IThome
-
Gesamte Inhalte
17.751 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von IThome
-
-
In dieser Vorlage werden einige Sicherheitseinstellungen in der Registry und dem Dateisystem entschärft. Bei dem Standaloneserver rufst Du Sicherheitskonfiguration- und Analyse auf (erreichbar über mmc - snapin hinzufügen), erstellst eine neue Datenbank und importierst diese Vorlage. Danach musst Du noch "Diesen Computer konfigurieren" (vielleicht vorher erstmal analysieren um zu sehen, was er alles ändert ...
Schau Dir vorher mal den Befehl secedit an, speziell den Parameter /generaterollback ...
-
Du musst den RRAS zum NAT-Router machen. Nachdem Du die Funktion hinzu gefügt hast, definierst Du eine seiner Schnittstelle als öffentlich und die andere als privat. Zusätzlich kannst Du noch einen Basisfirewall anschalten ...
edit: zu spät und die weniger gute Antwort :D
-
Wüsste nicht, was dagegen spricht. Wenn er der letzte DC der Domäne ist, wird er nach dem Ausführen von dcpromo zum Standalone-Server. Ich gehe jetzt mal davon aus, dass Du diesen Server durch den SBS ersetzt hast und er seitdem nicht mehr läuft ?!
-
Vielleicht hilft´s :)
http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung_speziell.htm
Unter "Zusatzaufgabe" ...
-
Wäre nicht schlecht und würde sehr helfen, wenn Du ein wenig mehr über die Konfiguration Deines Netzwerkes schreiben würdest. :)
-
Oha, ich kann mir richtig vorstellen, wie warm Dir auf einmal geworden ist :D
-
Hier ist mal ne Beschreibung, die dieses ganze Thema beleuchtet.
http://support.microsoft.com/default.aspx?scid=kb;en-us;816592
Ich habe in einem Parallelthread mal über eine Testumgebung zu diesem Thema geschrieben und allerhand ausprobiert, vielleicht ist da ja auch was bei ...
-
Es gibt eine Vorlage (compatws.inf), die das Installieren von Software erlaubt, den Benutzer aber trotzdem nicht in die Hauptbesitzergruppe aufnimmt
Aber schön ist das nicht ... :D
-
Aha, also eine Funktion, x-verschiedene Namen dafür, Hide NAT hört sich besser an als Dynamic NAT oder NAPT, aber lange nich so gut wie IP-Masquerading :D
-
sorry: ist mir irgendwie 2 * reingerutscht ...
-
Wenn ein DNS-Server eine Anfrage nicht selbst beantworten kann, sein Forwarder auch nicht, *abgekürzt* also sämtliche Namensauflösungsversuche scheitern, gibt er das an den Client weiter. Der Client fragt dann nicht den 2. DNS-Server, ob der es vielleicht weiss. Der 2. wird gefragt, wenn der Erste nicht erreichbar ist ...
Du kannst natürlich den 10.30.0.1 für sämtliche Namensauflösungen benutzen. Der eigentliche Verkehr geht dann über den Router, der die Verbindung zu den gewünschten Zielen hat (der Router bei Dir ins Internet über die Defaultroute, die PIX über die Netzroute ins Intranet), nachdem der Name aufgelöst wurde. Die Frage ist ja, wieviele Rechner im Intranet erreichbar sein müssen und von wievielen, manchmal kann man tatsächlich noch hosts-Dateien einsetzen ... ;)
Dein Vorhaben, anhand des Suffixes zu einem bestimmten DNS-Server zu gehen, könntest Du mit einem Windows 2003 Server realisieren, indem Du Conditional Forwarding aktivierst.
Ach ja, noch was,wie ist denn eigentlich die Netz-ID des Intranets, wenn sie nicht 10.30.0.0/<Maske weiss ich nicht>ist ?
-
Der ISA-Server ist aber auch ein Application-Level Firewall und weiss, ob der Client das PORT oder PASV Kommando abgesetzt hat. Dieses Gerät macht laut Beschreibung allenfalls Stateful Inspection Packet Filtering und arbeitet sicher nicht auf Application Ebene.
