Christoph35
-
Gesamte Inhalte
3.624 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Christoph35
-
-
Hier mal ein Link zu Terminal Services untern W2K8:
Im Oktober soll auch noch ein ResourceKit zu Terminal Services erscheinen.
Christoph
-
Jo, hast recht. Den alternativen DNS trägt man erst ein, wenn alles richtig läuft.
Christoph
-
Ich würde für die DNS Konfig den jeweils anderen DC noch als 2. DNS Server eintragen.
Oder an beiden DCs den SBS als primären DNS Server und den DC2 als sekundären.
Ist WINS denn auch auf beiden DCs installiert? Ist die Wins-Repl. konfiguriert?
Christoph
-
Der ISA sit kein Mitglied der 2003 SBS Domain.
:cry:
Wieder einer, der meint, der ISA als Non-Domain-Member wäre "sicherer"....
Schau mal hier:
Debunking the Myth that the ISA Firewall Should Not be a Domain Member
Ansonsten:
der Fehler mit dem CN des zertifikats ist einer der häufigsten:
http://www.shijaz.com/isaserver/top_10_isa_blunders.htm
Christoph
-
Das Default Gateway auf der internen NIC würde ich bei einem Rechner mit 2 NICs immer leer lassen; falls andere Netze angesprochen werden müssen, baut man eben eine entsprechende Routing-Tabelle.
Siehe auch hier:
http://www.shijaz.com/isaserver/top_10_isa_blunders.htm (Punkt 11)
Auch wenn es sich hier nicht um einen ISA Server handelt, kann man das doch auch darauf anwenden.
Christoph
-
Ich würde auch jetzt nicht mehr die 350 machen, sondern die zum ISA 2006 also 70-351.
Falls ihr einen ISA 2004 habt: Auch den würde ich durch den 2006er ersetzen, falls möglich... gleiche GUI, aber hat halt ein paar nette neue Features, besonders mit dem SP1.
Christoph
-
Hi giffy
Danke für deine Antwort. Die Site wird aufgelöst, da es einfacher ist alles in einer Domain zu verwalten. Die Mitarbeiter bleiben uns aber erhalten ;) Die Objects befinden sich allerdings an einem anderen Standort, welcher über eine performante Leitung angeschlossen ist.
Nachtrag, es handelt sich um eine Child Domain - sorry.
Aha, dachte ichs mir doch...
Gut, ich denke, ihr solltet das mit dem ADMT regeln, gibts zwar jetzt in einer neuen Version 3.1, die auch mit Windows Server 2008 umgehen kann.
Aber: Vielleicht schaut ihr erst mal, dass ihr die Domain loswerdet und stellt dann in einem 2. step auf 2008 um. Nicht beides auf einmal.
Christoph
-
Nur damit ich dich richtig verstehe, ihr habt in eurem Forest 2 Domains und die ChildDomain (nicht Site) soll aufgelöst werden und deren Objekte in die Forest-Root-Domain migiert werden?
Christoph
-
Wenn mal alle so vernünftig wären. Aber dann wären wahrscheinlich "scharenweise" DNS-Admins auf dem Markt. ;)
Bye
Norbert
Mag sein... BIND ist damit jetzt bei uns aber nicht aus dem Spiel, wird halt jetzt als Forwarder genutzt und hat eine Secondary Zone der AD-Zone.
DNS ist hier ein Thema für sich, von daher bin ich echt froh über den Kompromiss.
Christoph
-
Bei uns wollten die Kollegen das auch erst über BIND geregelt haben. Man hat dann aber festgestellt, dass das doch etwas viel Aufwand ist. Wir haben dann DNS auf den DCs installiert... ;)
Christoph
-
Warum ist der ISA kein Domain-Member?
Lies mal das hier:
Debunking the Myth that the ISA Firewall Should Not be a Domain Member
Christoph
-
Die Zeit für die Passwort-Warnung lässt sich auch über GPO einstellen:
ComputerConfig / Windows Settings / Security Settings / Local Policy / Security Options / Interactive Logon:Prompt user to change password before expiration
30 Tage finde ich auch zu häufig. Bei uns waren es 60 Tage, jetzt sind wir sogar auf 90 Tage gegangen. Dafür haben wir Komplexität gefordert.
Christoph
-
Da das PPS-System dies nur als nicht autorisierter User schicken kann und ISA dies daraufhin nicht durchläst.
:suspect:
Da sollte sich doch wohl eine FW-Regel definieren lassen, die Traffic vom betreffenden Rechner auf den betreffenden Ports auch für anonyme User zulässt...
abgesehen von dem Sicherheitsrisiko, kann OWA (soweit ich weiß) nur auf die Postfächer zugreifen die sich auf dem Mailserver direkt befinden. Dass bedeutet es bringt nichts einen Mailserver ohne Postfächer bereitzustellen.
:suspect:
Wo hast du denn diese Info her?!
