diese Dilatation auch nicht immer auf, sondern ist nur sporadisch nachvollziehbar. Aus zeitlichen Mangel nach der Ursache zu forschen, werde ich wohl den PC re- oder neuinstallieren.

Hallo miteinander, mich beschäftigt zur Zeit eine Frage zum Thema MS Office Sicherheitsupdates in Verbindung mit mehreren Office Versionen auf einen PC. Konkrekt: Installiert sind Office 2007 komplett. Office 2003 Access in einem separaten Installordner. Beide Versionen sollen über WSUS up to date gehalten werden (die Konstellation mehrere Officeversionen in beschriebener Form wird auf eine ganze Reihe an PCs umgesetzt). Kann es hier unter Umständen zu Problemen kommen, wenn ein Update für Office 2007 oder 2003 eingespielt wird (z.B. wenn es Dateien im Ordner "Gemeinsame Dateien" betrifft) oder bleibt die Trennung beider Versionen auch bei den Updates erhalten? Hat hier jemand selber schon Erfahrungen sammeln können?

Hallo miteinander, ich würde gerne mein bestehendes OS reinstallieren. Soll heißen: über die bestehende Installation noch einmal das Win XP Setup ausführen (ohne das also persönliche Daten verloren gehen). Meine Frage hierzu: Wie verhält sich Windows, wenn auf dem derzeitigen OS bereits XP SP3 installiert ist, das Setup, das ich ausführen möchte, jedoch nur SP2 inkludiert hat? Kann dies überhaupt funktionieren oder wird mir der PC nachher aufgrund von Systemdateimisständen wahrscheinlich gar nicht mehr hochfahren? Hintergrund ist der, dass Windows interessanter weise beim Klick auf "Herunterfahren" sich für mehrere Minuten aufhängt. Erst dann erscheint die Abmelden-Dialogbox. Das Herunterfahren selbst dauert dann auch noch einmal ewig. Mal- und Spyware kann ich ausschließen. Ich habe eben auch SP3 installiert, in der Hoffnung, dass es etwas bringen würde. BEvor ich den PC nun komplett neu aufsetze, würde ich gerne obige Lösung noch versuchen. Oder hat jemand vielleicht sogar ein ähnliches Problem und weiß woran der extrem verzögerte Shutdown liegen könnte? Danke für Eure Antworten. Gruß Pylon

Hallo zusammen, weiß jemand von euch, ob es eine Vista-Eigenart ist, dass man nicht mehr über die administrative Netzwerkfreigabe (sogar als Domänenadmin) auf einem Vista-Client auf den Benutzerordner eines Users zugreifen kann? Ich scheitere beispielsweise beim Zugriff auf dessen Startmenu mit der Meldung "Zugriff verweigert". Schöne Grüße Pylon

Hallo zusammen, mich würde interessieren, wie eure aktuellen Erfahrungen zum letzten Service Pack sind, das für Windows XP erschienen ist. Gerade zum Zeitpunkt der Veröffentlichung, gab es ein paar Mängel, die zu Problemen geführt haben - teilweise sogar schon bei der Installation des Updates. Wer von euch setzt es inzwischen selber ein, bzw. verteilt es bereits erfolgreich an eine größere Userzahl? Schöne Grüße Pylon

