bits
-
Gesamte Inhalte
1.118 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von bits
-
-
Hi
So wie es aussieht ist es echt so.. Hmm.. Ich schaue mal wegen der WHS.. Danke für den Tipp...
Grüsse Bits
-
Hi Leutz
Kleine Frage, so weit ich informiert bin, gibt es leider noch keine offizielle Info darüber, ob das Client Backup welches im SBS2011 Essentials dabei ist, auch für den Standard mit Pr-Ad On geben wird.
Weiss jemand genauer Bescheid darüber?
Grüsse Bits
-
Hi again
Problem gefixt. :) Posten macht kreativ! :)
Lösung falls jemand dieses Problem hat, folgende Werte Prüfen in der Registry. Falls dies fehlt, folgendes eintragen und Reboot. Danach läuft alles wieder!
1.Click Start, click Run, type regedit, and then press ENTER.2.In the navigation pane, locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3.In the details pane, right-click Security Packages, and then click Modify.
4.In the Value data box, type tspkg. Leave any data that is specific to other SSPs, and then click OK.
5.In the navigation pane, locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
6.In the details pane, right-click
SecurityProviders
, and then click Modify.
7.In the Value data box, type credssp.dll. Leave any data that is specific to other SSPs, and then click OK.
8.Exit Registry Editor.
9.Restart the computer.
Achtung:: Vorher den Key Exportieren. Ich musste lediglich den Wert credspp.dll einpflegen.
Source für Windows XP gedacht. Jedoch bei Windows 7 gehts auch!
Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3
-
Hi zusammen
Interessantes Problemchen welches ich da habe. Möchte ich auf einen Server 2K8R2 zugreifen welcher mit RDP auf Netzwerkebene geschützt ist zugreifen mit meinem "frisch" installiertem Win7Ultimate Rechner, bekomme ich die Meldung, dass ich nicht zugreifen könne, da mein Rechner die Auth auf Netzwerkebene nicht unterstütze. :suspect:
Info - RemotedesktopverbindungShellversion 6.1.7601
Steuerelementversion 6.1.7601
© 2007 MS.....
Authentifizierung auf Netzwerkebene wird nicht
Das Remotedesktopprotokoll 7.1 wird unterstützt.
Das steht. Shelversion? 6.1 ??
Hmm.. Any ideas?
Grüsse Bits
-
Hi zusammen
Man liest, dass sogar hierzulande und in der Schweiz, Bundestrojaner eingesetzt werden.
Nun gut, umstrittenes Thema! Da ich sehr auf "privacy" und "security" stehe, wäre ich somit sowieso im Krieg mit dem Staat. Denn "niemand" hat ohne mein Wissen irgendwas auf meine Kiste zu montieren. Egal, Ansichtssache!
Was meinst Ihr? Ist dieser Trojaner Stealth unterwegs sprich ein Exe File welches irgend ein svchost.exe als unterprogramm verwendet oder wie seht Ihr das? Bin drann interessiert, da man mit solch einem Trojaner auch Industriespionage machen könnte. Habe im Umfeld Kunden welche sich, aus nichts, Sorgen machen.
Wüsste man wenigstens wie dieser Misttool agiert (Ports), so könnte man dies wenigstens überprüfen und bei gewissen Leuten "diese Pseudoangst", wegnehmen.
Bin mir nicht sicher, ob dieses Thema hier hinein passt. Jedoch sind wir alle für Privacy nicht? Sprich, Privatsphäre über alles! :mad:
Grüsse Bits
-
Grins.. Ich hoffe Ihr kommt draus, was ich damit meine.. Der Client versucht mit Source Ports ab 50000 die Passive Session zu öffnen. Jedoch wäre es interessant diese auf dem FTP Client einzuschränken. Fand bis jetzt keine Möglichkeit dazu. Tips wären cool.
Danke und schönen Gruss
Bits
-
Hi zusammen
Ich suchte bereits und hab schon SmartFTP und FileZilla Client (FTP) getestet.
Als FTP Server nutze ich GENE6 jedoch möchte ich gerne die Ports die meistens über 50000 sind für die Passive Session irgendwie selbst steuern. Der FTP Server sitzt in der DMZ.
Die Verbindung läuft sprich wird auf Port 21 initialisiert und danach musste ich noch ne Firewall Regel erstellen welche Ports ab 50000 (src) auf die von mir festgelegten Ports (dst) 30000-30199 mappt (diese habe ich am Gene6 FTP Server definiert).
