Aktaion

Hat das entsprechende Computerconto Leserechte auf den besagten Pfad? Wo hast du das Script genau definiert? Wird es auf den User überhaupt angewendet? (gpresult)

Können die Geräte SFLOW ? Eventl. kannst darüber anhand des Traffics der über die Ports läuft deine MACs/IPs finden.

Da gibts ettliche, zum Teil auch kostenlose Collectoren für sFlow.

Wenn jetzt deine Clients keine ICMP Informationen von deinem VPN Konzentrator zurückbekommen, kann es zu Fragmentierungsproblemen kommen. Da gabs nen tollen Artikel mom:

Cable Guy

Huhu - besteht da eventuell ein MTU Problem? Was für eine Verschlüsselung nutzt dein QuickVPN Client. RDP Pakete sind recht groß und sorgen hin und wieder Problemen bei Verschlüsselungen mit großem Overhead (3Des z.B.)

Also gegen Abgelaufene und auf falsche Namen ausgestellte Certs kann man wenig machen. Selbst wenn man da was ändern könnte - wäre dieser Eingriff fatal! Also wenn der Herausgeber sein Cert selbst ausgestellt hast - kannst du doch einfach die Ausstellende CA in deinen Speicher für vertrauenswürdige CAs packen und das Problem ist beseitigt!

Ich kann nur dir empfehlen nimm Variante 1 und nun die Erklärung.

Die Transaktionsprotokolle werden hintereinander Linear geschrieben - je schneller dies geschiet um so mehr Anfragen kann dein Exchange verarbeiten.

Hat der Server Rechenzeit über schreibt/liest er Änderungen in/aus die/der DB. Dies geschiet mit "Random Access" dh. mischt du nun lineare Schreibvorgänge mit random Access wird das sich negativ auf deine Performance auswirken.

Verstehe das Problem net ... ein gemischtes Szenario Windows2003 und Windows NT ist doch möglich... deine User sollten dann die alten Ressourcen weiterhin nutzen können. Kannst doch einfach deine bestehende Domäne auf Windows 2003 und AD "upgraden". Da gibts aber genug HowTos im Netz für, wenn du nicht sicher bist - outsourcen an nen Spezialisten. Dann geschieht das ganze im besten Fall seamless ohne Ausfälle...

Also DNS verteilt bei einem Namen und mehreren IPs grundsätzlich nach dem Round Robin Prinzip d.h. erste Anfrage IP-ServerA zweite IP-ServerB (gibt zwar noch Soderfälle aber das spielt hier keine Rolle) - ist sehr unglücklich für deine Problemstellung.

Wie groß ist das Budget? Muss ein Automatismus dahinter stecken? Wenn nein, einfach den Drucker auf beiden Servern einrichten und den Usern erklären, dass wenn A net geht sie einfach B benutzen sollen. .)

Du hast die integrierte Windowsauthentifizierung am Webserver aktiv, was ja ansich net schlecht ist. Wenn du nicht willst, dass das dein Browser macht - schalte es einfach ab. :D Oder nimm den Server aus der Sicherheitszone lokales Netzwerk .)

Jau wenn keine Segmmentierung gewünscht ist, einfach alles in ein ausreichend großes Netzwerk packen. Nur ehe ich anfange unterschiedliche Netze oder VLANs mit physikalischen Routern zu verbinden - empfehle ich nen Layer 3 Switch der macht sowas besser.

Ich hab die noch nie benutzt, aber eventuell hilft das weiter:

Microsoft Windows Services for NetWare 5.03 Overview

Naja zumindest habe ich seinen Fragen zu den Class C Netzen entnommen, dass er gerne eine logische Segmentierung seines Netzwerkes haben möchte. Auf der Basis Server/Abteilungen - wenn der Wunsch/Gedanke net bestünde würde man nicht danach fragen. Wenn man sowas erreichen will, würde ich VLANs vorschalgen und einen Layer 3 Switch, der die ganze Sache Routet :D. Zudem kann man da bei den meisten Geräten auch via ACLs Zugriffe der Abteilungen untereinander unterbinden.

