Data1701

Ich kann mich nur wiederholen, Cisco oder andere Hardwarefirewall auf forderster Front, dann einen ISA 2004 im integriertem Modus. Die Konfig eines ISA 2004 sollte man hinbekommen. Der Schutzerfolg ist immer von der Konfig abhängig. Wenn Du sicher gehen willst, dass die Konfig auf dem ISA keine Bugs hat, solltest Dir jemanden dazuholen der das Produkt kennt. Als Appliance ist der ISA, glaube ich, schon vorkonfiguriert. Starte mal eine Herstelleranfrage. Ganz nett sind auch die Produkte von Fortinet: http://www.fortinet.com/products/telesoho.html Die machen FW / Virusscan / VPN / IDS / Antispam etc. Da hast Du dann alles, und der Preis ist wirklich günstig. Wenn Du das alles mit ISA machen wolltest, bräutest Du etliche Plug-Ins. Gruß Data

Ich will ja nicht knauserig sein, aber die Defintion von CAL stammt von MS, siehe beigefügtem Link. Deshalb stand die Definition ja auch in Anführungszeichen. Mich hat diese Definition auch gewundert, aber wenn Bill es aber doch so will. Gruß Data

Hallo, hmmmm, das stimmt. Also merke, immer "ganz" korrekt antworten ;) . Wollen wir festhalten: Windows 2000 = CAL (Device CAL) = "Eine Windows Server 2003 Client Access License (Windows CAL) ist erforderlich für jeden Nutzer oder jedes Gerät, der/das auf die Serversoftware zugreift oder diese verwendet" Windows 2003 = CAL (s.o.) und USER CAL = "Mit der User CAL braucht man keine Device CAL mehr für jedes Gerät zu erwerben, von dem ein bestimmter Benutzer auf die Serversoftware zugreift." Alles zu diesem Thema: http://www.microsoft.com/germany/ms/serverlizenzierung/ws03/index.htm Gruß Data

Hi zusammen, ihr redet immer von netsh, wenn ich mich nicht ganz irre, kann netsh zwar alles, aber kein DNS. Diese Option gibt es einfach nicht. Warum ist mir nicht ganz klar. Das Tool der Wahl ist DNSCMD. Ahhhh, sorry, :o Ihr redet von der Interfacekonfig und nicht von der DNS-Server-Konfig. Ok, Ok, Netsh. Gruß Data

:D , Ne Ne. Habe zwar die 227, ich kenne auch die neuen IOS-Features aber auch Ihren Preis ;). Jedes Feature kann man sich dann für Geld schön freischalten lassen. In Summe wird man dann mit 1500 € nicht hinkommen. Günstig gehörte doch zur Aufgabenstellung, oder ? Außerdem muss man auch noch jemanden finden der einem die Pix konfiguriert, während die Chancen eine Konfig beim ISA hinzubekommen gar nicht so schlecht stehen :) . Ein "CICSO-FAN" ? ;) Gruß Data

Hi, sagte ich doch oder ?? Der Kollege hat doch Win2k. Gruß Data

Hi, was willst Du mit dem ISA-Sserver denn genau machen. Firewall und Proxy oder nur Proxy ?? Die Konfiguration von einem ISA-Server im Proxymodus sollte man mit etwas Anleitung hinbekommen. Willst Du allerdings im integriertem Modus fahren (FW und Proxy), dann sollte man Sich doch mal ein Buch zur Hand nehmen, sonst kommt man ins schleudern. Genrell sollte man jedoch nicht vergessen, dass eine Cisco FW eine Packet-FW ist. Dein Regelwerk bassiert auf IP-Regeln (Layer3). Der ISA-Server kann stellt jedoch auch Application-Filter zur Verfügung, d.H. Du ganz Daten mit speziellem content ablehnen, dass kann Cisco nicht. Hört sich erst einmal gut an, "Kann mehr als Cisco", aber bedenke, Du stellst eine MS-Produkt mit einem Ethernet-Bein ins Internet. Empfehle ich Dir nicht. Am besten man kombiniert eine Hardware-Firewall mit ISA, das gibt mehr Sicherheit. Konfigurieren muss man leider immer. Je schlechter die Konfig umso schlechter der Schutz. Wenn schon ISA, dann ISA 2004. Dort hat MS ein paar schöne Features intgriert und auch die Administration geht leichter von der Hand. 1150 € für eine ISA ist aber nen Wort, oder ?? Wie sieht es denn mit SBS-Premium aus. Kostet ca. 700 Euro Mehr aber du bekommst gleich einen SQL - ISA und Sharepoint Server dabei. Gruß Data

