s.k.

Hallo, Handelt es sich um Windows Server 2003 R2 oder kannst Du auf R2 upgraden (z.B. im Rahmen einer SA)?Dann geht das sehr schön mit Boardmitteln per DFS. Dabei erfolgt lediglich eine Replikation des Deltas und zwar komprimiert - also ideal für geringbandige WAN-Strecken. Das Zeitfenster ist auch planbar. Gruß Steffen

Hallo, Meines Wissens stellt ESP selbst überhaupt keine Verschlüsselung bereit, sondern bedient sich eben Verschlüssungsprotokollen wie DES, 3DES, AES usw. ESP gehört meines Erachtens immer zu einer vollständigen IPSec-Implementierung. Das "Gegenstück" zu ESP sind nicht DES/3DES, sondern ist AH. Jeder Billigrouter, der einen IPSec-Tunnel terminieren kann, sollte also ESP unterstützen. Aber vielleicht verstehe ich einfach nicht genug von der Materie - klärt mich bitte auf! Gruß Steffen

Was ich vergass: Wenn Du in dieser Konfiguration nur auf der Zywall die Route ins LAN setzt, dann musst Du auf der Zywall noch die Option "Allow Asymmetrical Route" aktivieren. Sonst macht Dir deren SPI-Firewall einen Strich durch die Rechnung, weil sie nur den Traffic DMZ-->LAN - nicht jedoch den Traffic LAN-->DMZ zu sehen bekommt. Ich würde es aber bevorzugen, auf den DMZ-Servern statt dessen eine statische Route ins LAN einzutragen. Gruß Steffen

Da der Mailserver ja ohnehin durchläuft, könnte der Rechner auch DHCP-Server spielen.Z.B. hiermit: Static DHCP Server for Windows 9x and NT (Ich geh mal davon aus, dass es sich um ein Windows-System handelt.) Gruß Steffen

Hallo Dschonny, wie weg5st0 bereits schrieb, solltest Du zunächst prüfen, ob die eingesetzte Firewall/Router NAT-Loopback unterstützt. U.U. muss dies erst aktiviert werden. Wenn er das nicht unterstützt, musst Du das über die Namensauflösung regeln. Wenn Ihr intern einen DNS-Server habt, könnte man auf diesem eine entsprechende Zone und darin ggf. einen entsprechenden A-Eintrag anlegen. Das birgt aber durchaus Fallstricke. Einfacher wäre es auf dem internen DNS-Server eine Weiterleitung an einen DNS-Proxy einzurichten, auf dem man einzelne A-Einträge setzen kann. Für diese Aufgabe könnte man z.B. den Janaserver einsetzen. Siehe hier: Interner Zugriff auf einen öffentlich erreichbaren internen Server über seinen externen DNS-Namen - JanaWiki Gruß Steffen

Ist mir klar, dass Du keinen trihomed ISA hast. Mit DMZ meine ich das Netz zwischen der Zywall35 (=Frontendfirewall) und dem ISA-Server (=Backendfirewall) - also das "20er Netz". Im Übrigen ist die Möglichkeit, eine Serververöffentlichungsregel zu erstellen, nicht davon abhängig, ob man eine DMZ-Zone hat. Wenn Dir die Sache so nicht ganz durchsichtig ist, dann stell doch am ISA das Netzwerkverhältnis zwischen "intern" und "extern" auf Routing um. Dann benötigst Du auf der Zywall zusätzlich die Route ins LAN (10.10.10.0/24 GW=20.20.20.33.). Am ISA würde ich einen Adressbereich mit Namen "DMZ" anlegen (20.20.20.1-20.20.20.254), damit man darauf die Firewallregeln LAN->DMZ und DMZ->LAN aufbauen kann. Am Besten Du sicherst die Konfig des ISA und wendest dann mal die Vorlage "Backfirewall" mit dem Standardfirewallrichtliniensatz "Eingeschränkten Webzugriff zulassen, Zugriffe auf Netzwerkdienste im Umkreisnetzwerk zulassen" an . Dann siehst Du, wie man das konfiguriert und kannst die Regeln nach Deinen Erfordernissen anpassen. Nach Anwendung der Vorlage musst Du allerdings noch das Netzwerkverhältnis von "NAT" auf "Route" umstellen sowie den vordefinierten Adresssatz "Umkreisnetzwerk" (=DMZ) und das vordefinierte Hostobjekt "Frontfirewall" (=Zywall35) mit IP-Adressen versehen. Gruß Steffen

