hirnibus

wenn niemand eine Lösung weiss vieleicht ein Gedankenanstoss oder ein Tipp?

Hier aus einen anderen Beitrag einige Infos dazu

http://www.mcseboard.de/windows-forum-ms-backoffice-31/zertifikat-weboeffentlichung-117398.html#post726166

danke für die Tipps..aber zuerst muss ich mal soweit kommen und OWA etc. zum laufen kriegen:suspect:

Hallo zusammen,

 

ich möchte gerne von zwei Serven aus die Erreichbarkeit eines dritten Servers testen.

Hintergrund ist folgender:

Die drei Server hängen an einer USV, davon ist aber nur einer managebar (über COM1) d. h. dieser eine würde im Falle eines Stromausfalles herunterfahren. Die anderen beiden leider nicht. Meine Idee ist es nun eine Art Heartbeatfunktion (wie bei Clustern) einzusetzten, der in bestimmten Intervallen (ca. 1 Minute) den einen Serve anpingt und sollte dieser nicht erreichbar sein, den Server herunter fährt.

 

Gibt es ein Tool (am besten freeware) was sowas kann ???

 

Danke für eure Antworten.

da kannst du dir ein kleines Script basteln mit ping "server" und dem shutdown befehl! sollte mit Windows Boardmitteln gehen...

Edit: Ich bin mir nicht mehr sicher aber ich glaube der Ping-Befehl von Windows gibt keine Errorlevel aus..es gibt aber einen der kann das...google hilft dir;-)

Ja was tut denn genau nicht?

Kannst du die entsprechende Webseite von einem PC im LAN aufrufen? (am besten ein PC der nicht in der Domäne ist)

Also sämtlicher Internet, FTP, Mail etc. aus dem 192.168.2./24 Netz geht (also durch ISA uns Zywall). Aus dem 192.168.3.0/24 Netz geht auch..ich habe auch schonmal den ISA abgehängt und den Web/Exchange Server direkt hinter die Zywall geklemmt hat funkioniert. Also entweder mache ich was beim ISA falsch oder etwas stimmt im "zwischennetz" nicht!

Nochmals zu Ergänzung: Zywall Port 80 + 443 sind auf die Netzwerkkarte des ISA weitergeleitet (NAT und Firewall Regel) von Zywall zu 192.168.3.33 (ISA). Beim ISA habe ich eine Web/Exchange Veröffentlichungs-Regel erstellt auf 192.168.2.34 (Exchange)

Hat niemand eine Idee oder Lösungsansatz..ich seh echt den Wald vor lauter Bäume nicht mehr..

Hallo zusammen!

Wiedermal ein paar Fragen:

Arbeite nun zum ersten mal mit einer Front - Backend Firewall Lösung. Die Frontfirewall ist eine Zyxel Zywall 35 welche die Verbindung per SDSL Modem zum Internet herstellt. Backend ist ein ISA 2004. Also

Zywall - 192.168.3.32

¦

¦

192.168.3.0/24

¦

¦

ISA 192.168.3.33 sowie 192.168.2.33

¦

¦

192.168.2.0/24

Nach aussen funktioniert soweit alles (HTTP, FTP, SMTP, POP etc.)

doch nun möchte ich einen Exchange + Webserver veröffentlichen. Als erstes habe ich an der Zywall 35 die entpsrechenden Ports geöffnet und die Ports auf die IP des ISA's genattet (192.168.3.33). Auf dem ISA habe ich den Exchange und Webserver per Assistenten veröffentlicht. Doch leider bracht mich das nicht zum gewünschten Erfolg:-(. Daten sind soweit alle korrekt eingegeben mehrmals überprüft...ich könnte mir aber vorstellen dass ich auch irgendwo ein Denkfehler gemacht habe da ich auf diesem Gebiet so noch nie gearbeitet habe!

Danke und Gruss..

ich mache hier immer domain_gerätetyp_nummer

also it4ever_laptop_001 oder it4ever_pda_001 oder it4ever_desktop_001

falls du in einer domäne bist, kannst du den reg key in ein adm umwandeln mit reg2adm. Dannach kannst du diese Einstellung per GPO und jeweiligen OU's steuern. Einfach dann Rechner in die OU ziehen und aufstarten...und wundern:eek:

ok gut dann werde ich das mal so versuchen!!

Du könntest natürlich alternativ das Netzwerkverhältnis zwischen LAN und DMZ auf "Route" umstellen. Wenn möglich, würde ich diesen Weg sogar favorisieren, denn nicht alle Anwendungsprotokolle sind "NAT-friendly".

