Hirgelzwift

Wo hast du denn diese Online Prüfung gemacht? Sagen wir mal es war xyz, dann kennt doch xyz den wurm bereits und ich behaupte dann haben die auch ein tool. oder verwendest du nicht xyz sondern einen anderen AV hersteller? bei symantec kannst du z.B. einen onlinescan machen und ggf. auch entfernen, sofern symantec diesen wurm erkennt. das problem das du evtl. hast ist das die viren bei den unterschiedlichen AV herstellern teilweise unterschiedliche (eigene) namen haben und du somit bei deinem AV hersteller kein tool findest.

es kommt darauf an wo du dir irfanview hin installiert hast. du benötigst auf dem PC auf dem du es installierst höchstwahrscheinlich admin rechte. soweit ich mich erinnere ist aber irvanview ein progarmm das nichts im windowsorder ablegt und du, so wie du sagst, das progamm irendwohin installieren kannst, in deinem beispiel dein homelaufwerk, wo du wohl unbeschränkten zugriff hast und wo du eben admin rechte hast und dieses programm dann eben über eine verbindung aufrufen kannst. damit hat der admin recht, gegen solche programme kann man nichts tun. putty wäre ein anderes beispiel. man kann zwar per GPO verbieten das du bestimmte programme ausführen kannst, die müssten dann aber expliziet aufgeführt werden. das wäre nicht mehr administrierbar und *.exe einzutragen wäre auch nicht gut weil dann keine anwendung mehr laufen würde. das aber irvanview für die generell schlechte performance verantwortlich sein soll sehe ich so nicht, zumindest solange du das programm nicht aufrufst bzw. du auf dein homelaufwerk zugreifst.

ganz kurz: RIS auf dem Server installieren, Image ablegen, PC installieren, Software über GPO zuweisen. Man kann auch komplette Images, ähnlich wie mit Ghost, erzeugen. Mit diesen Schlagworten wirst du hier und in Google genügend detailierte Beschreibungen finden.

Hab gerade nochmal nachgelesen aber definitiv nur eine Aussage gefunden: Installieren sie für jede Niederlassung einen eigenen SAV Server. Auch wenn AD natürlich ein Datenbanksystem ist so meinte ich SQL, Oracle, Exchange, Lotus Domino usw. Ich hatte in meiner alten Firma in fast allen Niederlassungen nur einen Server für DC und F&P. Es war nie ein Problem aber vielleicht bezieht sich ja die Aussage, die ich momentan nicht widerlegen kann, eben darauf was du erwähntest, dass AD ein Datenbanksystem darstellt. Guckst du: http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2005041514162248?Open&src=ent_hot&docid=2005042510472148&nsf=ent-security.nsf&view=docid&dtype=corp&prod=Symantec%20AntiVirus%20Corporate%20Edition&ver=10.0&osv=&osv_lvl=&seg= Es würde sogar gehen es auf Mailserver etc. zu installieren Symantec rät lediglich davon ab weil es Resourcen kostet. Von DC's keine Rede.

Kommt darauf an. DNS muss am Server installiert sein. Server zeigt auf sich selbst in Bezug auf DNS Server. WINS kannst du wie gesagt weglassen, brauchst du nicht. Hast du DCPROMO schon gemacht? Anmerkung: Ich kenn mich leider am SBS nicht so gut aus ob evtl. bestimmte Dinge wie Exchange usw. vor dcpromo installiert werden müssen. Das war aber nicht die urprüngliche Frage.

guckst du: http://www.ripe.net/whois und tippe mal die IP Adresse 82.148.96.69 ein und staunst du :p

AD Standorte und Dienste, ein bisschen musst du schon selber machen :D ;) Dennoch würde ich das VPN vom Server loslösen, sonst könnte es passieren das wenn jemand es schaffen sollte den ISA zu umgehen das er dann gleich auf dem Server ist auf dem alles liegt. Die FVS318, die reicht dicke für 2 Standorte, hab ich gerade für 85 € neu im e-bay gesehen. Das sollte die zusätzliche Sicherheit wert sein. Die müsste sogar mit der PIX zusammen ein VPN aufbauen können. PIX wäre dann meiner Meinung nach Zentrale, Netgear Niederlassung. Die können dann auch über die Box gleich ins Internet. Ein Subnetz ist übrigens immer so groß wie die Subnetzmaske. Ich will jetzt hier nicht anfangen 0 und 1 zu malen um das auszuführen aber grob gesagt 10.1.0.0/16 und 10.2.0.0/16 sind zwei Subnetzte. /8 vergleicht ob das 1. Oktet übereinstimmt /16 ob das 2. Oktet übereinstimmt. Da also /16 bis zum 2. Oktet vergleicht und diese dann nicht übereinstimmen 1 ist ja nicht 2 sind es also verschiedene Subnetze! Klar? Oder muss ich jetzt wirklich noch 0 und 1 malen und erklären was die Netzwerk und was die Hostadressen sind? :D :suspect: edit: leider habe ich mit ISA noch keine Erfahrung aber evtl. kannst du sie ja als 2. Stufe mitlaufen lassen. Dann halt mit privater Adresse, das müsste gehen. Dann kannst du meiner Meinung nach alle Ports die nicht über das VPN kommen zumachen und nur outbound erlauben.

