s.k.

Das hattest Du aber am Client getestet und dieser hatte zu diesem Zeitpunkt noch kein Standardgateway, richtig? Ohne die Paketfilter-Regeln für Port 80 und 443 dürfte der Browser _am Server_ auch mit (lokalem) Proxyeintrag nicht funktioniert haben. Gruß Steffen

Wir hatten schon mal den Fall. Eine Kollegin wollte irgendwas auf einem GIS-Server konfigurieren - ging aber nicht (nichtssagende Fehlermeldung). An der Konsole und per VNC gings. Details weiss ich dazu allerdings nicht - müsste ich morgen ggf. nachfragen. Von einem anderen Kollegen hatte ich mal gehört, dass es Probleme beim Anlegen von Jobs in ArcServe gab. Kann ich selbst aber nicht bestätigen. Ich mache fast alles mit RDP und hatte noch keine Probleme. Gruß Steffen

Das scheint mir jetzt ein Problem mit der Applikation selbst zu sein. Vermutlich wurde sie nicht richtig auf dem Server installiert (welcher hier ja gleichzeitig Client ist). Ist die Applikation überhaupt unter 2003 lauffähig? Bezüglich dieser Fragen solltest Du Dich - wenn nötig - wieder an den Hersteller wenden. Was die Einstellungen in Agenda betrifft, wenn es _auf_ dem Server ausgeführt wird: auch hier _keinen_ Proxy angeben, sondern für den Direktzugriff konfigurieren. Gruß Steffen

Grundsätzliche Frage: Agenda wurde jetzt auf dem Server installiert? Die genannten Einstellungen und Fehlermeldungen beziehen sich auf die serverseitige Installation?

Hallo Christian, AVK 11 & 12 sind m.W. die Client/Server-Variante. Bei AVK 2005/2006 müsste es sich hingegen um Einzelplatzversionen handeln. Oder liege ich da falsch? Gruß Steffen

Die Paketfilter-Regeln betreffen m.W. nur die Kommunikation von oder zum ISA-Host selbst (sofern Ziel oder Quelle außerhalb der LAT liegen). Alles was durch den ISA2000 hindurch geht, wird per Protokollregel - und wenn es sich um HTTP-Traffic handelt, zusätzlich durch eine Site- und Inhaltsregel auf Anwendungsprotokollebene - reglementiert. Warum MS das so implementiert hat? Keine Ahnung... :rolleyes: Im ISA2004 gibt es diese Unterscheidung nicht mehr. Gruß Steffen

Kann mir nicht vorstellen, dass es auf dem Server spürbar schneller geht. Wenn doch, solltest Du mal dem Flaschenhals in Deinem Netzwerk suchen! Für den Fall, dass Agenda wirklich auf den Server wandert, wo auch der ISA installiert ist, benötigst Du 3 IP-Paketfilter-Regeln: 1. (für HTTP) Protokoll: TCP, Richtung: ausgehend, lokaler Port: alle, Remoteport: 80 2. (für HTTPS) Protokoll: TCP, Richtung: ausgehend, lokaler Port: alle, Remoteport: 443 3. (für Elster) Protokoll: TCP, Richtung: ausgehend, lokaler Port: alle, Remoteport: 8000 Wenn FTP auch erforderlich sein sollte, dann 4. (für FTP-Datenkanal) Protokoll: TCP, Richtung: ausgehend, lokaler Port: alle, Remoteport: 21 Die sekundäre Verbindung ("Datenkanal") sollte m.E. vom FTP-Anwendungsfilter dynamisch zugelassen werden. Gruß Steffen

Hallo cebo, Herrlich! :D Freut mich. Was fehlt denn jetzt noch? Eigentlich nur noch Starmoney. Das ist das Selbe "in grün" --> nur TCP Port 3000. Wenn Du es allerdings auf dem Server laufen lassen willst (*schüttel*), dann ist der ISA wie gesagt etwas anders zu konfigurieren. Weite Teile dieses Threads wären dann auch entbehrlich gewesen... :( Gruß Steffen

