dippas

ja, so habe ich es auch verstanden. Fakt ist aber zumindest bei mir auf dem Laptop, dass Docusnap diesen Verbindungsversuch anstößt. Und aufgrund des Hinweises von Substyle kann man den Effekt ja reproduzierbar nachvollziehen und die Suche ein wenig eingrenzen. Bin mal gespannt .. ;-) grüße dippas

Super Tipp!! Kleine Ursache, große Wirkung: Unter Extras/Internetoptionen/Erweitert gibt es den Haken "Auf gesperrte Zertifikate von Herausgebern überprüfen" (IE7). Wenn dieser Haken weggenommen wird, fragt Dokusnap beim Start NICHT mehr nach einer Verbindung zu crl.microsoft.com und auch sonst funktioniert alles einwandfrei. Ist der Haken allerdings wieder gesetzt, kommt wieder die Verbindungsanfrage mit den dazu gehörigen Ergebnissen (wie beschrieben). Tja, nun gibt es zwar einen Workaround, aber das ist ja meines Erachtens sicherlich nicht der Weisheit letzter Schluss, oder? Die Frage, die ich mir so insgeheim stelle ist folgende: Was hat DS mit Zertifikaten zu tun? Wo ist da der Zusammenhang? Und wieso zu Microsoft? Wäre doch mal eine sportliche "Aufgabe", das zu erklären, oder? Jedenfalls zunächst mal vielen Dank für den entscheidenden Hinweis Subby grüße dippas PS: @subby: mail bietet sich an, bin in letzter zeit viel unterwegs.

Hallo, mein Notebook, auf dem Dokusnap installiert ist, ist KEIN Mitglied einer Domain, also nur Arbeitsgruppe. Mit Zertifikaten haben wir an dieser Stelle nichts an der Backe ;) Windows-Domains in denen wir uns rumtreiben haben im Allgemeinen auch nichts mit Zertifikaten für die Authentifizierung am Hut. Der Verbindungsversuch kommt halt auch beim Start von Docusnap und nicht erst wenn ich eine AD auslesen möchte. Was vielleicht noch ein Hinweis sein kann: Ich habe einen Juniper Netscreen VPN-Client an Bord. Der ist aber bislang nur plain installiert. Aber auch hier ist nichts (erkennbar) mit Zertifikaten. Gibt es noch an anderen Stellen einen Ansatz nach Zertifikaten zu suchen - sofern es das ist? Ansonsten habe ich vom einen oder anderen SBS ein selbst erstelltes Zertifikat für die HTTPS-Verbindung importiert, weil mir die Sicherheitsfrage unter IE7 ein wenig auf den Sender ging ... naja, das sollte es aber auch nicht sein. Noch weitere hinweise/ideen? grüße dippas

ok. Und was heisst das nun für die weitere Vorgehensweise? Wie gesagt bin ich gerne bereit mitzuhelfen, soweit es im Rahmen meiner Möglichkeiten ist. Wie wäre es mit einer Netviewer-Sitzung? grüße dippas

Mensch, das finde ich ja toll: Am wohlverdiente Sonntag doch noch was für die Firma tun ... Off-Topic:Vielleicht ist es aber auch der "MCSEBoard-Virus" von dem er angesteckt wurde. Wie so viele hier ... OK, da warte ich mal auf die Rückmeldung. Falls ich mit Infos weiterhelfen kann oder aktiv testen soll, einfach melden. Gerne auch telefonisch. Die Kontaktdaten sind euch bekannt, hier noch mal zur Orientierung: netzwerkstudio.de grüße dippas PS: Ich bin auch überzeugt davon, dass DS selbst keinen HomeCall erzeugt. Und wenn, dann doch wohl zu euch und nicht zu jemand anderen ;)

