Wolke2k4

zudem ist die fragerei von dr. melzer in vielerlei hinsicht berechtigt. z.b. traffic von wo nach wo, quasi welcher client tut was ist rechtlich bedenklich und erfordert die zustimmung vom betriebsrat und mitteilung der mitarbeiter das geloggt wird was sie tun.

Tschuldigung das ich als Zuschauer die nette Raterunde belästige aber ein Forum ist doch in der Regel dazu da um sich gegenseitig zu helfen oder?

Wer hier was mit welchen Tools tut oder eben nicht sollte doch jeder selber entscheiden oder?

Mir ist schon klar warum man in diesem Board so vorsichtig ist aber man sollte es auch nicht übertreiben.

Was spielen die Clients für eine Rolle?

Wunderhübsch!!! Werde ich bei Gelegenheit mal ausprobieren.

Danke!

Moin,

nachdem wir eine Migration von NT 4.0 nach W2K3 durchgeführt haben "schreien" die Nutzer, dass der Dateizugriff (vor allem das öffnen von Word Dateien) jetzt länger dauert.

Die Umgebung besteht derzeit aus einem W2K3 DC, zwei Windows 2000 Member Servern und drei WinNT Servern. Der File Server auf dem die Word Dokumente liegen gehört unter anderem zu den Win NT Maschinen.

Kann diese Mischumgebung zu verlängerten Dateizugriffen führen??

Hallo zusammen,

gibt es einen Weg, Gruppenrichtlinien computerbezogen zuzuweisen?

Beispiel:

Es gibt die Nutzer X und Y, die lokal an einem PC aber auch auf einem Terminal Server arbeiten. Nun ist es so, dass der Gruppe der Nutzer X und Y eine Gruppenrichtlinie zugewiesen wurde.

Problem: Diese Gruppenrichtlinie greift natürlich auch bei der Arbeit mit dem lokalen PC. Wird nun beispielsweise das Herunterfahren des Systems per GPO verboten, können die Nutzer X und Y den Terminal Server nicht mehr herunterfahren (administrative Rechte vorausgesetzt), was natürlich gewünscht ist. Jedoch ist jetzt das Herunterfahren des lokalen PCs ebenfalls nicht mehr möglich!

Man könnte dieses Problem durch das anlegen zweier Nutzerkonten umgehen, dies zieht jedoch andere Probleme nach sich, ist also kein Ausweg.

Die Frage ist also, ob sich die GPOs auch an bestimmten Computern festmachen lassen. Alternativ würde es auch reichen, wenn die Domain GPOs nicht auf dem lokalen PC greifen.

Windows 2003 Terminal Server laufen.

Der zwingend auch einen W2K3 Terminallizenzierungsserver benötigt! Diesen installiert man in der Regel auf einem DC. Da dein DC ein W2K Server ist muss die Terminaldienstelizenzierung auf dem W2K3 Terminalserver installiert werden, weil nur ein W2K3 Lizenzierungsserver TS CALs für einen W2K3 TS ausstellen kann (einen W2K TS bedient der W2K3 Lizenzierungsserver natürlich auch).

Beim installieren der CAL habe ich wohl den Fehler gemacht und diese nicht auf einem DC sondern auf dem Terminal Server selbst installiert.

Dies ist der einzig mögliche Weg in deiner derzeitigen Umgebung! Nachdem die Terminalserverlizenzierung aktiviert wurde müssen noch die TS CAL Token eingespielt werden und das war's.

Jetzt habe ich auf einem DC ebenfalls den Terminal Server installiert

Hmmm... ganz schlecht. Sowas macht man eigentlich nicht. Wir haben einen Kunden, der alles auf einer Maschine zu laufen hat (DC, Anwendungen, Datenbanken, Terminal Server und oben drauf Citrix MetaFrame). Bis jetzt läuft noch alles... *aufdentischklopf*. Nachdem wir das FR3 von MetaFrame installiert hatten schmierte die Kiste mit einem Bluescreen ab.

Image sei Dank konnten wir den Schaden wieder rückgängig machen. In jedem Fall sollte man DC und Terminal Server aber trennen. Ein TS ist mit der entsprechenden Anzahl an Anwendendungen schon heiss genug. Läuft der DC dann noch drauf brauchts nur einen 13. Freitag und schon läuft garnichts mehr...

aber wie bekomme ich jetzt die CAL auf den DC, damit die gekauften Lizenzen auch ausgestellt werden? Im Moment sind nur temporäre Lizenzen im Einsatz, die in elf Tagen jedoch ablaufen.