Was mich ein bisschen stört ist der Punkt, dass ich gerne den Src Port Bereich für die Passive Session einschränken möchte. (Also ClientSeitig)
Ist dies überhaupt möglich oder eher nicht? Sagen wirs so, warum soll ich 10000 Ports offen lassen, wenn ich vielleicht selbst einstellen könnte, dass er zb. von 50000-55000 nutzen könnte?
Jemand eine Idee? Bis jetzt konnte ich es nicht hinkriegen, dass des so läuft auf der ClientSeite wie ich es mir wünsche.
Ok, weiss ich, dass definitiv immer ab 50000-60000 als QuellPort kommt, dann ist ja auch gut. Jedoch so viele offene Ports?
Grüsse Bits
-
Hey Robert! :)
Lach, im Kreis.. Ne, ich wollte einfach damit sagen, dass einer der zwei Server die SMTP Kommunikation übernimmt. . ;)
Richtig LAN -> DMZ -> WAN und zurück! Hab mich wohl falsch ausgedrückt. :) Nicht immer leicht das klar zu "outen" ..
Klasse! Danke für die Infos!
Das mit der "nur" einer IP ist schon ein tick doof. Wobei ja machbar wie Du das aufzeigst.
MI = ?
Nicht leicht. Macht wohl eher Sinn, LAN -> DMZ -> WAN einzurichten und das "Retour" sein zu lassen mit nur einer IP.
So viel Ausfälle gibts ja auch nicht vom Exchange. Zumindest konnte ich nie einen wirklich Live miterleben bei sauberem Monitoring. ;)
Danke Euch beiden nochmals!
Dieses Forum ist eine kleine Goldgrube an Experten!
Cherrs Bits :)
-
Hi Robert
Also. Falls der Exchange Server länger down ist, habe ich bei Dyndns einen Dienst abonniert, welcher die Mails auffängt, während Exchange down ist und dadurch die Mails dann vom Backup Mail Server aufgefangen werden. Im 15 Minuten Takt wird wieder versucht die Mails zuzustellen. Läuft 1A!!
Ziel wäre folgendes. Fährt man einen Edge Server down, so müsste der Traffic nicht beeinflusst werden seitens LAN -> DMZ -> LAN. Also dass weiterhin Mails versendet sowie empfangen werden können.
Gruss
-
Hi zusammen
Also, der Backup MX ist der FallbackServer!
Ist doch kein Problem. LAN -> DMZ wo die Edge Server stehen einfach im DNS dies so einrichten?
Loadbalancer... Das Stichwort!
Grüsse
Bits ;)
PS: FallbackServer sind nie überflüssig! ;)
-
Hi zusammen
Gemäss Artikel Understanding SMTP Failover and Load Balancing in Transport: Exchange 2010 SP1 Help kann man von LAN zu DMZ wo der Edge Server ist mittels DNS RoundRobin redundanz schaffen.
Da steht auch einen MX Record der auf meine LoadBalacing Solution zeigt. WAN -> DMZ zu den Edges...
Nun gut, im WAN habe ich nur einen MX Eintrag der auf die Public IP zeigt zusätzlich jedoch noch einen Backup MX Eintrag. Leider hat der Kunde nur eine Public IP. Auf der Firewall mit PortForwarding des Port 25 kann ich nicht mehrere IP's angeben.
Wie stelle ich das nun an, dass wenn der eine EdgeServer down ist, der Traffic auf den zweiten geht? WAN -> DMZ zu Edge Server. Mit zwei Public IP's ists ja kein Problem.. Jedoch mit einer.. ?!
Grüsse Bits
-
Hi Norbert!
Genau. So hab ich gemacht. Extern To DMZ Serververöffentlichung mit SMTP-Filter Aktiv und Serververöffentlichung von DMZ -> Intern ohne SMTP-Filter Aktiv.
Naja. Auf alle Fälle funktionierts tadellos! ;)
Danke Norbert für Deine Hilfe! ;)
Grüsse
Bits
-
Hi Norbert
Intern -> DMZ (NAT)
DMZ -> EXTERN (NAT)
Geht trotzdem nicht. Dann bekomme ich ne Meldung die Netzwerkrichtlinien erlauben es nicht. Sehr wohl habe ich die Serververöffentlichung genommen. Das macht mich stutzig.. ;)
Gruss
-
Danke Norbert! Yup, .. Nun läuft die neue Konstellation mit VirtualDMZ! ;)
Jedoch muss ich definitiv "route" einstellen zwischen den beiden Servern. Sonst komme ich nicht in internal.. Steht so im Protokoll des TMG's
Gruss
-
Ok... Danke!
