mriess

Hallo zusammen,

wenn wir nach einer Stromabschaltung die Systeme wieder hochfahren, haben wir bereits festgestellt, dass unser Windows Server 2003 rund 25 Minuten benötigt, bis er hochgefahren ist und alle Dienste gestartet hat.

Offensichtlich wartet er in der Zwischenzeit auf andere Abhängigkeiten und wenn er die nach dem Standard-Timeout nicht findet, macht er weiter.

Unsere Umgebung:

Standort 1:

Server W: DC, GC, Bridgehead intern, PDC

Server A: DC, GC

Server A13: DC

Standort 2:

Server T: DC, Bridgehead extern, RID, Infrastructure

Alle Server sind 2003 Standard. Server W wird als erstes gestartet.

Welche Möglichkeiten zur Beschleunigung des Hochfahrens gibt es?

Danke,

Mick

Hallo zusammen,

bin auf dem Gebiet 802.1x noch Laie und würde gerne verstehen, wie man mit Cisco-Switchen und Windows-2003-Servern eine dynamische Vlan-Zuordnung auf Basis 802.1x hinbekommt.

Geht das auch ohne Zertifikate ?

Es soll eine Alternative zur VMPS-Authentifizierung werden.

Wer hat da schon Erfahrungen und kann die wesentlichen Teile der Config posten?

Herzlichen Dank!

ja, das Ganze ohne Zeichnung zu machen, ist schwierig.

Ich versuchs nochmal zu erklären:

Es gibt zwei Netze

Netz A = Aussenstelle

Netz B = großes Netz am Hauptsitz

A hat zu B eine permanente VPN-Verbindung.

In A sollen sich nun externe Personen an den Switch stecken können und ins Internet kommen, aber nicht nach B. Ausserdem sollen diese Externen in A von den Firmenmitarbeitern getrennt sein.

nicht einwählen, sondern direkt einstecken.

Die externen Dienstleister sind in der Aussenstelle und brauchen dort halt Internetzugang. Aber sonst sollen sie gerade nicht ins Firmennetz kommen.

Hallo zusammen,

eventuell könnt ihr mir ja mit Ideen zu folgendem Problem weiterhelfen:

Kleine Aussenstellen unserer Firma sind mit 80xer-Routern und VPN zur Zentrale verbunden. D.h. die Rechner in den kleinen Netzen gehen nicht direkt ins Internet, sondern werden gleich über den Tunnel ins Firmennetz geleitet, um dort die Sicherheitsfeatures mit zu nutzen.

Nun besteht die Anforderung, dass sich externe Personen in den Aussennetzen einstecken sollen, die aber aus Sicherheitsgründen nur ins Internet kommen dürfen. Auf dem Router sehe ich da kein Problem, aber wie unterscheide ich die Rechner im Aussennetz?

Wie könnte man das realisieren?

- 2 Vlans in den Netzen machen und das eine über den Tunnel, das andere direkt ins Internet schleusen? (Wir haben auch Cisco-Switche in den Aussenstellen).

- Aber wie könnnen wir technisch realisieren, dass die externen Rechner auch als solche erkannt werden und automatisch in das passende Vlan kommen? Im Hauptnetz verwenden wir zwar VMPS, aber ich würde das eher nicht in die Aussennetze promoten (Verbindungs- und Ausfallsicherheit). Und ein extra VMPS für die Aussennetze aufbauen wird sich nicht lohnen.

Klar ginge es organisatorisch, dass man spezielle Ports für die Externen reserviert, aber aus Sicherheitsgründen ist das nur die zweitbeste Lösung.

Also: noch Ideen oder Fragen?

Gruß

Mick

Hallo,

möchte gern einen Server mit den SA eLearning-Produkten aufsetzen (habs am Beispiel Office versucht). Stehe dabei vor einigen Problemen, die m.E. nicht dokumentiert sind:

1. Bei der Setup habe ich zunächst die Wahl, ob ich die Sachen lokal installieren möchte oder einen Webserver aufsetzen möchte.

Habe Webserver genommen, da er für das gesamte Unternehmen dienen soll.

2. Danach habe ich die Möglichkeit, eine MS SQL Datenbank auszuwählen / zu erstellen.

- erstellen kann ich sie nicht, da ich lokal keinen SQL-Server installiert habe, und ich auch keinen auswählen kann (...sinngemäß: Authentifizierung fehlerhaft - habe aber auch keine Möglichkeit, einen Login anzugeben).

- wenn ich auf eine SQL-Datenbank verzichte, läuft der Installationsprozess durch.

Brauche ich somit überhaupt einen SQL?

Habe dann auch unter wwwroot einen entsprechenden Verzeichnisbaum:

\MELL (für Microsoft ELearning Library)

\GER

\Desktop

\Reports

\Viewer

\asp

usw.

Soweit so gut.

Gebe ich aber nun im IE die Serveradresse (http://server) ein, dann erhalte ich die Fehlermeldung, daß die Seite nicht gefunden wurde. Der IE springt dabei jeweils auf die Seite http://server/GER/viewer/asp/collections.asp.