Zunächst mal: Möchtest du wirklich das 10.x/8 Netzwerk für die zentrale verbraten? Teile doch das Netz in der Hauptniederlassung auf wenigestens 16 bit und tu dir selbst den Gefallen dem 2. Standort auch mit einer 10.x Adresse zu versehen. Vorschlag: Zentrale 10.1.0.0/16 Niederlassung 10.2.0.0/16 Ob und wie du zwischen dem Windows Rechner und der Cisco FW ein VPN basteln kannst weis ich nicht, aber ich würde dringend davon abraten. Damit würde dein Windows Server der noch dazu DC ist direkt im Internet stehen. Für so kleine Umgebungen gibt es sehr kostengünste Workgroup DSL fähige VPN Router wie z.B. der Cisco 800. Mit der entsprechenden FW Software (Gesamtkosten Router und FW / VPN Software ca. 500 Euro pro Gerät) kannst du ein sicheres kostengünstiges VPN aufbauen. Es gibt sogar noch billigere Router wie z.B. den Netgear FVS 318 oder FVL 328. Denkbar wäre du bringst die PIX FW in die Zentrale und den Cisco 800 oder was auch immer in die Niederlassung. Im Windows AD ist das gewünschte Design gar kein Problem. Du erzeugst 2 sites mit den entsprechenden Subnetzen. DHCP kannst du dann entweder am Cisco mitlaufen lassen oder aber du musst den Cisco als DHCP Helper, in der Windows Sprache DHCP Proxy, laufen lassen. Man kann am Cisco die IP Adresse des "echten" DHCP eintragen. Der Cisco leitet dann die DHCP broadcasts an den DHCP Server weiter und Windows teilt dann, sofern der Scope für das zweite Netzwerk vorhanden ist, dem DHCP Helper die IP Adresse mit die dann wiederrum an den DHCP Client weitergereicht wird. Ich würde den "echten" DHCP auf dem Cisco anschalten. DNS usw. ist gar kein Thema über VPN. WINS brauchst du eigentlich nicht weil du keine prä W2K Clients hast. ISA kannst du dir dann im vorgeschlagenen Design komplett sparen, kostet ja auch, weil es von den Hardware FW's erledigt werden würde.

wer erzählt dir dann das es der IWorm Attck ist?

Meinst du nicht das die Probleme hausgemacht sind bei sovielen Benutzern mit nur einem Server? Was für ein Reporting an das Management für Antivirus benötigst du denn?

wenn du also hinter einem zwangsproxy sitzen solltest könnte es in den arabischen ländern durchaus sein das VPN nicht funzt. in dubai haben wir da damals auch nur VPN machen können nachdem wir in ein spezielles gebäude gezogen sind das "spezielle" internet anschlüsse hatte. zwar lief trotzdem noch alles über einen proxy, der war aber transparent und hat VPN erlaubt. viel spaß und viel glück beim VPN :D ;)

@zahni, nö aber so ähnlich: http://de.wikipedia.org/wiki/Qatar Darauf zielte auch meine Frage ab. Es könnte sein das die Adresse die dort angezeigt wird die Proxy Adresse ist und nicht die richtige öffentliche IP.

Leider verstehe ich die Frage nicht ganz! Er zeigt 82.148.96.69 aber welche IP wäre denn nun die richtige? Kannst du die mir / uns mal bitte mitteilen?

der primäre DNS Suffix hat nichts mit dem Verbindungsuffix, den DHCP verteilt, zu tun. Hättest du AD wäre bei den PC's der primäre Suffix automatisch drin. MS geht wohl davon aus das du keinen FQDN brauchst wenn du keine Domäne hast.

Wie kommst du darauf das dem so ist? Man kann sehr wohl den Hacken auf der DNS Seite der TCP/IP Einstellungen entfernst.

Da irrst du dich, das ist der minimal Aufwand an Administration. Du installierst einmal SAV Server auf einen der vorhandenen Server in jeder Niederlassung. Du kannst jeden Member Server oder DC nehmen der in der Domäne hängt, aber bitte auf keinen Fall auf einem Mail oder Datenbankserver. Du stellst auf allen Servern live update ein. Damit holen sich die Server die Updates aus dem Internet. Die lokalen managed Clients holen sich dann widerrum die Updates bei ihrem lokalen Server ab. Zusätzlich definierst du das Live Update für alle Clients, die sich dann ihre Updates vom Internet holen sofern sie unterwegs sind, sofern das zutrifft. Symantec hat eine Verwaltungskonsole in der alle SAV Server und die dazu gehörigen Clients aufgelistet sind, fast so schön wie im Windows AD. Von dort aus, also von der Konsole in der Zentrale, kannst du alle Einstellungen sowohl am Server als auch am Client zentral vornehmen. Du kannst Funktionen voreinstellen, sperren, öffnen ganz wie du willst.Es gibt sogar eine Roaminigfunktion in SAV, sofern du roaming user hast. Ich wäre froh ich könnte SAV einsetzen, wir haben leider ein ganz anderes das mir nicht im entferntesten die Möglichkeiten anbietet wie SAV. SAV ist, wie bereits erwähnt, meiner Meinung nach, ein sehr gutes Produkt wenn man die Tricks und Kniffe kennt. Als ich damals SAV in meiner alten Fa. eingeführt hatte, 18 Niederlassungen und ich war der einzige Admin für ganz Europe, habe ich das in 2 Nachtschichten durchgezogen und seitdem war Ruhe mit Viren. Schlagworte die SAV "toll" machen und die du einsetzen solltest: - SAV Management Konsole - Zentrale Quarantäne - Managed Client - Live Update / Permanent Update Server & Client - Roaming User - Client Funktionen sperren mit der Management Konsole