Hallo Wolke2k4, vielen Dank für deine Antwort. Ich denke, jetzt ist mir die Sache wieder etwas klarer. Mal sehen, ob ich den Rest auch noch auf die Reihe bekomme: Also, um den Lizenzserver zu aktivieren, benötige ich keinerlei Key. Damit ich aber auch einen Nutzen aus dem Server ziehen kann, sollte ich noch TS-CALs einspielen. Diese erhalte ich als Lizenz mit einem entsprechenden Key zugewiesen. Die Frage, die sich mir nun stellt ist, wie wird die eindeutige Zuordnung der TS-CALs zum Lizenzserver sichergestellt? Soweit ich weiß, bekommen diese bei Ihrer Aktivierung die zu diesem Zeitpunkt aktuelle Lizenzserveridentifikationsnummer zugewiesen. Doch wie erfährt Microsoft davon? Der Lizenzserver bedarf ja keiner Verbindung zum Internet, so dass ein Datenbankabgleich wohl nicht vorgenommen wird. Vertraut Microsoft auch bei Terminalserverlizenzen auf die Ehrlichkeit der Kunden und macht in regelmäßigen Abständen Stichproben? Oder gibt es ein technisches Hindernis, dass es mir unmöglich macht, dieselben TS-CALs auch noch einmal auf einen völlig anderen Lizenzserver zu aktivieren? Beste Grüße Pylon

Hallo zusammen, ich habe mal wieder eine Frage zur Terminalserverlizensierung. Und zwar interessiert mich, wie der Vorgang der Terminalserverlizensierung genau abläuft. Aktivierung des Lizenzservers über einen vom Distributor zugesendeten Key und anschließend die Aktivierung der CALs über einen zweiten vom Distributor zugesendeten Key? Wie erfolgt die Zuordnung zum Lizenzserver?

Vielen Dank für eure zahlreichen Antworten. Ich denke, mir ist die Sache jetzt wesentlich klarer :cool:

Vielen Dank für deine rasante Antwort :) Mal sehen, ob ich das System jetzt soweit verstanden habe: Der Server selbst kann via Pro-Server-Lizenz eingerichtet werden. Angenommen, er wird für 5 Teilnehmer auf diese Weise lizensiert, dann dürfen auf ihm 5 Clients zur gleichen Zeit eine Terminalsitzung geöffnet haben. Die Clients selbst bedürfen jedoch ebenfalls einer Lizensierung. Diese erfolgt als Device- oder User-CAL. Der Client erhält dadurch das Recht, sich auf allen Terminalservern im Unternehmen zu verbinden. Hier ergibt sich für mich nun doch noch einmal eine Frage: Die Lizenzen der Clients trage ich unter der "Terminalserverlizensierung" in der "Verwaltung" auf dem Terminalserver selbst ein. Wie wird nun einem zweiten im Unternehmen befindlichen Terminalserver klar, dass anfragende Clients bereits eine gültige Lizenz haben? Müssen dieselben Lizenzen auf diesem ebenfalls noch einmal hinterlegt werden? Mir ist das Ablaufprozedere an dieser Stelle noch nicht ganz klar. Ich hoffe, ich konnte meine Frage verständlich rüberbringen?! LG Pylon

Hallo zusammen, wenn ich mich recht entsinne, gibt es doch bei der Installation eines Windows Domänen Controllers die Möglichkeit auszuwählen, ob man eine Pro-Server-Lizenz oder eine Pro-Arbeitsplatz-Lizenz möchte. Meine Frage an euch lautet nun: Gibt es nicht etwas Vergleichbares wie eine Pro-Server-Lizenz auch für die Betreibung eines Terminalservers? Oder muss ich wirklich eine fest definierte Anzahl an Device- bzw. User-CALs kaufen? Kann man bereits im Einsatz befindliche CALs auf einen anderen Terminalserver nachträglich übertragen? Es handelt sich um einen Windows 2003 Server. Und noch eine Frage am Rande: Haben die in Windows 2003 Terminalserver bereits integrierten temporären Lizenzen eine Begrenzung bzgl. ihrer Anzahl? Vielen Dank für euren Rat LG Pylon

Hallo zusammen, ich sitze gerade vor einem Catalyst 2924M-XL. Gibt es irgendeine Möglichkeit die konfigurierten VTY-Verbindungen zu löschen? Die Running-Config stellt sich an dieser Stelle wie folg dar: ************************* line con 0 transport input none stopbits 1 line vty 0 1 password 7 011D0310095B565C no login full-help line vty 2 4 password 7 011D0310095B565C no login line vty 5 9 password 7 011D0310095B565C login ! ************************* normalerweise würde ich ja folgendermaßen vorgehen: no line vty 0 9 Hier erhalte ich als Antwort jedoch nur, dass die letzten 10 VTY-Verbindungen nicht gelöscht werden können. Gruß Thomas Gruß Pylon

