Jump to content

onestone

Abgemeldet
  • Gesamte Inhalte

    314
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von onestone

  1. Hallo Leute!

     

    Spricht eurer Meinung nach etwas dagegen als zusätzliches Backup-System in gewissen Zeitabständen ein vollständiges Image vom Windows 2003 Server auf eine externe USB Platte zu spielen damit, für den Fall dass zwei Platten aus dem Raid5 gleichzeitig abtauchen, man sich die (zeitaufwendige) Neuinstallation sowie -konfiguration spart?

     

    Oder gibt es da irgendwelche Dinge die man beim Server gesondert berücksichtigen muss?

     

    lg,

    os

  2. Wenn ich mich richtig erinnere hat die vpn verbindung eine 255.255.255.255 subnetmask. Leider kann ich das momentan nicht selber testen.

    schöne Grüße

     

    Stimmt, mit der Subnetmask wird er nicht unbedingt weit kommen. Subnetmask in der VPN-Verbindung manuell ändern auf ein normales /24-Netz? Sehe nur gerade, dass ich nur IP/DNS/WINS bestimmen kann, nicht aber das Subnet. Ideen?

     

    os

  3. VPN: Alles klar.

     

    DHCP-Relay soweit ich weiß:

     

    Du hast z.B. 192.168.2.0/24 und einen dhcp-server mit 192.168.2.1. Der beantwortet alle Anfragen aus dem entsprechenden .2-Subnet.

     

    Wenn du jetzt via Routing weitere Subnetze anhängst, z.B. 192.168.3.0/24 wollen die auch dhcp-adressen haben. Entweder du stellst einen weiteren dhcp-server z.B. mit 192.168.3.1 für das .3-Subnet auf oder machst einen Relay-Agent der im Prinzip die Anfragen auf 192.168.2.1 (erster dhcp-server) weiterleitet und wiederum die Antwort an die clients gibt.

     

    lg,

    os

  4. hardware: ich meinte ja nur, dass du entscheiden kannst ob du exchange und dc trennst wenn du weißt, welche hardware eingesetzt wird. bei 1ghz nd 512mb ram teile es, bei 2,5ghz und 1024mb ram kombiniere es und spare zeit,etc.

     

    Ob WPA sicher ist will ich nicht kommentieren. Sicherer als WEP allemal, ich glaube das aber dass man, um wirkliche Sicherheit zu simulieren (weil garantieren kannst dus ja nicht) musst du das kombinieren:

     

    - wpa (damit dein netzverkehr mal safe ist)

    - vpn (damit deine nutzdaten sicher sind)

    - client/server-zertifikate (damit man auch mit einem 'vpn-password' nix machen kann).

     

    stell dir das wie eine zwiebel vor. wenn jemand wpa hackt, muss er immer noch das vpn hacken damit er deine daten hat. dafür muss er ein zertifikat fälschen, etc. also ganz so einfach ist es dann nicht mehr. und wer das schafft, hats verdient (persönliche meinung).

     

    lg,

    os

  5. Hi,

    Ich hab mir gedacht, dass ich den Exchange alleine auf ner Maschine laufen lasse, da er ja ziemlich "ressourcenfressend" ist (RAM). Allerdings hab ich in der jetzigen Zeichnung den WSUS-Server noch drauf, weil ich den DC nicht zu sehr belasten will.

     

    Naja, kommt drauf an welche HArdware du dahinter steckst. Hier fährt ein Dell Xeon mit 2,4 (oder waren es mehr?) Ghz und 1024 Mb RAM. Für momentan rund 100 Mitarbeiter die aber nie gleichzeitig online gehen. Überhaupt kein Problem (mit Überhaupt mein ich, dass es wirklich überhaupt kein problem ist *G*).

     

    - Wegen Redundanz von DC und DNS-Server: In so einem kleinen Netz macht das ja nicht wirklich Sinn oder doch? Weil angenommen, der Haupt-DC fällt aus, könnten die User dann ja immer noch arbeiten (natürlich nur sehr beschränkt, weil die Profile ja auf dem Server liegen). Außerdem könnte ich mich dann mit der Replikation usw beschäftigen, aber ich kann das noch nicht beurteilen, ob das nötig/sinnvoll ist.

     

    Natürlich sind zwei DC's als Backup-System interessant. Nur musst du auch bedenken dass zwei System mehr arbeit bedeutet (wartung, einstellungen, installation, patches). Du könntest die Datensicherung ja z.B. per externer Festplatte und Image machen (das überlege ich mir hier gerade) - wenn das defekt geht einfach image neu einspielen und das system lebt wieder wie vorher (idente hardware vorausgesetzt).

     

    - Zu WLAN im eigenen Netz: Das ist auch nur zu Lernzwecken, um mich mit dem ISA-Server zu beschäftigen. Soll wie ne DMZ sein, nur aus Computer/Server-Mangel nehm ich halt das WLAN dafür her. Ne andere Überlegung ist, dass wenn jemand ins WLAN eindringt, er dann nicht ins restliche Netz kommen kann. Das ist natürlich unwahrscheinlich, vor allem weil ich ja WPA einsetze, aber mal zum Testen.