Hallo Leute, mir ist da was aufgefallen, was von euch vielleicht jemand verifizieren möchte. Docusnap will sich beim Programmstart im Hintergrund mit der IP-Adresse 131.107.115.20 Port 80 (crl.microsoft.com) verbinden. Je nachdem, ob man diese Verbindung zulässt oder unterbindet, zeigt Docusnap ein unterschiedliches Verhalten.:suspect: Zunächst die Konfiguration: Windows XP-Pro aktuell gepatcht F-Secure Client-Security 7.0 mit eingeschalteter Firewall Kein anderes Schutzprogramm, auch Windowsfirewall ist aus F-Secure ist so konfiguriert, dass er jeden unbekannten Verbindungsversuch meldet und mich entscheiden lässt, wie er damit verfahren soll. Ablehnen oder zulassen (natürlich auch mit Merkfunktion ;) ) Szenario 1: Die Verbindung wird Zugelassen. Nach den üblichen Vorarbeiten gibt man die Credentials in der richtigen Notation ein und startet den Scan. F-Secure meldet sich dann nochmal, weil Docusnpa auf einem anderen Port nun lauscht. Unterm Strich alles im grünen Bereich. :) Szenario 2: Die Verbindung wird abgelehnt. Beim Start von Docusnap unterbindet man die Verbindung zu crl.microsoft.com und alles sieht zunächst normal aus. Man gibt auf der Seite für die Credentials auch alles wieder genauso wie vorher und .... Tja, nix is mit erfolgreicher Authentifizierung :mad: :thumb2: Ich habe mehrfach die Gegenprobe gemacht. Immer wieder alles auf die Richtigkeit der Eingaben überprüft. Auf meiner Kiste weigert sich Docusnap ein Netzwerk zu scannen, wenn ich beim Start die Zwangsverbindung zu crl.microsoft.com unterbinde!. :mad: Ich finde, Docusnap ist ein tolles Tool, aber ich will mir nicht von einem Programm eine Zwangsverbindung unterjubeln lassen damit es richtig funktioniert :nene: Zumal ich überhaupt nicht nachvollziehen kann, welchen Beweggrund es gibt zu einer Microsoft-Domain Kontakt aufzunehmen. Ein nslookup zur gewünschten Ziel-IP 131.107.115.20 gibt crl.microsoft.com zurück. Was soll das?? Ich will das nicht!:mad: :mad: Was ist in Netzen, in denen kein Internet-Zugang existiert oder ausgefallen ist? Prima Auftritt, wenn Docusnap den Dienst verweigern würde. Zugegebenermaßen/Glücklicherweise ist mir dieser Fall bislang nicht untergekommen. Mein Aufruf daher: Testet doch mal meine genannten Szenarien bei euch. Ich möchte gerne wissen, ob ich "allein da draussen" bin, oder ob jemand meine Beobachtung bestätigen kann. Und insbesondere würde ich gerne den Zusammenhang zu crl.microsoft.com wissen. Überspitzt dargestellt, klingt das wie ein Bundes-Trojaner unseres allseits "geliebten" Bundes-Spürpanzer Wolfgang ;) Die Frage ist eindeutig: Was soll das? Ich freue mich über reges Feedback und eine vielleicht aufschlussreiche Erklärung. grüße dippas

Hallo, unabhängig davon, dass manche Anwendungen nicht soooo gut (bis gar nicht) unter x64 laufen, stellt sich mir eigendlich folgenden Frage: warum x64? Ein Argument: es läuft "schneller". Stimmt, sofern die Anwendung/Treiber x64-nativ arbeiten. Also alles muss x64-kompatibel sein, damit es was bringt. Weiteres Argument: mehr Speicher kann adressiert werden. Stimmt auch, denn die 4 GB Grenze eines normalen Standart-Servers kann mit x64 überschritten werden. noch ein Argument: einfach nur so, weil ich geil auf x64 bin. Das ist das denkbar schlechteste Argument, weil es keinen sinnhaften Hintergrund hat. Also, wenn Dein Server mehr als 4 GB RAM drin hat (haben muss) und SQL-Server als x64-Anwendung läuft und eine solche Datenbankausstattung (RAM-mäßig) notwendig ist, dann hau x64 drauf. Aber wenn Du eh nur <= 4 GB RAM hast und am SQL eine Datenbank hängt, die nicht ganz so groß ist, dann nimm x32. Datev läuft auf x32 wunderbar, auf x64 kann ich es nicht sagen. Alledings hat Datev auf dem Server nichts mehr zu suchen, wenn dieser Server als Datenbankserver so wichtig ist, dass er als x64 mit > 4 GB RAM laufen muss. Meine Meinung. Wir setzen - je nach restlicher Umgebung - x64 für die Virtualisierung ein. Und da läuft nix anderes als der Virtualisierungs-Server. grüße dippas