Hallo zusammen, in betreue ein Netzwerk, in dem sich mit aller Regelmäßigkeit ein für mich nicht nachvollziehbarer Fehler ereignet. Zur Ausgangssituation: Das Netzwerk ist in mehrer VLANs untergliedert. In einem davon ist der IP-Adressbereich 10.5.X.X/16 zugelassen. Immer dann, wenn ich in diesem VLAN an einem Rechner mit bestehender Netzwerkverbindung eine statische IP mit 10.105.X.X vergeben möchte (oder auch 10.11.X.X oder 10.90.X.X usw. - willkürliche Klasse-B-Netze mit der 10 als erstes Oktett) taucht unmittelbar eine Fehlermeldung mit Hinweis auf einen IP-Adressenkonflikt auf. Der Adressbereich 10.105.X.X wird derzeit jedoch im gesamten Netzwerk noch nicht genutzt. Auch bekannte DHCP-Server beherbergen keine Scopes in diese Richtung. Mein naheliegenster Verdacht war es, dass ein fremder unbekannter DHCP-Server im entsprechenden VLAN arbeitet (übrigens tritt das Phänomen nur in diesem einen VLAN auf). Doch Tests haben gezeigt, dass ich unter Ausschluss der bekannten DHCP-Server keine IP zugewiesen bekomme. Also vermutete ich, dass die IPs möglicherweise nur an bestimmte MAC-Adressen vergeben werden (sprich: Manual DHCP). Doch jede IP-Adresse - wirklich jede - aus dem 10.105er-Bereich führt unweigerlich zu einem Konflikt. Ich kann mir nicht vorstellen, dass ein gesamtes Klasse B Netz unentdeckt in Funktion ist. Zumal diverse Netzwerkscanns aufzeigen, dass keine IPs aus dem Bereich aktiv sind. Nirgendwo...weder an Firewall noch am Netzwerkmanagementsystem wird irgendetwas mitgeloggt. Es beschränkt sich, wie gesagt, auch nicht auf den 10.105er Bereich. Vergebe ich mir umgekehrt zuerst die IP und connecte mich anschließend mit dem PC ans Netz, bleibt die Konfliktmeldung seltsamerweise auch dauerhaft aus. Hält jemand ein Problem auf Betriebssystemebene (Windows NT,2000,XP Prof, SuSe Linux) für möglich? Möglicherweise ein Server, der die Probleme bereiten könnte? Router oder Firewall? Ich finde es jedenfalls sehr irritierend :suspect: , da sich der Fehler auch nicht eingrenzen lässt. Gruß... Pylon :wink2:

In diesem Zusammenhang hätte ich aber wiederum eine neue Frage, die sich mir auftut. Oder ich habe das Konzept noch nicht richtig verstanden. Ein DHCP-Server befindet sich also in einem Subnetz und erhält per DHCP-Relay auch Anfragen aus anderen Subnetzen, die er beantworten kann. Soweit so gut. Wie wird aber verhindert, dass ein Client, der sich im selben Subnetz befindet wie der Server, eine IP-Adresse zugewiesen bekommt, die für einen anderen Subnetzbereich bestimmt ist? Liest der Server dazu das immer vorhandene IP-Gateway-Feld aus und stellt dann im Zweifelsfall fest, dass dieses leer ist? Ist dem so, bedeutet das dann für ihn, dass der Client im selben Subnetz wie er selber sein muss, so dass er ihm eine IP-Adresse aus dem Bereich zuteilt, in dem auch seine eigene IP-Adresse sich befindet? Wäre über jede Aufklärung sehr froh. Gruß... Pylon