Hi, wie lautet die Fehlermeldung denn eigentlich ? Habt Ihr SBS im Einsatz ? Eigentlich braucht man den Lizenzierungsdienst nicht wirklich. Gruß Data

Hi, CAL = Client Access Lizenz, also pro Computer, nicht pro User. Tip: Zertifizierungsdienst deaktivieren, dann musst DU nur selbst sicherstellen das keine Lizenzunterdeckung auftritt. Man hat aber etwas "Spielraum" falls mal ein Computer schneller da ist als eine Lizenz. :) Gruß Data

War nur ne Vermutung, wissen tue ich es nicht. Gruß Data

Ich noch einmal, die 292 und 296 sind ja eigentlich "nur" die Upgradeprüfungen. Vom Inhalt dürften Sie doch stark der 290 und 294 ähnlich sein, oder ?? Gruß Data

Hallo zusammen, Dann haben wir uns nun wieder alle lieb, oder ?? ;) Ich denke das dieses Thema immer wieder zu hitzigen Diskussionen führen kann. Korrekt, over and out. Gruß Data

Da kochen die Emotionen wohl etwas hoch. Ich denke Greg hat seine Prüfung nicht durch auswendig lernen geschafft. Es ist schon richtig, dass einige Personen auf diesem Wege den MCSE erlangen, allerdings wird man solche Leute immer finden, egal wann, egal wo. Zum Thema CCIEs, leze, die Guten, also solche die Probleme erkennen und lösen sind mit sicherheit nicht solche die Ihre Prüfung auswendig gelernt haben. Das verhällt es sich genau wie beim MCSE, nur wer sich mit der Materie wirklich auseinander gesetzt hat, wird Lösungen zu Problemen erarbeiten können. Stumpfe Auswendiglerner, egal im welchem Bereich, bleiben hier immer auf der Strecke und das ist auch gut so. Wofür lernen wir denn schließlich ALLE, oder ?? Gruß Data

Hi, also Ich wüsste nicht, dass man die Dialogbox ändern kann. Der Dialog ist durch das Systme vorgegeben. Habt Ihr eine NT4-Domäne (?) Nehme ich mal an, sonst hättet Ihr keine Domänen-User Gruppe. Ich denke das Dein Anliegen etwas schwer zu verwirklichen ist. Die User sind DAUs, sollen aber den Installationszeitpunkt selbst festlegen, da Sie sonst Probleme bekommen innnerhalb von 5 min alle Applikationen zu schließen. Korrekt ? Dann wären wir wieder bei meinem Vorschlag den Zeitpunkt bis zum reboot auf 30 min zu verlängern. Warum einen DAU überhaupt etwas entscheiden lassen ;) . 30 min Verzögerung erfolgt über "RebootWarningTimeoutEnabled" dword=30 (dezimal) Du kannst den Rechner auch gar nicht booten lassen, irgendwann ist ja auch mal in Deiner Firma Feierabend und dann machen alle Ihre Rechner aus, sprich sie booten und wissen gar nicht das Sie Dir einen gefallen tun. "NoAutoRebootWithLoggedOnUsers"=dword:00000001 Nähere Infos guckst Du hier: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2maint.mspx Und für alle SUS-Freunde hier: http://forums.susserver.com XP-SP2 bringt noch einige neue Schalter mit, die ich mir auch noch nicht alle angeschaut habe :( . Ich hoffe das o.g. hilft erst einmal weiter. Gruß Data

Hi, macht kein Unterschied. Setzte die Einstellungen per lokaler GPO und schau Dir dann die REG-Keys an. Gruß Data

Hi, das sind allerdings schon ein paar Daten. Einfacher wäre es für uns, wenn Du uns sagst, wieviel Geld Dir/Euch die Datensicherheit wert ist. Nach oben gibt es keine Grenzen, allerdings muss man sich immer die Frage stellen brauche ich alle Daten, sollte man nicht anfangen zu archivieren. Die günstigste Lösung wäre mit Sicherheit ein extrener Plattenverband, hat aber den Nachteil, dass man die Platten nicht extern lagern kann. Eine Libary (LTO) schlägt da schön mit etlichen tausenden von Euros zu, man kann aber die Bänder wo anders lagen, um den Datenverlust durch z.B. durch einen Brand vorzubeugen. Mehr Input bitte ;) . Dann gibt es auch ne schöne Lösung :D . Gruß Data

