jvogler

Hier findest Du den Text des Bundesdatenschutzgesetzes:

 

Bundesdatenschutzgesetz (BDSG) ab 23.05.2001

 

Gruß

Jochen

Hallo,

 

ich habe folgende Problemstellung:

 

Über den vorhandenen ISA2k4 (SP2) sollen Domänenrechner (WLAN) über ein eigenes Netzwerksegment angebunden werden. Eine zusätzliche Netzwerkkarte ist bereits eingebaut und auch im ISA das "Netzwerk" (WLAN) und die Netzwerkregel (Route, LAN -> WLAN) angelegt.

 

Ich habe auch schon zwei Regeln angelegt:

 

1. LAN -> WLAN = gesamter ausgehender Datenverkehr

2. WLAN -> LAN = DNS, HTTP, HTTPS, Kerveros-IV, Kerberos-Sec (TCP und UDP), LDAP, LDAP (UDP), LDAP GC, LDAPS, LDAPS GC, Microsoft CIFS (TCP + UDP), Microsoft Network Blackjack (1025+1026 TCP), NetBios-Datagramm, NetBios-Namensdienst, NetBios-Sitzung, NTP (UDP), Ping, RPC ausgehend, WINS

 

Das ganze lief schon mal, nur seit letzter Woche können sich die betroffenen Rechner (W2k + XP) plötzlicht nicht mehr anmelden.

Komischerweise bekomme ich im Firewallog u.a. Port 88 UDP (Kerberos) als Denied obwohl dieser ja Freigegeben ist. Ganz ominös auch: "UDP 172.18.150.200 10.107.125.1 172.18.150.200 WLAN Intern Denied 0xc0040013 - Nicht identifizierter IP-Datenverkehr"

 

Wer kann mir sagen welche Protokolle ich nun für die Anbindungen eines Domänenclients an eine W2k3 Domäne (inkl. Exchange) über einen ISA Server (bzw. Firewall im allgemeinen) notwendig sind?! :suspect:

 

Gruß

Jochen

Wir hatten vor ein paar Jahren dasselbe "Problem" bei unserem kleinen Internetcaffe in unsrer Bibliothek: es sollte auf einfachst mögliche und billigste Art und Weise (beschränktes Budget + nichtgeschultes Personal) die Abrechnung in 30-minütigen Zeiteinheiten möglich sein.

 

Softwarelösungen waren und damals zu teuer und vor allem zu umständlich weshalb wir uns für Münzautomaten entschieden haben die nach Ablauf von 30 Minuten Tastatur und Maus sperren. Der Nutzer kauft sich an der Theke beliebig viele Münzen und wirft dann entsprechend er gewünschten Zeit rein bzw. kann jederzeit Münzen nachkaufen.

Hesteller ist die Firma Münztronic.

 

Die Softwarelösung schaue ich mir aber auch mal an, könnte evtl. interessant sein. :)

 

Jochen

Wenn´s nicht so viele Clients sind passt das schon so auf einem Server.

 

Ich vermute hier ein DNS/WINS Problem. Kontrolliere doch bitte bei Deinen Clients ober der DNS-Servereintrag auf den PDC verweist.

 

Jochen

http://www.microsoft.com/windows2000/docs/wintimeserv.doc ist die Microsoft Doku des Zeitdienstes. Hier sind alle möglichen Konfigurationen ausführlich beschrieben.

Für PPC gibt´s Code Wallet Pro. Und das schöne ist dass es dazu auch eine Desktopversion gibt die man mit der Mobilen Version synchronisieren kann.

@Frank

 

Ich bin genau Deiner Meinung, meistens möchte man einfach das gute Kollegiale Verhältnis nicht durch Anschwärzen bei der Geschäftsleitung auf´s Spiel setzen.

 

Entsprechende Aufklärung ist wohl auch der bessere Weg. Vielleicht könntest Du Eure Kampagne ja mal etwas näher erläutern.

Aus Sicht des LANs:

 

- ISA Netzwerkkarte 1 (intern) mit LAN IP am LAN Switch

- ISA Netzwerkkarte 2 (extern) mit DMZ IP per Crossover an den LAN Port des Routers oder an einen eigenen DMZ Switch bzw. DMZ VLAN am Serverswitch

- Router LAN Port mit DMZ IP per Crossover an Netzwerkkarte 2 des ISA oder an einen eigenen DMZ Switch bzw. DMZ VLAN am Serverswitch

- Router WAN Port mit öffentl. IP an das DSL Modem bzw. direkt an den Splitter

 

Dabei musst Du aber beim Portforwarding das doppelte NAT (Router + ISA) denken. Alternativ gibt´s noch die Möglichkeit am Router oder am ISA das NAT zu deaktivieren.

 

Jochen

Du könntest Dich am XP Pro Script vom Herdtverlag orinentieren.