Die Datei GER/viewer/asp/collections.asp gibt es allerdings (s.o.).

Hat jemand eine Idee, was ich falsch gemacht habe?

Gruß

Mick

ich sollte vielleicht noch erwähnen, daß es möglich sein sollte, die Gruppen aufzulösen, d.h. wenn eine Gruppe "Projekt_XY" Zugriff auf einen Ordner hat, dann sollten in der Auflistung/Doku alle User aufgeführt werden, die der Gruppe "Projekt_XY" angehören.

Zweck des Ganzen ist eine Überprüfung der Sicherheitseinstellungen "wer-darf-was-sehen".

Danke für alle bisherigen Antworten!

Hi zusammen,

kennt jemand von euch eine Software, die mir ausgibt auf welche Verzeichnisse ein Benutzer Rechte hat?

Und kann man auch herausfinden, auf welche Ordner im Exchange (2003) jemand Zugriff hat?

Systeme:

Windows 2003 ADS, Exchange 2003 SP2, Fileserver Windows Storage Server Appliance 2003 (nicht RC2).

DANKE für alle Hinweise!

Hi zusammen,

um nochmals etwas für Klarheit zu sorgen:

- es geht nicht um verkappte Probleme mit Servern. Da ist es Logo, zunächst die bordeigenen u.a. Mittel zu nutzen, um den Server stabil zu bekommen.

- mein Anliegen geht in die Richtung einer Fehlermessung, Stabilitätsquote, Verfügbarkeit. Dabei soll zum einen möglichst in einem Tool angezeigt werden, wenn wichtige Dienste ausfallen (wir werden dazu einen zentralen großen Monitor am Helpdesk anbringen), aber auch Statistiken für die Geschäftsleitung sollen abfallen. Obwohl wir keinen SLA mit der GL haben, möchten wir natürlich so gut wie möglich sein.

Danke für die bisherigen Anregungen!

Hi miteinander,

ich stehe vor der Aufgabe eine technische Fehlermessung unserer IT-Systeme aufzusetzen. Das geht über ein einfaches Alive hinaus.

Beispiele:

- messen, ob noch die Jobs im ERP laufen

- ist Internet noch da

- gehen die ADS Funktionen noch

- laufen die CAD-CAM-Sachen

- kann man noch Dateien auf den Fileserver kopieren

- usw.

Häufig ist es ja so, daß ein Server an sich noch da ist (=pingbar), aber die Applikation nicht mehr läuft. Meine Kollegen bringen das durchaus so weit, daß die Systeme durch Scripte überwacht werden und bei Fehlern eine Email schicken.

Doch welche Ideen und Tools (möglichst kostengünstig, wie üblich) gibt es, nicht nur den Fehler zu erhalten sondern darüber hinaus diese Infos auch visuell darstellen und vergleichen zu können?

Whatsup Professional ist vorhanden und kann auch genutzt werden. Bisher sind dort die eingebauten Funktionen (ping, SQL, Exchange u.ä.) dargestellt.

Ziele der Sache sind Risikominimierung, Erkennen von Zeitfressern / schlecht laufenden Applikationen, Ereignismeldungen und natürlich die Ableitung von Maßnahmen.

Bin über jede Hilfe dankbar!

Hi,

kennt jemand ein Programm, mit dem man einfach und spontan eine Email (oder zumindest den Anhang) verschlüsseln kann?

- PGP/GnuPG: zu kompliziert

- Zip mit Passwort: zu unsicher

Gibts nicht was "mittendrin"?

- Keyaustausch per Telefon wäre OK

habe die Lösung letztlich gefunden (der angegebene Thread hatte leider nicht funktioniert - hatte ihn schon getestet ;-):

Es hängt mit der Kombination IE und Firefox zusammen:

- Firefox als Standardbrowser entfernen

- Internet-Explorer zum Standardbrowser machen (ging bei mir nur über -> Programmzugriff und Standards),

- Reboot

- Firefox wieder zum Standardbrowser machen

Das wars. M$ sei dank...

Hi!

Seit kurzem kann ich keine Links mehr aus Outlook, Word, Wordpad usw. aufrufen. Es erscheint jedes mal die Fehlermeldung

"Dieser Vorgang wurde wegen Beschänkungen auf dem Computer abgebrochen..."

Es handelt sich offenbar wirklich um eine Computerbeschränkung

- und betrifft jeden User

- auch den Admin

Hatte die Portable Apps Suite installiert, weiß aber nicht ob das der Grund ist.

Auf welchen Wegen kann ich nachprüfen, wie ich dem Problem auf die Spur komme?

Danke für die Hilfe!

Mick

Also der WPA Patch wars nicht. Der war sowieso nur für WPA2 gedacht, ich nutze aber WPA-PSK. Und mit dem Speedport 700 bin ich eigentlich sehr zufrieden. Und mein anderer Notebook mit der Broadcom geht einwandfrei.

