Christoph35
-
Gesamte Inhalte
3.624 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Christoph35
-
-
-
Ja, das wird oft übersehen, dass die Network-Rules auch passen müssen.
Die Regeln der Firewall-Policy können perfekt aufgesetzt sein, aber wenn die Netzwerkregeln nicht stimmen, wird es nicht funktionieren.
Hier mal was zum Nachlesen:
Creating Networks with ISA 2004 (Part 1)
Ist für ISA 2004 geschrieben, aber das gilt genauso für ISA 2006.
Christoph
-
Das ist schon mal nicht normal:
Destination: offizielle IP Adresse des ISA ServersDa sollte als Destination die Adresse des internen Servers eingetragen sein.
Hat dieses Testgerät eine IP Adresse, die der ISA Server dem externen Netz zuordnet?
Wie ist die Definition der Netzwerkregeln? Ist das noch die Standard-NAT-relationship zwischen externem und internem Netz?
Christoph
-
Im System Manager rufst Du die Eigenschaften der Exch.-Org. auf und aktivierst dann das Kontrollkästchen für "Administrative Gruppen anzeigen". Danach musst Du den System-Manager neu starten.
Könnte natürlich auch sein, dass sie bei euch anders heisst.
Christoph
-
Hallo christoph,
ich habe jetzt 2 Protokolle Definiert.
Protokoll 1234 mit 1234 TCP inbound
Protokoll 2345 mit 2345 TCP inbound
Das 2. kannst Du wieder löschen.
Regel 1From anywhere to 10.0.01 Protokoll 1234 Network External All users .
Eine einfache Non Webserver publishing rule.
Ok.
Regel 2
From anywhere to 10.0.0.2 Protokoll 2345 Network External All users .
Hier habe ich dann im menü traffic unter ports gesagt:
Send requests to this port on the published Server: 1324
Falsch, beide interne Server hören doch auf Port 1234, also musst Du auch from anywhere to 10.0.0.2 Protokoll 1234 sagen, und dann im Traffic Dialog auf Port 2345 veröffentlichen.
Von aussen muss dann für Server 1 auf ISA-Server:1234 zugegriffen werden, für Server 2 von aussen auf ISA-Server:2345.
Christoph
-
Ist das 3. Konto vielleicht ein Admin-Konto?
Description and Update of the Active Directory AdminSDHolder Object
Christoph
-
ich habe eine Protokoll definition erstellt.
Wo Beide Protokolle beinhaltet.
Beide Protokolle brauchen nicht drin zu sein. Nur das, auf das der interne Server hört. Das Veröffentlichen auf einem anderen Port hast Du ja in der Regel konfiguriert.
Wie sieht die Protokoll-Definition genau aus?
Wie sieht die Netzwerkregel aus? Ist das noch die Standard-Einstellung (NAT)?
Ich würde 2 Regeln erstellen und das Publishing für einen Server auf dem gleich Port wie intern veröffentlichen und bei der 2. Regel den Port wie von dir beschrieben, umleiten.
Christoph
-
AD ist doch eine per LDAP abfragbare Datenbank....
Übrigens:
Da steht auch noch mal eindeutig als Feature:
Unterstützung von Windows Active Directory für das BenutzermanagementChristoph
-
Wenn Du soviele Host-Adressen brauchst. Ist ja mal eben ne Vervierfachung. Dann hättest Du das Netz 192.168.8.0/22 und Adressen bis 192.168.11.254 zur Verfügung.
Vielleicht tut´s aber auch 192.168.10.0/23 (Maske 255.255.254.0).
Christoph
-
Vielleicht hilft Dir dieser 2 teilige Artikel weiter:
Christoph
-
Muss ich doch eigentlich nicht routen richtig?
Mit der richtigen Subnetzmaske nicht. Vorausgesetzt, die IP Ranges passen.
Muss mich jetz mal bissel einlesen ;)
Tu das ;)
Christoph
-
Hallo Leute,
mir ist da noch was im Hinterkopf das man im DHCP verschiedene Subnetzte zusammen fassen kann.
Du suchst wahrscheinlich nach Superscopes.
Christoph
-
Die CRL (Certificate Revocation List) muss abrufbar sein. Wenn die nur auf der CA selbst liegt, muss natürlich auch die CA erreichbar sein.
Alternativ könntest Du die CA so konfigurieren, dass sie die CRL auf einem ständig erreichbaren Server ablegt.
Christoph
-
Hallo
Also ich bin über Die Webseite
http://Http://localhost/certsrv gegangen.
Dort habe ich gesagt.
