Data1701

Hi, Wenn ich die Netze doch per VPN gekoppelt habe, dann ist doch so oder so der gesamte Traffic zugelassen. Die Netze vertrauen sich. Das habe ich doch im Satz davor gesagt, oder ?

Hi, nur noch einmal zu: http://www.mcseboard.de/showthread.php?threadid=51232 Es ging nicht darum in irgendwelche Netze einzudringen oder sonstige illegale Methoden Dr. Melzer, ich denke da wurde etwas missverstanden. Ihr seit die Boardamins also füge ich mich. Ich möchte trotzdem noch etwas zu schlot sagen, wenn es mir gestattet ist (Diesmal wirklich eine rein technische Bewertung) Nur noch einmal zu schlot und seinen Ausführugen:

Hi zusammen, vor ca. 6 h habe ich die 296 erfolgreich mit 775 Punkten abgelegt. Kurze Übersicht für jeden den es intressiert: Prüfung besteht aus zwei Teilen, dass ist ja mittlerweile bekannt. Zum Abschluss kommt noch eine 23 Fragen lange Umfrage von MS, allerdings bevor man sein Ergebnis erfährt. Ganz tolle Idee. Also was kam dran: PKI, aber das wirklich bis zum abwinken. Zuerst wollte ich schon die Prüfung unter "schon hier gewesen zu sein" verbuchen. Aber zurück zum Thema. Schaut euch genau die Parameter von "certutil" an. Damit wurde ich die ganze Zeit geärgert. Weiter kann ich nur empfehlen die automatische Speicherung von persönlichen Zertifikaten für EFS genaustens zu studieren. Die Problematik wurde des öfteren abgefragt. Smartcard Login war auch immer mal gefragt. Das Thema ist aber noch ganz gut abzuarbeiten. Nachdem PKI durch war, kamen noch etliche Fragen zu den GPOs. WMI Filter, Reihenfolge in der Abarbeitung der GPOs, Filterung der GPOs für bestimmte Benutzergruppen, etc. IPSec kam als Nächstes. Absichern des Datenverkehrs unter Berücksichtgung der verschiedensten Clientversion (XP - NT - 98 - ME). Also ruhig mal die IPSec-GPOs studieren. Ein weiterer netter Block sind die Unterschiede zwischen den Serverversionen (WEB - Standard - Enterprise) in Hinblick auf RAM, Prozessoranzahl etc. - Da kann man schon einmal auf dem falschem Fuss erwischt werden. Der Rest ist eingentlich OK. Ein wenig SUS, DNS (DNS ist eher der Schwerpunkt in der 292), Dcpromo /adv, cache GC etc. Halt die Neuerungen, aber Nichts was einem das Genick brechen könnte. So das soll erst einmal sein. Ich hoffe ich konnte ein paar Leidensgenossen etwas helfen. Viel Erfolg bei Eurer 296. Gruß Data