@Velius
Meinst Du mit Hide NAT IP-Masquerading oder Dynamic NAT (hab ich noch nie gehört, was aber nichts zu bedeuten hat :D ) ?
-
Vielleicht hilft Dir das ja weiter bei Deinem Himmelfahrtskommando ;)
-
Wenn Du einen 2. DC in der Domäne hattest, kannst Du alle Rollen problemlos übertragen, wenn der 2. Server aber "nur" ein Domänenmitglied war, kannst Du das nicht. Der 1. Server ist ja nicht mehr lauffähig, also gibt es auch kein Active Directory mehr.
Ein Domänenmitglied kannst Du nur zu einem Domänencontroller herauf stufen, wenn entweder das Active Directory noch läuft oder Du eine komplette Datensicherung inkl. Systemstatus des ausgefallenen Domänencontrollers hast.
PDC und BDC sind Begriffe aus der NT4-Zeit, in Windows 2000 gibts es zwar noch einen PDC-Emulator, 2000 BDCs aber nicht.
Was meinst Du mit "Server 2 - Windows 2000 - keine Dienste - im AD integriert" ?
-
Genau das is ja das Problem, wenn Du aktives FTP benutzt, musst Du den Port 21 nach innen leiten und dem FTP-Server erlauben, von innen nach aussen jeden Port >1024 ansprechen
zu dürfen. Dein Client muss aber diesen Verbindungsaufbau des Servers auch akzeptieren (also eine Regel Quellport:20 Zielport>1024).Ich gehe mal davon aus, dass auf dem Client auch irgendeine Firewall läuft. Benutzt Du den passiven Modus musst Du auf dem Router nicht nur den Port 21 nach innen leiten, sondern auch jeden Port > 1024 (es gibt allerdings auch Firewallrouter, die anhand des Status erkennen, dass der zweite Aufbau zu einem Port jenseits der 1024 der Aufbau zum Datenport des FTP-Servers ist,wenn vorher eine Verbindung zum Port 21 erfolgte, Watchguard XEdge z.B.), da Du ja nicht wissen kannst, welchen Port der Server für die sekundäre Verbindung benutzt.
-
Du beschreibst gerade aktives FTP, der Client verbindet sich mit dem Kontrollport TCP 21 des Servers, es erfolgt ein PORT Kommando, der Server verbindet sich aktiv (daher der Name) mit seinem Datenport TCP 20 zu einem Port jenseits 1024 des Clients. Der Client verbindet sich NICHT mit dem Port 20 Deines Servers.
Beim passiven FTP verbindet sich der Client wieder mit dem Kontrollport TCP 21 des Servers, diesmal erfolgt aber ein PASV-Kommando, danach verbindet sich der Client mit einem Datenport >1024 Deines Servers.
Hier steht es genauer ...
http://www.informationsarchiv.net/foren/beitrag-8313.html
Das Problem liegt an der Richtung und dem FTP-Betriebsmodus ...
-
Ich hab auch was gefunden :)
http://www.eventid.net/display.asp?eventid=8193&eventno=1994&source=VSS&phase=1
"0x80040154 means REGDB_E_CLASSNOTREG which always
appears if the corresponding COM server was not installed."
to reinstall com+
a. In the %SystemRoot%\System32 folder, rename the Clbcatq.dll file to ~clbcatq.dll. Make sure that you include the tilde (~) at the beginning of the file name. If there is already a ~clbcatq.dll file in the %SystemRoot%\System32 folder, move the ~clbcatq.dll file out of the folder or rename the ~clbcatq.dll file first. If the file is in use, you may have to use the rename command from an MS-DOS prompt to rename the file.
b. Save and delete the HKEY_LOCAL_MACHINE\Software\Microsoft\COM3 key. To do so:
1. Start Registry Editor (Regedt32.exe).
2. Locate and click the following key in the registry:
HKEY_LOCAL_MACHINE\Software\Microsoft\COM3
3. On the Registry menu, click Save Key, and then save the key to a file.
4. Make sure that the HKEY_LOCAL_MACHINE\Software\Microsoft\COM3 key is still selected. Either press the DELETE key or right-click the key, and then click Delete.
