Joe

sind die CALs in einer Datei gespeichert, sodass man eine alte Sicherung der "Lizenzdatei" wiederherstellen könnte?

Hallo zusammen,

wie kann ich bei einem Win2k3 SBS Premium-Server eine bereits installierte Lizenz wieder entfernen? Bis jetzt habe ich nur den Knopf "hinzufügen" gefunden.

Joe

danke euch für die antworten... filemon und regmon laufen leider nur unter dem administrator-account. Das Problem ist jetzt, dass ich zwar im LOG sehe, welceh Zugriffe das Programm insgesamt macht (über 60000 Registry-Zugriffe), ich weiss aber nicht welcher Zugriff mit dem Normal-User schiefgeht.

Nun könnte man blauäugig behaupten, dass er überall dort Zugriffe benötigt, wo z.B. CreateKey oder SetValue steht. Aber das sind auch schon über 16000 Zugriffe. Von den Datei-Zugriffen mal ganz abgesehen.

Gibt es eine Möglichkeit, denm Normalo-User nur das Recht zu Debuggen zu geben, so dass ich unter dem User den fehlgeschlagenen Zugriff mitbekomme?

System: Windows 2000 SP4 eingebunden in eine Domäne

Joe

Hi

ich hab hier das Problem, dass ich PaperPort von Nuance unter Windows 2000 mit "Normalusern" ans laufen kriegen muss. STarte ich das Programm als Administrator, dann geht alles. Melde ich mich als Domänenmitglied und somit als "normaler User" an, dann stürzt das Programm mit einer Fehlermeldung wegen Visual C++ Runtime Libraries ab.

Nun habe ich testweise einem Benutzer mal volle Schreibrechte im Programm-Verzeichnis gegeben. Dies hat nichts gebracht. Also tippe ich mal auf die Registry. Gab es nichtmal ein Programm, mit dem man alle fehlgeschlagene Zugriffe sowohl auf Dateiebene als auch in der Registry protokollieren lassen konnte? Kennt das jemand?

Oder gibt es noch eine andere Möglichkeit ausser den Leuten lokale Administrationsrechte zu geben?

Joe

Hallo zusammen,

im Rahmen eines Datev-Updates schlägt eine MSDE 2000-Installation fehl. Nach einiger Suche habe ich festgestellt, dass das Scheitern nicht durch die MSDE ansich sondern durch einen danach zu installierenden Hotfix mit der Nummer 2180 (kA ob das Datev spezifisch ist) ausgelöst wird. Ich habe im Windows-Verzeichnis auch eine LOG-Datei mit dem Namen KB913789 gefunden. So sollte also der Hotfix heissen. So wie ich das sehe wird dadurch die MSDE-Instanz auf die Version 8.0.2180 gebracht.

In der Log-Datei steht als Fehler, dass er die Integrität einer CAT-Datei nicht überprüfen konnte und ich sicherstellen soll, dass der Kryptographiedienst ausgeführt wird. Dies ist der Fall. Nun würde ich gerne den Hotfix als eine letzte Möglichkeit manuell installieren. Weiss jemand wo man den herbekommt. Bei Microsoft finde ich ihn unter den zwei oben genannten Nummern nicht und auf der Datev-Instalaltions-CD ist auch keine derartige Datei drauf.

Oder hat sonst noch jemand eine zündende Idee?

Joe

Durch das Auslagern von ELementen habe ich es geschafft, eine Outlook PST-Datei (97er-Dateiformat) auf 2GB zu bringen. Nun kann ich da nichts mehr hinzufügen. Kein Problem dachte ich und legte eine 2003er PST-Datei an. Nun will ich die Elemente aus der alten Datei in die neue überführen mit der Funktion "importieren". Abgesehen davon das Outlook ständig meckert die (alte) Datei wäre voll importiert er keine ELemente. Das einzige was er bislang gemacht hat ist die Top-Level Orderstruktur anzulegen, jedoch ohne Inhalt.

Wie schaffe ich es die Elemente einfach und sicher von der alten Datei in die neue zu überführen?

zur Info: In dem Archiv sind nur E-Mail-Elemente.