Aus eigener Erfahrung zu Astaro muss ich aber folgendes "ernüchternd" beitragen: Wir haben mehrere Astaros mit V7 (teilweise mit aktuellem Kernel 7.007) im Feld. Eine dabei hat sogar bereits den noch nicht veröffentlichten Kernel 7.008 drauf. Die ASGs 110 mit gezogenen Registern, was die Features angeht, laufen eher schlecht als recht. Resultat: Schicke Oberfläche, intuitiver zu bedienen als V6.x, teilweise einfacher zu konfigurieren, aber noch immer an manchen (teilw. ziemlich wichtigen) Stellen noch arg buggy. VPNs, Zertifikate, VPN-Clients -> seehr mit Vorsicht zu genießen bzw. komplett neu zu konfigurieren. Regelimport? Lieber erstmal Backup machen. Also, wie sagt man so schön "Es ist nicht alles Fett, was glänzt". Deshalb ärgere ich mich so über mein Nicht-Dabeisein. Ich erhoffte mir vielleicht den einen oder anderen wertvollen Tip ;) grüße dippas

hmmm .... Bis ich das letzte Foto sah, dachte ich noch: "Warum hat der den Schlank-mach-Filter (Bilder etwas lang gestreckt) drüberlaufen lassen, er ist doch gar nicht abgebildet" :D:D:D dennoch coole Sache und ich bleibe dabei: SO ein Mist, dass ich nicht dabei war. grüße dippas

Hallo Leute, wie ärgerlich, dass ich nicht dabei sein konnte. Ich hatte ein mittelschweres Problem beim Kunden zu lösen. Dummerweise hing ich dort bis 21:30 (in Solingen) ab. Vielleicht hätte ich noch nachkommen sollen, aber es war mir dan doch etwas zu spät geworden. Und das gerade bei diesem Meeting... *ärger* gerade an Herrn Helmich hätte ich einges an Fragen gehabt. diesmal wäre ich der böse Cop gewesen, denn ich habe an der einen oder anderen Stelle Ärger mit ASGs und vielleicht den einen oder anderen wertvollen Hinweis erhalten. So sehr wie ich mich über meinen eigenen Ausfall ärgere ... naja, eine riesen Chance verpasst aber die Hoffnung nicht aufgegeben, dass ein solches Deluxe-Treffen nochmal stattfindet. Sorry insbesondere an und Finanzamt. Den Bildern ist die Mühe zu entnehmen und ich habe mich mit FastFood vom goldenen "M" durchgekämpft. Schöne Schei*e. Immerhin hat sich die Mühe beim Kunden gelohnt: Ein weiterer Virtualisierungs-Server ist im Feld mit Optionen auf weitere technisch interessante Projekte. Für diejenigen, die es bislang nicht wussten: ich bin auf die Nase gefallen, als ich aus der MSDN-Software in die Vollen greifen wollte (Kunde ist MSDN-Abonement). Offensichtlich scheint die Software nur mit ganz besonderen Keys zu installieren zu sein. Wenn man die nicht hat, muss man sich irgendwie durchwurschteln. Hat ein langes Gespräch mit MS gekostet, bis wir dahinter kamen, wie die Uhren ticken. Wie soll man sowas auch wissen, wenn man mit MSDN nichts am Hut hat. Wieder was dazu gelernt. Aber den 30.11. habe ich mir eingemeißelt. grüße dippas PS: Der Logo-Ansatz gefällt mir gut.

hallo Xanathos, funken gegebenenfalls Proxy-Einstellungen im Browser dazischen? grüße dippas

naja, 2 Minuten ist eher die regel als 2 Stunden ;) Was aber sein kann, ist dass das Postfach noch nicht initialisiert wurde. Die Initialisierung erfolgt mit Eintreffen der ersten Mail. Daher mein Tip: immer wenn ein Postfach neu angelegt wurde und im AD eine Mailadresse generiert ist, eine kurze Mail an den neuen User zwecks Initialisierung. Das beschriebene Verhalten scheint mir in diese Richtung zu gehen. Grüße dippas

Hallo Leute, bin natürlich auch dabei. Wie sind denn die Koordinaten der Zusammenkunft? @Cat Schade, dass Du nicht dabei sein kannst. Kenne das selbst zwar nur als Daddy, verstehe aber was Du meinst ;) grüße dippas

