s.k.

Hallo Edgar, hier noch ein Link, der vielleicht etwas besser verdeutlicht, worauf ich hinaus will: http://www.foerderland.de/353.0.html (Insbesondere die Kapitel 4-7) Basel II betrifft _mittelbar_ auch Unternehmen, die von einer Bank einen Kredit benötigen. Stärker als bisher werden die Banken bei künftigen Kreditvergaben die Bonitätsprüfungen nicht mehr nur auf vergangene Geschäftszahlen stützen, sondern eine Zukunftsprognose stellen. Hierbei werden zunehmend auch sog. „weiche Faktoren“ eine Rolle spielen. Zitat von oben verlinkter Seite: „Weiche Faktoren, die berücksichtigt werden, können zum Beispiel sein: - Unternehmensstrategie - Personalpolitik - Managementqualitäten - Organisationsstrukturen etc.“ Ich weiss von einem Jugendfreund, welcher bei einem der weltgrößten Beratungsunternehmen als Consultant tätig ist (ich will ja hier keine Werbung machen…), dass ein Schwerpunkt dieser „weichen Faktoren“ der Umgang mit der Unternehmens-IT ist. Im Zuge entsprechender Audits und Ratings verdient er sich gerade eine „goldene Nase“ damit, dass er dokumentiert (und ggf. auch berät und implementiert), welche Maßnahmen die Unternehmen ergreifen, um die Sicherheit und Verfügbarkeit ihrer IT sicherzustellen. Solche Maßnahmen sind nicht nur technischer Natur, sondern auch und in erster Linie organisatorische und personelle Maßnahmen (also letztlich eine direkte Aufgabe des Managements). Bei KMUs wird das sicherlich „nicht ganz so heiss gegessen“. Schließlich kann man nicht in jedem Einzelfall ein solchermaßen ausgiebiges Rating des kreditbeantragenden Unternehmens vornehmen. Trotzdem dürfte Basel II längerfristig – wenngleich in geringerem Umfang – auch Auswirkungen auf die Kreditvergabe an KMUs haben. Angenommen ich wäre Kreditsachbearbeiter und müsste über einen Kreditantrag des Unternehmens von Josh16 entscheiden. Wenn mir die hier dargelegten Umstände bekannt wären, hätte ich größte Bedenken, auch nur einen Euro rauszurücken. Es ist doch offenkundig, dass für dieses Unternehmen seine IT in höchstem Maße geschäftskritisch ist. Ein worst case und dessen Auswirkungen sind hier doch leicht vorstellbar! Und dann so ein Umgang damit… :rolleyes: Auch als Kunde oder Geschäftspartner wäre ich verunsichert, wenn mir diese Umstände bekannt wären. Aber das hattest Du ja bereits dargestellt... ;) Gruß Steffen

Das sehen Banken beim Kreditnehmerscoring sicherlich ähnlich. Wäre also _ein_ Argument - insbesondere im Hinblick auf BASEL II. Gruß Steffen

'nabend! Ich bereite mich derzeit zwar auf keine Prüfung vor, nutze aber trotzdem fast täglich MS VPC. Das Einzige, was mich wirklich stört, ist die fehlende USB-Unterstützung. In der VPC-Konsole unter Datei-->Optionen. Ich lege mir das immer auf die rechte STRG-Taste. Hab was anderes gehört: Bei MS Virtual-Server soll wohl für das Host-OS künftig keine Lizenz mehr erforderlich sein, wenn dieses nur zum Hosten der VMs, nicht aber sonstwie produktiv genutzt wird. Bei den letzten MOC-Kursen, die ich so gemacht habe, wurde immer VPC mit vorkonfigurierten VMs eingesetzt. Vermutlich ist beides auf den Begleit-CDs drauf. Hab da noch nie draufgeschaut... :shock: Auf jeden Fall würde es mich doch sehr wundern, wenn es MS nicht verstehen würde, dieses Produkt durch geeignete Verknüpfung mit anderen MS-Produkten unter das Volk zu bringen. Darin war und ist MS schließlich unschlagbar... Gruß Steffen

Hallo watumba, Du könntest eine Appliance einsetzen, welche Loadbalancing zwischen 2 WAN-Ports unterstützt. Preisgünstige Modelle wären z.B. die Zywall 35 und Zywall 70 von Zyxel. Hiermit wäre auch policybasiertes Routing möglich. Beispielsweise könnte man email-Verkehr über die eine Leitung schicken und Webzugriffe über die andere. Gruß Steffen

