kkdu

doch noch selbst eine lösung gefunden, wens interessiert: die windows firewall verwendet eine dienst namens network location awareness um zu schauen ob domain oder stand alone profil gezogen wird. der dienst ist per default auf manuell und sollte vom firewall client gestartet werden. scheinbar ist der dienst aber zeitweise zu langsam vor allem wenn eine wlan karte mit im spiel ist und so zieht die firewall das defaut, also das stand alone profil. den nla dienst auf automatisch gestellt und schon funktioniert auch alles so wies soll.

hellö alle zusammen, hab hier ein etwas seltsames problem: wir haben ein wlan mit csco aps aufgebaut, die wlan settings per gpo verteilt und es funktioniert auch gut, sobald die user angemeldet sind. die wlan clients sind notebooks mit centro chipsatz (intel 2200bg) und laufen unter xp sp2. auf einem win2k3 server läuft der isa, der auch mit den access points spricht und die zugriffssteuerung per radius macht. soweit so gut, nur: da die notebooks, wie es in der natur der sache liegt, auch ausser haus in betrieb sind und verbindungen aufbauen müssen (vpn), ist grundsätzlich die winxp firewall eingeschaltet. sobald aber die richtige domäne gefunden wird, wird die fwall deaktiviert. die entsprechenden policy einstellungen sind vorgenommen und ziehen auch. im reinen lan betrieb funktioniert auch alles. im reinen wlan betrieb hab ich ca 30% ausfall, soll heissen die wlan verbindung steht, allerdings wird die firewall nicht deaktiviert => keine fernwartung usw. möglich. im gemischten betrieb mit lan und wlan ist es noch schlimmer, da hab ich ca. 70% ausfälle, d.h. reboot -> wlan und lan haben connection und bekommen per dhcp ihre adressen aber trotzdem ist die windows firewall aktiv. neuer reboot => funktioniert wieder (keinerlei änderung an standort und/oder settings der beteiligten geräte). neuer reboot => funktioniert wieder nicht usw. ich hab schon die lan karte per bios deaktiviert und rein wlan betrieben => keine besserung. hab die wlan karte im bios deaktiviert und eine pcmcia karte verwendet => besserung auf 20% ausfall rein wlan und 30% ausfall im mischbetrieb, aber immer noch seltsam. schon mehrerer access points versucht, alle mit selben ergebnis. mehrere (baugleiche) notebooks erwendet => auch kein unterschied. irgendwelche vorschläge? thx

ad1) ich glaube nicht, werd aber wenn ich wieder zugriff hab mal auf die router auswertungen schaun, was da so an bandbreite anfällt... ad 2.) da hängen 6 cisco 2600er router (3 in zentrale und jeweils einer je niederlassung) an denen neben den standleitungen auch die isdn kanäle draufhängen. die isdn dinger sind so verschaltet, dass bei leitungsausfall automatisch ein handover zu isdn passiert und erst wieder zurück zur leitung springt wenn diese mindestens 5 minuten stabil da is. zusätzlich sind die niederlassungsrouter so eingestellt, dass sollte die zentrale nicht erreichbar sein (weder isdn noch standleitung) sie sich selbsttätig in einen der anderen niederlassungen einwählen und von dort in die zentrale kommen. für die genaue config muss ich aber passen, hat ein externer consolent gemacht, der da ziemlicher freak ist (hsrp gruppe mit einer ip fürs default gateway, dahinter dann die ips der router....). ad 3) ist eine bei der telekom gemietete leitung (gaaaaanz günstig...*g*) ad4) nix aufregendes: 2x compaq dl380 mit 1xp3 1ghz und einem gig ram - wirklich nichts besonderes, und die kisten fadisieren sich schon (machen aber "nur" ts und nix anderes") dazu muss man fairereweise sagen, dass pro server maximal 15 user gleichzeitig online sind (laufen dank citrix metaframe in load balancing). ad 5) weil wir eine menge eigenanwendungen haben, zusätzlich autocad, pdas und digitalkameras. der aufwand wär recht gross gewesen das ganze mit citrix zu realisieren. ausserdem haben wir dank softwareverteilung da ganz gute managementmöglichkeiten und bevor wir viele ausnahmen definieren, haben wir gesagt wir machen alles lokal. wäre aber sicher auch möglich gewesen, nur dann hätten wir im server bereich deutlich aufstocken müssen und zusätzliche lizenzen....usw. hoffe geholfen zu haben ;-)