Da du bereits die Terminaldiestelizenzierung auf dem W2K3 TS installiert hast benötigst du eigentlich keinen weiteren TS Lizenzierungsserver.

Wenn der TS auf dem DC bleiben soll empiehlt sich eventuell die Lizenzierungsserver jeweils auf den entsprechenden Maschinen laufen zu lassen. Das heisst auf dem W2K DC/TS läuft der Lizenzierungsdienst sowie auf dem W2K3 TS.

Bedenke bitte, dass dann mit an Sicherheit grenzender Wahrscheinlichkeit jedem TS sein Lizenzierungsserver manuell zugewiesen werden muss!

Alternativ kann man die Lizenzierung vom DC entfernen und diesen dann dazu zwingen den W2K3 TS Lizenzserver zu nutzen. Die entsprechenden CALs für die TS sind natürlich vorausgesetzt.

TS Lizenzierungsserver für W2K3 manuell zuweisen: KB279561

TS Lizenzierungsserver für W2K manuell zuweisen: KB239107

Hast Du im Hauptstandort eventuell DHCP/DNS/WINS etc.

zur Verfügung, welche Du für die Client's nutzbar machen willst ?

Gibt es erstmal nicht...

Mit diesen Info`s kann ich nun aktiv werden!

Habe da Heim selbst einen 801 und werde Dir am Weekend mal eine Config bauen ! Eher geht leider nicht, da ich ab heute Mittag noch nen Thermin habe und morgen auch voll ausgebucht bin.

 

Wenn's also recht ist, Montag auf diesem Kanal ! :D

Das ist mehr als ich verlangen kann, thx!!!!!!

Wichtig! Über den Registry Schlüssel teilst du einem Terminal Server mit, welchen Lizenzserver er sich schnappen soll.

Wenn zwei Lizenzierungsserver vorhanden sind schnappt sich das Lizenzierungssnap-in in der Regel automatisch immer den Lizenzierungsserver, der bereits aktiviert ist. Wenn du den neuen Lizenzierungsserver noch nicht aktiviert hast hol das einfach nach. Gegebenenfalls musst du den neuen Lizenzserver manuell zum Snap-In hinzufügen.

Nachdem du jedoch nur noch einen Lizenzserver laufen hast sollte dieser automatisch angezeigt werden...

Jedoch noch ein paar fragen.

Was ist z.B. mit den Telefonkosten ?

Die werden durch den 12Cent/Stunde Tarif der Telekom schön niedrig gehalten. Ein Idle Timeout von 15 Minuten würde sich in diesem Fall empfehlen.

Soll der Router 2 eventuell alle Anrufer zurückrufen ?

Callback ?

Nein. Nur Router 1 soll Router 2 anwählen. Die Kosten trägt der Standort mit dem Router 1. Callback ist in diesem Fall also nicht nötig.

Für RAS darf es unbedingt Callback sein. Schliesslich müssen wir unsere Telefonrechnung nicht unnötig belasten... ;)

Wie sieht es aus mit der Kanalbündelung ?

Ganz heisses Thema! Muss in jedem Fall realisiert werden, da bei größeren Drucks entsprechend mehr Daten anfallen!

Wenn Du einen standard 801 Router hast, dann hast Du

in der Regel nur ein BRI, und sollte darüber die Anbindung der Aussenstelle stehen, kann sich keiner mehr wie RAS

einwählen!

Schon klar soweit. Solange beide Kanäle besetzt sind ist auch kein rein und raus mehr über RAS oder dergleichen. Da wir aber zunächst davon ausgehen, dass hauptsächlich nur jeweils einer der beiden B Kanäle genutzt wird ist das schon ok so. Es wird ja auch nicht rund um die Uhr über die Leitung gearbeitet. RAS ist nur für remote Administration gedacht (allerdings auf beiden Routern).

Soll eventuell die Aussenstelle über load-threshold die Kanalbündelung aushandeln um einen B-Kanal in reserve

für eine RAS Einwahl zu haben.

Bei anderen Router Herstellern heisst es BoD (Bandwidth on Demand) oder dynamic channel bundling. Ich nehme mal an, dass es bei Cisco der load-threshold.

