Shandurai

hallo erstmal danke für deine antworten :) vorab noch folgende info: die standorte sind bisher eigenständige netzwerke, z.t. sogar sbs... die mittel für ein gemeinsames ads werden ab herbst auf 2 jahre verteilt bereitgestellt. ich kann jetzt also das grundgerüst dafür anfangen aufzubauen. zu 1.) ein zweiter dns wird folgen. da dieser aber räumlich getrennt sein sollte, also am anderen ende von deutschland, wird das noch etwas dauern. zur zeit sind die standorte selber sozusagen sec. dns. die zonen die dort existieren werden auf den neuen prim. dns übertragen, prim. dns zonen werden auch auf den standorten angelegt. so hab ich es mir bisher gedacht... zu 2.) ich hätte bisher die domänen immer getrennt. ich werde mir die besipiele dafür aber mal angucken... aber denkbar wäre dann ja folgendes: internetzone: firma.de für interne zonen: intern.firma.de deutschlandzone: de.intern.firma.de stadortzone in deutschland: hamburg.de.intern.firma.de, muenchen.de.intern.firma.de, .... abteilungen wie buchhaltung.hamburg.de.intern.firma.de werden nicht gebraucht zu 3.) insgesamt durchläuft eine verbindung bis zu 3 firewall systeme. die server sind je nach der priorität an jeweils der 2. oder 3. firewall angeordnet: firewall 1. ist ein hardware router / firewall vom provider firewall 2. linux firewall mit 4 netzwerkkarten, davon 2 für dmz netzwerke (dmz1, dmz2). darin der mailserver (dmz1) und webserver (dmz2) firewall 3. linux firewall (anderer hersteller als bei 2. ;) ) mit 6 netzwerkkarten, davon 4 für dmz netzwerke. in diesen dmz netzwerken befinden sich ausschließlich server, die nur von intern erreichbar sein sollen... also die dmz anordnung sollte so einigermaßen sein... zu "4.") siehe nur wie gesagt, meine frage lautet einfach, ob sich alle dmz server in einer dns zone befinden sollten, oder aber in 6 verschiedenen... das würde dann etwa so aussehen: sqlserver.dmz3.firma.de terminalserver.dmz4.firma.de .... oder aber man verrät die dmz anordnung nicht und macht folgendes: sqlserver.dmz.firma.de terminalserver.dmz.firma.de ... ...das gefällt mir mittlerweile sogar ganz gut.... gruß, andre

oh, da hab ich mich in der Tat missverständlich ausgedrückt... ich versuchs nochmal ;) ---------- folgende Systemumgebung: - Ein Unternehmen mit mehreren Standorten - Ein Standort mit 6 DMZ Netzwerken: SQL Server, Terminal Server, .... - Zur Zeit werden die Server für alle unternehmensweiten Clients über IP Adressen adressiert, das ist nicht nur sehr aufwendig, sondern auch nicht wirklich zukunftsweisend. Ändert sich eine IP, muss je nach Art des Dienstes dies auf allen unternehmensweiten Clients geändert werden. Spätestens bei IP v6 ist das keine gute Lösung mehr ;) Also meine Idee: Da demnächst ein Server inkl. Windows 2000 Server Lizenz ausgemustert wird, würde ich den gerne unternehmensweit als internen prim. DNS einsetzen. Macht ja auch Sinn! Nur wie baue ich das Konstrukt sinnvoller Weise auf? Ich hätte jetzt folgendes gemacht: VPN und FW Regeln sind vorhanden, bzw freigeschaltet! - Übernahme der DNS Zonen aller Standorte - Anlegen von 6 Zonen für jedes DMZ Netzwerk, Konfiguration der Hosts die sich darin befinden - Zonennamen und Hosts (Beispiel!): dmz1.firma.local -> sqlserver.dmz1.firma.local dmz2.firma.local -> terminalserver.dmz2.firma.local dmz3.firma.local -> backupserver.dmz3.firma.local dmz4.firma.local -> fileserver.dmz4.firma.local dmz5.firma.local -> mailrelay.dmz5.firma.local dmz6.firma.local -> sqlserver-backup.dmz6.firma.local - Standort Servern den neuen internen DNS als prim. DNS eintragen, sec. DNS vorerst ein externer. Ein interner sec. DNS würde später hinzukommen! So, ich habe nun 6 Sub-Zonen angelegt. Damit würde ich in der Tat die Anordnung verraten... egal ob die Subs dmzX heißen oder serverfarmX oder oder oder... Andere Möglichkeit wäre einfach eine Sub-Zone anzulegen... und die gesamten Hosts darin zusammenzufassen. Was ist eurer Meinung nach besser? In den DMZ NEtzwerken gibt es kein ADS, nur Arbeitsgruppen Server. Danke und Gruß, Andre Jetzt aber ein schönes sonniges Wochenende ;)