Hallo Squire, danke für die Rückmeldung! Da ich den Rechner bereits umbenannt und mit Sysprep behandelt hatte, werde ich ihn jetzt mal komplett neu aufsetzen... Gruß Steffen

Hallo, Bitte genau darlegen, welche Dienste erlaubt sein sollen sowie die Regel und die Protokolldefinition genau beschreiben oder besser: Screenshots verlinken! Eben! Ich zitiere aus der Onlinehilfe des ISA2004: "Ein Routeverhältnis gibt an, dass keine Adressübersetzung durchgeführt wird. Routingnetzwerke sind bidirektional. Wenn also ein Routeverhältnis von Netzwerk A zu Netzwerk B definiert wurde, existiert ebenfalls ein Routeverhältnis von Netzwerk B zu Netzwerk A. NAT-Verhältnisse sind hingegen eindeutig und unidirektional. Wenn ein NAT-Verhältnis von Netzwerk A zu Netzwerk B definiert wurde, kann kein Netzwerkverhältnis von Netzwerk B zu Netzwerk A definiert werden." Und weiter heisst es: "Wenn keine Beziehung zwischen den Netzwerken konfiguriert ist, wird von ISA Server kein Datenverkehr zwischen den beiden Netzwerken zugelassen." Traffic von Netz B nach Netz A - welcher nicht aus Antwortpaketen auf Anfragen von A nach B besteht (für diese gibt es einen korrepondierenden Eintrag in der NAT-Tabelle) - wird also verworfen. Genau deshalb benötigst Du eine Serververöffentlichungsregel - bei anderen Systemen bekannt als "virtueller Server" oder "Portforwarding". Der ISA gaukelt dann sozusagen nach extern vor, selbst den betreffenden Service anzubieten, nimmt den an ihn gerichteten Traffic an, ersetzt die Ziel-IP durch die eigentliche (interne) Zielserver-IP-Adresse und leitet ihn dann erst weiter. Die IP-Adresse des internen Servers ist nur dem ISA bekannt - nicht dem anfragenden Server in der DMZ. Wozu? In dieser Konfig muss der Server in der DMZ doch den ISA (mit seiner DMZ-IP-Adresse) als Ziel ansprechen. Also Kommunikation innerhalb des selben Subnetzes - dafür brauchst Du keine Route! Das Netz hinter dem ISA ist maskiert und für die Server in der DMZ deshalb nicht adressierbar. Du könntest natürlich alternativ das Netzwerkverhältnis zwischen LAN und DMZ auf "Route" umstellen. Wenn möglich, würde ich diesen Weg sogar favorisieren, denn nicht alle Anwendungsprotokolle sind "NAT-friendly". Gruß Steffen

Dann kannst Du die Route auf der Zywall wieder löschen.Wenn das Netzwerkverhältnis NAT ist, musst Du mit einer Serververöffentlichungsregel arbeiten. Du sprichst den Datenbankservice dann aus der DMZ heraus mit der DMZ-IP des ISA-Servers an. Dieser setzt dann um in die interne IP-Adresse. Anleitungen, wie man z.B. einen MS-SQL-Server oder einen Oracle-Server veröffentlicht, gibt es hier: Firewallrichtlinien Gruß Steffen

Hi, Dessen bedarf es vermutlich nicht, weil der ISA im internen Netz das Defaultgateway sein dürfte. @hirnibus: Wie ist das "Netzwerkverhältnis" am ISA zwischen den beiden Netzen konfiguriert - sprich nattet der ISA? Gruß Steffen