 

Jochen

Die Relayeinstellungen sind im SMTP-Server zu finden. Von Haus aus ist die Kombination Exchange-SMTP relaysicher, es darf nur localhost relayen.

 

Alles weitere liegt nun an Deiner Webseite bzw. PHP (davon hab ich aber kein Plan).

 

Jochen

Dann melde Dich doch einfach am Server mit nem anderen Benutzer der sein Profil lokal bezieht/speichert, an. Wir verwenden hierfür einen extra "Hilfsadministrator" der sich auch nur an den Server anmelden darf.

 

Jochen

Schau Dir doch mal die GPO-Einstellungen an. Dort kannst Du festlegen dass für einen bestimmten Ordner, bestimmte NTFS-Rechte gelten.

 

Für welche Clients dies gilt, bestimmst Du per OU-Zuordnung.

 

Jochen

Das geht ganz einfach über eine GPO: Computerkonfig - Sicherheitseinstellungen - Dateisystem

 

Jochen

Ich habe ein Internetcafe mit Active Directory eingerichtet und die Clients per GPOs entsprechend dicht gemacht.

 

Meiner Erfahrung nach kommt es hier nicht so auf die Gefahren aus dem Internet an, sondern muss vielmehr dem Basteldrang so mancher Surfer Einhalt geboten werden.

 

Jochen

Exchange ist ein Vollwertiger SMTP Server. Es liegt in der Natur dass ein SMTP Server nirgendwo Mails abholt, sondern diese ihm Zugestellt werden.

Das erfolgt entweder per öffentlicher IP und entsprechend definiertem MX Record im öffentlichen DNS der Internetdomäne oder per Zusatztool das eine Sammel-Pop-Box abruft.

 

Weitere Infos auch unter http://www.msexchangefaq.de/ und http://www.mesoproducts.de/techtalk/exchange2000/cm_whitepapers/index.htm

 

Jochen

Hi, ich habe Probleme mit der Veröffentlichung eines internen FTP Servers über den ISA Server 2000.

 

Folgende Problemstellung:

Aus der DMZ soll per FTP eine ca. 1MB große Datei auf einen Server im LAN übertragen werden. Aus organisatiorischen Gründen soll das per Upload auf einen internen FTP Server geschehen.

 

Nun habe ich per Serververöffentlichungsregeln (Port 20 und 21) einen FTP (IIS) auf einem W2k3 Server im LAN veröffentlicht. Der Zugriff von Client in der DMZ erfolgt per TotalCommander.

 

Problem:

Der Zugriff auf den FTP funzt problemlos, nur bricht er beim Upload nach 500KB ab, bzw. überträgt einfach nicht weiter. Eine verwertbarte Fehlermeldung kommt leider nicht.

Da Up- und Download auf den FTP im LAN absolut problemlos funktionieren, muss es an Einstellungen im ISA liegen.

 

Für Hilfestellung wäre ich sehr dankbar, da meine Suche im Web bisher erfolglos verlief.

 

Gruß

Jochen

Was verstehst Du unter Ghostserver? Ghost Corporate Edition? Wenn ja, dann rate ich Dir Dich mit dem Handbuch (als Pdf auf der Setup CD) über die Ghostkonsole und die verschiedenen möglichen Clientarten, vertraut zu machen.

Der Imagevorgang über´s Netz ist damit problemlos möglich.

 

Jochen

Wenn Du mit dem "echten" DNS Server den meinst der die ActiveDirectory Domain verwaltet, dann JA.

 

Jochen

Ist am Client der interne DNS (=DC) als EINZIGER DNS-Server eingetragen?!

 

Jochen

Anm.: Die Rollen PDC und BDC gibt´s im Active Directory nicht mehr. Lediglich gibt es einen DC der für ältere Clients (NT4) einen PDC "emuliert".

 

Jochen

Da müsste doch bei ner entsprechenden Bestellmenge, das Forum hat ja genung Member, was machen lassen?!?

 

Jochen

Selbst wenn der lokale Admin den Gatewayeintrag auf den ISA setzen würde, müsste erst mal eine Regel existieren die diesen Zugriff überhaupt gestattet.

Wie Grizzly schon empfohlen hat, bau das ganze auf Benutzerebene auf, dann geht´s nur per Webproxy- oder Firewallclient.

 

Jochen

Dabei wird aber nur der ZUGRIFF auf´s AD ermöglicht, keine echte Mitgliedschaft mit all den Auswirkungen (GPOs usw.).

 

Jochen

Wenn auf Home-Benutzer in der Domäne existiert kann man auf die Resourcen zugreifen. Eine echte Domänenmitgliedschaft ist aber definitv nicht möglich!

 

Jochen

Auf gleiche Art und Weise kannst Du übrigens einem Benutzer oder einer Gruppe lokale Hauptbenutzerrechte erteilen.

 

Jochen