Kein Wunder. Wenn ich den Thread richtig verfolgt habe, hast Du auch noch keine Protokollregel für HBCI erstellt. Bislang ging es nur um Elster. Man sollte sich schon rechtzeitig Gedanken machen, wo die Applikation läuft (Client oder Terminalserver), denn die ISA-Konfig ist dann eine andere. Für Anwendungen, die auf dem Server laufen, muss im ISA2000 eine Paketfilter-Regel erstellt werden. Scheint zu funktionieren, denn cebo schrieb ja bereits um 10.51h: Sekundäre Verbindungen kann es hier eigentlich nicht geben, da das dann über die Janaserver Extragateways nicht funktionieren würde. @cebo: Gehen wir mal davon aus, dass Agenda scheinbar keine Trennung dahingehend zulässt, dass für HTTP der Proxy genutzt wird und für Elster eine (geroutete) Direktverbindung. Da Deine Clients jetzt offenkundig ohne Proxyeintrag surfen können, sollte es jetzt möglich sein, in Agenda die Proxynutzung zu deaktivieren. Aktiviere also unter "Internet1" den Punkt "Agenda-Installation mit direktem Internetzugang" - dann sollte Agenda vom Client aus in vollem Umfang funktionieren. Gruß Steffen

Dann trags mal bitte im DHCP-Server ein und erneuere die Lease. Wir wollen hier schließlich routen. Ich blicke bei den Einstelloptionen von Agenda noch nicht so wirklich durch. Bekommst Du es so hin, dass Du für HTTP-Traffic den Proxy angeben kannst und für den Elster-Traffic die 6 Felder unter "Elster" ausgegraut sind (so wie unter 4.2 der Anleitung)? Sprich für HTTP soll er den Proxy benutzen und für Elster verwenden wir ganz normales Routing. Wenns so nicht möglich ist, müssten wir auch den HTTP-Traffic zum ISA routen. Wenn dann der HTTP-Traffic aber benutzerbasiert beregelt werden soll, müsste der Firewallclient installiert werden. Gute Nacht! ;) Steffen

Hallo cebo, Den Firewallclient benötigt man nur, wenn man den Zugriff benutzerbasiert regeln will. Gehen wir mal der Reihe nach vor: 1) Der ISA-Server ist am Client als Standardgateway eingetragen? 2) Ist auf dem ISA-Server IP-Routing und Paketfilterung aktiviert (Knotenpunkt "IP-Paketfilter"-->rechte Maustaste-->Eigenschaften)? 3) Ist die Protokolldefinition für Elster folgendermaßen definiert: Protokoll=TCP, Port=8000, Richtung=ausgehend? 4) Wie sieht Deine Protokollregel im Einzelnen aus? 5) Welche Einstellungen hast Du in Agenda vorgenommen? Der Punkt "ELSTER – Zugriff mit Proxyserver (notwendig für UStVA und DV)" darf m.E. nicht aktiviert werden. Gruß Steffen

Hallo AndyV, Dein Anforderungskatalog liest sich wie die Featureliste des Janaservers und der ihn ergänzenden Tools. Auch mit Hamster Classic sollte dies möglich sein. Allerdings würde ich das, was Du da vor hast, nicht ersthaft empfehlen. Einsammeln von externen Konten per POP3, Catch-All-Postfächer, Unterverteilen anhand der Mailheader... das ist alles "Gefrickel", welches nicht dauerhaft stabil läuft und einen hohen Administrationsaufwand birgt. Und dann noch bei 75 Usern ... da läuft es mir eiskalt den Rücken runter! :thumb2: Setze lieber einen eigenen MX auf und arbeite bei den bereits vorhandenen externen Konten wenn möglich mit Weiterleitungen. Ein vollwertiger Mailserver für Windows wäre bspw. Mailenable. Bedenke bei der Auswahl aber auch, welche Funktionalität die User in Deinem LAN benötigen. Brauchen die öffentliche Ordner, Aufgabenlisten, Kalender, Kontakte? Da spricht dann schon wieder vieles für Exchange und MAPI-Clients - auch im Hinblick auf den Administrationsaufwand. Apropos Administrationsaufwand: Wenn Du es durchsetzen kannst - keine Fat-Clients sondern Webmail! Ein Admin sollte auch mal an sich denken... ;) Gruß Steffen