Hallo NG folgende Systemumgebung: Ein Unternehmen mit mehreren Standorten Ein zentrales Netzwerk mit 6 DMZ Netzwerken: SQL Server, Terminal Server, .... Wenn ich nun die Server in den DMZ Netzwerken erreichen will, macht es Sinn im DNS server01.dmz.firma.local, server01.dmz2.firma.local, ... Also für jedes DMZ Netzwerk eine eigene Sub-Zone einzurichten? Oder reicht server01.firma.local, server02.firma.local, .... Also die DMZ NEtzwerke mit unterschiedlichen IP Bereichen in einer DNS Zone zusammenzufassen???? In den DMZ NEtzwerken gibt es kein ADS, nur Arbeitsgruppen Server. Danke & Gruß, Andre Schönes Wochenende!

hallo w2k server und den www eintrag (host-a). ich tendiere zur zeit zum komplett neuen ads. noch ist es machbar, netzwerk besitzt ~20 clients, 2 server... wenn es wächst, na dann gute nacht... ;) danke und gruß, andre # ich schreib grad nur klein, da sich in der anderen hand ein eis befindet ;)

Hallo NG folgendes Problem: Die interne Domäne lautet wie die externe... Host-A Eintrag auf externen Webserver ist gesetzt! Bisher funktioniert das auch alles, das Netzwerk ist aber noch überschaubar! Wenn man nun zu einer Domäne mit ungültiger TLD kommen möchte, ist das ohne weiteres machbar oder müsste man das gesamte Netzwerk inkl. ADS neu aufbauen? Ich muss dem Kunden nun irgendwas erzählen... Gibt es vielleicht die Möglichkeit das zweite ADS aufzusetzten (.local), Vertrauensstellung einzurichten, User und Daten zu übernehmen und die alte ADS abzuschalten? Was sagt eure Erfahrung? Gruß, Andre

also es wird wohl bei dem 2000er bleiben. ich (aus technischer sicht) hätte natürlich gerne aktuelle systeme, aber das ist beim kunden logischerweise kein argument, denn es wird ja schließlich auch auf 2000 alles so funktionieren... und aussehen :D wenn noch jemandem was einfällt, warum der kunde diese zusätzliche investition machen sollte, dann immer her damit ;) systemumgebung: Windows Terminal Server 2000 + anwendung (DMZ1), datenbank auf SQL Server 2000 (DMZ2). entfernte vpn clients... also nichts großes. es soll halt diese eine anwendung genutzt werden... danke und gruß, andre

Hallo NG lohnt sich eurer Meinung nach der Umstieg von einem Windows 2000 Terminal Server auf die 2003er Variante? Für die Software, die darauf laufen soll, würde ein 2000er ausreichen, aber in Hinblick auf die Zukunft? Oder Verwaltbarkeit? Sicherheit? ... Knackpunkt ist, wenn ich das richtig gelesen habe, die Lizensierung der Clients. Die macht beim 2003er erheblich mehr Kosten, laut Einkauf ~2000€ Was denkt ihr? Gruß, Andre