Merci und Danke. Wer lesen kann ist klar im Vorteil ;) Gruß Data

Habe einmal ein Frage, wie funktioniert eigentlich Euer Bewertunsgsystem - Sternchen - Farbe der Sternchen - Junior-Member - Member etc. Habe bis jetzt nichts gefunden, oder läuft das ganze über den berühmten Borad-Admin-Algorythmus ?? Gruß Data

Stimmt VLANs, habe ich gar nicht mehr dran gedacht. Das machen die Drayteks auch, ich glaube das habe ich ja selbst in einem vorhergehenden Post erwähnt. Wie mister2x bereits erwähnte ist das aber keine phsikalische Trennung. Mit VLAN geht es auch, wobei es dann allerdings noch immer eine Layer2-Verbindung zwischen den Zonen gibt. Damit wären wir wieder beim Sichersbedürfnis. Da müsste sich arnd dann entscheiden. Günstig und nicht ganz so sicher (1 Router und VLANS) , günstig viel Arbeit und sicher (IPCOP), teuer und sicher (Cisco), mittlere Preisklasse 2 Router (á 130 Euro) und auch sicher, allerdings weniger Arbeit. Gruß Data

Nur um mal ne Hausnummer zu nennen, ca. 1800 Euro musst Du für einen Cisco-Router mit 3 Interfacen springen lassen. Eine Pix ist noch einmal etwas teurer. Gruß und gute Nacht Data

Vier ist korrekt. 1 x Outside 1 x DMZ (Inside) 1 x Outside (In die DMZ zeigend) 1 x Inside (LAN) Subnetting kann ja fast jeder "guter" Router. Alleinige Trennung der Netze über subnetting ist aber noch nicht optimal, erstrebenswert ist eine pysikalische Trennung der Verkehrs. Gruß Data

Sollte gehen. IPCOP-Rechner mit 3 NICs ausstatten und schwups, man eine Router mit 3 Interfaces. Theoretisch, allerdings kann ich zur Konfig nicht wirklich viel sagen, da müsste mal ein anderer helfen. Gruß Data

Falls VUE mir antworten sollte, habe gerade noch eine Testbewertung abgegeben zu der dich aufgefordert wurde, so werde ich Euch berichten. Gruß Data

Hi Arnd, OK, sorry, mehrere Clients stellen ein Problem dar, auf jeden Fall mit den Draytek Routern. Da kann ich nur einen Client zum DMZ-Client machen. Kannst ja trotzdem mal schauen: http://www.vigor-users.de/index.htm?gr_nat-routing.htm Deine Konfig, wirst Du mit einem "SOHO" Router nicht hinbekommen. Ich kenne keinen Router in dieser Klasse, welcher mehere voneinander getrennte Interface mitbringt. Bei der Ein-Router-Lösung brächtest Du: 1 x OutsideInterface 1 x DMZ-Interface 1 x Inside-interface Cisco kann das, aber dann auch für einen stolzen Preis. So müsstest Du dann wirklich auf eine Zwei-Router-Lösung zurückgreifen. Einen vor der DMZ und einer vor Deinem LAN, dessen Outside Interface in die DMZ zeigt. Alle Adressen vom LAN werden genattet und nur diese NAT-Adresse wird für direkten Verkehr über den zweiten Router zugelassen. Dein Insidewelt ist dann sehr gut abgeschottet. Wie gesagt ich kann die Draytek-Router nur empfehlen, ünterstützten VPN/IPSEC mit AES128 und LAN-LAN (Bis zu 16 Stück)Kopplungen. In der neueren Firmware sind auch VLAN integriert. Damit wären Deine Einwahlansprüche sichergestellt. Gruß Data

Ich müsste mir noch mal die Konfig durchschauen, allerdiungs sollte von der DMZ in das LAN nur von dir zugelassener Verkehr fließen. Faktisch hängt die DMZ und das LAN auf einem Router wird allerdings durch das Regelwerk und Routing getrennt. Die DMZ hätte dann also eine andere IP-Range als Dein Heimnetz und wird von der Firewall wie ein outside-Netzwerk behandelt. Gruß Data.