 

 

Gruß

Steffen

Ich habe nie von einer DMZ gesprochen! Der ISA besteht lediglich aus: Interne und Extern..also nur 2 Netzwerkkarten. Demmnach kann ich keine Veröffentlichungsregel erstellen!

gruss

Dann kannst Du die Route auf der Zywall wieder löschen.

Wenn das Netzwerkverhältnis NAT ist, musst Du mit einer Serververöffentlichungsregel arbeiten. Du sprichst den Datenbankservice dann aus der DMZ heraus mit der DMZ-IP des ISA-Servers an. Dieser setzt dann um in die interne IP-Adresse. Anleitungen, wie man z.B. einen MS-SQL-Server oder einen Oracle-Server veröffentlicht, gibt es hier: Firewallrichtlinien

 

Gruß

Steffen

Die entsprechende Firewallrichtlinie habe ich bereits auf dem ISA erstellt! Der ISA nattet aber nicht vom 20er netz ins 10er Netz sondern umgekehrt! Also 10er ins 20er intern nach extern! Ausserdem haben die Server nur den Zywall als Gateway eingetragen daher muss ich ja die route auf der Zywall definieren!??

okm mein 2ter versuch:D. Hier noch zum veranschaulichen:

http://img101.imageshack.us/img101/3903/drawing1as8.jpg

@s.k. ja richtig es ist eine route bereits gesetzt da der ISA vom internen ins externe Netz routet! Und ja er nattet auch!

Hallo Community

ich stehe wiedermal vor einem Problem wo ich kein Ausweg finde!

Netzwerk: 2 Netzwerke, 2 Domänen, 2 Firewall, 2 IP-Range.

Zyxel Zywall 35---IP-Range 20.20.20.0/24----Web, FTP etc. ----ISA 2004---IP-Range 10.10.10./24----File-Server, Datenbank, clients etc.

Die Zywall verbindet ins Internet, der ISA routet die Anfragen der Clients zur Zywall weiter. Soweit so gut.

Nun möchte ich aber gewisse Dienste von der Datenbank etc. anfordern folglich muss ich ins andere Netz rein. Ich habe nun bei der zywall eine statische route eingetragen für die server, die die Zywall als Gateway haben. Destination: 10.10.10.31 (fileserver) Mask 255.0.0.0 Gateway 20.20.20.20.33 (ISA). Die entsprechenen Dienste habe ich auf dem ISA auch eingestellt.

Nur funktioniert das schienbar nicht wie ich es will! Kein ping nix! Mache ich einen grundlegenden Überlegungsfehler!? Oder habe ich falsch routen eingetragen!?

danke und gruss!

Nein, der Cache kann nicht manuell abgeglichen wernde. Aber man kann sich ja über die VPN-Verbindung anmelden. Dazu im Anmeldebildschirm das Häkchen "Über DFÜ-Netzwerk anmelden" setzen.

 

 

grizzly999

aber der Name sagt schon DFÜ-Netzwerk! Kann ich nun dort die VPN Verbindung auswählen?

Hallo zusammen

ich habe eine kleine Frage! Und zwar handelt es sich ume mehrere Laptops die ich in eine neue Domäne hinzufügen muss, ohne dass sie sich jemals an der Hauptstelle angemeldet haben. Thoeretisch kann ich ja die Laptops per VPN in die Domäne werfen! Aber das Problem ist ja nacher, dass sich niemand anmelden kann! Zwar kann ich per "Computerkonfiguration ... lokale Richtilinien / Sicherheitsoptionen / Interaktive Anmeldung: Anzahl zwischengespeicherter Anmeldungen ....." raufdrehen, doch das setzt doch eine erfolgreiche Anmeldung an der Domäne voraus! Kann ich irgendwie den Cache manuell abgleichen oder so??

ich mache es immer so: Falls du mit servergespeicherten Profilen arbeitest kannst du mit if exist die ntuser.dat nachfragen. Die wird erst nach der ersten Sitzung an einem computer auf den server geschrieben. Nachteil: es geht nur 1x nachdem sich der User irgendwo angemeldet hat, ist die ntuser.dat vorhanden.