Letzte kleine Frage. Gemäss EventProtokoll, sollte ich noch einen InternalSMTPServers angeben. Ich gab die Public IP des ISA Servers an (die des external) Interfaces. Seit da, ging die Kommunikation dann dahin. Muss man da zb. wenn man dann eine virtuelle DMZ erstellt mit Subnet 192.168.3.0/24 die IP Angeben des DMZ interfaces des TMG Servers?
Den Paramenter InternalSMTPServers, denke ich ist dazuda, dass der EdgeServer weiss wohin mit dem Traffic richtig? Somit war es in meinem Fall richtig den Internen die Public IP des TMG's anzugeben. ?!??!
Gruss
-
Hallo Norbert!
Doctor Google brachte mich auf foldenden Hinweis:
Da kam ich auf den SMTP-Filter, welchen ich auf der Firewall Regel deaktiviert habe. Zusätzlich motzte das Teil in den Protokollen rumm, dass ich da was an den Netzwerkregeln rummdengeln soll.
So habe ich da von der Src IP des Edge und dst IP des Exchange (Hub) eine Netzwerkregel erstellt mit "Route" und nicht "NAT". Voilà, das Ganze läuft.
Also lag es am SMTP-Filter und der Netzwerkregel.
Jedoch ist diese Konstellation wohl nicht sonderlich cool, da ich ja keine DMZ mit ISA gemacht habe. Somit werde ich in ESXi noch einen virtuellen Switch erstellen ohne Uplink und da eine virtuelle DMZ machen und den Edge dahinstellen und kann dann wieder von Extern (DMZ : Phsysisch) zu DMZ (ISA : Virtuell) den SMTP-Filter aktivieren.
Macht es dann Sinn von LAN zu DMZ (ISA) eine Netzwerkregel mit NAT oder einfach Route einzustellen. Oder LAN zu DMZ ISA NAT und dann eine Route Regel von Src Edge zu dst Exchange (hub) ?!
Grüsse Bits
-
Hi zusammen
Könnte es sein, dass ich den Sendekonnector "Internet to Default-...." den SmartHost "--" auf die Public IP des ISA Servers changen soll?
Grüsse
-
Hallo zusammen
Ich sitze an einem kleinen Problem und zwar folgendes:
LAN (192.168.1.0/24) < TMG2010 > 192.168.2.0/24 (DMZ) < HardwareFrwl> WAN
Nun gut, mein Edge Server sitzt in der DMZ. EdgeSync läuft ohne Probleme. Was ich nicht gebacken kriege ist der Punkt, dass der Edge Server keine Mails im LAN zum HubServer versendet.
Auf dem TMG habe ich einen SMTP-Server Publish Rule erstellt. Vorher wurden die Internet E-Mails direkt via Hardware Firewall über die DMZ und über TMG2010 ins LAN versendet.
Ziel ist es nicht den EdgeServer auf dem TMG2010 zu montieren (da bereits TMG installed ist) sondern alleine in der DMZ am laufen zu haben. Das Relaying über den SmartHost meines ISP's läuft ohne Probleme.
Ich kann mir gut vorstellen, dass was mit den Routen nicht stimmt. Somit setzte ich folgende Route ab
route add 192.168.1.0 mask 255.255.255.0 192.168.2.1 -p (192.168.2.1 external Interface des TMG's)
telnet externalinterface 25 läuft!
Nur kann ich im Protokoll des TMG's nichts sehen, was mit SMTP von der DMZ (EdgeServer) kommt. Sieht so aus, als ob noch das "i" Tüpfchen irgendwo fehlt,... ?
Hmm.. :suspect:
Ideen? Hab gegoogelt. Die eine Möglichkeit wäre halt statisches Send- und ReceiveConnectoren zu setzen. Bin aber nicht scharf drauf. Alles läuft wunderbar. Start-Edgesubscription läuft auch sauber durch. DNS Auflösung auch... :rolleyes:
Grüsse Bits
-
Hallo zusammen
Ich versuche dem TMG2010 klar zu machen, dass ich auf Port 443 ActiveSync haben möchte und gleichzeitig ein Weblistener (ein zweiter) mit Ohne FBA fürs OWA Access!
Es läuft soweit alles gut, bis auf ein kleines Detail, welches mich stört und zwar, verbinde ich mich zum OWA kommt immer die FBA des TMG wo ich unterbinden möchte, weil ich sonst zweimal mich mit Usernamen und Passwort (inkl. Domain) Authentifizieren muss.
Hat jemand hier eine Idee wie ich das hinkriege ohne Port 443 wechseln zu müssen? Denn Weblistener auf 443 darfs nur einen "aktiv" geben.