Hallo NG, ich weiß zwar, dass es sicherer wäre, gewissen Dienste wie DNS und SMTP Relay auf externe Maschinen auszulagern, aber könnte man es dennoch verantworten, bei einem SBS 2003 den DNS zu veröffentlichen (eine ordentliche System Konfiguration vorausgesetzt)? SMTP scheint mir, nachdem ich mich überall etwas eingelesen habe nicht so das Problem zu sein... Ist der Windows DNS in letzter Zeit durch Sicherheitslücken aufgefallen? Was denkt ihr darüber? Hintergrund: Der Provider bietet keine Möglichkeit eigene Konfigurationen vorzunehmen (1und1). Man kann nur auf einen eigenen DNS veweisen oder höchstens MX Einträge vornehmen. Gruß, Andre

also 3.) hat sich erledigt ;) zu 2.) welche drittsoftware könnte man zum auswerten nutzen? gruß, andre

hallo also deine lösung hat wunderbar funktioniert, vielen dank!!! in der tat hat es sich hierbei um einen exchange 2003 gehandelt ;) weiterhin schöne osterfeiertage! andre

hallo NG, wie kann ich erreichen, dass alle emails, die intern nicht vorhanden sind an den administrator weitergeleitet werden? bisher bekomme ich lediglich einen NDR, aber dort kann ich die email leider nicht einsehen, weder in er email selbst, noch als txt anhang oder sowas :rolleyes: wenn ich dem administrator zusätzlich die email adresse *@firma.de gebe, bringt das herzlich wenig :suspect: danke und gruß! andre

hallo NG ich habe da mal die ein oder andere verständnisfrage ;) 1.) auf einem exchange 2003 system werden emails angenommen und soweit auch weitergeleitet. allerdings stehen in den logdateien immer wieder verbindungen, die nach 10mins das timeout erhalten. einige server versuchen die verbindung noch bis zu 3x hintereinander zu wiederholen. ich habe dann öfters einige testmails verschickt, und siehe da, zumindest eine ist nicht angekommen und auch nirgends auffindbar. ich habe nun die befürchtung, dass reguläre mails ebenfalls nicht ankommen. ist diese timeout meldung denn überhaupt korrekt? oder sollte sie bei einem einwandfreien system nicht auftreten??? hat das vielleicht mit folgenden einstellungen im virtuellen smtp server unter authentifizierung zu tun?: - zugriff anonym, keine anonymen emails auflösen - standardauthetifizierung - integrierte windows authentifizierung - authentifizierte benutzer dürfen übermitteln 2.) welches logformat sollte man einrichten, wenn man nur mit boardmitteln auswerten möchte? eingestellt ist w3c-erweitert (da die logs noch nicht so groß sind, reicht mir zur zeit noch notepad :D). oder gibt es eine übersichtlichere möglichkeit? in der hilfe steht, dass man beim iis format auch mit dem iis auswerten kann... 3.) so dann zu guter letzt ;) sollte man (vielleicht aus kompatibilitätsgründen) im sendenden smtp connector HELO statt EHLO verwenden? oder weiterhin EHLO belassen, wenn der smarthost (1und1) dies scheinbar versteht? so vielen dank erstmal! schöne osterfeiertage und liebe grüße, andre

moin besitzt der server 2 gespiegelte platten (windows software raid)? das gleiche problem hatten wir mal, wir haben daraufhin eine der platten abgestöpselt, server gestartet, heruntergefahren, platte ran, alles normal wieder gestartet. gruß

danke erstmal für deine antwort aber ich hab noch hoffnung, dass wir das anders gelöst bekommen, vielleicht muss ich mich ja tatsächlich mal an linux ranwagen ;) gruß, andre

hat sich erledigt. habe den job neu angelegt und nu funktioniert es :suspect: dienste werden weiterhin als administrator gestartet, anmeldekonten gibt es für beide admins

Hallo NG, ein Kunde besitzt insgesamt 8 SBS 2000 Netzwerke, deutschlandweit, per VPN vernetzt. eMails werden bisher schön brav jedes Netzwerk für sich alleine gepoppt. Die lokalen Domänen heißen firma.locale1, firma.locale2, firma.locale3, usw... Die eMail Domäne heißt in allen Netzwerken @firma.de Nun sollen die eMails (wenn möglich) eingeliefert werden. Ein zentraler Server, eventuell zweiter als MX Backup wäre nicht das Problem. Nur wie? Wenn ich das richtig verstanden habe, bringt mich ein Exchange 2000 / 2003 Standard oder Enterprise nicht weiter, da die SBS dies nicht zulassen würden (die sind halt so :p ). Ich hätte an eine Linux Lösung gedacht, eventuell postfix, der die einkommenden eMails mit einer Datenbank abgleicht und die einkommende eMail an einen internen Empfänger weiterleitet, also z.B.: mueller@firma.de -> mueller@firma.locale1 meyer@firma.de -> meyer@firma.locale2 schulz@firma.de -> schulz@firma.locale2 Gibt es vielleicht auch eine windowsbasierte Lösung? Oder bin ich vollkommen auf dem Holzweg??? Danke und Gruß, Andre