Gruss,

Joe

Zum Thema "Onlinesicherung" stand vor längerer Zeit auch ein ausführlicher Vergleich/Bericht in der ct. Das Fazit war, dass eine Onlinesicherung (auf Dateiebene) gehen kann aber nicht muss. Offlinesicherung ist in dem Fall die bessere Alternative. Deshalb sichere ich Win2000/XP/whatever auch mit einer Boot-CD.

Der Grund ist auch nachvollziehbar. Damit die Sicherung konsistent bleibt, muss jede Änderung an den Dateien protokolliert werden. Ok, dafür bietet Windows Boardmittel. Was aber macht Windows wenn mehr Daten geändert werden als "Zwischen-Speicher" zur Verfügung steht? Ich will das lieber nicht im Produktivsystem sehen... :D

Daran sind im übrigen alle Produkte gescheitert!

Joe

Ich habe die Datei nun mal umbenannt und siehe da, beim nächsten Start war sie wieder da. Erstaunlicherweise finden sich in der Datei folgende Textfragmente:

- RajuRam

- RamDisk

- FAT32

Hmm, das alles macht nicht wirklich Sinn, oder?

Das Problem an der Datei ist auch, dass sie eben wachsen kann. Derzeit hat sie nur 8MB, wer sagt aber, das sie nicht auf 8GB oder mehr wächst?

Joe

Wir fragen uns eigentlich immer noch warum Du denkst, dass man ausgerechnet "Temporäre Dateien" (auch TempFiles genannt) sichern muss ....

Grundsätzlich hast du Recht, dass diese Datei den Anschein erweckt, dass Sie temporör ist und keine für das Neustarten des Systems notwendige Daten enthält.

Das Problem ist, das diese Datei erst seit ca. 4-6 Wochen existiert und deshalb auch der Topic "Bedeutung von ...". Sobald ich weis, dass diese Datei wirklich temporär und der Inhalt "irrelevant" ist, dann kann ich hergehen und diese Datei in BackupExec ausklammern (in der Hoffnung, das dann die Sicherung immernoch als "vollständig" akzeptiert wird und der IDR-Prozess weiterhin funktioniert). Mir wäre es deshalb vorerst wichtig zu wissen, woher kommt die Datei, welchen Zweck hat sie und wie kann ich sie am gefahrlosesten beseitigen...

Joe

Da ich heute nochmal ran darf, kurz die Frage in die RUnde nahc der besten Vorgehensweise. Ich würde als nächsten Schritt die Wiederherstellungskonsole starten und darin die Datei TempFile nach TempFile.alt umbenennen. Entweder ein Dienst hängt dann oder er legt Sie nochmals neu an. Im letzteren Fall hätte ich ein Problem, im ersteren wüsste ich dann wenigstens genau, welcher Dienst die Datei benötigt. Zusätzlich könnte ich dann mal in die Datei reinschauen, ob's etwas erkennbares gibt...

Gibt's noch bessere Ideen?

Joe

Dumme Frage: Läuft der Dienst wuau überhaupt?

Joe

Ich hatte mal das selbe Problem und konnte es ebenfalls nur über die Richtlinien-Änderung ans laufen kriegen. In einem lokalen Netz, mit Switches (nicht Hubs) gekoppelt sehe ich nicht die große Gefahr.

Joe

PS: Win95 hat das selbe Problem...

Dank dir. Das Problem ist, dass auf dem Rechner ein Office Scan Client 6.1 aus einer CSM-Suite 2.0 installiert ist. Ob da alle Lösungsansätze für OFSC 6.5 passen - we'll see.

Weisst du eigentlich, ob's das Update von CSM-Suite 2.0 auf die 3.0 kostenlos zur Laufzeit des "Wartungsvertrages" gibt oder muss das Update seperat erworben werden. Denn damals beim Verlängern des Supports gab es noch keine CSM-Suite 3.0 - deshlab jetzt auch die "relativ" alte Version.

Joe

Sorry, mag am Feiertag liegen, dass ich die Infos nur so zögerlich gebe... ;)

- WinXP SP2 Workstation (nicht Domänenmitglied)

- lokales Profil

- Ereignisanzeige sehe ich erst morgen

- Pop3-Plugin von Trendmicro ist installiert, wobei die doch nicht so ohne weiteres die Servereinstellungen und den Kontonamen ändern dürfen, oder? Ich hoffe man kann das nachträglich deaktivieren.