Hi schlot, vertraue uns einfach :D . Ich administriere selbst eine VPN-Umgebung auf Cisco-Basis. In Deinem Einwahlprofil wurde hinterlegt, dass kein Verkehr außerhalb des Tunnelnetzes zugelassen ist. Das geschieht alles zentral auf der Peerseite, also dem Gateway zu dem Du die VPN-Verbindung aufbaust. Im Klartext bedeuet dass z.B.: Du bekommst eine Adresse zu gewiesen aus dem Bereich 192.168.20.0/24, Du kannst alles im diesem Netz erreichen aber nichts außerhalb. Versuchst Du jetzt Dein Rechner zu Hause zu erreichen werden alle IP-Packete zum VPN-Gateway geschickt, wird dort ICMP in das Internet zugelassen so kannst Du ohne weiteres diesen Rechner auch erreichen. Auch Mail über POP3 geht, da auch hier alle Packete an das Gateway geschickt werden. Du versuchst immer öffentliche IP-Adressen zu erreichen. Wenn Du jetzt eine zweite VPN-Verbindung zu Deinem Heimnetz aufzubaust, bekommst Du eine Adresse aus einem privaten nicht routbaren Bereich. Dein Rechner kann zu diesem Berich keinen Kontakt aufnehmen, da das VPN-Gateway nicht weiss wohin damit und Verbindungen zu Netzen außerhalb des Tunnels nicht erlaubt sind (Splitunnel deaktiviert). Wenn man Splittunneling aktivieren würde, dann würde Deine NIC zwei virtuelle Gateways halten. Jeder Verkehr für das Uni-Netz geht auf das Cisco-Gateway, der Vehrkehr zu Deinem Heimnetz geht über das PPTP-Gateway. Du könntest eine minimale Chance haben den Mechanismus zu umgehen. Wenn Die IP-Maske des VPN-UNI-Netzes großzügig gewählt ist, dann könnte man versuchen das Heimnetz in die gleiche IP-Range zu setzen wie das Uninetz. Du musst halt nur darauf achten, dass keine doppelten IP-Adressen auftauchen. Benutze für das PPTP-Netz ein sehr kleines Netz (28er Bitmaske). Auf diesem Wege könntest Du evtl. Dein privates Netz erreichen. Logisch betrachtet befindet es sich dann im IP-Bereich des VPN-Uni-Netzes und wird nicht mehr beblockt. Wie gesagt reine Theorie. Es funktioniert auf jeden Fall unter folgender Konstellation: VPN-Netz: 192.169.20.0/23 zu Hause: 10.248.29.0/24 Bei bestehender VPN-Verbindung ist keine Kommunikation mit dem Heimnetz möglich. Stellt man das Heimnetz um, z.B. auf 192.168.21.0/28 dann kann man sowohl mit dem VPN-Netz als auch mit dem Heimnetz gleichzeitig arbeite. Berichte mal ob es klappt. Gruß Data

Absolute korrekte Antwort. :) Dein Problem wäre nur lösbar, wenn das Rechenzentrum Spiltunneling zulassen würde. Sprich IP-Verkehr zu Zielen außerhalb des UNI-Netzes wären damit zugelassen. Ich denke aber mal, dass die das nicht machen. Ich habe das Splittunneling bei uns auch deaktiviert. Sorry, aber "that's life". Gruß Data

Sorry, da sind mir zwei post durcheinander geraten. Korrekt: PKI und GPO in der 296 Gruß Data

Diverse Bücher zu dem Thema erscheinen im Januar. Sonst solltest Du mal auf http://WWW.ISASERVER.ORG. Vielleicht hat da schon jemand etwas verbrochen. Gruß Data

Hi, prinzipiell sollte es kein Problem geben. Du koppelst zwei Nezte mit unterschiedlichen IP-Ranges, damit entfällt ein wildes natting. Auf beiden Gateways muss halt nur der Weg in das andere Netz bekannt sein, also übers VPN. Nur darn denken, dass es evtlmit Firwalls auf den WS Probleme geben kann, wenn auf einmal ein Client aus dem fremden Netz in das eigene Netzt brüllt. Gruß Data

Hi, Versuche es einmal mit einem Drittherstellerprogrammm (VNC z.B.), bei dem Du die Ports verbiegen kannst, RDP wäre etwas arg offensichtlich. Auf der Firewall erstellst Du dann eine Regel die den Verkehr auf diesem Port zwischen dem Server und Deiner WS zulässt. Damit wäre das Risiko minimiert und der Komfort maximiert ;) . Gruß Data

Hi, GPO-Abarbeitung innerhalb einer OU, von unten nach oben. GPO anwenden auf die OU welche die Computeraccounts enthält. Mit GPresult einmal anschauen, welche GPOs gezogen wurden, Gruß Data

TermServ ? Ich dachte PKI und GPO ist das Hitthema in der Prüfung. Gruß Data

Na, das macht ja Hoffnung. Habe meine 292 mit 823 Punkten bestanden und will nächste Woche die 296er machen. Wollen wir mal sehen. Gruß Data

Es geht nicht immer alles. :( Verkaufe doch die Version die Du hast mal Deinem Chef. Vielleicht gefällts ihm ja. :) Gruß Data

Oh, doch so viele :wink2: . Ich weiß erlich gesagt nicht ob es Antigen nicht erst ab 50 Lizenzen gibt. Ein Lizenz kosten ab der 1000ten ca. 19 € je Mailbox, sonst fast das Doppelte in der kleinsten Stückelung, wenn mich nicht alles täuscht. Support und Update für 2 Jahre. Du kannst Dir dann wohl selbst ausrechnen ob 1,99 pro Monat oder Antigen günstiger ist. Puertec kostet dich für 2 Jahre ca 500 Euro, Antigen ca. 2000 € (Bei 40 € pro Lizenz und einer Mindestabnahme von 50 Stück - Das mit den 50 Stück ist nicht verfiziert !!). Allerdings weißt Du dann wast Du hast, einen guten Virenscanner für Exchange. Break-Even-Point wäre bei nach meiner Rechnung ab der 42 Mailbox erreicht. Gruß Data