Die Zywall 2Plus von Zyxel hat ein H.323 Application Layer Gateway. Damit sollte es funktioniert - wenn nicht, zurückgeben... Gruß Steffen

Hallo, der 2500er hat m.W. ein nicht abschaltbares DSL-Modem integriert. Schon deshalb wird das wohl nichts werden mit "hinter die vorhandene Fritz-Box"... Gruß Steffen

Hallo Squire, hast Du das Problem lösen können? Ich habe hier scheinbar das gleiche oder ein ähnliches Problem. Es handelt sich um mehrere Rechner in einer 2003-Domäne, die ebenfalls mit PC-Wächter-Karten ausgestattet sind. Die Rechner wurden auch mit einem Image betankt - vor der (erfolgreichen) Aufnahme in die Domäne wurden sie jedoch mit newsid von Sysinternals behandelt (benutzen wir schon länger - gab noch nie Probleme damit). Seit Installation des Wächter-Treibers (war das letzte, was gemacht wurde) wird die Gruppenrichtlinienverarbeitung abgebrochen. Ursächlich hierfür scheint folgende Warnung aus dem Systemprotokoll zu sein: Die entsprechenden Lösungsansätze von eventid.net und der MS-Knowledgebase hab ich erfolglos abgearbeitet. Das System läuft auch AD/DNS-mäßig absolut sauber. Die einschlägigen Diagnosetools aus dem Ressorcekit zeigen keine Probleme an. Die Grulis funktionierten auch schon einmal.Leichtfertiger Weise hab ich dann einen PC aus der Domäne genommen und wollte ihn wieder in diese aufnehmen. Dies schlägt jedoch fehl mit der Warnung, dass der RPC-Server nicht verfügbar sei. Es wird ein Computerkonto angelegt und sofort deaktiviert - also genau wie bei Dir! Ich hab den PC-Wächter komplett deinstalliert, ebenso sämtliche 3rd-Party-Software wie Virenscanner etc und habe den PC auch schon umbenannt und die SID gewechselt. Bringt alles nichts... An der Verwendung von Wächterkarten in einer Domäne kann es zumindest grundsätzlich nicht liegen, weil wir diese an anderen Schulen in identischer Konfiguration seit Jahren ohne Probleme einsetzen. Die Änderung der Computerpasswörter wird dabei unterdrückt, indem bei der Installation des Wächter-Treibers ein Registry-Key gesetzt wird (HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters --> DisablePasswordChange=1). Das Einzige, was diese Installation von den funktionierenden anderen Installationen unterscheidet ist der Umstand, dass die Rechner nach der Installation des Wächter-Treibers bei eingeschaltetem Schultz nicht starten wollten. Dies wurde in Absprache mit dem Support von Dr Kaiser dadurch behoben, dass im erweiterten Menü des PC-Wächters (Shift+O) die Option "Int19-Booten mit Schutz" gesetzt wurde. War dies bei Euch auch der Fall? Gruß Steffen

Hallo, Also ich verstehe die Aussage anders. Und zwar so: [Clients 128er Netz]--[switch/Hub]--[PC mit 2 NICs]--[switch/Hub]--[internetgateway und Clients im 192er Netz] @anthrax: Ist das richtig so? Wenn ja, müsste der PC mit 2 NICs als Router fungieren. Welches Betriebssystem läuft denn da drauf? Geeignet wäre jedes beliebiges Desktop- und Server-Windows-OS. Oder Du nimmst einfach eine freie Firewall- oder Router-Distribution wie IPCop oder M0n0wall. Zusätzlich müssten die Clients im 128er Netz wissen, dass über diesen "PC" das 192er Netz zu erreichen ist und umgekeht. Im 128er Netz würde ich hierzu den PC mit den 2 Nics als Defaultgateway eintragen. Im 192er Netz würde ich hingegen auf dem Internetrouter eine statische Route ins 128er Netz setzen. Die Verwendung eines 128er Netzes solltest Du Dir übrigens noch einmal überlegen! Siehe RFC3330 Im Übrigen bitte IP-Adressen immer zusammen mit der verwendeten Subnetmask posten... Gruß Steffen