Hallo NG folgende Systemumgebung: SBS 2000 inkl. aller Komponenten, Backup Exec 9.1, zwei Domänen-Administratoren (Administrator, Arbeitstier) Die Administratóren sind in folgenden Sicherheitsgruppen: Administratoren, Domänen Admins, Domänen Benutzer, Back Office Internet User, OLAP Admins, Richtlinien Ersteller, Schema Admins, Organisations Admins. Bevor Arbeitstier erstellt wurde, hat die Gesamtsicherung des Servers einwandfrei funktioniert. Nachdem Arbeitstier erstellt wurde, wurde in BE 9.1 ein weiteres Anmeldekonto hinzugefügt und die Sicherung bricht immer wieder ab, keine Verbindung zu Exchange möglich. Die BE 9.1 Dienste werden mit Administrator gestartet. Ich habe die Sicherung des Exchange schon mit beiden Anmeldekonten getestet, es wird immer wieder abgebrochen :suspect: Folgender Link http://seer.support.veritas.com/docs/249456.htm hat leider nicht geholfen, da Arbeitstier bei Phase 1b nicht zugeordnet werde kann :( man man, es kann doch wohl nicht so kompliziert sein, mit 2 Admins auf einem System ein ordentliches Backup zu erstellen oder? Hat noch jemand einen Tipp??? Danke und Gruß, Andre

moin ng wir setzen auf einigen netzwerken sbs 2000 in verbindung mit nav multi tier protection (oder wie das auch immer heißt) ein... soweit nie probleme gehabt, außer dass nav, seitdem neue email viren à la mydoom im umlauf sind diese zwar hübsch beseitigt aber emails im postfach lässt, die nicht durch den user oder admin gelöscht werden können. meist ist die anlage und das subject / der text gelöscht, aber sie sind dennoch da... outlook sagt nur, fehler bei der darstellung ich vermute, dass man sie mit exmerge wegbekommt, aber kennt vielleicht jemand eine bessere schnellere lösung? ein weiteres problem ist, dass veritas bei der sicherung fehler meldet, die sicherung also fehlschlägt, weil eben genau diese mails nicht gelöscht werden können danke, andre

moin NG es ist schon spät, aber ich versuch mal mein problem zu beschreiben: :D ein kunde hat 3 netzwerke, jeweils sbs2000 :suspect: interne domänen: firma.ber (berlin) firma.ham (hamburg) firma.muc (münchen) emails werden vom provider per pop3 connector abgeholt :suspect: internetdomäne ist: firma.de das funzt soweit, auch wenn es absolut keine schöne lösung ist, pop3 probs, etc.... 15 minuten verzögerung beim empfang.... naja ihr wisst schon... nicht auflösbare adressen werden an den smarthost des providers gesendet und dort in die pop fächer sortiert, sodass ein anderer standort das postfach leeren kann meine idee ist nun, dass man sich nun die emails vom provider zustellen lässt, per mx-record auf den hamburger server. die verbindung der standorte ist mit einem vpn gelöst. mein testaufbau für internes mailing funktioniert einwandfrei, also user@firma.muc -> user2@firma.ber über das relay in hamburg. nur wie löse ich folgendes: die user sollen ja nicht mit user@firma.muc verschicken, sondern mit user@firma.de. ich muss nun zusehen, dass der relayserver in hamburg weiß, wo sich welcher user auf welchem standort befindet. wie kann man sowas lösen? geht das überhaupt mit dem sbs? ich dachte bisher an mailing über smtp, reicht das aus? wo muss ich ran? ich brauch nen tip ;) danke und gruß, andre #kleine ergänzung: muc und ber leiten ebenfalls alle nicht auflösbaren mails an den smarthost in ham weiter. dort müsste eine art tabelle geführt werden, über alle user, die die @firma.de domain auf die entsprechende interne @firma.muc, @firma.ber oder @firma.ham weiterleitet