Velius

Schon mal was von Man-in-the-middle-attack gehört? Das ist wohl der einfachste Angriffsverktor indiesem Szenario. Ausserdem, diese öffenlichen IPs und die dahinter liegenden wahrscheinlich geNATeten Verbindungen, sind diese gemaneged? Wohl kaum, oder?

Also keine Probleme im 2. Rechner? 7b kann durchaus auch auf einen fehlerhaften HDD Controller hindeuten. Cheers Velius

Problem bei dieser Konfig ist, dass alle Dienste die im Status 'Listening' sind auf dem Stack theoretisch verwundbar sind, und das in dreierlei Hinsicht: Administrativ Z.B. Schwache Admin Passwörter, sollte die Datei und Druckfreigabe ein sein (weiss jetzt spontan nicht, ob der IPC$ erreichbar wäre so, oder ob RPC reicht) Über known/unknown Exploits Alle ungeflickten Lücken sind voll ausnutzbar. DoS & DDoS Attacken Sofern keine Firewall davor die das kann, anfällig gegen Ping-of-Death, land und/oder TCP-Syn Attacken usw., aber auch gegen HTTP DDoS Anfragen (IIS auf Exchange Pflicht) beispielsweise Da gibt's noch Tonnen von anderen Angriffsvektoren. Sowas ist grob fahrlässig. cheers Velius

Mach ich nicht, nur das Design oder den Hersteller. Mag sein, dass das Ding seine Daseins Berechtigung hat. Aber nur weils mit IT zu tun hat ist n och lange nicht alles möglich. Ausser du kennst die Programmierer selbst. Und mit dem Flamen hast du begonnen (MS muss das lösen, linux viel einfacher...) Schade nur, dass du mit den Details nicht rausrücken kannst.

Mein Vorschlag, wenn ich das so machen würde: Linux und VMware oder Xen drauf. Public DNS in eine VM, private DNS in die 2. VM. Schon hast du deinen 'hidden' DNS. Oder gleich auf zwei separate physische Maschinen packen. Aber, mit verlaub, einen DNS auf einen anderen Port fahren um einen zweiten Deamon drauf laufen zu lassen ist absoluter schwachsinn. Soviel zum Design des ganzen. Ps: Nein, mir ist keine Lösung bekannt den Port umzubiegen, aber wozu auch (siehe oben).

Ich versteh dich, du verstehst uns nicht. DNS läuft nunmal auf Port 53. Nur weil es so easy möglich ist auf Linux/Unix (ja, und ich weiss welche conf und hatte die auch schon offen:rolleyes:), heisst das noch lange nicht, dass es erwünscht ist. Wenn der Herrsteller der Software sowas nicht klar stated, dass es mit diesem und jenem Hersteller Probleme gibt, dann ist das Pfusch x2, ganz einfach.

Wesen support konnte ich nicht wissen - dachte da eher an MS. – Bin da Blubs meinung: Wenn der Hersteller das nicht weiss, weiso soll dann MS eine Lösung bereit haben.

Dann frag doch den Hersteller der Software wie man sowas macht....

Das mag schön und gut sein (bevor es hier mit einem MS Gebashe losgeht), schon mal überlegt, dass so ziemlich jedes OS standardmäsig DNS Anfragen auf den Port 53 richtet? DNS wurde in unzälligen RFCs nieder geschrieben ist standard. Ms hält sich daran nur ihr tut es scheinbar nicht. Und besides: DNS Sicherheit löst man anders:wink2:. Back to Topic: Mit MS mitteln kommst du wohl nicht weit.

Wer bitte schön wechselt denn den DNS Port? Jeder DNS Client fragt nach dem Port 53... Security by obscurity?

Fraigaben kann man sichern mit Backup Exec - den Agenten benötigt man um ganze Laufwerke/Ordner (keine Freigaben!) zu sichern, Kompression und bessere Performance zu nutzen.

@Zahni Genau (THX!) Ausnahme: Es ist nur eine Karte im System. Wenn man dann TCPIP entfernet geht auf dem Host allerdings nicht mehr viel.:cool: Aber aus dem Anfang des Threads können wir entnehmen, dass zwei Karten im Host verbaut sind.:confused::wink2:

Genau das meinte ich doch - auch wenn TCPIP auf dem Host weg ist ist das gegeben. Ach egal....:rolleyes::wink2:

Kannst du das bitte so erläutern, dass man es versteht? Ich kann dein Problem nicht nachvollziehen. Auch wenn du auf der für die VM dedizierten NIC TCPIP entfernst wirst du von der VM immer noch auf die 2. NIC (die des Hosts) zugreiffen können, und wenn nicht stimmern deine TCPIP informationen nicht.

Wieso so viele wenn die Frage erlaubt ist? Wegen der Redundanz? Reichen da auch nicht sagen wir mal 16? Und wenn's um Power geht, ein x64 DC mit 8 Cores und ein paar Giga RAM kann einiges ab. Hätte da noch was: Determining the Minimum Number of Domain Controllers Required

Ja, die kenn ich, und lassen zumindest nach meiner Erfahrung nichts zu wünschen übrig. Natürlich sollte man sich nicht wundern wenn der Server nicht mehr will wenn man während der Installtion/Deinstallation bootet.

Man könnte zur Not auch mal des SP2 entfernen und nur sicherheits kritische Patches einspielen.

Wenn's nur 1 DC is ist es bedenkenlos. Aber VSS sollte man trotzdem an haben - hilft nur. BTW: Damit man AD in einem Multi-Controller Modell vernünftig sichern kann musss die Software sog. AD-Aware sein. PS: Eigentlich bin ich ja ein Befürworter von DC-Imaging. Ich weiss aber auch was es zu beachten gibt dabei.

Gute Idee von Nobex - noch besser, entferne alle Protokolle inkl. TCPIP, bis auf das VM Protokoll (welche Soft, VMware oder Virtual Server?) von der dedizierten virtuellen NIC. So kann der WINS nicht mehr rumspinnen. cheers Velius ps: Etwas unklar? Fragen!:cool: – Das sieht dann etwa so aus: TCPIP muss auch weg. Die VM kann trotzdem durch das VM Protokoll und bringt ihren eigenen TCPIP Stack mit.

Mach for dem Image noch ein System State mit NTBackup - dann fährst du sicher und es schlägt dich hier Niemand:D

Oder aber einen Einzigen und eine neue DB drauf. Much more relaxing...

So viel zum Thema SNMP & W2K3 SP2: The print queue status is displayed as "Offline" on a Windows Server 2003-based print server if SNMP is enabled and if the printer devices do not respond to SNMP commands Die Printer Queues gehen dabei 'offline', sollte SNMP in den Printer Eigenschaften aber nicht auf dem PRinter selbst aktiviert sein.

Na das geht doch - es gibt teurere Lösungen.

Damit wäre eher RAM gemeint. Wieviel GB/TB Daten liegen auf dem Teil? Bei einem Volumen um die 1 TB sollte man sicher 2 GB RAM drin haben wenn es eine Fileserver only ist. Bei einem SBS schätzungsweise mehr.

Hatte das auch eher auf den/die DCs bezogen. NSPI = Anfragen and Globalen Katalog, GAL, usw. Wie sieht's den mit dem zweiten DC aus? Was hat der so auf der Brust. A pros pos: DC auf einem EX kommt nicht gut, ausser SBS. Demoten sollte man den aber dennoch nicht wenn der schon so läuft.