blub

Wenn man dem Security-Thema ein bischen näher kommen möchte (jetzt ernsthaft), kann man probieren mittels IPSEC-Filtern seinen Rechner abzudichten. Dazu muss man nämlich Protokollebenen, Ports etc. einigermassen kapieren.

Anleitung gibts z.b. hier:

http://cert.uni-stuttgart.de/os/ms/...paketfilter.php

Kontrollieren, ob wirklcih alles dicht ist, kann man damit

http://www.port-scan.de

cu

blub

ja, klar , so macht mans dann. Aber ich fands oft aufdringlich und nicht mehr informativ. Früher war halt alles besser :-)

cu

blub

Mich nervts, dass man sich gar nicht mehr einfach nur informieren kann. Sobald man an einen Stand kommt, heissts sofort,

- von welcher Firma bist du?

- können wir eine Visitenkarte haben?

- wann können wir sie besuchen?

Anschliessend gehts nur noch darum, sich einigermassen höflich aus den Fängen der Vertriebler zu befreien.

cu

blub

dann einen netzwerkmonitor (z.b. netmaon.exe ) starten und Päckchen analysieren :-)

cu

blub

Zum Booten ohne Festplatte ist WINPE gedacht. Das ist aber leider nicht frei verfügbar.

cu

blub

:-)

Eine rekursive Anfrage auf EINEM DNS-Server macht nicht wirklich Sinn. Wenn Du keinen DNS-Baum hast, ist die Fehlermeldung normal.

Die einfache Abfrage sollte aber funktionieren.

mach mal auf Commandline

nslookup

>server "ip deines DCs"

>set d2

>knoedelbacke.lol

Wenn jetzt keine Errors auftauchen, hast du nichts zu befürchten. Wenn du obige Ausgabe grafisch aufbereitet haben willst, such dir bei MS das DNSLINT-Tool raus. Das macht aber effektiv auch nichts anderes, als die d2 Option.

cu

blub

unter ccs\services stehen alle Dienste. Jeder Dienst hat einen Wert "Start"

Es bedeuten

0 : Start in der Kernelphase

1: Start vor dem Anmelden eines Users

2: Start nach dem Anmelden eines Users

3: Startart Manuell

4: Disabled

Zusammen mit dem Wert DependOnService (s. link bei grizzly) kannst du damit die Startreihenfolge deiner Dienste konfigurieren

cu

blub

Hi,

Vielen Dank!! Irgendwie muss ich meine Suchmechanismen überarbeiten :-)

Ich möcht jedenfalls damit verhindern, dass irgendein delegierter Pseudo-Admin in seiner OU per Skript 1000-ende von Objekten anlegt und das AD zum Platzen bringt.

Merci

blub

Hi,

Es gibt ab AD-2003 obiges Feature. Mein Problem ist, ich find nicht, wo ich das aktivieren/ konfigurieren kann. Und ich könnte das sehr gut brauchen..

Merci

blub

------

Quotas can be specified in Active Directory to control the number of objects a user, group, or computer can own in a given directory partition. Members of the Domain Administrators and Enterprise Administrators groups are exempt from quotas.

windows unterstützt das Headless-Design erst ab 2003.

http://www.microsoft.com/whdc/hwdev/platform/server/headless/default.mspx

dieses Design ist übrigens auch als Halloween Design bekannt :-)

cu

blub

Hi,

Unter 2000 TS mussten NT4.0 Clients 2-mal booten, um eine echte CAL auf dem Lizenzserver zu bekommen. Welches OS haben deine Clients?

cu

blub

Hi,

Aso ein Linuxclient mit Samba versteht sich problemlos mit Microsofts AD. Merci, wieder was gelernt :-)

Irgendwann muss ich mir mal Linux holen und bisserl spielen.

cu

blub

Hallo Roi,

Stimmt, von Linux weiss ich grad so, wie mans schreibt und dass es 80 € kostet :-)

Isses dem Linux echt egal, welche Authentifizierungslevel, welche Kerberosticketparameter, etc. von der AD-Domäne verwendet werden? Der Linuxproxymuss z.B. doch auf auf AD-Gruppen zugreifen, um gewisse Berechtigungsstufen zu erkennen.

cu

blub

Plans auf jeden Fall gut!