Habe mal gerade eine Idee..du kannst auch ein Script schreiben:

Erstelle im Benutzerprofil einen Ordner z.B. Anmeldungen. Jedesmal wenn sich ein User an einem PC anmelde wird ein Ordner mit dem PC-Name erstellt. Besteht der Ordner mit dem PC-Name bereits macht er nix.

if exist \\server\profiles$\%username%\anmeldungen goto weiter

mkdir \\server\profiles$\%username%\anmeldungen

weiter

if exist \\server\profiles$\%username%\anmeldungen\%computername% goto weiter1

mkdir \\server\profiles$\%username%\anmeldungen\%computername%

start \\server\NETLOGON\ersteanmeldung.doc

:weiter1

Gruss

Edit: Meine Variante geht sicherlich, aber die Variante von ITHome ist schöner aber auch aufwändiger!

das problem ist, dass ein benutzer z.B. 1 userspezifisches Laufwerk zusätzlich bekommt, ein anderer wieder 5 Laufwerke.

 

Die Laufwerksbuchstaben sind wie Kraut und Rüben durcheinander vergeben, es existiert kein System.

 

Die Standard-Laufwerke sind ja über ein Zentrales Script gesteuert, aber was ein Benutzer dann zusätzlich braucht, ist im userspezifischen Logon-Script eingetragen.

ich arbeite da schon langem mit ifmember.exe. Es kann Benutzerangehörigkeit aus dem AD auslesen. Sprich alles aus der Buchhaltung sind in der Gruppe Buchaltung. Fragt man dann so ab

ifmember Buchaltung

if not %errorlevel%== 1 goto weiter

net use X: \\server\buchhaltung$ PERSISTEN:YES

:weiter

ganz einfach und sehr gut zu warten und ich arbeite mit nur 1 Script...gut sind auch nur 100 Users aber trotzdem:D

Nun mein Problem ist/war, dass ich bei meiner Firewall nur eine fixe IP pro PPPOE Session eintragen kann/konnte. Ich konnte jedoch multiple PPPOE Sessions inizialisieren. Jedoch kickte mich der Provider nach ca. 15min., weil ich 2x mit gelichen Benutzername und Kennwort eingeählt war.

Dannach habe ich bei meinem Provider gefragt, ob sie mir 2 verschiedene PPPOE Sessions erstellen können mit jeweils einer fixen IP. Sei pinzipiell möglich, aber sie machen es nicht:eek: .So nun muss ich mir eine neue firewall kaufen.

Irgendwelche Vorschläge? Darf so 500 bis 600euro kosten. Und muss nicht zwingend 2WAN Ports haben, aber ich muss 2 fixe IP's pro PPPOE Session einstellen können. Ansonsten halt die üblichen Merkmale einer SmallBusiness Firewall. Antivirus wär noch ganz nett;)

Ich würde NIE WLAn im Geschäftsbereich einsetzen. Lieber ein ADSL Anschluss mit VPN wenn eine direkte Verkabelung nicht geht!

Du musst dich halt entscheiden, auf was du Wert legst: Willst du eine einfache Administration? Oder hohe Sicherheit zwischen den Standorten? Willst du kosten sparen indem du Administration sparst, Server zentral administrierst, Infrastruktur nur zentral oder verteilt hast?

Prinzipiell kann ich zu einer globalen Domain sagen:

Es ist sicherlich einfacher und kostengünstiger. Du kannst alles zentral im Hauptstandort administrieren, die Server sind nicht alle auf verschiedene Standorte verteilt. Du musst nicht jedes Netz für sich administrieren sonder hast ein globales einheitliches Netz. Nach dem Prinzip jeder sieht jeden kannst du dir lästige Arbeit wie User doppelt führen ersparen jeder kann überall arbeiten.

Getrennte Netze: Es gibt z.B. Banken bei denen nicht jeder Standort vollen Zugriff hat. Wenn verschiedene Standorte andere Rechte haben, ist es naheliegen mit subdomains oder sogar getrennten domains in einem Forest kannst du sehr gut die Rechte der jeweiligen Standorten steuern. Dies ist sehr wichtig/nützlich wenn nicht jeder Standort die gleichen Rechte haben darf -> sagen wir Standort A Support Standort B Buchhaltung etc. so darf der Support sicherlich nicht auf die Buchhaltung zugreifen.

Der Nachteil ist, es braucht viel Zeit ein solches Netz zu administrieren, da jeder Standort sozusagen als eigene Organisation arbeitet (eigene Server, eigene Benutzer, eigene Rechte etc.)

In deinem Falle wäre es aus meiner Sicht sicherlich das beste jeden Standort in seiner Domain zu lassen, aber mit Forest zu arbeiten und vorallem die Kommunikation und Replikation der Server unter den Standorten zu optimieren -> DNS wie du ja sagst.