Wie oben geschrieben soll der zweite Kanal dynamisch bei erhöhtem Datenverkehr zugeschaltet werden

Oder soll eine RAS Verbindung höher priorisiert werden um auch eine Einwahl zu ermöglichen wenn die Aussenstelle beide Kanäle besetzt ?

Ist nicht nötig.

Was ist mit den RAS Client ? Soll die Nummer überprüft werden ?

Wäre in diesem Fall eine eine einfache Fritzcard. CLID ist nicht nötig.

DHCP oder Feste IP ? (Könnte eventuell die Nr. Überprüfung ersetzen) DHCP konfiguriert man in der Regel mit einem dialer pool, für Rückruf wäre eine rotary-group von nöten.

Wäre schon toll, wenn der Router die IP für den RAS Zugang selbst vergibt. Für die Router-Router Verbindung reicht es, wenn die beiden Netze über eine entsprechende Route miteinander verbunden werden. RIP wäre überzogen...

Jedoch würde ich eher zu zwei dialer gruppen tendieren und via dialer map ip die Adr. fest vergeben!

Damit lässt sich in der Regel anschließen eine Access-List besser festzurren, weil Du, so denke ich dies tun must um eine 128KB Verbindung der Aussenstelle mit einem idle-timeout von 5min auch mal austimen lassen solltest, damit eine RAS Einwahl wieder möglich wird !

Nur zur Sicherheit noch mal. Es soll zunächst nur EIN Kanal genutzt werden. NUR bei Last soll sich der zweite Kanal dynamisch zu und später selber wieder abbauen (und dies auch nur für die Router-Router Verbindung, für RAS reicht ein Kanal)...

Ich danke Dir erstmal für diese Beispielconfig. Wenn ich die Hübschen hier habe setze ich mich bei Gelegenheit ran. Hättest du eine Beispielconfig, die die oben genannten Punkte berücksichtigt?

Original geschrieben von butcher308

Ein Port von einem Switch hat doch keine IP.Der arbeitet ganz stupide auf Layer2 und leitet nur weiter in entsprechende Segmente weiter.

Je nachdem was für ein Switch es ist kann man auch diesem eine IP verpassen, sogar auf allen Ports. Logischerweise ist es dann aber kein Layer 2 Switch mehr...

Zu Toni

An deiner Stelle würde ich mir den Kauf von teurer Hardware sparen und stattdessen mit ensprechenden Router Sims arbeiten. Das bisschen IOS was du für die Prüfung brauchst kannst du dir auch über diesen Weg und das Curriculum aneigenen. Zumindest war es damals bei mir so. Ich weiss allerdings nicht, wie es mit der 801 aussieht. Dazu können die aktuellen CCNAs sicher was sagen. :)

siehe MS KB 239107 für W2K

Da gibt es nicht viel zu erzählen.

Router 1 in Außenstelle

Router 2 in Hauptstandort

Entfernung ca. 20 - 30km

Die Einwahl soll nur von der Außenstelle erfolgen, da diese via RDP auf den Terminalserver zugreift. Idle Timeout = 5 min und natürlich BoD also dynamic channel bundling (ich hoffe der 801 kann das auch)...

Und ganz WICHTIG: RAS Einwahl auf beiden Routern!!!

Danke erstmal für die Links!

siehe: Q&A

Moin zusammen,

nachdem ich mein CCNA vor knapp 1 1/2 Jahren gemacht habe wird es nun "ernst".

Ich muss demnächst eine LAN2LAN Kopplung mit zwei Cisco 801 realisieren. Dazu muss, logischerweise, irgendeine Config für beide Router her. Meine Frage: Gibt es ein Withepaper für die Einrichtung einer Config für eine LAN2LAN Kopplung auf einem 801 (idealerweise auch mit RAS Einwahl)? Was ist mit dem Config Maker???

Ich habe schon einen kleinen Blick auf die Cisco Seiten geworfen aber so richtig fündig wurde ich noch.

Theoretisch sollte aber diese Doku auf den 801 anwendbar sein????

Ein paar Befehle werde ich sicher noch hinbekommen aber für das Einrichten einer Router-Router ISDN Wählverbindung wird es nicht ganz reichen...