Klare Aussage: so wie ich Deine Anforderungen bislang verstanden habe, ist dieses Produkt für den vorgesehenen Einsatzzweck ungeeignet. Er hat zwar 4 GBit LAN-Ports, aber nur 100MBit WAN-Ports. Selbst wenn er LAN-seitig IP-Aliasing sowie Routing und Filterung zwischen den Aliasnetzen unterstützen sollte (was wahrscheinlich ist, denn da steckt ein ZyNOS unter der Haube), dann ist er trotzdem ungeeignet, weil die Firewallregeln zwischen Aliasnetzen dadurch umgangen werden können, dass man seine IP-Adresse ändert. Auch reicht der Firewalldurchsatz für GBit nicht aus (er beträgt lt. Datenblatt max. 11,5MBit/s). Das von mir vorgeschlagene System ist 27,5 cm breit, 5 cm hoch und 17 cm tief. Ist das immer noch zu groß? Gruß Steffen

Hallo yoyo, hast Du nun eine Lösung gefunden? Wenn nein, würde ich mir den Vorschlag von Arnd nochmal überlegen. Allerdings würde ich nicht zu IPCOP, sondern zu M0n0wall greifen. Rechenbeispiel: - 1x NE2153 von http://www.ipc2u.de (Embedded Server VIA Eden 1GHz, VIA CLE266 Chipset w/VGA, 3x Intel 82540 10/100/1000Mbps, 4xUSB, 2xPCMCIA, 1x2.5''/Hidden Drive Bay, 1x CF-Extensionslot, External Power Adapter 12V AC-DC) ca. 580 EUR incl. Märchensteuer zzgl. Versand - 1x 128 MB DDR-RAM (falls nicht vorhanden) --> ca. 15 EUR - 1x CompactFlash-Card (kleinste die es gibt, mind 6MB) --> ca. 10 EUR (für 64MB-Card von Markenhersteller) - 1x Adapter CF-->IDE (zum einmaligen Beschreiben der CF am PC) --> ca. 10 EUR (Nachtrag: geht natürlich auch mit einem entsprechenden USB-CardReader) Gesamt: 615 EUR Hauen wir da nochmal pauschal 20 EUR für Versand drauf, bist Du bei max. 635 EUR. Ergebnis wäre ein schöner kleiner Hardwarerouter mit sehr gutem Firewall-OS und 3x Gigabit-NIC RJ45. Die Kompatibilität mit M0n0wall kann ich freilich nicht garantieren, weil ich diese Hardware selbst nicht im Einsatz habe. Die Intel-NICs sollten allerdings laut FreeBSD-HCL unterstützt werden. Am Besten beim Anbieter anrufen und das besprechen. Vielleicht haben die bereits Kunden, die das so im Einsatz haben oder die sind so nett und testen das vorher mal aus. Sicherheitshalber kann man dann auch gleich abchecken, ob das System von CF booten kann. Dies ist m.E. bei einem embedded-System aber sehr wahrscheinlich. Gruß Steffen

http://www.msisafaq.de/Anleitungen/2004/Konfiguration/Webverkettung.htm Gruß Steffen

Guten Morgen, Es genügt, wenn das Standardgateway dieser Workstations die Rückroute kennt. Gruß Steffen

Dann wäre es das Beste, der Server bietet für das "private Netz" gar keine Dienste an (also auch kein Routing oder Proxy). Dann kann man jeglichen Zugriff vom privaten Netz auf den Server (z.B. per Windowsfirewall) verbieten. Hierzu wäre es günstig, den Router wie vorgeschlagen in das "private Netz" zu verlegen. Dann könnte allerdings der Intenettraffic des Büro-Netzes u.U. im "privaten Netz" mitgesnifft werden. Ist das zu befürchten und muss es ausgeschlossen werden? Ja. Ich arbeite so gut wie nie mit RRAS, deshalb kann ich Dir aus dem Kopf nicht weiterhelfen. Sollte aber nicht tragisch sein... Auf jeden Fall ausgehend NAT aktivieren, das spart Dir das Setzen der Route zurück. Wollen die Anwendungen ins Internet? Oder kommunizieren die nur im "Büro-Netz" einschließlich Server? Über die dargestellten Möglichkeiten hinaus (einschließlich Option Proxy)? Nunja, das Vorgeschlagene war kostenlos und simpelst zu realisieren. Aufwändiger und/oder teurer geht natürlich immer! Wieviel möchtest Du an Zeit und Geld investieren? Ich verkaufe Dir auf Wunsch alles... :D Gruß Steffen

