s.k.

Hallo ckuehni, soll das auf einem Windows-System laufen? Dann wäre der Janaserver eine gute Wahl. Er bietet an verschiedenen Stellen die Möglichkeit zur Einbindung externer Programme und Skripte. Gedacht sind die Schnittstellen in der eMail-Komponente für Virenscanner, Spamfilter, Autoresponder etc. - lassen sich aber auch sehr gut für andere Zwecke gebrauchen. Besonders interessant für Dich ist vielleicht der Punkt "auszuführendes Programm" unter "Benutzer". Aber Achtung: einige Schnittstellen funktionen nur, wenn die Mails per POP3 von extern abgeholt werden - andere wiederum nur, wenn die Mail per SMTP reinkommt. Da heisst es also etwas experimentieren. Gruß Steffen

DFS-R wäre auch mein Tipp. Andere Delta-Replikat-Lösungen dürften kaum besser sein. Wenn sich das nicht bewährt, sollte man vielleicht den grundsätzlichen Ansatz wechseln und die Daten schlicht am zentralen Speicherort bearbeiten - also Terminalserver oder Clientvirtualisierung. Gruß Steffen

@schotte: WinTotal - Tipparchiv: Unterschiede zwischen ControlSet001, 002 und 003 in der Registry Ich verstehe das so, dass darin - abhängig von der Anzahl der zwischenzeitigen Reboots - möglicherweise noch die alte IP-Adresse zu finden ist. Gruß Steffen

mit ein wenig Glück über die Registry: HKLM\System\ControlSet00x\Services\Tcpip\Parameters\Interfaces Gruß Steffen

Hallo Wolkenstein, was ist das für ein WLAN-Router (Modellbezeichnung)? Ist das neue Modem wirklich nur ein reines Modem oder ein Router mit integriertem Modem? Gruß Steffen

Hallo, wenn der Exchange selbst als MX fungiert und der Versand nicht über ein Relay läuft, ist das m.E. mit Windows-Bordmitteln nicht zu realisieren. Jedoch gibt es Router und Firewalls, die durchaus anhand anderer Kriterien als dem Zielnetz Routingentscheidungen treffen können. So könnte man definieren, dass sämtlicher vom Exchangeserver ausgehender TCP-Traffic, dessen Zielport = 25 ist, statt an das Standardgateway an den next hop der 2. Leitung weitergereicht wird. Bei Zyxel nennt sich das bspw. policy based routing. Die kleinste Zyxel-Appliance mit dieser Funktion wäre die Zywall 5 mit ZyNOS 4.02 (380 - 480 EUR). Die 2. Leitung käme hier mangels 2. Ethernet-WAN-Port ans DMZ- oder WLAN-Interface. Über Traffic-Redirect wäre dann auch ein Failover zwischen den beiden Leitungen möglich. Für Loadbalacing braucht es bei Zyxel eine Appliance mit 2 dedizierten WAN-Ports - also mindestens die Zywall35 (ca. 650-750 EUR) - oder eine auf allen Ports frei konfigurierbare Zywall1050 (um 3000 EUR). Gruß Steffen

Halo bompf85, die Webverkettung betrifft m.W. nur die Protokolle HTTP, HTTPS und FTP - und hier möglicherweise auch nur die Webproxyclients (nicht getestet). Gruß Steffen

@rEgEn: Grundsätzlich finde ich Deine jetzige Implemetierung für eine so kleine Umgebung völlig angemessen und ausreichend. Einen DC sehe ich zwar ungern mit einem Bein direkt im Internet, hier ist es jedoch akzeptabel - zumindest soweit auf dem Server keine öffentlichen Dienste angeboten werden, wovon ich bei einer ISDN-Verbindung aber ausgehe. Auf die Personal Firewall kannst Du m.E. komplett verzichten. Die macht das System nur instabil und birgt möglichweise selbst Angriffsfläche, wenn sie nicht regelmäßig aktualisiert wird. Deaktiviere statt dessen auf der Dialup-Verbindung alle Bindungen ausser TCP/IP und aktiviere die windowseigene Firewall. Das ist mindestens genauso sicher (dass niemand direkt am Server arbeitet bzw. ins Internet geht, dort nicht ständig irgendwelche zwielichtige Software installiert wird und auch regelmäßig die von Mircosoft, AVM und Kaspersky für ihre Software bereitgestellten Patches eingespielt werden, setze ich voraus...). Meines Wissens beherrscht KEN doch IMAP. Bringt KEN dafür nicht bereits eine Remote-Capi mit! Vielleicht solltest Du auf KEN nochmal einen genaueren Blick werfen. Mir scheint, Du weisst gar nicht, was das Teil alles kann. :suspect: Selbst gewisse Formen von Layer7-Filterung sind da implementiert! Aber lassen wir das... :D Diesbezüglich ist die Forensuche bereits sehr gesprächig... ;) Gruß Steffen