So langsam denke ich schon, dass es am Trendmicro Virenscanner liegt. Wenn dem so wäre, wo kann ich dann den localhost Port 110 wieder umbiegen auf den Strato-Server und wie erhalte ich den Benutzernamen?

Joe

Hört doch auf mit der Diskussion. Fakt ist:

 

Schlecht konfigurierte PIX oder ISA sind Sicherheitslöcher. Gut konfigurierte ISA und PIX kann man als front-end Firewall durchaus einsetzen.

Da stimme ich dir zu. Bezüglich der erreichbaren Sicherheit bei beiden (und auch anderen) Systemen darf es durchaus unterschiedliche Meinungen geben.

Ob da noch andere Dienst laufen als Basis config ist irrelevant (und nebenbei, die Ansicht, Jeder offene Port = Risiko find inzwischen veraltet; die Rechner dahinter müssen schon eine Schwachstelle haben, dass man z.B. auf einem Webserver der nur auf Port 80 hört einbrechen kann.)

Absolut richtig - es muss schon ein Prozess auf dem Port hören.

Ich denke Pro und Contra der verschiedenen Varianten wurden gezeigt. Ich hoffe das wenigstens snowfake etwas aus der Diskussion mitgenommen hat.

Joe

Es ist TrendMicro OfficeScan 6 installiert. Wie gesagt, bzgl. des Zeitpunkts kann ich noch nichts genaueres sagen. Ich gehe nur davon aus, dass es beim Neustart des Rechners passiert. Näheres erfahre ich morgen.

Joe

Mit anderen Worten: Nimmst Du einen Server und läßt darauf zusätzlich nur den ISA laufen, hast Du auch eine "Hardware-Firewall". Und eine verdammt gute noch dazu.

Der Fehler am ISA-Server ist das zugrunde liegende Betriebssystem! Zeige mir ein Windows, auf dem nur und ich meine nur Dienste laufen, die ausschliesslich für den Betrieb des ISA-Servers als Firewall zuständig sind (von sonstigen Prozessen, installierten Treibern, usw. sehe ich mal noch ab). Das wäre ein erster Schritt. Aussagen zur Stabilität in diesem Fall kann man nicht treffen, da es sowas nicht gibt. NImmt man mal an, dass der ISA-Server fehlerfrei wäre, dann ist jeder unnötige Dienst, Prozess, usw. ein potentielles Sicherheitsloch.

Ich weiss nicht, woher Du Deine Ansichten hast. Vielleicht aus der Computer-Bild?

Der ist nicht schlecht... :D Wenn du die Computerbild gleich einer Vertiefungslinie in der Netzwerktechnik setzt, dann ja... :cool:

Ich verstehe durchaus, warum der ISA-Server hier derart populär ist und in dieser Weise eingesetzt wird. Nur schaut euch bitte mal die Frage oben im Thread an und beantwortet die mal unabhängig.

Joe

Hi

kann sich einer erklären, warum Outlook nach einer gewissen Zeit (Aussage Kunde - ich vermute nach einem Neustart) die Konteneinstellungen verliert. Und zwar wird folgendes eingetragen:

Benutzername: name@domain.de / strato.de

Posteingangsserver: localhost

ursprünglich war die Einstellung

Benutzername: name@domain.de

Posteingangsserver: post.strato.de

Beides führt zu Fehler. Der betroffene Benutzer hat lokale Administrationsrechte. Ändert er die Einstellungen wieder zurück, dann funktioniert das Senden/Empfangen wie gewohnt. Bis eben zum nächsten Neustart.

Joe

Auf die einfachsten DInge kommt man am Schluss...

