Wolke2k4

Ich empfehle Hidecalc, ist Ideal für das Ausblenden von Laufwerken und IHMO auch mit Office nicht zu knacken. Das der Explorer ins entsprechende Profil hüpft kann man verhindern, indem man Kontextmenüs und Co. deaktiviert und eine Verknüpfung mit dem Explorer auf den Desktop und/oder die Schnellstartleiste leigt. Die Explorerverknüpfung kann bspw. so aussehen: "explorer.exe /n, /e, h:\" damit springt der Gute gleich in das LW H...

W2K SP4 und Citrix Presentation Server XP würde ich nicht empfehlen. SP4 und Citrix war seinerzeit der absolute Horror und die reinste Verschlimmbesserung. Ohne Image sollte man sich da nicht ran trauen.

Was für ein TS? NT, W2K, W2K3, mit oder ohne Citrix Presentation Server?

Das würde ich eher nicht so sehen. Das Einzige was höchstens dauert ist der Vorgang bis das Blatt aus dem Drucker kommt. Insbesondere bei größeren Druckjobs und schmalen WAN verbindungen entsteht schnell ein Flaschenhals. Auch das Druckermapping kurz nach der Anmeldung dauert ein paar Sekunden, fällt in der Regel jedoch nicht auf. Das generelle Verhalten der Drucker (öffnen des Eigenschaftsdialogs usw.) unterscheidet sich von der Geschwindigkeit in der Regel aber nicht. Wenn ja dann liegt das Problem woanders.

Richtig, NT ist da ein wenig eigen. Bleibt eventuell folgende Variante: 1. Windows XP Maschine im Novell Netz als temporären Printserver "missbrauchen" 2. Auf diesem alle benötigten Drucker installieren und dann an die NT Clients anbinden. Somit kannst Du das Problem mit dem Standard TCP/IP Port erstmal umgehen.

Würde ich auch so sehen. ICA ist kein Protokoll, was man mal eben in einer Würstchenbude nachbauen kann und es ist absolut nicht kompatibel zu RDP. Das wäre so, als wenn Du versuchst in einem IPX Netzwerk ohne TCP/IP "irgendwie" auf einen Server oder Drucker mit IP zuzugreifen.

Andere Einträge in den Eventlogs, die zeitlich zu Deinen Verbindungsversuchen passen?

Korrekt...

Ich will die Migrationspläne ja nicht stören aber bis Du sicher, dass Du den TS auf diese Art und Weise "installieren" willst? Ein Terminal Server ist kein Fileserver, wo man mal mit der ein oder anderen Macke leben kann. Wenn die Kiste nicht rund läuft werden sich die Nutzer bei Dir bedanken. Eine Neuinstallation eines TS ist sicher immer eine zeitintensive Geschichte aber um das System stabil und langfristig am Laufen zu halten macht es absolut Sinn... Die Zeit, die Du bis jetzt bei der Migration verschenkt hast hättest Du besser in eine Neuinstallation investiert.

Ich weiss, dass es mit Citrix funktioniert, beim normalen TS bin ich auf dieses Szenario (Gott sei Dank) noch nicht gestoßen. Was sagt das Eventlog des TS? IPX ist sicher nicht das Einzige Protokoll, was auf den Druckern gefahren werden kann. Eine Alternative wäre TCP/IP für die Clients und die Drucker einzurichten und ggf. die Drucker lokal über Standard TCP/IP Port einzurichten. Allerdings hast Du dann das Problem, dass diese zusätzlichen lokalen Drucker nicht Standarddrucker sind und höchstwahrscheinlich als solche auch nicht in die Session gemappt werden. Die wahscheinlich geeignetere Variante wäre: 1. Drucker in ein TCP/IP Netz stecken, mit dem lokalen Cisco Router als default GW versehen. 2. Drucker auf einem Printserver am TS Standort installieren. 3. Benötigte Drucker in der TS Session der Nutzer über den Printserver installieren. Problem hierbei allerdings (neben dem Aufwand): Der TS schickt die Druckdaten unkomprimiert direkt über den VPN Tunnel zum Drucker. Bei größeren Druckjobs sicher kein Vergnügen. Ansonsten wüsste ich als "Novell DAU" erstmal keine Möglichkeit...

Nicht wirklich... Allerdings wüsste ich auf die Schnelle auch nicht, wo man da ansetzen soll. Hast Du mal mit den Druckern ein wenig rumgespielt, andere Treiber benutzt, Dummy Drucker (die nicht wirklich existieren) installiert ?

Wie groß sind denn die Profile? Zum Test einfach mal ein neues Profil erstellen.

Hast Du mal in den GPO Einstellungen für den Internet Explorer geschaut (Sicherheitseinstellungen)?

