Christoph35

Hi zusammen,

folgende Artikel von Tom Shinder behandeln zwar Grundlegendes in Sachen ISA/TMG-Konfiguration, aber manchmal ist es nicht verkehrt, auch diese Dinge noch mal zusammengefasst lesen zu können:

Overview of ISA and TMG Networking and ISA Networking Case Study (Part 1)

Overview of ISA and TMG Networking and ISA Networking Case Study (Part 2)

Christoph

Ganz einfach: Im Explorer die Attribute einblenden lassen. Wenn Du dann ein A siehst, ist das Archivbit gesetzt.

Oder über die Eigenschaften der Datei und bei "Attribute" auf "Erweitert" klicken.

Christoph

Die Sicherheitsoptionen in der Gruppenrichtlinien habe ich gerade durchgesehen, finde aber die Optionen für den Anmeldetext nicht. Hast Du das nochmal für mich Blindfisch einen Tipp?

Unter Computerconfig/Windows Settings/Security Settings/Local Policies/Security Options die beiden Optionen, die mit "Interactive Logon: Message" anfangen.

Christoph

Schau Dir mal das USMT an. AFAIK unterstützt das auch Interdomain Scenarios:

User State Migration Tool 3.0

Christoph

EDIT: Wenn der FE Server nicht in die DMZ gehört, hat sich mir der Sinn eines FE noch nicht erschlossen... wofür dann überhaupt einen FE?

Der Front-End-Server ist z.B. dann sinnvoll, wenn es mehrere Mailbox-Servers gibt. Dann brauchen sich die User nur den Namen des einen FE-Servers für den Zugriff über OWA/OMA/AS zu merken. Es braucht auch über den ISA nur dieser veröffentlich zu werden.

Da der FE Server aber jede Menge Connections über verschiedene Ports zum AD und zum Exchange Backend hält, müsste die FW zwischen Exchange FE und BE all diese Verbindungen auch zulassen. Hier kannst Du eine Liste finden:

http://www.isaserver.org/articles/2004dmzfebe.html

Wenn es in Frage kommt, würde ich Exchange AS, wie auch Norbert schon schrieb, über einen ISA veröffentlichen. Der ISA 2006 hat dafür einen guten Wizard, bei dem man entscheiden kann, welche Zugriffsmethoden man veröffentlicht. Man kann also z.B. nur Exchange AS veröffentlichen, aber OWA/OMA nicht.

Christoph

Hi!

BE sichert bei differentiellen und inkrementellen Exchange Sicherungen in der Tat nur die Logs.

Und differentielle Backups können für GRT nicht verwendet werden:

https://forums.symantec.com/syment/board/message?board.id=be12_exchange&thread.id=580

Differential backups only backs up logs. It does not backup database.

 

GRT is only supported with FULL backups of exchange. You can use GRT with increamental but that is supported only with Policy based jobs.

Christoph

Ich habe das so verstanden, dass der eine Client nicht über den ISA Server ins Internet soll (warum auch immer...), also muss eine direkte Verbindung ins Internet her. Und dann sollte der Client natürlich auch nicht auf irgendeine Weise den ISA kontaktieren.

Christoph

Hast Du schon in der Nachrichtenverfolgung (Message Tracking Center) nachgeschaut (unter Tools im ESM)? Message Tracking Muss natürlich in den Eigenschaften des Exchange Servers aktiviert sein.

Christoph

Hallo,

falls Du es nicht schon gefunden hast:

Die direkt anzusteuernden Adressen lassen sich in den Eigenschaften des Netzes steuern, in dem der Client steht, z.B. Internal. Da kannst Du auf dem Tab "Web Browser" die Seiten angeben, die direkt angesteuert werden sollen.

Für die andere Geschichte brauchst Du natürlich einen Weg ins Internet, der nicht über den ISA führt.

Dann musst Du den Client entsprechend konfigurieren, heißt:

nicht als Secure-NAT, WebProxy oder Firewall Client.

Christoph

@Maschinenbauer:

jetzt hast Du dir schön den Frust von der Seele geschrieben... und das als ersten Beitrag... :shock:

Dann mal nen kleinen Hinweis zur Suche von "Guru" (als den ich mich nicht sehe...) an "Würstchen" (das Du wahrscheinlich auch nicht bist ;) )

Wenn Du Outlook 2003/7 benutzt, dann wahrscheinlich mit Exchange Cached Mode. D.h. der Client benutzt sein Offline Address Book. Das wird vom Exchange Server standardmäßig 1x am Tag um 5 Uhr morgens aktualisiert. Der Client braucht noch einen weiteren Tag, bevor er es sich neu herunterlädt, kann man aber manuell unter Extras / Senden & Empfangen /Adressbuch herunterladen machen.

Falls Du noch weitere Informationen suchst, kannst Du also die Stichworte Cached Mode und Offline Adress Buch benutzen.

Hoffe, damit kommst Du weiter ...