Eine vollständige Layer 8-Filterung wäre in nahezu allen Fällen schon das sinnvollste, oder? :cool: Gruß Steffen

Auch wenn der halbgaren Definition des dortigen TO, was eine "richtige Firewall" sei, nicht ausdrücklich widersprochen und die Frage etwas fundierter behandelt wurde, muss man das nicht unbedingt gleich für "bare Münze nehmen" und bei nächster Gelegenheit zitieren. So entstehen urban legends. Gruß Steffen

www.Netzwerkartikel .de >> IP44/IP67 Gruß Steffen

Sollte PCA terminalserverfähig sein, wäre dies ja kein Problem. Wählt man sich halt auf einen TS in der DMZ ein und von dort geht es mit PCA weiter.Oder man stellt die Fernwartung im LAN/Corp.Network auf RDP oder VNC um. Kenne das nur insoweit, als es auf der Roadmap der in Kürze erscheinenden Zywall SSL10 steht (siehe hier auf Seite 51). Hatte bereits Gelegenheit das Produkt anzutesten: noch ist dieses Feature nicht drin - ich vermute, dass das auch noch etwas dauern wird. In den SSL-Gateways von Sonicwall scheint diese Funktion hingegen schon implementiert zu sein (siehe Datenblatt). Die Sonicwall hatte ich allerdings noch nicht in den Händen - kann zur konkreten Implementierung deshalb nichts sagen. Ich vermute, dass das Gateway bzw. der Authentifizierungsserver das Kennwort immer per SMTP verschickt und man sich ggf. selbst um die Umsetzung in eine SMS kümmern muss. Dafür gibt es ja diverse Möglichkeiten - von der Nutzung entsprechender Providerdienste, über den lokalen Anschluss von Handys und das Ansteuern über Skripte oder spezieller Programme bis hin zu Lösungen, die passende Exchange-Connectoren bereitstellen. Gruß Steffen

Am flexibelsten in Bezug auf die Möglichkeit des Zugriff wäre ein reines SSL-VPN. Gegen die Gefahr des Mitloggens der Kennwörter hilft ein Einmalpasswortsystem. Hierfür kann eine Tokenlösung zum Einsatz kommen. Es gibt aber auch Lösungen, wo ein Einmalpasswort auf Anforderung hin an eine zuvor definierte email-Adresse oder per SMS an ein Handy geschickt wird. In dieser Hinsicht empfehlenswert wären bspw. die SSL-VPN-Appliances von Sonicwall. Die kleinste gibt es bereits unter 500 EUR. Wenn Du soetwas allerdings wirklich im Internetcafe machst, kannst Du jede per VPN auf dem Monitor angezeigte Information und jede Eingabe als kompromitiert betrachten. Gruß Steffen

Hallo, Ja ist möglich. Gruß Steffen

@freakazoid: google mal nach "captive portal". ChilliSpot wurde schon genannt, schau Dir darüber hinaus insbesondere M0n0wall an! Im Übrigen rate ich ebenfalls zum Zyair G-4100 von Zyxel. Für das Gebotene ist das m.E. ein echter Kampfpreis. Gruß Steffen

Hallo bLUEaNGEL, hab DFS-R noch nicht im Einsatz, aber vor einiger Zeit angetestet, weil ich es zwecks Sicherung der Außenstellendaten implementieren möchte. Besondere Prozessorlast ist mir bei meinen Tests nicht aufgefallen - konnte mich allerdings auch nicht allzu intensiv damit beschäftigen, da ich momentan andere Sorgen habe. :mad: Ich meine mich jedoch zu erinnern, dass in der Onlinehilfe etwas stand, dass es zu solchen Effekten kommen kann, wenn die Größe der Stagingordner nicht passt. Bitte lies dort mal nach - da stand auch, wie man das ggf. sinnvoll konfiguriert. Hoffe das hilft! Gruß Steffen