5. Quit Registry Editor.
c. In Control Panel, open the Add or Remove Programs tool, and then open the Add/Remove Windows Components tool. Do not make any changes, just click Next. This reinstalls COM+.
-
@Operator
Ich wollte Dir nicht zuvor kommen (sowas passiert im Eifer des Gefechts) :)
-
Hast Du auch Einträge in der Ereignisanzeige von der Quelle VSS ?
-
Du kannst zwar mehrere Adressen bei Dyndns registrieren, in Deinem Fall beziehen sie sich aber auf die externe, dynamisch zugewiesene Adresse, da Du ja sehr wahrscheinlich keinen Block zur Verfügung hast. Du kannst Deinem Router jetzt sagen, er soll portbasiert nach innen leiten. Wenn Du z.B. die Adresse meineHomePage.dyndns.org registriert hast, kannst Du den Port 80 (http) oder irgendeinen anderen zu einem internen Rechner leiten. Willst Du also von aussen auf Deinen internen Webserver, gibst Du in dem Browser nur http://meineHomePage.dyndns.org ein, die derzeitige Adresse wird von dem Dyndns-Server zurück gegeben und Dein Router entscheidet anhand einer Portumleitung, an welchen internen Rechner er den Request leiten soll. Du kannst aber nicht mit einer Portumleitung auf zwei verschiedene interne Rechner gehen, also pro Port ein interner Rechner. Ich weiss jetzt nicht, wie es bei Deinem Router genannt wird, oft heisst es Port Forwarding, Port Redirection oder ähnlich.
-
Wenn ich es jetzt richtig verstanden habe, wird die PIX benutzt, um einen VPN-Tunnel durchs Internet zum Firmen-Intranet aufzubauen, Du möchtest aber die andere DSL-Leitung zum Surfen benutzen. Wenn dem so ist, kannst Du das Default Gateway der Karte im PIX-Netzwerk entfernen und eine Netz-Route zum Intranet eintragen ...
z.B. route add -p 10.0.30.0 mask 255.255.255.0 10.40.0.1(die interne IP der PIX)
edit: sorry, das add vergessen
-
Eine 2003 AD Domäne reagiert empfindlich auf Zeitdifferenzen zwischen den Clients und den DCs. Erfahrungen haben gezeigt, dass ein net time Befehl nicht immer ausreicht, um die Zeit über den ganzen Tag so synchron zu halten ,dass niemandem der Zugriff verweigert wird. Ich hatte einen Kunden, bei dem alle, die um 16:00 Uhr Feierabend gemacht haben, überhaupt keine Probleme hatten. Der Chef, der bis 18:00 Uhr gearbeitet hat, ist jeden Tag um etwa 17:15 getrennt worden. Nach Neustart des Clients und Anmeldung (net time im Anmeldescript) war wieder alles gut. Du solltest Dich mal mit der Konfiguration des W32TIME Dienstes vertraut machen. Dieser Dienst regelt die Zeitsynchronisation in solch einer Umgebung.
http://support.microsoft.com/default.aspx?scid=kb;en-us;224799
http://support.microsoft.com/default.aspx?scid=kb;en-us;816042
Es gibt noch eine Menge mehr Supportartikel bei Microsoft zu diesem Thema ...
-
Auf jeden Fall wünsche ich Dir viel Erfolg und viel Spass beim Lernen :)
-
Kann ich nur bestätigen, mein 2900G verhält sich ab und zu auch so, ebenfalls neueste Firmware, ich muss ihn dann auch aus machen und neu starten, dann läuft alles wieder ...
Dynamic DNS updates mit DHCP
in Windows Server Forum
Geschrieben
Doch, kann er, wenn Nicht Sichere und Sichere Updates zugelassen sind und auf dem Client der Haken bei "DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden" gesetzt ist ...