hellö, kann dir nur von unseren erfahrungen berichten: 3 standorte mit jeweils ca. 15 ma 1 haupthaus mit ca. 70 ma zwischen den standorten 2mbit leitungen plus jeweils ein isdn backup in der zentrale stehen zwei win2k ts (net unbedingt die stärksten kisten), 2 dc, exchange und was sonst noch so lustiges dazu gehört. in den niederlassungen haben wir einen printserver der auch noch dhcp relaying macht (aber weder ts noch dc). alle mitarbeiter haben einen normalen pc (in den niederlassungen schwächere kisten). in der zentrale sind alle ma direkt angebunden und fahren mit win_xp. in den niederlassungen läuft zwar auch ein winxp aber nur um eine citrix session aufzureissen und in wien zu arbieten. wir haben keine thin clients, weil wir teilweise autocad und ein paar eigenentwicklungen in den niederlassungen brauchen. ausserdem ist der kostenvorteil nicht so gross (in der anschaffung) und wenn eine kiste sterben sollte, bekommt der ma halt eine neue zugeschickt (schon fix fertig konfiguriert - ausser citrix client is da nicht viel drauf) und stöpselt sie sich selbst an. leitungstechnisch ist das alles kein problem (für den mitarbeiter nicht spürbar, dass er nicht auf seiner kiste arbeitet) und in den nächsten tagen wird über die 2mbit auch noch voip gelöst. ts in den niederlassungen sehe ich insofern kritisch, weil dann die ganze "grosse" kommunikation erst wieder über die dünne leitung in die zentrale abgewickelt werden muss, wenn alles in der zentrale steht aber nur bildschirmanzeigen übermittelt werden müssen. tja, so schauts bei uns aus...

hellö der community, ich habe da zwei fragen die mich in letzter zeit ziemlich beschäftigen: habe hier eine win2k3 domäne in der eine ca werkelt, die meinem ias auch ein serverzertifikat ausgestellt hat und dieses auch per ad allen clients bekannt gemacht hat. die cisco 1200er aps sind als radius client eingetragen und die wpa verschlüsselung und die peap authentifizierung funzt auch prächtigst. jetzt stellt sich mir die frage, zahlt es sih aus den aufwand für computer und userzertifikate zu betreiben um eap-tls zu fahren oder ist peap mit wpa sicher genug (bzw. wenn nicht, welche angriffsmöglichkeiten gibts - hab da noch nix "sinnvolles" gefunden). das zweite thema das mich beschäftigt ist das remote management der kisten. es geht hier um notebooks mit pcmcia wlan karten (wake on wlan leider nicht möglicht - gibts da überhaupt karten für den laptop die das unterstützen?) und xp sp2. das problem ist nun, dass ich ohne angemeldeten user keine management möglichkeit habe, weil die wlan verbindung nicht hergestellt wird. ich habe zwar die option "als computer anmelden wenn computerinfos vorhanden sind" angehakt, aber wlan funzt trotzdem nur mit user. irgendwie sicherheitstechnisch auch klar (sonst wär ja die ganze ldap einbinderei fürn hugo) aber gibt es eine (sichere) möglichkeit kisten über wlan zu managen (soll heissen z.b. eine rdp sitzung aufzumachen oder die kiste per softwaredelivery oder wsus zu betanken)? thx für die infos