Hallo cebo, Na das würde mich doch sehr wundern, wenn das nicht auch über das Forum zu lösen wäre.Da dies ein neues Problem ist, schlage ich vor, Du machst hierzu einen neuen Thread auf und beschreibst dort erstmal Deine Umgebung etwas genauer (z.B. wieviel NICs im Server?, Router vor ISA? etc.), beschreibst das Problem und verlinkst die Anleitung für den Janaserver. Und am besten hier noch einen Link auf den neuen Thread setzen, damit man weiss, wo es weitergeht. Gruß Steffen

Hallo Hubert, brauchen die Clients bzw. die benötigten Applikationen wirklich eine DFÜ? Was läuft denn über diese Verbindung? TCP/IP? Dann würde ich ein Routing präferieren. Gruß Steffen

Hallo freakazoid, Dann lass das WLAN komplett ungeschützt und sorge nur dafür, dass sich der User vor dem ersten Zugriff auf das Internet per Webformular authentifizieren muss. Dies kann man mit einem sog. Captive Portal realisieren. Der User kann sich dann mangels diesbezüglicher Sicherheitsvorkehrungen zwar frei mit dem WLAN verbinden, kann aber zunächst nicht ins Internet (mit keinem Protokoll - nicht nur http/s). Beim ersten Zugriff per Browser bekommt er statt der Zielseite eine selbst gefertigte Anmeldeseite zu Gesicht, auf der er erstmal einen von Dir mitgeteilten Benutzernamen und Passwort angeben muss (diese Seite sollte natürlich ssl-verschlüsselt sein). Sind diese Angaben korrekt, wird er automatisch auf die eigentliche Zielseite weitergeleitet oder - je nach gewünschter Konfig - auch erst mal auf eine Intranetseite (z.B. mit rechlichen Hinweisen/Nutzungsbedingungen). Hat sich der User erstmal authentifiziert, ist seine Kombination aus IP-Adresse und MAC-Adresse solange freigeschaltet, bis entweder ein (konfigurierbares) Idle-Timeout oder ein anderer Trennungsgrund auftritt. So ist es selbstverständlich möglich, die Gültigkeit von Accounts zeitlich zu begrenzen (z.B. Tagesauccounts?). Professionelle Lösungen sollten auch die Vergabe von Zeit- oder Volumenlimits erlauben. Schau Dich diesbezüglich mal bei spezieller Hotspot-Hardware um! Wenn das Budget knapp ist, tut es aber auch ein normaler SOHO-AP an einer M0n0wall. Die Authentifizierung erfolgt entweder gegenüber der "lokalen" Benutzerdatenbank der M0n0wall oder aber gegenüber einem Radius-Server. Dies könnte z.B. der IAS von Microsoft sein, welcher dann aufs AD zugreift. Das ganze Konstrukt in einer DMZ der Unternehmens-Firewall platziert und sauber beregelt, ergibt hoffentlich genau das, was Du gesucht hast... ;) Gruß Steffen

Wenn mit "intern" = "eingehend" gemeint ist: Nein, das macht man über die Registerkarte "Allgemein"-->"Erweitert" War nur eine Vermutung. Dann der andere Weg. Gruß Steffen

Eigenschaften des virtuellen SMTP-Servers-->Registerkarte "Übermittlung"-->Ausgehende Verbindungen-->TCP-Anschluss Das macht aber nur Sinn, wenn Du ein externes Relay ("Smarthost") verwendest und dieses das auch kann. Eventuell reicht es sogar, hinter die Angabe des Smarthosts ein ":587" anzufügen. Gruß Steffen

Bedenke, dass die Zywall nur reines IPSec "spricht". Es kommen also noch Kosten für den IPSec-Client der Roadwarrier hinzu. Es gibt zwar auch Anleitungen für die Nutzung des in XP integrierten IPSec-Clients. Da wird man aber nicht glücklich mit. WebContent Filtering müsste die ZW5 UTM können (basierend auf Blue Coat). Verursacht natürlich jährliche Abo-Kosten. Zur Leistungsfähigkeit des Filters kann ich nichts sagen. Allerdings hatte ich kürzlich die Virenerkennungsleistung getestet und war nur mäßig begeistert. Ist auf keinen Fall ein Ersatz für einen aktuellen Desktop-Scanner - bestenfalls eine Ergänzung! Im Großen und Ganzen ist die Zywall ein gutes Gerät. Was mich allerdings stört ist, dass man derzeit den Traffic, der durch die VPN-Tunnel geht, nicht mit den Filterregeln der Firewall reglementieren kann. Gruß Steffen