Off-Topic::rolleyes: Da scheint aber jemand seine eigenen Erfahrungen mit IT-Verkäufern gemacht zu haben. Schade nur, wenn die Beantwortung einer technischen Frage mit einer technischen Empfehlung derart undifferenziert als Märchen bezeichnet wird. Du darfst natürlich fragen und ich beantworte auch gerne Deine Frage: Ich meine nicht, dass die Installtion einer Cisco (viel) einfacher ist, ich weis es! Cisco (oder jede andere Appliance auch): auspacken, einschalten, konfigurieren Selbstbaulösung: Rechner finden, SW installieren, härten, überprüfen, nachhärten, dann erst konfigurieren und hoffen keine Lücke eingebaut zu haben. Wer sich mit Firewalls auskennt, wird mir Recht geben, dass die Konfiguration mehr oder weniger gleich kompliziert oder unkompliziert ist, egal welcher Hersteller dahinter steht. Die Chance, eine Fehlkonfiguration einzubauen ist überall nahezu gleich groß. Sie steigt aber bei Selbstbaulösungen überproportional an (wegen des Unterbaus). @Canni: 3 getrennte NICs 1. Internetgateway 2. DMZ mit TS 3. LAN mit PCs, Laptops, Server (DC) eingehend Port 3389 von 1 zu 2 AD-Ports von 2 zu 3 (alt. über VPN zwischen TS und DC nachdenken, dann nur den entsprechenden VPN-Port) grüße dippas

hallo Leute, sitze gerade im garten und finde endlich mal wieder Zeit hier reinzuschauen. ok, ich bin also definitiv dabei, trinke gerne Bitburger und bin einer Bratzwurst nicht abgeneigt. Allerdings lasse ich mich auch gerne von den Kochkünsten unseres Finanzamts überraschen. Wer mag, kann von mir unterwegs aufgegabelt werden. Ich bin tagsüber in Solingen (Virtualisierungs-Server aufbauen) und würde jeden, der auf dem Weg liegt auch mitnehmen. Rückfahrt wäre aber erst am nächsten Tag, denn ich werde die Einladung annehmen und am nächsten morgen mit frühstücken. Also, vorne rechts und hinten rechts und links ist noch was frei ;) @Userle bring den Menschen gerne mit. PN folgt von mir auch noch. grüße dippas

Off-Topic:Autsch Wie würde der BOFH fragen: "Ihren Benutzernamen bitte". Verrate bloß niemanden, wo Du arbeitest. Es könnte sein, dass jemand diese Info gegen dich verwendet ;)

Hallo Canni, wenn Dein Chef so gut ist, alte PCs aufzutreiben und ansonsten kein Geld in die Hand nimmt, dann bleibt Dir nur soetwas wie IP-Cop oder Monowall etc. Geld wird er dabei aber nicht sparen, denn Installationsaufwand und "Ärger" mit einer Selbstbaulösung fressen den Vorteil eines vorhandenen Rechners schnell wieder auf. Geiz ist eben nicht Geil. ALLERDINGS: Wenn ich mir die Anzahl der VPN-Clients vorstelle und davon ausgehe, dass hausintern ja auch noch ein/zwei Leute sitzen, ist die Firma nicht wirklich klein. Damit meine ich, dass er (je nach Rechtsform der gesellschaft) einige Standarts einhalten muss. Es soll/darf hier aber nicht zu einer Rechtsberatung ausarten. Nur soviel: Ich halte den freizügigen Einsatz privater Rechner (Laptop/PC) sowie die Selbstbau-Lösung einer FW und einen einzigen Server, der alles inne hat, für sehr bedenklich. Bitte schreibe wenigstens, dass euer Backup technisch in Ordnung ist. Überprüfe bitte, welche rechtlichen Standarts von euch eingehalten werden müssen und reibe dem Chef das unter die Nase. Basel II ist auch ein Stichwort in diesem Zusammenhang. Wie würde ich es nun umbauen? 1. ich würde 2 weitere Server anschaffen: einer als TS für die DMS, ein weiter ins LAN. Derjenige, der ins LAN kommt wird Ausfall-DC und die Last wird auf die beiden internen Server verteilt 2. Eine HW-Appliance als Firewall mit echter DMZ. Je nach Leistungsbedarf könnte eine SSG5 oder SSG140 von Juniper oder eine ASG 120 bzw. ASG 220 von Astaro in Frage kommen 3. Als zentralen Virenschutz F-Secure einsetzen, da man damit die enthaltene Desktop-Firewall sehr fein konfigurieren kann und das geht sowohl mit und ohne Domain-Mitglieder (auch im Mix) und ist einstellbar bis auf den einzelnen PC soweit meine Denkanstöße grüße dippas