Hallo Schlagelambers, ich fasse zusammen: [DraytekRouter = 172.0.0.1] | Büronetzwerk 172.0.x.x | O Netzwerkkarte 1 = 172.0.0.100 [server mit W2k3] O Netzwerkkarte 2 = 192.168.1.100 | "privates" Netzwerk 192.168.1.x Fragen: 1) Habe ich das oben richtig dargestellt? 2) Gehört der Server zum Büronetz? Also bietet er für dieses Ressorcen an? 3) Was meinst Du mit "ins Internet kommen"? Nur HTTP, HTTPS, FTP? Nach jetzigem Stand würde ich a) den Router in das "private Netz" stellen b) für den Internetzugang der Büro-PCs auf dem Server einen Webproxy installieren (Alternative: Routing/RAS-Dienst) und c) auf dem Server auf NIC 2 die Windowsfirewall einschalten Wäre es ein Problem, dass der Internettraffic des Büronetzes u.U. im privaten Netz mitgesnifft werden könnte? Gruß Steffen

Hallo Herbert, zur Authentifizierung per Username/Passwort siehe hier: http://www.faqs.org/rfcs/rfc2554.html http://faq.netzprisma.de/?id=425001 Das nützt Dir aber nichts, wenn der verwendete SMTP-Server nur SMTP after POP unterstützt. Dann heisst es halt: einmal mit POP3 drangehen und dann erst senden. Gruß Steffen

Hallo BuzzeR, Das freut mich, denn ich ich hab noch eine... ;) Bislang glaubte ich, IP-Adressierung verstanden zu haben. :( Dass das Subnetz des Prestige von dem des MAC erfasst ist, ist mir auch klar. Trotzdem dürfte der MAC meines Erachtens nicht ins Internet kommen bzw. keine Antwortpakete erhalten, weil der MAC aus Sicht des Prestige nicht in seinem LAN-Subnet steht und folglich nur über einen weiteren Router erreicht werden kann. Beim Zurückrouten der Anwortpakete müsste der Prestige doch eigentlich versuchen, Pakete an die Zieladresse des MAC über ein Gateway zuzustellen. Im Zweifel über sein Standardgateway (welches aber outside beim Provider ist und mit privaten Adressen nichts anzufangen weiss). Warum funktioniert das trotzdem? Gruß Steffen

Hallo fads, die M0n0wall unterstützt ein sog. captive portal. Ich hab mich zwar noch nicht weiter damit beschäftigt, es scheint mir aber genau das zu sein, was Du suchst. Der User wird beim ersten Zugriff mittels Browser auf eine (HTTPS-)Seite umgeleitet, wo er Username und Passwort eintragen muss. Nur wenn diese Authentifizierung erfolgreich war, wird seine Absender-IP (ggf. für einen einstellbaren Zeitraum) freigeschaltet. M0n0wall kann entweder eine eigene User-DB führen oder gegenüber einem RADIUS-Server (z.B. IAS) authentifizieren. Ich würde dieses Feature aber nicht auf der eigentlichen Firewall aktivieren, sondern nur auf einer gesonderten Maschine in einer DMZ. Gruß Steffen

Hallo Balubär, auf der CD/DVD zur PCWelt 11/2005 ist der Paragon Festplattenmanager 6.0 als Vollversion drauf (Registrierung erforderlich). Siehe: http://www.pcwelt.de/news/unterhaltung/121083/index2.html Ich habe seit längerem davon eine unlimitierte Technikerlizenz und bin im Großen und Ganzen sehr zufrieden. Die Oberfläche ist zwar gruselig, aber die eigentlichen Funktionen sind nicht zu beanstanden. Man kann hiermit nicht nur Partitionen managen, sondern u.a. auch Images erstellen (auch im laufenden Betrieb und selbstversändlich auch auf Windows Server OS). Gruß Steffen

Tach Männer, Bei Ex2003 genügt - wenn ich mich recht entsinne - eine Standard-Edition als FE. Bei Ex2000 benötigte man eine Enterprise-Edition. @theboogieman Ich hab allerdings noch nicht so recht begriffen, wofür Du den FE einsetzen willst. Meines Wissens benötigt man den nur für Skalierung und/oder den mobilen Postfachzugriff wie OWA, OMA oder RPC over HTTP. Zwingend ist dies für letzteres aber nicht. Gruß Steffen

Nachtrag: http://support.microsoft.com/default.aspx?scid=kb;de;292607#XSLTH3120121123120121120120 Gruß Steffen

Guten Morgen, Musst Du ja auch nicht. Es genügt, auf dem Defaultgateway des Firmennetzes eine Route zu setzen. Gruß Steffen