Da ich WPA nutze, kann ich auch leider meine Dell Truemobile 1150 nicht nutzen...

Hallo zusammen,

dachte, ich tue mir was Gutes und habe eine Netgear WG511v2-PCMCIA-Karte erworben (hatte bisher eine Noname Fiberlan und die hatte schlechten Empfang). Leider funktioniert das Teil nicht wirklich auf Anhieb.

Router spricht WPA2, SSID wird nicht gebroadcastet.

Treiberinstallation (angeblich die aktuellen) funktioniert. Wlan-Netzwerk wird dann auch erkannt, aber keine Verbindung aufgebaut. Verwende ich das Windows Standard Konfigurationsprogramm werde ich immer nach dem WPA-Key gefragt. Aber trotz korrekter Eingabe verbindet sich der Notebook nicht (XP-SP2). Seltsamerweise wird beim Algorithmus auch nur TKIP angezeigt. Bei meinem anderen Notebook habe ich auch AES zur Auswahl. Der funktioniert einwandfrei (eingebaute Intel Wlan Karte).

Hat jemand Ideen, oder sollte ich die Netgear Karte gleich wieder loswerden?

Gruß

Mick

Nun Leute,

grundsätzlich gebe ich euch da ja recht. Aber ein

"ich bin root, ich darf das"

kann ich keinem Mitarbeiter verklickern und schon gar nicht meinem Chef.

Also müssen klare Argumente her, was jemand als ADS-user machen kann, der Adminrechte auf den lokalen PC hat.

Sorry, aber so pauschal kann ich das nicht stehen lassen.

Hat jemand Erfahrungen damit, welche Sicherheitsbedenken es beim AOL Instant Messenger gibt?

- Wer könnte was mitlesen?

- Was kann man darüber anstellen?

- habe von Würmern gelesen, die darüber verbreitet werden.

- ???

Danke für Antworten!

Mick

Natürlich weiß ich, daß damit "alles" möglich ist. Als Sicherheitsbeauftragter möchte ich aber die Mitarbeiter und Vorgesetzten besser sensibilisieren und dabei Details aufführen.

Z.B. weiß ich nicht genau, ob ein lokaler Administrator bspw. das Kennwort des Domänen-Admins herausbekommt usw.

Also bitte...

Hallo zusammen,

möchte gern mal eure Kreativität herausfordern.

Frage:

Was kann man mit einem Administratoraccount alles machen (oder auch anstellen), das sich sicherheitskritisch auswirkt?

Bin gespannt...

Hallo zusammen,

als Sicherheitsbeauftragter bin ich gerade zunehmend in einer Zwickmühle:

In der Firma gibt es eine zunehmende Anzahl von Elektronikentwicklern, die CAN-Geräte (USB-Blaster, RS232-Konverter u.a.) an die USB-SS anschließen müssen und dazu auch Software installieren müssen. Das geht normalerweise ja nur mit Adminrechten.

Auf der anderen Seite sehe ich die Adminrechte natürlich als hohe Gefahrenquelle, da sich die Leute dadurch auch Software installieren können, wie z.B.

- Cracker für die Adminpassworte

- Netzwerkscanner

und was sonst noch alles Spaß macht.

>>> Wer hat Anregungen und Ideen, wie unser Supportteam z.B. nur kurzfristig solche Adminrechte erteilen könnte oder ganz andere Ideen, die Sicherheit und Arbeitsfähigkeit abwägen?

Unsere Umgebung:

Win XP

ADS 2003

Danke für die vielfältigen Tips.

Werde das beim Kunden bei nächster Gelegenheit austesten.

Ping absolut OK

DNS OK. Sagt auch das Serverlog.

OK, OK - nachdem wir das geklärt haben, hab ich jetzt oben die Ereigniskennung eingefügt.

Server = SBS 2003 aktuellst gepatched

Client = XPSP2

Logging schalte ich mal an.

Es handelt sich hierbei um EIN Gerät, das ca. alle 5 Anmeldungen Probleme macht. Am Gerät meldet sich immer der gleiche Benutzer an.

Hier der Fehler:

Ereignistyp: Fehler

Ereignisquelle: Userenv

Ereigniskategorie: Keine

Ereigniskennung: 1054

Datum: 11.07.2006

Zeit: 13:22:12

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: LIFEBOOK

Beschreibung:

Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Hi zusammen,

habe ein seltsames Phänomen mit einem (!) Client in einer ADS. Mitunter benötigt der Client bis zu 30 Minuten, um die Benutzereinstellungen aus der Domäne zu laden/Verarbeiten.

Der AD-Controller zeigt keinerlei Fehler im Ereignislog.

DHCP/DNS arbeiten einwandfrei

Der Client wurde neu installiert und in die Domäne aufgenommen

Im Ereignislog des Clients kommt jedoch häufig der Fehler 1054 (Userenv) - siehe Anlage.

Wer weiß einen Rat außer

- prüfe DNS, DHCP, Netzwerkgeschwindigkeit ...

???

Danke!