Da ich mich mit Token übers OWA Authentifiziere, frage ich mich, wie man das SafeWord eigene FBA irgendwie ins TMG2010 einbinden kann..
Tips are welcome...
Grüsse Bits
-
Salü zusammen,
Ich teste immer wieder mal gerne die Performance von Linux und Windows Storage Server 2008 R2.
Im Vergleich mit der Synology DS1511+ komme ich mit iSCSI beim WSS2008R2 nahe rann. Jedoch ist die Anbindung von VMWare vià NFS zum WSS2008R2 oder Linux Debian oder Ubuntu einfach nicht das gelbe vom EI.
Was habt Ihr für Erfahrungen gemacht? Gibts da sonst noch irgendwelche guten Performance Tricks beim Win oder Linux System wo man NFS noch Modden kann? Ich mein, Synology ist ja eigentlich doch auch nen Linux (zwar angepasst) darunter. Wäre interessant das OS da rauszuziehen und mal auf einem normalem PowerEdge Server draufzuspielen und sehen, ob es nur am OS oder HW liegt. Wohl eher an der HW. . .
Wäre auf einen Hinweis oder Tipps happy.
Grüsse Bits
PS: Hat jemand für Windows das NFSv4 bereits in kompilierten Form bereit? Bin leider kein Programmierer.. ;)
-
Hi Drew!
Danke für den Link. Das habe ich bereits beachtet und ist cool. Nur wäre es schön gewesen, den komplett verschwinden zu lassen. Das komische daran ist das jenige, dass sogar das Symbol sich nicht verschwinden lässt in der Systemsteuerung... :suspect:
Gruss Bits
-
Hi zusammen
Ich übe seit 1,5h daran, den Wartungscenter komplett zu deaktivieren. Ob es gut ist oder nicht, der Kunde möchte die User so wenig wie möglich irritieren und ich hab den Auftrag via Distributionssystem dies so einzurichten.
Der Sicherheitscenter Dienst habe ich deaktiviert. Mir fehlt lediglich noch der letzte Klick, um zb. das Wartungscenter Symbol auszuknipsen. Der kanonischer Name Windows.ActionCenter habe ich eingegeben (2K8 Server mit 2K8R2 Server) in der GPO. Der Client bekommt auch diese GPO zugewiesen jedoch ist das Wartungscenter Symbol noch immer da!
Hab im Moment kein Plan. In der Registry gibts den Security Center \ Scv Eintrag, jedochmüsste ich da als Admin die Besitzrechte übernehmen, und das zu scripten "Halleluja". Möcht heute auch noch Feierabend machen. ;)
Tips willkommen.
Grüsse Bits
-
Hallo zusammen
Ich habe vor kurzer Zeit einen Server übernommen, wo mal was mit iSCSI angeschlossen war, wo man VSS benutzt hat. iSCSI NAS Gerät wurde entfernt, ohne VSS zu deaktivieren.
Nun habe ich das Problem, dass ich keine Sicherung mehr mit BackupExec über VSS von diesem Server machen kann.
Windows Server 2008 unterstützte die Redegistrierung und erneute registrierung der dll's.
Beim R2 sollte man dies nicht machen. Nun, wie kann ich VSS reparieren beim 2K8R2?
Grüsse Bits
-
Hi Frato,
Wir deployen diese Laptops mit einem Deployement System und nutzen NUR die Treiber aus der HP Website. Inkl. Software.
Gruss
Bundestrojaner - Security Issue
in Windows Forum — Security
Geschrieben
Tja.. Dem Staat trauen? Ich? Neee..
Wenns so weiter geht, muss man langsam wirklich VPN Dienste in Anspruch nehmen, wo der ISP nicht mitschneiden kann, was ich mir gerade für geile Pornoseiten angucke oder gerade Shoppe. ;) Dann Sniffe ich den ganzen Tag, Woche, Monat und Jahr den Netzwerktraffic LAN -> Firewall.. Gut, dann kann ich gleich das Kabel abziehen..
Aber ich denke dass es eine interessante Entdeckung ist. Als Resultat werden wohl die Firewalls nun noch genauer zb. den SSL Traffic untersuchen. Anscheinend ist ja der SSL Traffic mit guten und starken Packet Inspection herauszufiltern.
Oder ja, wir kaufen uns alle einen ISA Server für zuhause.. (Grins, selbst hab! :D) Und Authentifizieren den Internettraffic.. LOLL.... Wenn das alles gut kommt....... Ich weiss nicht..