Du schreibst etwas von 3 Möglichkeiten, aber um Host Header zu nutzen *muss* er nicht zwingend auf 1 Server migrieren.

ist unglücklich ausgedrückt :wink2:

Wenn man es genau nimmt, würde bei einer Lösung mit ReverseProxy, der Proxy die Instanz sein, die entscheidet in welchem Verzeichnis, und ganz speziell auf welchem Server, die Webside erreichbar ist. Du kannst das auch mit einem LoadBalancer vergleichen, der z.B. die Bilder für eine Webside von einem schnelleren Server anfordert.

Mit dieser Variante kenne ich mich nicht so aus, und setzte ich auch nicht ein. Daher habe ich diese Variante nicht aufgezält, weil ich nicht etwas sagen möchte von dem ich nur wage weiss, wie es in etwa funktioniert.

Kannst du mir so ein Proxy nennen, der diese Funtion beherscht? Der Trend Micro Inter Scan Web Security kann ich zwar als Reverse Proxy benützen, aber ich kann die Anfragen nur auf einen Port/Server weiterleiten!

Quatsch. Wieso sollte er alles auf einen Server migrieren *müssen*?

Warum nicht? Die Frage ist, lohnen sich 3 Server überhaupt? Greifen soviele User auf das System zu, dass 3 Systeme nötig sind? Ausserdem ist es nicht sehr Ressourcenschonend wenn 3 Server laufen und die sich langweilen.

Er muss gar nichts. Ich ihm lediglich Vorschläge unterbreitet wie er es machen könnte.

ja, grizzly hat das ja auch schon geschrieben. alle webites laufen auf ssl (443). wie kann ich das unterscheiden?!?

die andere frage ist, kann ich das mit nur einer netzwerkkarte machen?

Also es gibt 3 Möglichkeiten um dein Problem zu lösen:

1. Host Header: Hierbei musst du alle Applikationen auf einen Webserver migrieren. Du benötigst eine feste IP und eine Netzwerkkarte.

Du trägst bei der jeweiligen Webseite den entsprechenden Host Header ein (für http://www.xyz.de'>http://www.xyz.de'>http://www.xyz.de musst du http://www.xyz.de und xyz.de eintragen.) Somit antwortet die Webseite für die jeweilige Domain. Meine bevorzugte Variante

2. 3 fixe IP's: Hierbei kannst du alle Applikationen auf den 3 Webservern laufen lassen. Du benötigst jedoch 3 fixe IP und einen entsprechenden Router. Bei dieser Variante ist jeder Webserver auf einer IP zu erreichen. Diese Variante wird aber unterm Strich teurer kommen da du 3 fixe IP's kaufen musst 3 Server betreibst und die Hardware dafür anschaffen musst.

3. Ports: Die letzte aber ziemlich unangenehme Variante für der User ist, dass jede Webseite auf einem Port läuft. z.B. http://www.xyz.de Port 80 http://www.zry.de auf Port 81. Bei dieser Variante benötigst du 1 feste IP und kannst wahlweise 3 oder auch nur 1 Webserver betreiben.

Bedenke auch, dass du die entsprechenden DNS einträge machen musst. Das kannst du wahlweise bei deinem Provider oder auch selber machen. Wobei selber machen zimlich knifflig ist, wie ich selber erfahren musste.

Leider sind die Log Möglichkeiten nicht gerade die besten...er sagt nur:

07/09/2006 11:01:13.43 PPP-Verbindung erfolgreich PPPoE-Sitzung 1

07/09/2006 11:01:12.23 Einwahl bei Bedarf 20.20.20.xxx:2498 211.31.166.xxx:24370 TCP, PPPoE-Sitzung 1

das gleiche nochmal für PPoE-Sitzung 2 und nach genau 15 min. PPPoE-Sitzung 1 und 2 stopp und anschliessende Trennung.

Ich werde Montag mal meinen Provider anrufen und fragen ob er mir 2 PPPoE Sessions mit verschiedenen Benutzername auf jeweils eine IP erstellen kann.

*grmmml* hätte ich nur nicht gespart als ich die Firewall gekauft habe nur CHF 100.- mehr und ich hätte mir die SGS 360R kaufen können mit 2 WAN-Interface:mad:

soll heissen: normalerweise müsste die IP des Servers da auch automatisch dabeistehen?

ist mir auch schon passiert..warum keine Ahnung er hat einfach bei der Erstellung der Zone keinen Eintrag gemacht...ist mir bis jetzte aber nur unter 2000 passiert!!