Download a CA certificate, certificate chain, or CRL
Dann Bekam ich die Übersicht mit meinem Zertifikat.
Als Option ist DER Ausgewählt.
Und da bin ich dann auf
Download CA certificate
Habe Speichern unter gemacht und das Zertifikat als cer Datei abgespeichert.
Das ist der Import des CA-Zertifikats, den braucht man, damit das Zertifikat der selbst eingerichteten CA auch als vertrauenswürdig betrachtet wird.
Und später hast Du dir dann dieses CA-Zert. angeschaut, nicht das, das die CA für IPSEC für den ISA ausgestellt hat. Für dieses CA-Zertifikat hast Du natürlich keinen privaten Schlüssel.
Du musst Dir das Zertifikat anschauen, das im Folder "Eigene Zertifikate" hinterlegt ist.
Für den anderen Fehler musst Du in den ISA Server SystemPolicies den CRL-Download erlauben.
Christoph
-
Ihr habt ja ISA 2006 im Einsatz, dann dürfte das SP1 evtl. von Interesse sein, schau mal unter Tips und Links, da findest Du den Link zum Download.
Gruß
Christoph
-
Ich verweise hier mal auf Grizzly´s Tutorial:
Christoph
-
Habt ihr schon probiert in dem internen DNS einen Eintrag a la
www.firmenname.de
anzulegen, der auf den Server beim Hoster verweist`?`
Christoph
-
-
Bestehe nicht so hartnäckig auf der Sicherung einzelner Mailboxen. Du hast in diesem Thread jetzt schon von mehreren Boardteilnehmern gehört, dass das keine zuverlässige Methode ist, die Exchange-Daten zu sichern.
Zudem haben wir Dir mehrere Möglichkeiten aufgezeigt, wie Du trotzdem an einzelne Mails kommst.
Wenn Du diesen Rat nicht annehmen willst, kann ich Dir auch nicht mehr weiterhelfen.
Christoph
-
Willkommen an Board!
Vielleicht helfen Dir diese Hinweise weiter:
How to move only the transaction log files (.ldf) to a different drive? - MSDN Forums
Christoph
-
Du meinst wahrscheinlich das Taskpad, im deutsche ADUC heißt das Aufgabenblockansicht. Rechtsklick auf die OU und dort "Neue Aufgabenblockansicht".
Funktioniert aber nur in einer neuen MMC, der man ADUC als Snap-In hinzufügt.
Christoph
/edit: too late :D
-
Hatte ich doch schon mal gepostet ;)
Ausserdem gibts da noch die Recovery Storage Group.
Man könnte den Infostore dorthin zurücksichern und dann mit ExMerge bzw. Mailbox Recovery Center arbeiten.
Für den Umgang damit, siehe:
Restoring Databases to a Recovery Storage Group in Exchange Server 2003
und speziell für BE:
Update auf BE 12 kam ja für dich leider nicht in Frage...
Ach ja, wie Günther auch andeutete, kann man ja auch gelöschte Elemente wiederherstellen, weil die ja auch erstmal nur als gelöscht markiert werden.
Man kann auch direkt aus dem Posteingangs- oder anderen Ordnern gelöschte Elemente wiederherstellen, wenn man einen Regkey setzt:
Using the DumpsterAlwaysOn option in Microsoft Outlook
Christoph
-
Hmm,
11 Stunden :shock:
Anscheinend machst Du immer noch Brick-Level-Sicherungen. Wie schon mal beschrieben, sichere einfach nur den Info.-Store und ggf. noch den SystemState des Exchange-Servers.
So eine Voll-Sicherung dauert bei uns für ~110 GB keine 2 Stunden, incrementelle Sicherungen unter der Woche sind in max. 20 Minuten durch.
Ich vermute mal, dass das Attachment Verzeichnis auch im Zusammenhang mit der Brick-Level-Sicherung steht; da wir die nicht machen, kann ich dir hier nicht weiterhelfen.
Christoph
-
Hallo,
Was passiert mit dem IIS, wenn ich später den Server hochstufe (dcpromo).Bleiben meine Funktionen erhalten?
Es gehen Berechtigungen auf vom IIS genutzten Ordnern verloren. Details siehe hier:
DCPROMO does not retain permissions on some IIS folders
Christoph
DNS-Zonenübertragung klappt nicht immer automatisch
in Windows Server Forum
Geschrieben
Falls Du die Links mit "Mabcdef" meinst: das sind in den meisten Fällen Links zu den MS Knowledgebase Artikeln.
Du kannst die auch direkt aufrufen mit support.microsoft.com/kb/abcdef/en-us.
Christoph