Christoph

Kommt aber trotzdem darauf an, was man für eine garantierte Bandbreite vereinbart hat:

Mit 4 Mbit/s einsteigen und bei Bedarf kostenfrei

in Bandbreitenstufen aufsteigen (4 Mbit/s,

10 Mbit/s, 20 Mbit/s, 34 Mbit/s)

Wenn also z.B. nur 10 Mbit vereinbart wurden, gibts auch nur die 10 MBit garantiert.

10 MBit/s entsprechen den festgestellten 1.2 MByte/s beim Download.

Christoph

Falls das Problem noch aktuell ist, installiere mal das SP1 für den ISA Server 2006 und führe eine Traffic-Simulation durch (nach der Inst. des SP1 unter TroubleShooting zu finden).

Vielleicht siehst Du da noch etwas genauer, wo das Problem liegen könnte.

Christoph

Sorry, hatte das mit den gleichzeitigen Downloads wohl überlesen :rolleyes:

Sind die 34 MBit denn auch als CommittedInformationRate zu verstehen (CIR)?Oder nur als das, was maximal möglich ist?

Das sollte im zwischen der Firma und der T-com ausgehandelten Vertrag stehen.

Wir haben z.B. auch eine E3-Leitung (aber nicht von der T-com), aber eine CIR von afaik 8Mbit, alles darüber hinaus ist möglich, aber nicht garantiert.

Wenn ich mir das hier ansehe, ist die CIR Verhandlungs-/Preissache... und geht von 256KBit bit 155MBit.

http://mittelstand.t-systems.de/tsi/de/425394/Home/Mittelstand/Produkte-und-Loesungen/Breitband-und-Internet/Internetzugaenge/Company-Connect/1-company-connect

Wenn ihr jetzt 4 MBit/s hättet, entspricht das 4 MBit/8 = 512 KB / s. Bei 10 Mbit kommst Du auf eure Übertragungsrate von 1.2 MB/s...

Christoph

Ich denke, die Server der Anbieter sind ausreichend schnell angebunden und auch die Dateigrößen sind ausreichend groß

Bestimmt, aber vielleicht machen die auch traffic-shaping, damit die Leitungen auf ihrer Seite nicht zu schnell ausgelastet werden.

Christoph

Du solltest das Passwort mal testweise im Usernamen-Feld eingeben, um zu sehen, ob nicht durch ein falsches Tastatur-Layout falsche Zeichen eingegeben werden (y statt z, : statt ö oder dergleichen).

Christoph

Falls euch im Büro mal zu langweilig wird, könnt ihr ja das hier mal anregen ;)

erbert.eu | Blogmeldung anzeigen

Ist das ein Domain-client? Wenn ja, wird das wohl vom Admin per GPO so vorgegeben sein. Dann musst Du dich an den wenden.

Christoph

Das kommt schon mal vor.

Gib das @ Zeichen mit Ctrl-Alt-@ oder mit Alt-GR und 64 auf der Nummerntastatur ein.

Christoph

Das hier sollte doch genug sagen:

weil die IP-Zieladresse nicht erreichbar ist

Es ist keine Route ins 10.178.254.0/24 Netz definiert. Sonst würde er nicht versuchen, dieses Netz über das Default Gateway zu erreichen.

Gib also den Befehl

route add -p 10.178.254.0 mask 255.255.255.0 <ip des routers im internen Netz>

ein.

Für das 172er Netz ist aber schon solch eine Route definiert, die das interne Interface benutzt.

Du müsstest im ISA Server und Monitoring/Alerts auch entsprechende Warnmeldungen haben.

Christoph

Bin jetzt nicht der große SQL Experte.

Ich denke, du solltest am SQL Server entsprechende Views oder Stored Procedures erstellen, und diese dann vom Access Front-End aus aufrufen.

Christoph

Jo, aber ist das nicht vielleicht ein bischen viel?! Selbst wenn die virtualisiert laufen, sind das immer noch ne Menge physische Maschinen, die man da braucht...

Christoph

Dann liegt es wohl, wie ich schon vermutet habe, wohl auch nicht am ISA, sondern am XP Client oder am Telnet Server.

Christoph

Die Fehlermeldung fällt wohl wirklich in die Kategorie "top secret", oder wie? ;) Ebenso ob es Eventlog-Einträge gibt, und wenn ja welche...

Sorry, aber mit sowenig Informationen kann man Dir nicht wirklich helfen :rolleyes:

Christoph

Ich wäre für die 5. Möglichkeit :D

Im Ernst, kann das möglich sein, dass man derart viele neue Server braucht :shock: :shock:

Christoph

Hast Du eine OU "Computer" (ohne S) erstellt? Dann kannst Du die Computerkonten dareinverschieben und GPOs dran binden.

"Computers" (mit S) ist ein Container, da kann man keine GPO verlinken; auf Computerkonten, die sich dort befinden, wirken nur GPOs, die auf Domain-Ebene verlinkt wurden.

Christoph