Yo, sieht doch gut aus. Jetzt einmal auf Detais (Rechts neben dem Diagrammreiter) klicken, dann hast Du schon einmal alles tabellarich geordnet. Über Datei -> Export kannst Du dass ganze auch nach Excel exportieren. Über die Gruppierungsoption in Excel kannst Du dann eine schöne Übersicht produzieren. Gruß Data. PS: Wenn Du willst hänge mir einfach mal den Export an dein thread.

Yep, immer schön die Hersteller würfeln. Was der Eine nicht findet, hat der andere ja vielleicht schon im Viruspattern. Deshalb Antigen für Exchange, dann hat man schon einmal drei Scanner. Für die WS und SRV nuzt Du dann am besten einen weiteren Hersteller, dessen engine noch nicht im Antigen eingebunden ist. gruß Data

Wie gesagt, unter Datei -> Exportieren -> HTML. Am besten Du legst mal einen Screenshot von Deinem Treesize bei. Sonst diskutieren wir hier noch Stunden ;) Gruß Data

Also bei mir sieht es genauso aus wie Du es willst. Hast Du schon einmal Reports generiert ?? Export nacht HTML, aber nicht vergessen die Ordner zu expandieren, sonst werden Sie nicht in den Bericht mit eingeliedert. Gruß Data

Tach zusammen, ich habe die 292 vor ca. 2 Wochen gemacht und bestanden. Habe meine Erfahrungen in diesem thread zusammengefasst. Wenn noch Fragen, ihr wisst wie man mich erreicht :wink2: . http://www.mcseboard.de/showthread.php?s=&threadid=49479 Gruß Data Nachtrag: Brainstorm Du hattest ja auch in o.g. thread gepostet, woran happerte es denn. DNS ???

Lass mal überlegen, da muss es einen Button geben der die Ordner so auflistet. Die bessere Alternative ist allerdings die Generierung eines Reports. Ich denke Du arbeitest mit der Freeware-Version. Die kann aber nicht soviel wie die kostenpflichtige Professionalversion. Unter http://www.jam-software.com/treesize/index.shtml sind etliche Screenshots. Da bekommst Du auch die Prof-version als Trialware. Gruß Data

Hi. Treesize ist da das Programm der Wahl. Erstellt auch Kuchen- und Balkendiagramme und das ist es doch was Chefs sehen möchten, oder :D . Gruß Data

Hi, wenn ich recht verstehe sollen die User anhand Ihres Logon-Names authentifiziert, korrekt ? Dafür brauchst Du allerdings kein Radius. Das geht über eine AD-Gruppe die im ISA berechtigt wird auf das Internet zuzugreifen. Im IE musst Du nur noch die automatsiche Benutzeranmeldung aktivieren und schon sollte Dein Problem gelöst sein. Gruß Data

Achte nur darauf, dass die Zeitabstände für das Virenupdate sehr gering gehalten sind. Intervalle von einem Tag brigen heute schon nichts mehr, das spielt sich alles im Minutentakt ab. Ich lasse alle 10 min nach Updates fragen. Gruß Data

Hi, hast Du überprüft, ob Deine DNS Namensauflösung richtig funktioniert ? Ich hatte bei unserer Migration den Exchange 2000 auch kurzfristig zum WINS-Server gemacht, da der 5.5 über den Connector keinen Kontakt aufnehmen wollte. Ein paar Fehlermeldungen wären allerdings schon praktisch. Gruß Data

Hi, wir setzen Sybari Antigen für ca. 1600 Mailboxen ein. Wir können uns nicht beschweren. Bis jetzt hat es noch kein Virus geschafft einzudringen. Vorteil von Sybari ist die Bündelung mehrer Scanengines, z.B. McAfee, CA, Sophos etc. . Je nachdem wieviel Geld man ausgeben will. Auf der Sybari-Seite gibt es, glaube ich, einen Trial-Download den Du ja mal auf einem Testsystem installieren kannst. Gruß Data