Ich habe nun für diesen einen Benutzer eine Umleitung an eine gmx-Adresse eingerichtet. Jedoch mit dem selben Ergebnis:

intern an die interne Adresse: Umleitung an die externe Adresse funktioniert

extern (z.B. von einer beliebigen gmx-Adresse) an die interne Adresse: Umleitung funktioniert nicht, automatische "Übermittlung fehlgeschlagen"-Antwort an den Absender

Am Server habe ich unter dem virtuellen SMTP-Server für den lokalen user die Relay-Berechtigung hinzugefügt. Ohne Erfolg. Hmm, somit scheint das Problem am Absender zu liegen. Wenn die Absenderadresse nicht einem lokalen Benutzer zugewiesen ist, dann bekomme ich diese Fehlgeschlagen-Meldung. Kann ich irgendwo dem Exchange sagen, dass er alle E-Mails, die der Benutzer user@firma.de umleitet, relayen soll?

Joe

Es ist Veritas BackupExec SBS 9.1 auf einem Win2k3 SBS Premium-Server. Ich habe von Sysinternal das Tool Handle gefunden. Das liefert mir als Ausgabe den zugreifenden Prozess und siehe da:

Handle v3.11
Copyright (C) 1997-2005 Mark Russinovich
Sysinternals - www.sysinternals.com

System             pid: 4      NT-AUTORITÄT\SYSTEM       1444: C:\WINDOWS\TempFile

Sehr aussagekräftig. Da Sie vom System in Beschlag genommen wird stellt sich mir die Frage, ob nur an diesem einen System diese Datei erzeugt/gebraucht/gesperrt wird oder ob's auch noch andere gibt.

Bzgl. den Zusatzoptionen zum Sichern von offenen Dateien: damit könnte ich den Fehler umgehen. Nur wer garantiert mir, dass die Daten, die da aktuell drin stehen nicht wichtiger/richtiger sind, wie den Datenbestand der per OpenFile-Agent gesichert wird? Das ganze ist meiner Meinung nach vergleichbar mit den Image-Programmen. Alle Programme die im laufenden Betrieb eine System-Partition sichern habe Probleme mit der Datenkonsistenz bei großen Dateien/vielen Dateien. So das gelbe vom Ei ist das dann auch nicht.

Für diese Kombination Win2k3SBS Premium/Veritas Backup Exec 9.1 habe ich schon mehrere Test-Wiederherstellungen erfolgreich probiert und auch der aktuelle Stand auf diesem System wurde aufgrund eines Festplattenwechsels per Wiederherstellung vom Band-Laufwerk aufgebaut. Nur waren die Sicherungen bis dahin (und auch noch einige Wochen danach) ohne Fehler.

Joe

Hi,

wie kann man am einfachsten herausfinden, welcher Prozess/welches Programm einen exklusiven Zugriff auf eine Datei hat? Filemon von sysinternals kamen mir da auch gleich in den Sinn, jedoch sehe ich da nur, welche Prozesse _nach_ dem Start von Filemon auf eine Datei zugreifen. Das Problem ist jedoch, dass die Datei bereits beim Systemstart blockiert wird...

Joe

Ich habe testweise schon E-Mails, Aufgaben, Notizen usw. mit BackupExec 9.1 zurückgespielt. Gut, ich war davor schon mit einem deutschen Outlook 2000 auf dem Exchange Server 2003 - das aber mit Sicherheit nicht absichtlich um die Wiederherstellung zu ermöglichen... Mal ne Frage an dermario2: welche Produkte setzt du in welcher Sprache ein. Bei meinen Testläufen war alles in deutsch.

Gruss

Joe

Ich rede von einem Multi Layer Application Filtering, feinst einzustellen, bis zum geht nicht mehr (dabei geht es auch um Sicherheit ), von Site-to-Site Tunnels und VPN-Clientunterstützung mit Quaranänefunktion wenn man will, einzurichten nach Anleitung im Internet, wo man bei anderen FWs den teueren Spezialisten kaufen darf, so man einen guten bekommt, und Sonderwünsche wie "Die VPN Clients müssen auch gleich auf die Branch-Offices zugreifen können", auweia, ich glaube, da müssen wir noch ein paar Stunden extra fakturieren für die Config ihrer HW-FW.