Original geschrieben von bri

Die Verbindung geht super. Ich sehe nur kein Rechner in der Netzwerkumgebung nur meine Arbeitsgruppe und meine Rechner, nur halt nicht die Arbeitsgruppe des anderen Rechners mit dem ich mich über VPN verbinde.

Also funtkioniert die Verbindung doch nicht????

Wie schaut es mit einem Ping in das andere Netz aus??? können sich beide Netze sehen???

Propiers mal mit einer Softwarefirewall, die entsprechende Routingfunktionen mitbringt (bspw. Winroute)

Mit einem route add wirst du imho eine temporäre Route erstellen, die nach dem Rechnerneustart wieder futsch ist.

Selbst mit einem Anmeldescript ist sowas nur eine Notlösung, wenn überhaupt. Eine entsprechende Softwarefirewall oder Routing Lösung macht sich hier besser!

Eine statische Route sollte reichen und könnte etwa so aussehen:

10.250.0.0 Subnetmask 255.255.248.0 via 10.250.4.253

Dieses Routing müsste dann auf dem Router RO eingerichtet werden, der natürlich eine physische und logische Verbindung zu beiden Netzen haben muss...

Original geschrieben von Dr.Melzer

Was natürlich falsch ist!

 

Die CAL´s müssen gekauft sein!

Jaein, hab mich wohl ein wenig umständlich ausgedrückt.

Aus lizenzrechtlicher Sicht müssen die Lizenzen natürlich gekauft werden! Technisch gibt es derzeit jedoch keinen Mechanismus, der das vorhanden sein von per User Lizenzen prüft und ggf. den Zugriff auf den Terminalserver verweigert (wobei wir dann wieder beim Bezug zu diesem Thread wären).

Mit dem SP1 für W2K3 soll sich das jedoch wieder ändern...

In den Optionen für den Remotedesktopclient unter lokale Ressourcen --> lokale Geräte kann man den entsprechenden Haken setzen

PDA Synchronisation via USB wird es erst mit MetaFrame PS 4.0 geben, der allerdings erst Mitte nächsten Jahres auf den Markt kommt jedoch als Feature für die PDA synch. wohl etwas teuer sein dürfte....

Original geschrieben von Wurzerl

2) So wie Du es beschreibst, wurden noch keine Terminalserverlizenzen gekauft, daher hat der Server bis dato nur mit temporären Lizenzen gearbeitet, die jedoch nur 90 Tage vom ersten Start des Terminalanwendungsservers gültig sind.

Abhängig davon, wie lange der TS schon steht, was aus dem Posting nicht eindeutig hervorgeht...

Gezählt wird nicht ab Start des Terminalservers sondern ab Tag der Clientverbindung, weil die TS CAL bei per Device Lizenzierung am Client festgemacht wird. Wunderbar zu sehen in der Terminalserverlizenzierungskonsole.

Bei der per User Lizenzierung (erst ab W2K3) reicht lediglich das vorhanden sein eines Lizenzierungsservers...

Mal ne dumme Frage, welchen RDP Client nutzt du (Version)???

Das Einrichten einer entsprechenden Gruppenrichtlinie empfiehlt sich für dieses Szenario...

Temp Lizenzen stellt nur der TS Lizenzierungsserver aus, installiert werden diese nicht...

Wie schaut die Lizenzierung genau aus? Ich nehme an, dass du per Device lizenziert hast?

Habe ich das richtig verstanden, dass der TS neu aufgesetzt wurde????

Ich kann Dir nur raten eine Testumgebung aufzubauen und erstmal dort zu probieren. In der MS KB gibt es entsprechende Artikel zur Installation von Office auf TS.

Wenn es nichts mit der Testumgebung wird und du, aus welchen Gründen auch immer, am produktiven System rumschrauben musst/willst dann such dir am besten vorher ein entsprechendes Imageprogramm!!! Gerade bei Terminal Servern ist ein Image oft der Retter in der Not und die "Garantie" für ein fortbestehen deines Arbeitsvertrages...

In der Regel kann man mit Deploy Center und/oder Acronis True Image Server immer ein Image ziehen. Wenn das eine Programm nicht funktioniert dann springt das andere ein.

Was sagen denn die MetaFrame Lizenzen??? Wird David als published Applikation an die User verteilt? Was ist mit anderen Anwendungen, wie schaut es mit dem Desktop via ICA aus?