Naja, was er will ist klar und muss weder gegen Lizenzrecht verstoßen, noch auf einem TS lauffähig sein. Nicht jede Software läuft auf einem TS einwandfrei, dazu kommt evtl. noch spezielle Hardware. Im Grunde wird eswas gesucht, was folgendes kann: 1. starte eine RDP-Session zu PC1 2. überprüfe, ob jemand via RDP an PC1 angemeldet ist 3. ist jemand angemeldet (Skript vorher ausführen, sonst. Abfragemöglichkeiten ob jemand angemeldet ist, WMI?)? Wenn ja, dann gehe zu Schritt 1 und mache dieselbe Prozedur mit PC2, PC3, ... etc. 4. Wenn niemand angemeldet ist, melde dich an, arbeite, abmelden, der nächste bitte Die Frage ist halt, kann man vor Herstellung einer RDP-Sitzung überprüfen ob jemand angemeldet ist? Und gibt es vielleicht ein Programm das soetwas schon kann? Und falls es so ein Tool nicht gibt: kann man mit Skipten arbeiten? Ich habe zwar keine Ahnung von skripten, kann mir aber nicht vorstellen, dass man nicht rauskriegt ob jemand angemeldet ist und das sollte man auch automatisieren können. Man startet das Skript, dieses führt die Prüfungen durch und startet dann eine RDP-Session. Klingt sinnig, oder? grüße dippas

Um noch eins drauf zu setzen: MAC-Filter machen meines Erachtens überhaupt keinen Sinn. Zum einen ist man mehr mit der Pflege beschäftigt als mit der normalen Arbeit und zum zweiten kann man bei nahezu jeder NIC die MAC frei konfigurieren. Ein Sicherheitsgewinn ist es daher wohl kaum, wenn ich dem Switch erzähle, ich habe die MAC meines Kollegen und ich damit den MAC-Filter aushebel. grüße dippas

Hallo Herbert, je nach Konfiguration gibt der Header einer Mail schon die eine oder andere Info von sich. Die Einträge "X-blablabla" sind die interessanten. jepp, aus dem Manual. grüße dippas

jepp, hast Du recht. Aber für 900 tacken incl. Mwst gibbet keine Astaro (schon gar keine ASG 120) mit Mail-Security, Web-Filtering etc., es sei denn, die ist vom LKW gefallen ;) Ausserdem schreib mullfreak: Der Tunnel soll immer bestehen. Ein normales surfen an diesem PC soll nicht möglich sein. Was im Umkehrschluss bedeutet, man benötigt "nur" eine hochwertige Firewall mit IPSec-VPN und vernünftigen Regelwerken und Einstellmöglichkeiten. Wenn überhaupt gesurft wird, dann vermutlich über die Zentrale. Da kann ja auch gerne eine ASG 220 stehen. grüße dippas PS: Die Junipers können auch AV, Webfiltering und MailSecurity. Allerdings würde ich nur AV empfehlen, da der Rest zwar funktioniert, aber nicht so toll ist wie bei der Astaro. Ist halt keine eierlegende Wollmichsau, sondern ein EAP4+ Firewall ;)

Und wenn Du dann noch Doppelpostings vermeidest, wird auch alles gut ;) Vielleicht sollte man hier weitermachen: http://www.mcseboard.de/windows-forum-ms-backoffice-31/excange-2003-eimal-moeglich-117868.html grüße dippas

Hallo Mullfreak, für deutlich weniger Euros bekommst Du auch ne Juniper SSG5 Juniper Networks Firewall / IPSec VPN - Juniper Networks Die reicht genauso wie eine ASG 110 ebenfalls aus. grüße dippas

yepp, das war es ;) danke nochmal grüße dippas

hallo frank, danke für den Tip. ich war mir nicht mehr ganz sicher, wie die sprechblasen genannt werden ;) ich werde es mal probieren und rückinfo erstatten ;) grüße dippas