Naja, es scheint hier das falsche Forum zu sein um über die Sicherheit von einem ISA-Server basierend auf Windows x zu diskutieren. Ich geb euch völlig recht, dass man mit einem ISA-Server sehr feinkörnig Regeln aufstellen kann, die es so nur bei high-end HW-FWs in eingeschränktem Umfang gibt. Keine Frage. VPN-Unterstützung sehe ich heutzutage nicht mehr als Problem bei den HW-FWs, früher ja. Die Frage war aber doch ursprünglich:

Variante 1:

Internet--> Modem--> Hardware FW (Pix501)-->Lokales Netz (mit diversen Clients und einem SBS Pre. Server)

Variante 2:

Internet --> Modem--> SBS Pre mit ISA 2004 Server als FW und Gateway --> Lokales Netz

[...]

Ist es von der Sicherheit her, empfehlenswert die erste Variante zu nehmen?

Und hier muss man doch klar ja sagen, wobei ich nicht die eine oder andere HW-FW jetzt hier als besser oder schlechter darstellen will. Eventuell noch mit dem Zusatz eines ISA-Servers nach der HW-FW.

Genauso ist es z.B. nicht empfehlenswert eine SW-Firewall alleinig zur Absicherung eines Desktops zu nehmen. Jegliche auf einem PC basierende SW-FW ist der Versuch, auf einem nicht dafür gemachtem System (sowohl HW als auch SW) eine sicherheitsrelevante Funktion zu bieten. Sowohl HW als auch SW ist fehleranfällig (Festplatte-/Dateisystemfehler, Beeinträchtigungen durch parallel laufende Prozesse die nicht a priori für diese Konstellation geschrieben wurden, Virenbefall, ...).

Bitte betrachtet das ganze mal nicht von der MS(-Server) Seite sondern ganz nüchtern als Aussenstehender. Dann stimmt ihr doch sicher zu, dass eine dedizierte (für eine Funktion bereitgestellte) HW-FW sicherer ist, als eine auf einem nicht dafür entworfenem System aufgesetzten SW-Lösung. Unbetroffen davon ist grizzlys Aussage bzgl. der notwendigen Administration absolut richtig! Eine ungenügend administrierte HW-FW ist unsicherer als ein ISA-Server. Aber bitte: seit wann ist es einfacher, nur weil es von MS ist und eine bunte Oberfläche hat?

Bezüglich ROI sehe ich kein MS-Produkt nicht in der Lage mitzuhalten. Jedes OS, jede Applikation kommt nahezu jährlich mit einer Überarbeitung und die alte Version wird spätestens bei der übernächsten Version nicht mehr supportet. Als Systemverkäufer stehen wir gut da. Wir können sagen "Hey, du musst auf Version x updaten, weil du ab Tag y kein MS-Support mehr hast". Und die Geschichte mit dem kostenpflichtigen SBS Premium-Update unterstützt meine Aussage um so mehr. Bisher waren unsere Kunden immer zufriedener, wenn ein System dauerhaft gelaufen ist, auch wenn die Kosten anfänglich höher erschienen.

Gruss

Joe

Ein normaler Windows Server, Stand alone, nicht Domain Member, mit ISA 2004 installiert (möglicherweise noch gehärtet), ist dediziert. Du wiedersprichst dir selbst

Wenn du mir einen Windows-Server zeigst, der keine Datei-/Druckerfreigaben, keine offene Ports und ähnliches hat... :D Und angesichts der wöchentlich erscheinenden Sicherheitslücken halte ich ein auf Windows basierendes System nicht als geeignet, eine Sicherheitsfunktion (Firewall) zu bieten. Dedizierte HW-Firewalls haben ein speziell dafür ausgelegtes Betriebssystem. Bis jetzt gibt es zum Glück noch keine WinCE basierende HW-Firewall. ;)

Gruss

Joe

Ich stimme da Wurzerl's Schlussfolgerungen zu. Nimm eine HW-Firewall und bau dir danach dein lokales Netz u.U. mit ISA-Server auf. Der ISA-Server mag FW-Funktionen bieten, jedoch widerspricht der Einsatz eines ISA-Servers als äussere FW jeglichem FW-Konzept. Für die Absicherung eines LANs sollte immer eine dedizierte HW-FW eingesetzt werden.

Es wäre jetzt müssig alle Fachbücher zu zitieren... ;)

Joe