Einen funktionierenden (! du hast noch Probleme??) 2000-er DC upzudaten (inplace würd hier sogar gehen), macht dir vermutlich keine Probleme. Aber ob deine Linux-Komponnenten mit den zugeschraubten Security-Einstellungen von 2003 "Out of the Box" zurechtkommen, bezweifel ich. Musst du wissen, ob du genügend Zeit hast, nach der Migration auf die Suche nach den passenden Schrauben zu gehen, oder dir vorher ein Testszenario erstellst.

Achso, es gibt ein Domain Renaming Tool für 2003. Ein Kollege meinte, dass er ca. 2 Stunden für ein DomainRenaiming gebraucht hat. Ich habs noch nicht gemacht.

cu

blub

Somit durften sich alle Mediengestalter in Digital & Printtechnik FACH: Design schimpfen

Kleiner Irrtum: Man muss keine Prüfung ablegen, oder irgendeinen Kurs belegen, um sich so oder ähnlich schimpfen zu dürfen. Ich erkläre dich hiermit zum "Advanced Mediengestalter ..... " ;)

Bei MCP oder MCSE siehts dagegen anders aus.

cu

blub

Hallo Beatrice,

Versuch doch mal über Start -> Ausführen "helpctr" eintippen die Hilfe zu starten. Wenns nicht läuft, such nach der helpctr.exe auf deiner Festplatte.

cu

blub

Mit welchem Account führst du die Migration durch? Du solltest die Domain Admins der AD-Domäne in die lokale Administratorengruppe der NT4.0 Domäne stecken.

Der Migrationsaccount muss auf beiden Seiten Administrative Rechte besitzen.

Weiter musst du aufpassen, dass dir deine GPOs (z.B. Mindestpasswortlänge, Minimale Lebensdauer eines Passworts) nicht die Migration behindern. Erstell dir am besten eine eigene Migrationspolicy, in der du die Account Policies sehr weit runterschraubst, und die du während der Migration an oberste Stelle setzt. Ausserdem noch im AD "Everyone" in die Gruppe "Pre-Windows 2000 compatiblen Access" aufnehmen.

Es gibt noch x andere Stellen, wo es haken kann. (Sind die Router wirklich offen, steht der Trust von jedem AD-DC aus..)

Wenns nicht klappt, untersuch mal deine Eventlogs auf beiden Seiten.

cu

blub

cu

blub

Ey,

Hier wollte jemand Input zum Thema Clustering haben. Ich meine, dass die Kenntnis der Website oben verdammt wichtig dafür ist, da dort die zertifizierten Empfehlungen des Herstellers einzusehen sind.

Mag jeder Verantwortliche selbst entscheiden, ob er sich daran hält oder dem überallem stehenden Know-How eines einzelnen Moderators vertraut.

PS: wurde da gerade eine Mail gelöscht???

cu

blub

grizzly, hast du schonmal grössere Kundenumgebungen aufgebaut, designt oder betrieben? Kanns mir fast nicht vorstellen, sonst würden dir solche Sätze nicht so locker aus den Tasten kommen

cu

blub

Hi,

Wenns produktiv sein soll, dann muss das gesamte System fürs Clustering zertifiziert sein!

http://www.microsoft.com/windows/catalog/server/default.aspx?xslt=category&subid=22&pgn=904c28be-5a41-4db0-9c12-032dcb893c8b

cu

blub

so wie sichs anhört, brauchst du lediglich einen Trust zwischen den beiden Domänen. Dann kannst du den Amis einen LDAP-Browser in die Hand drücken und im AD ReadRechte geben, wo sie's eben brauchen.

WINS musst du nicht unbedingt kreuzeweise replizieren lassen. Du kannst auf den Clients an 2.-ter oder 3.-ter Stelle den Winsserver der jeweils anderen Domäne eintragen. Wenn der erste WINS keine Antwort kennt, wird der zweite oder dritte gefragt

cu

blub

Hi,

Ist hoffentlich auch klar, dass {SourceNetBIOSDom}$$$ für Domaenenname$$$ steht.

ich benutze den Migrator von http://www.Quest.com, der ist aber nicht frei, sondern kostet 9$ / User

cu

blub

Win3.1 war doch 16bit, also 64 MB, oder

cu

blub

wo liegt eigentlich für Windows 64-bit die Grenze?

cu

blub