Hallo Rameerez, 1) NIC1 des XP-Rechners sollte eine statische (oder zumindest fest zugewisene) IP-Adresse haben 2) Defaultgateway auf NIC1 sollte die 10.0.0.1 sein 3) das Defaultgateway auf NIC2 bleibt leer 4) an den PCs im "Subnetz" sollte die IP-Adresse von NIC2 als Standardgateway eingetragen sein 5) (wichtig!) Die Hosts im "Firmennetz" müssen die Route ins "Subnetz" kennen. Am Einfachsten geht dies über einen statischen Routingseintrag auf dem Defaultgateway des "Firmennetzes" (10.0.0.1). Wenn im "Firmennetz" (aus Gründen, die ich dann wohl gar nicht erst wissen möchte) ein Setzen der Route für das "Subnetz" nicht möglich ist, dann musst Du am XP-Rechner natten. Dies ist allerdings mit Boardmitteln nur per ICS möglich, welches hier aber nicht eingesetzt werden kann. Auch ist NAT nicht gerade günstig, wenn auch Zugriffe von "Firmennetz" ins "Subnetz" initiiert werden müssen (nicht nur umgekehrt). Was soll denn an Traffic zwischen diesen beiden Netzen stattfinden? Ggf. genügt ja auch ein Proxy oder ein TCP/UDP-Relay. Gruß Steffen

Hallo Halford, verwendet ihr einen Browser, der keine windowsintegrierte Authentifizierung unterstützt (also keinen IE)? Gruß Steffen

Hallo Myst, Vorschlag fürs nächste Mal: ;) - auf irgendeine alte Kiste einen Server aufsetzen, hochpromoten etc. - alten Server runterpromoten und raus aus dem Netz - neuen Server mit dem alten Namen und der alten IP-Adresse rein, hochpromoten etc. - "Übergangsserver" runterpromoten und raus :) Gruß Steffen

Hallo Myst, Verstehe ich das richtig? Du hast die Clients aus der alten Domäne genommen, dann einen neuen DC mit einer neuen Domäne (wenn auch mit gleichem Namen) aufgesetzt und die Clients wieder in die neue Domäne gebracht? :schreck: Warum hast Du den neuen Server nicht einfach in die vorhandene Domäne gehängt, die Infrastrukturdienste wie DNS, WINS etc. eingerichtet, zum DC hochpromotet, die FSMO-Rollen übernommen und den alten aus der Domäne entfernt? Dann hättest Du nur noch die Pfade der servergespeicherten Profile im AD anpassen müssen und alles wäre i.O. gewesen. Gruß Steffen

"Besser" ist natürlich relativ in Abhängigkeit davon, welche Funktionalität man benötigt und über welche Kenntnisse man verfügt. Mailenable ist ein vollwertiger Mail-Server mit POP3-Unterstützung und SMTP-Routing. Für IMAP und Webmail benötigt man meines Wissens die kostenpflichtige Pro-Variante. Der email-Bestandteil von Janaserver ist im Grunde auf das Abholen von extern und Verteilen der Mails im LAN spezialisiert. SMTP-Routing unterstützt Jana nicht. Man muss Mails an externe Adressaten über einen Smarthost versenden. Dieser kann aber durchaus auch ein Dienst auf der selben Maschine sein (z.B. der SMTP-Server von Windows Server 2003). Wenn ich Dich richtig verstanden habe, benötigst Du diese Funktionalität aber ohnehin nicht. Dafür kann Jana aber IMAP. Auch ist die Bedienoberfläche auf Wunsch in Deutsch und es gibt ein deutschsprachiges Supportforum. Letzteres ist vielleicht nicht ganz unbeachtlich, wenn man mit der Materie nicht so vertraut ist. Gruß Steffen

Hallo Chneemann, Schau Dir mal Mailenable an.Kein vollwertiger Mailserver aber für die Aufgabe ebenfalls völlig ausreichend: Janaserver Gruß Steffen

Hallo ginka, auch ich habe mit der (aktuellen) Zywall-Serie gute Erfahrungen gemacht. Ebenfalls einer ernsthaften Überlegung wert: http://m0n0.ch/wall/ Gruß Steffen

Hallo FiB0, in >>diesem<< Artikel ist es eigentlich sehr verständlich erklärt. Der praktisch wichtigste Anwendungsfall: Man will Datenverkehr benutzer-/gruppenbasiert am ISA beregeln. Das Surfen im Internet (HTTP) mit dem IE kann man beispielsweise nur deshalb mit dem ISA benutzer-/gruppenbasiert regeln, weil der IE die Windows-Anmeldeinfos mitsendet. Schickt jedoch eine andere Anwendung Daten an den ISA, welche keine windowsintegrierte Authentifizierung unterstützt, dann funktioniert dies nicht. Hier könnte dann der Firewallclient zum Einsatz kommen. @halber-mcse: Im Prinzip hast Du Recht. Das FTP-Protokoll ist in diesem Fall allerdings ein schlechtes Beispiel für ein komplexes Protokoll aus mehreren Verbindungen, weil es für das FTP-Protokoll im ISA einen Anwendungsfilter gibt. Der ISA "versteht" FTP und kann entsprechend reagieren. Deshalb funktioniert FTP auch ohne Firewallclient. Gruß Steffen