     

    Also ich würde WPA nicht als letzte Sicherheit nehmen. Bei WEP hat sich gezeigt, was dann passiert ist. Die einzige vernünftige Variante (vor allem bei sensiblen Daten) wird wohl VPN sein und hierbei am besten mit Client/Serverzertifikaten - mehr Sicherheit ums gleiche Geld wirds kaum geben.

     

    Aber wenn jemand einbricht, hat er dein ganzes Netz vor dir. Weil, wenn die user per wlan arbeiten sollten, musst du auch dem ISA-Server entsprechend sagen was er routen soll, ergo werden die Angreifer-Packete auch geroutet...

     

    Nochmal: Ist alles zu Lern/Übungszwecken, also müsst ihr nicht wieder Links zu Hardware posten und mir Empfehlungen in die Richtung geben ;)

     

    Na hoffentlich bringts dich weiter... ;o)

     

    Lg,

    os

  6. hm. obwohl es natürlich sinn macht, würde ich den exchange vom dc nicht trennen. verwende das hier (wg. hardwarekosten sowie lizenzkosten) und habe noch nie probleme gehabt weil das auf einem rechner liegt. natürlich sollte der server entsprechend ausgelegt sein und entsprechende service-veträge haben.

     

    backup würde ich nicht via client fahren sondern direkt am server.

     

    die drucker kannst du auch via print-server (mit ethernet-interface) anbinden: weniger strom, keine 2003-lizenz, keine serverhardware notwendig.

     

    internet-gateway würde ich nicht unbedingt auf isa aufbauen sondern lieber mit einer hardwarefirewall davor und evtl. linux dahinter (auch wenns komplizierter erscheint - ist es nicht).

     

    das wlan in ein eigenes segment kann grundsätzlich keine sicherheit bieten sondern eben nur mehr routing als notwendig. sinnvoll könnte es sein, das nicht direkt ins netz zu hängen sondern über ein eigenens interface an der firewall zu betreiben. wobei ich den vorteil hier nicht sehe da ja die notebooks auch im ad hängen sollen (wie es scheint). besser ist es hier viel eher einen access point zu kaufen der WPA unterstützt und zusätzlich nur vpn-connections mit server/client-zertifikat verwendet. oder gleich an einem radius server authentifiziert. schau dir mal linksys an - irgendwie cisco-derivat oder so, sehr mächtig, sehr günstig. da kriegst du eben beschriebene lösung um ~100€ und dann pro jahr 20€ für die zertifikats-sache - kannst aber ruhig schlafen.

     

    lg,

    os

  7. Hallo Leute!

     

    System

     

    Server 2003

    Windows XP SP2

     

    Problem

     

    Wenn ich eine VPN-Verbindung von Client zum Server aufbaue funktioniert das prächtig. Nur, dass meine Routen-Table am client nicht wirklich sinnvolle einträge aufweist.

     

    Aktive Routen:

    Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

    0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.2 31

    0.0.0.0 0.0.0.0 192.168.2.102 192.168.2.102 1

    [...]

     

    Standardgateway: 192.168.2.102

     

    Zur Erklärung: 192.168.0.1 als Gateway ist daheim ein WLAN-Router. 192.168.2.102 ist der VPN Server (Windows 2003).

     

    Frage

     

    Das Problem ist erkennbar: Mit einer Metrik von 1 geht somit jeglicher Traffic via VPN - somit auch das Internet (über die langsamere Verbindung).

     

    Wie kann ich einstellen, dass bei VPN-Aufbau automatisch das Netzwerkziel statt 0.0.0.0 eben 192.168.2.0/24 ist? Dann surfe ich "normal" im Web, aber wenn ich in die Firma will, via VPN....

     

    Keine Lösung ist, dass direkt am Client zu machen da es ja alle VPN-Benutzer betrifft und nicht nur mich (der damit umgehen könnte)...

     

    danke,

    onestone

  8. Hallo!

     

    Windows 2003.

    Exchange 2003.

    Windows XP SP2.

     

    Beschreibung:

     

    Habe das Passwort für einen User geändert (via AD), schwups, er kann sich einloggen und hat auf die Freigaben entsprechenden Zugriff.

     

    Doch wenn er das Outlook startet fragt es nach einem Passwort. Obwohl er das richtige eintippt, funktionierts nicht, fragt immer wieder.

     

    Nach geschätzten 10-15 Minuten startet dann das Outlook auch wieder brav.

     

    Frage:

     

    Scheinbar synct da irgendein Prozess die Passwörter oder so - kann man die Zeitspannen einstellen? Oder liegt das an etwas anderem, eventuell sogar ein "richtiges" Problem?

     

    danke für jeden Hinweis,

    os

×
×
  • Neu erstellen...