Es ist ein gesunder Mix aus beidem, der für den Einsatz von Terminal Services spricht. Das "rapid deployment" der Anwendungen ist der eine Vorteil. Die geringeren Kosten für eine ausgereifte Thin Client Umgebung ein weiteres Argument. Wobei man nur sehr selten reine TC Umgebungen vorfindet. Nachteilig wirken sich der Know-How Faktor aus, wie bereits von Workaholic angesprochen. Kritisch wird es vor allem beim Drucken. Und gerade in diesem Bereich glänzt Citrix derzeit mit dem Presentation Server 4.0 nicht. Von den Anwendungen gibt es eigentlich kaum Beschränkungen, es sei denn, sie werden vom Anwendungshersteller vorgegeben. Da heute aber kaum ein Hersteller an den Terminal Diensten vorbei kommt ist dies in der Regel eher selten das Problem. Der Performancegewinn bei Anwendungen ist meist auch davon abhänig, welches Client Endgerät ich an den TS anbinde. Während ein P4 mit 3 GHz sein Office 2003 flüssig und ohne Probleme öffnen kann würde ein Office 2000 auf einem 4 Jahre alten NT Client schon ins Schwitzen kommen. Hier macht sich die Beschleunigung durch den TS natürlich besonders bemerkbar. Das Thema ist sehr komplex und bei der Einführung der Terminal Services sollte man sich gut beraten lassen. Citrix bspw. verspricht viel, die Praxis zeigt aber oft, dass der Weg zum Ziel steinig ist. Wenn man es konsequent umsetzt sollte man sich auch bewust sein, dass der Weg zurück unmöglich bzw. mit einem enormen Kostenaufwand verbunden ist.

Uff... über 1.400€ für die X550 ist ein wenig viel für diese "kleine Funktion".

Hier ein Link von Watchguard. Ich mach mich gerade schlau, was das einfachste Modell kostet. Parallel habe ich mal mit dem Support eines Routerherstellers gesprochen. Dort meinte man, dass diese Art des "Firewallings" IP technisch "nicht sauber" ist und von seinem Unternehmen nicht untersützt wird. Mich interessiert aber schon, wie das technisch geht. Logisch wäre für mich, dass das Filtering auf Layer 2 beginnt. Ziel soll aber sein bestimmte Pakte, IP Adressen (meist "any") usw. zu filtern. Hier verlassen wir aber wieder Layer 2... Arbeiten die "Teile" wirklich so transparent, dass bei korrekter Einrichtung der (erwünschte) Traffic auch über diese "Bridgewall" geht? Gibt es für dieses Verfahren eigentlich einen offiziellen Standard oder sind das Herstellerstandard? Ich wäre sehr an ein paar technischen Backgroundinfos (die den Vorgang technisch ein wenig ausführlicher erklären) interessiert .

Sind es nicht 255x254 Geräte? ;)

Tritt das Problem auch lokal ohne TS Session auf?

Beispiel: Client baut VPN Verbindung zum TS auf Client setzt dauerping auf TS ab Client startet RDP Verbindung und lässt sie ohne aktive Nutzung offen Nach spätestens 120 Sekunden testet der Client, ob die Connection (sowohl VPN als auch RDP) noch steht.

OK danke erstmal für die Infos! Werd mich mal schlau machen.

Ein spezielles Modell? Sollte nicht zu teuer sein. Würde sowas auch mit einer Windows XP Maschine gehen? Da kann man doch auch sowas wie Bridging aktivieren... Nachtrag: Szenario ist ganz einfach: Host A ist eine Firewall von einem Fremdanbieter mit einer IP aus dem secure Lan, die nicht unter der Kontrolle des Admins steht sondern extern betreut wird und relativ offen ist. Auf Host A könnten bspw. mit ACLs entsprechende Sicherheitsfilter aktiviert werden, aber der Fremdanbieter sieht keine Veranlassung dazu. Ergo, benötigt man eine Bridge Firewall um sich den Kram mit dem Routing zu ersparen, denn die IP des Host A kann nicht ohne Weiteres angepasst werden.

Hallo, bisher hatte ich nur mit Firewalls zu tun, die nur über ein entsprechendes Routing funktionieren. Mal eine dumme Frage: Gibt es einen Weg und/oder Produkte, die Firewallfunktionalität auch ohne Routing ermöglicht? Sozusagen sowas wie eine Bridge Firewall? Beispiel: Host A | Firewall | secure LAN Host A = 192.168.20.1/24 Firewall = 192.168.20.2/24 secure LAN = 192.168.20.3 - 254/24

Wenn es genau 90 Sekunden sind solltet ihr mal die Einstellungen der Sonicwall checken. Testen kann man das auch, indem man vom TS Client die RDP Session einfach mal 2 Minuten auf inaktivität stellt und vorher aber einen Dauerping zum TS über die Leitung huschen lässt. Dumme Frage aber arbeitet abends jemand auf dem TS?

Ja ja, wenn man nicht immer mit Emotics arbeitet können schnell Missverständnisse auftreten... ;) Mit dem LAN in dem Meso läuft ist das physische Netzwerk gemeint, in dem auch der/die Server steht(en) auf dem/denen das Meso Verzeichnis liegt und die MESO DB läuft. Aber mir ist gerade aufgefallen, dass ihr ja an allen AP Kartenlesegeräten einsetzt, von daher ist dieser Weg natürlich Käse. Was ist mit den Kartenlesern die in den Tastaturen integriert sind?

Mein Posting erhebt keinen Anspruch auf einen Lösungansatz sondern war ein gut gemeinter Hinweis. Ob und wie Du ihn verwerten kannst musst Du selber wissen, das denken kann und will ich Dir nicht abnehmen... Vielleicht solltest Du auch mal mit der Fa komuna sprechen, was für Deinen Fall sinnvoll ist und was nicht. Wenn die nicht weiter wissen einfach an HSH wenden, die beissen nicht.