Guten Tag in die Runde, ich bin hier zugegebener Maßen schreibend nur ein sehr seltener Gast. Meist lese ich nur ein paar Tage mit, wenn ich wegen eines Problems hier recherchiert hatte und dann schau ich mehrere Wochen nicht wieder rein. In anderen Foren bin ich teilweise aktiver. Trotzdem oder vielleicht gerade deshalb möchte ich mich auch zur Ausgangsfrage äußern: In Anbetracht des "Traffics" auf dem Board geht es hier im Großen und Ganzen recht gesittet zu. Von einem allgemein schlechten Klima kann man jedenfalls nicht sprechen, auch wenn es durchaus Boards gibt, die ich persönlich als "behaglicher" empfinde - aber das liegt vor allem daran, dass die wesentlich kleiner sind. Dass der Umgangston in einigen Threads gelegentlich "kippt", ist normal. Das kommt in allen Boards mal vor und ist in vielen Fällen nicht nur durch Mißverständnisse sondern auch inhaltlich begründet. Ich kann es bspw. überhaupt nicht ab, wenn jemand ganz offenkundig nicht im Mindeststen seine eigenen grauen Zellen benutzen will und/oder nicht selbst recherchiert hat, sondern einfach anderen die Brocken flapsig vor die Füße wirft und Hilfe erwartet (wirklich gebeten wird in solchen Fällen ja leider auch selten :rolleyes:). Da fällt es mir schwer, freundlich zu bleiben. Das ist meine menschliche Schwäche - das geht vielen sicher ähnlich, nicht zuletzt auch Moderatoren und Administratoren. Letztere stehen allerdings diesbezüglich in einer besonderen Verantwortung, denn sie können nur dann allgemein akzeptiert ihren Job erledigen, wenn sie sich selbst vorbildlich verhalten. Dass das nicht immer einfach ist, weiss ich aus eigener Moderatorentätigkeit nur zu gut. Insofern sind mir vorallem solche Threads negativ in Erinnerung geblieben, bei denen erst die - sagen wir mal unglücklichen - Ausführungen des Moderators zur Eskalation führten. :mad: Gott sei Dank ist das nicht der Regelfall. Was mich allerdings unlängst wirklich geschockt hat ist, dass einigen Mitgliedern mittlerweile Spezialränge wie z.B. "Schwätzer" verliehen werden. Vergleichbares habe ich noch in keinem Forum gesehen. :shock: Dies ist - unabhängig von der Frage, ob es sachlich berechtigt ist oder nicht - wirklich "unterste Schublade"! Ihr solltet Euch kritisch fragen, ob das noch der richtige Weg ist... Gruß Steffen ...der nicht abgestimmt hat, weil er sich in den Antworten nicht wiederfindet

> Anleitung < Behaupte nicht, Du hättest selbst recherchiert, bevor Du gefragt hast. Die Anleitung ist sogar auf der Startseite von Netgear verlinkt! Aber fragen ist ja einfacher. Dumm nur, dass Du nach Abschluss Deiner Ausbildung selbst einmal Antworten auf die Fragen Anderer geben sollst... :rolleyes:

Hallo, Es wäre hilfreich, wenn Du mal erläutern könntest, woran man nun die Versionen unterscheiden kann. Es gibt schon seit längerem keine Lizenzen mehr im Handel, bei denen auf dem Echtheitszertifikatsaufkleber nur "Systembuilder-Version" steht. Immer wenn ich (bei den bekannten großen Softwarehändlern - nicht ebay!) als Systembuilderversionen beworbene Produkte bestellt habe, erhielt ich in letzter Zeit Produkte mit einem blauen Erste-Schritte-Heftchen, einer Vollhologramm-CD und dem gelben OEM-Aufkleber: Ist dies nun ok oder nicht? Gruß Steffen

:D:D Wenns wirklich eine solche Codierung wäre, müsste man dem User ja noch einen gewissen rudimentären Rest von Hirn zubilligen. In der glücklichen Lage, solche User zu haben, bin ich leider nicht. Gruß Steffen