wenn du 5000 clients im wan hast sind die alle im home office oder in verschiedenen niederlassungen? hast du die corporate edition von SAV?

Du erzeugst ein logon script in einer .cmd mit dem befehl: net localgroup "Administratoren" "domäne\basis admins" /add damit wird die gruppe der basis admins, den namen mußt du natürlich anpassen ;), in die Gruppe der lokalen Admins aufgenommen. Definiere dieses Script in einer Computer GPO als Logon Script und verknüpfe sie mit der OU in der die PC's sind auf den dieses Basis Admins Software installieren dürfen.

im grunde kann man alles als admin aber das was du machen möchtest setzt eine AD domäne voraus. du kannst dir zwar einen mercedes kaufen aber wenn der keinen motor hat dann kann er halt nur fahren wenn du ihn schieben oder ziehen lässt, also "handarbeit". das AD ist in diesem fall der motor. du bzw. dein kunde, deine fa. müssen halt abwegen was billiger ist, mehr adminaufwand oder eine vernünftige infrastruktur. nur billig geht halt eben nicht. jemand der sich damit auskennt könnte sicherlich skripte schreiben die den job für dich machen. evtl. gibt es auch tools dafür, aber für lau wohl nicht.

wi kannst du eine auslastung von 65-75 % und gleichzeitig einen leerlauf von 90-99 % haben. diese beiden angaben widersprechen sich. kann es sein das du spitzen von 65-75 hast das aber im allgemeinen der server doch leerlauf hat? :suspect: edit: schau dir mal die auslagerungsdatei an. ist die größe statisch und hätte sie genügend platz in der spitze auf die platte zu schreiben.

Der DHCP Server verwendet seinen DNS Server für die Updates. Auserdem mußt du den DHCP Server am besten als DNS Proxy eintragen, weil es sich ja nicht um den selben server (mehr) handelt. sind auch die hacken sauber gesetzt im dhcp das er dynamische updates durchführen darf? Du selbst schreibst ja das es veränderungen im netz gab. dort wird auch der "hund" begraben sein.

Also wenn ich das richtig verstehe möchtest du diesen server auf einen anderen dns server registrieren, daher die entsprechenden ausführungen: 1. auf dem dns server legst du eine eigene zone an die den namen der anderen domäne reflektiert, in diesem beispiel also firma.de 2. auf dem server (also dem dns client) gehst du zu den tcp/ip einstellungen -> dns. ganz unten kannst du den dns namen anhängen mit dem er den server registrieren soll und setzt beide hacken. 3. bei computername im system gehst du auf weitere und stellst den dns suffix auf firma.de 4. trage bei dem server als dns server eben den server ein bei dem du unter 1. die zone angelegt hast 5. reboot und fertig. dann sollte sich dieser server mit den fqdn im dns registriren und sollte über den fqdn ansprechbar sein.

Ordner auf der 2. Platte anlegen D:\%username%\Eigene Dateien. Zugriffrechte entsprechend einrichten. Eigene Dateien -> rechter Mausklick -> Eigenschaften -> Ziel ändern fertig. Beim umleiten werden dann die Daten automatisch verschoben. Was du bei default user hinterlegst kopiert windows nach der 1. anmeldung in das individulle profil des benutzers, ist also ungeeignet, weil nicht gemeinsam. Für gemeinsame Dateien gibt es den standard ordner C:\Dokumente und Einstellungen\All Users\Dokumente Wenn du die gemeinsamen Dokumente auch in dieser Struktur haben möchtest musst du das "All Users" Profil verbiegen. Das ist aber nicht so einfach wie nur die "Eigenen Dateien". Lass die Daten am besten wo sie sind und berücksichte das in deinem (nächtlichen) Backup.

Guckst du hier software für W2K clients ohne SP3 (SP3 war minimum für W2K nicht SP4) http://download.microsoft.com/download/win2000platform/Update/June2002/NT5/DE/wuau22ger.msi[/url aber ohne SP3 oder dieser SW geht es nicht.

@denkedaranjoe: nein, im verwaltungsmodus ist das egal, da wenn du change user /install eintippels erhälst du eine meldung das der server nicht im anwenderservermodus läuft und nicht notwendig ist.