Dann dürfte Windows wohl von einer "langsamen Verbindung" ausgehen. Schau mal hier: How a slow link is detected for processing user profiles and Group Policy Irgend etwas Auffälliges im Eventlog des Clients? Gruß Steffen

Mit welcher Bandbreite sind die Standorte denn angebunden? Gruß Steffen

Ehrlich gesagt verstehe ich die Skizze überhaupt nicht. Router und Server haben demnach jeweils nur 2 Interfaces. OK der Router wird vermutlich noch eine DSL-WAN-Strecke haben, aber warum ist der Server sowohl mit dem LAN- als auch mit dem DMZ-Interface des Routers verbunden? Um was für ein VPN handelt es sich und wo wird es ggf. terminiert?

Guten Morgen, Die sind im gleichen Subnetz sorry.Und wie lautet der Eintrag nun tatsächlich? Ja wie kann ich das ändern? Ich muss es ja so machen. Komme ja nicht von der DMZ an die 10.x.x.1 oder bin ich da falsch? Das ist das Problem, wenn jemand kommt dir deine schöne VPN Lösung rausschmeist und durch sowas ersetzt :rolleyes: Gib mir mal noch einen Tipp, dreh schon fast am Rad :wink2: Ohne nähere Angaben zu Deiner Konfiguration kann man keine Aussagen treffen. Bislang _vermute_ ich folgende Topologie: ~~~ WAN/Internet ~~~ [Router/VPN-Endpunkt?] ~~~ DMZ (63.?.?.10/29) ~~~ [server] ~~~ LAN (10.?.?.2/24) Stimmt das so? Entspricht nicht ganz Deinen bisherigen Angaben. Die Aussage versteh ich z.B, nicht. Ebenso diese Aussage: Wie lauten kontret die IP-Adressen des Absenders und der Zielstation? Gruß Steffen

Hallo Lord_x, ich weiss nicht, ob es mit Deinem Problem zusammenhängt, aber 3 Punkte fallen mir an der Konfig sofort auf: 1) es gibt 2 Standardgateways 2) das Standardgateway auf dem DMZ-Interface liegt außerhalb der direkt verbundenen Subnetze 3) die DNS-Konfig scheint mir auch nicht ganz durchdacht Gruß Steffen

Hallo Churchie, hallo il_principe, Wenn es wirklich nur um ein Fallback geht und an der DSL-Leitung ein Router hängt, der die DSL-Einwahl übernimmt, dann muss es nicht zwingend ein Gateway mit 2 WAN-Ports sein. Praktisch alle Zyxel-Router können sog. Traffic-Redirect. Wenn die WAN-Strecke wegbricht, wird der Traffic einfach an ein alternatives Gateway weitergereicht und bei Wiederverfügbarkeit der WAN-Strecke auf Wunsch auch automatisch wieder zurückgeswitcht. Ich nutzte das auch. Nur das mit der E-Mail-Benachrichtigung geht vermutlich nicht - habs aber nicht ausprobiert, weil ich die Anbindung meiner Außenstellen ohnehin mit nonetsms monitore.In Abhängigkeit von Deinen übrigen Anforderungen würde also bereits eine billige Zywall2Plus genügen. Gruß Steffen

SSL-VPNs bieten bei der Roadwarrior-Anbindung ohne Zweifel Flexibilitätsvorteile gegenüber IPSec. Als Argument für eine neue Firewall taugt es hier hingegen nicht. Einerseits besteht schlicht kein Erfordernis für ein SSL-VPN, weil die befreffenden Personen bereits mit einem Notebook samt UMTS-Karte ausgestattet sind und anderseits muss man dafür die "alte" Firewall ohnehin nicht ersetzen, sondern kann sich eine dedizierte SSL-Appliance in die DMZ stellen. Wenn man mit den Produkten und dem Support von Watchguard zufrieden ist, kann man ja unter Hinweis auf Systemkonformität und Investitions- u. KnowHow-Schutz auch dafür wieder zu einer Watchguard (Firebox SSL Core) greifen... ;) Gruß Steffen

Wenn die Rechner Mitglied einer AD-Domäne sind, könnte man das Zertifikat der CA per Gruppenrichtlinie verteilen. Gruß Steffen