Meines Wissens gibt es die nur in elektronischer Form auf der CD. Gruß Steffen

Der Imap-Server ist sehrwohl getrennt an eine IP-Adresse bindbar. Der POP3-Server wird derzeit hingegen immer zusammen mit dem SMTP-Server aktiviert. Das ist "historisch" so gewachsen - ein entsprechender Änderungsvorschlag wurde aber bereits eingebracht. Ob und wann das mal getrennt wird, entzieht sich meiner Kenntnis - kurzfristig ist sicher nicht damit zu rechnen. Man kann das aber durchaus schon jetzt mit Jana-Boardmitteln entkoppeln und zwar über ein sog. Extragateway (nicht chic aber funktioniert).Optimal wäre es (und so verstehe ich Deinen Einwand vorrangig), wenn man - zusätzlich zur gesonderten Aktivierbarkeit und Bindbarkeit des Pop3-Servers - bei einer einzelnen Mailbox oder eine Gruppe von Accounts angeben könnte, über welches Protokoll (nur Pop3/nur Imap/Pop3 und Imap) ein Zugriff zulässig ist. Ich werde dies dem Entwickler bei nächster Gelegenheit vorschlagen - mal sehen, was er davon hält. Die Feature-List schaut gut aus. Würde mich freuen, demnächst einen kleinen Erfahrungsbericht hierzu lesen zu können... ;) Gruß Steffen

Tja, nur leider fehlt - wie bereits geklärt - die Alternative. Ich jedenfalls würde es durchaus vorziehen, auch XP Vollversionen über einen Volumenvertrag zu beschaffen. :( Gruß Steffen P.S. Keine Sorge, das war das letzte Mal, dass ich da drauf rumgeritten bin... ;)

Ich glaube, ich muss mich in einer ruhigen Minute doch mal etwas intensiver mit dem Thema TS beschäftigen. :) Gruß Steffen

Hallo 004, ich hatte den von Dir zitierten Teil just in dem Moment nochmal überarbeitet, als Du geantwortet hast. Habs zurückedititert, damit es keine Verwirrung gibt. :) Ich war zwischenzeitlich in einem Onlineshop und habe geschaut, was Citrix so kostet. Scheinbar liegen (bei gleicher Userzahl) die Citrixgebühren mit den Global-Gebühren ungefähr gleichauf (ich hoffe, ich hab mich da nicht vertan). Der Preisvorteil ergäbe sich dann also vorrangig daraus, dass man bei Global keine MS TS-CAL benötigt. Eventuell könnte man auch dadurch etwas einsparen, dass man statt eines Win2003 ein WinXP als Server einsetzt. Wenn ich die ersten Postings dieses Threads allerdings richtig verstanden habe, verstieße dies aber bei mehr als 10 Usern gegen die Lizenzbestimmungen von XP. Gruß Steffen

Hallo Gerhard, danke für Deine Antwort. Das ist jetzt der reine Preis für die Nutzung des Windows-Terminal-Servers, oder? Der hat aber nicht die gleiche Funktionalität, z.B. nur eine einzige Applikation über TS zu holen (nicht den ganzen Desktop). Das kann dann scheinbar Citrix. Trifft es zu, dass die Citrix-Lizenzgebühren zusätzlich zu den MS-TS-CALs anfallen? Braucht man dann vielleicht sogar noch zusätzlich normale Windows-CAL? Eigentlich verwendet Citrix doch ein eigenes Protokoll und einen eigenen Client? Wenn dem nicht so sein sollte, vermag ich nicht zu erkennen, wo die Kosteneinsparung bei GoGlobal liegen soll. Gruß Steffen

Diese Frage brennt mir auch auf der Seele. :shock: Gruß Steffen