Bin für VLANs und Layer 3 Switch (realisert dann auch das Routing der VLANs untereinander). Achtung informier dich aber über die Verwendung von DHCP in solchen Konstellationen.

Ich hatte auch schonmal einen Bluescreen bei Veritas Backup Exec beim Rücksichern des Systemstates eines W2k3 Servers mit SP1 - jetzt schnallt euch an man musste vorher das SP1 auf die Grundinstallation (bevor man den Systemstate da drauf bügelt) bringen und dann gings.

Hmm möglichst wenige Ports freischalten und Dateiübertragung, dazu fällt mir RDP + eigene Laufwerke in die Sitzung mappen ein :) dabei ist lediglich ein Port(3389/TCP) von nöten.

Versuch doch mal den Netzwerktraffic zwischen den Problemrechnern mitzuschneiden. Tools wie Ethereal und Wireshark sind da zu empfehlen.

Grundsätzlich benötigst du eine Zertifikatsinfrastruktur - im einfachsten Fall eine Zertifizierungstelle für dein Projekt - die kannst du AD intergrieren oder auch alleinstehend installieren. Achtung sicher die regelmäßig mit!

Danach benötigt dein Client ein Computerzertifikat entweder manuell oder automatisiert. Danach du müsstest die IAS Richtlinien entsprechend einrichten - danach die Einstellungen am Client vornehmen (geht bestimmt auch über ne GPO). Am sichersten ist PEAP, aber zum ganzen Thema Zertifizierungstelle gibts auch bei MS nette Whitepaper.

Ich würde halt weder PAP noch CHAP in Betracht ziehen... Die Zukunft liegt in digitalen Zertifikaten und in Auth/Verschlüsselungsverfahren die auf darauf beruhen. Steck die Energie lieber im testen solcher Umgebungen, als dir Gedanken um die Absicherung einer Lösung via CHAP und/oder PAP zu machen.

Also das geht eher um die Speicherung der Kennwörter auf dem Server. Reversiebel meint, dass das Kennwort rückrechenbar abgespeichert wird.

PS:

@weg5st0 sry hab dein Zitattext nicht gelesen :/

Kannst du direkt am Metaframeclient einstellen.

Ihr wisst, dass das abspeichern der Kennwörter in reversiebler Form ein Sicherheitsrisko ist oder? Also ich würde da lieber über eine andere Lösung gedanken machen... Clientzertifikate und EAP usw.

Trunking:

Dazu gibts ein Schlagwort 802.3ad dynamisches Bündeln physikalischer Verbindungen, schau drauf das dies Netzwerkadapter und Switch können.

DHCP:

DHCP ist so eine Sache mit VLANs du benötigst für jedes VLAN einen DHCP Relay, aber viele Switches bieten diese Funktion.

Tagging:

VLANs kannst du grundlegend auf 2 Netzwerkebenen fahren: Layer 2 und 3

also sprich Portbased und Tagged. Dies gilt es natürlich an Switch und Netzwerkadapter zu konfigurieren.

So noch ein Tipp unabhängig von den Themen:

Bitte dedizier den Firewall Server (ISA Server) mit der Funktion der Firewall.

(Ich hasse den SBS Premium ^^)

Je nach Servicelevel Agreement kann man auch den entsprechenden Support verlangen und bei NBD kommt auch einer am nächsten Tag. Wenn nicht den Fall eskalieren! Aber man sich 4 Wochen hinhalten lassen kann, verstehe ich nicht...

Bin mir sicher das Qualitätsmanagement von HP ist sehr an solchen Fällen interessiert!

HP Server und entsprechendes Carepack - machen das Leben leichter .)

Nen Auszug aus dem Datenblatt:

Filtering: Port, IP Packet, JAVA™/ URL/ActiveX®

Blocking, URL Keyword,

Eventuell werden benötigte ActiveX Komponenten gefiltert?!