Mahlzeit! frisch aus meiner Digicam: http://people.freenet.de/hpalt/mcseboard/Passwordfinder.jpg :rolleyes: Gruß Steffen

Wie wäre es damit? SoftPerfect Network Scanner: fast and free network scanner Oder was skripten... Gruß Steffen

Mit Ether-Connect hab ich keine Erfahrung. Aber wenn ich das mal preislich vergleiche, scheint mir bei anderen Anbietern für vergleichbares Geld mehr drin zu sein. Für 600 EUR (+ Märchensteuer) im Monat bekommst Du bei QSC schon 2x SDSL 4MBit (1x für die Zweigstelle und 1x für die Zentrale). VPN-Tunnel drübergelegt, sollte der Durchsatz immer noch >2,5MBit sein. Gruß Steffen

Hallo Uli, wenn es nur darum geht, dass die Kunden eine oder mehrere Dateien herunterladen sollen, würde ich diese Dateien einfach auf einen passwortgeschützten Webserver hochladen und den Link an den Kunden per email senden (Kennwort besser getrennt mitteilen). Wenn der Kunde auch die Möglichkeit haben soll, selbst etwas hochzuladen, dann schau Dir mal den Webexplorer an. Installationsvoraussetzungen: beliebiger Webserver, PHP, MySQL. Gruß Steffen

Hallo, Diese Aussage ist wohl eher akademisch genau. :D Das wirklich GLEICHE Subnetz haben sie dann nicht, das ist richtig. Das des Servers ist größer als das der Clients. Jedoch können die Clients weiterhin mit dem Server kommunizieren, wenn beide Kommunikationspartner in der sich überlappenden Range liegen. Solange Server und Clients eine IP-Adresse aus der Range 10.0.0.1 bis 10.127.255.254 haben, dürfte es keine Probleme geben. Vielleicht haben die Anmeldeprobleme andere Ursachen. Gruß Steffen

Also ich hab grad mal geschaut, wo die Preise für geeignete L3-Switches beginnen. Einen für diese relativ kleine Umgebung als zentralen Switch m.E. noch ausreichenden D-Link DGS-3324SR gibt es für ca. 1700 EUR brutto - geschenkt finde ich. Damit kann man neben VLAN oder Wirespeed-IP-Routing auch Port-Trunking zum Server und den "Kabinett-Switches" machen. Dann ist die Sache auch ordentlich performant. D-Link hat zwar nicht den besten Ruf, aber ich hatte bislang noch keine Probleme mit diesen Geräten. Da lässt man doch lieber die Frickelei! Gruß Steffen

*kopfschüttel* 2 Vorschläge: 1) Layer3-Switch und statisches portbasiertes VLAN verwenden. Inter-VLAN Routing jeweils nur zwischen dem VLAN des Servers und den VLANs der Kabinette. oder 2) Die Subnetze mit einem dedizierten Router verbinden, der mindestens IP-Filter - besser SPI-Firewall - beinhaltet. Per IP-Filter/Firewall wird geregelt, dass die Kabinette jeweils nur zum Server dürfen. Low-Budget-Lösung (nach Variante 2): Halbwegs performaten PC nehmen, mit entsprechender Anzahl (Multiport-)NICs ausstatten und M0n0wall draufspielen (ggf. von CD). M0n0wall kann beliebig viele NICs/Subnetze verwalten und für jedes Subnetz (welches nicht "WAN" ist) als DHCP-Server fungieren. Damit die M0n0wall sich den DHCP-Clients nicht selbst als DNS-Server zuweist, muss der DNS-Forwarder auf der M0n0wall deaktiviert und der Win2003-Server als DNS-Server auf der M0n0wall eingetragen werden. Leider kann man nur für alle Subnetze den (oder die) gleichen DNS-Server zuweisen, während die WINS-Server für jedes Subnet getrennt konfigurierbar sind. Für die hier genannte Umgebung genügt dies aber, da ja ohnehin alle Kabinette den gleichen DNS-Server verwenden. Gruß Steffen