Das stimmt nicht, bei Exch. 2003 gibt es sogenannte Front-End-Exchange Server, die den Postfachinhalt automatisch vom korrekten Backend (Mailbox-)Server holen.
Bei Exchange 2007 heißen die Rollen Client-Access- bzw. Mailboxserver.
Front-End-Exchange Server können/sollten auch im internen Netz stehen, nicht in einer DMZ.
Christoph
-
Mit 50/50 machen wir es in unseren Aussenstandorten. Allerdings noch mit einer kleinen Variante. Wir geben dem Scope alle Adressen eines Subnetzes (meistens handelt es sich bei uns um /24er Netze, damit also von .1 bis .254) und definieren unterschiedliche Ausschlussbereiche.
Christoph
-
Es gibt recht viele Hersteller die auch Reverse Proxy's anbieten.
Das mag sein, aber kennst Du auch welche, die Exchange-Publishing so elegant lösen, wie der ISA?
Das mit dem CAS hab ich in meiner 1. Antwort glatt überlesen, da habt ihr natürlich recht, dafür ist der Exchange Edge nicht gedacht und das kann der auch nicht. Wie ich schon schrieb, ist der nur für SMTP gedacht und Messaging Hygiene (Spam-Filterung).
Christoph
-
Ist euch der ISA nicht mehr sicher genug, oder warum wollt ihr den nicht mehr nutzen? Der hat eigentlich gegenüber einer "normalen" Firewall eben im Bereich des Publishing von OWA u.ä. viele Vorteile.
Der Ex. 2007 Edge macht nur SMTP. Wenn, dann könntet ihr also versuchen, den als Smart-Host zu verwenden. Aber getestet hab ich sowas noch nicht.
/edit: hab gerade mal ein bischen gesucht, es gibt tatsächlich einen Technet-Artikel von MS, der sich damit befasst:
http://technet.microsoft.com/de-de/library/bb123774(EXCHG.80).aspx
Christoph
-
Ok, dann musst du in der Default-Domain-Policy die Anforderung zur Komplexität des PW deaktivieren. Das gilt dann aber eben für ALLE User.
Die PW-Richtlinien gelten auch für den Domain Admin und sollten GERADE für diesen gelten.
Es gibt aber eine Ausnahme: wenn das PW vor dem DCPromo (trotz Warnung) nicht den Komplexitätsanforderungen genügte, wird das PW des lokalen Admin für das Administrator-Konto übernommen.
Ansonsten hat Norbert mit seinen Ausführungen natürlich recht: was ist das für ne Anwendung die unbedingt Admin-Rechte braucht?
Christoph
-
Hallo,
PW-Richtlinien gelten domainweit (sofern es sich nicht um Win 2008 handelt).
Was willst Du erreichen?
Christoph
-
Meine Frage zielt darauf ab, dass die 1. beiden doch die DNS-Daten in einer Partition abgelegen, die es auf W2K-DCs nicht gibt. Täusche ich mich hier?
Wenn ich mir die Hilfe in dem Dialog anschaue, sehe ich, dass man die Option "To All Domain Controllers in the Domain xyz.de" für W2K DCs nehmen sollte:
...Choose this option if the zone will be replicated to domain controllers running Windows 2000Christoph
-
- Am 2003er ist die FLZ AD-integriert gespeichert
Mit welchem Replikationsbereich?
Alle DNS Server im Forest`? In der Domain? Alle DCs in der Domain?
Christoph
-
Von sowas hab ich noch nie gehört.... :suspect: Wie sollte sowas auch funktionieren... :confused:
Christoph
-
Mag schon sein, dass es daraus hervorgeht, ist aber trotzdem nett, wenn man das auch so als Frage formuliert ;)
Also, ich geh mal davon aus, die Dienste stehen auf Autostart, so wie es sein sollte.
Gibt es denn noch weitere Eventlog-Einträge (im Application Log)?
Christoph
-
... viel text ...
Und was ist jetzt deine Frage`? :confused:
-
Die Frontfirewall soll nur als weitere Schutz für die zweite Firewall dienen.
:suspect:
Ich glaube, da besteht dringender beratungsbedarf ... :nene:
Eine DMZ ohne Inhalt ist wirklich Geldverschwendung.
Ausserdem ist der ISA Server auch ohne eine HardwareFW davor sicher genug. Als Lektüre empfehle ich da mal diese Artikel vom ISA-Server-Papst Tom Shinder:
Teaching the Boss and the Network Guys About the ISA Firewall (Part 1)
Teaching the Boss and the Network Guys About the ISA Firewall (Part 2)
Christoph
Daten aus AD auslesen und in ein anderes AD einlesen per Script
in Windows Forum — Scripting
Geschrieben
Vielleicht ist auch das IIFP was für Dich:
Download details: Microsoft Identity Integration Feature Pack SP2
Christoph