mjs

Das hat geklappt. Weshlab ist das so, was hat das für einen Hintergrund ? Wass muss ich tun, damit diese Optionen immer sichtbar sind ? Super, Vielen Dank für deine Hilfe.

Hallo Leute, ich will versuchen via GPOs für einige Server, die unter Windows 2003 Server laufen, Multicast frei geben. Mein Problem ist, dass der Netzwerkverkehr via IPSec und Kerberos verschlüsselt ist. Ich habe im Internet nachgelesen, dass Windows 2003 nicht mehr den Multicast Verkehr durchlässt und man deshalb den folgenden Registry Key ändern muss. HKLM\ SYSTEM\CurrentControlSet\Services\IPSec Und hierbei den Wert von „NoDefaultExempt“=3 auf den Wert 0 ändern muss. Damit ich dass nicht bei allen Servern manuell machen muss, habe ich gedacht, dass ich diese mit einer eigen erstellten GPO-Vorlage lösen möchte. Sie sieht folgendermaßen aus: CLASS MACHINE CATEGORY "ZKS-Sicherheitseinstellungen" POLICY "Multicast Verkehr ueber IPSec zulassen" #if version >= 5 KEYNAME "SYSTEM\CurrentControlSet\Services\IPSec" PART "Welche Einstellung soll aktiviert werden ?" TEXT END PART PART "Bitte Option wählen: " DROPDOWNLIST VALUENAME "NoDefaultExempt" ITEMLIST NAME "Multicast an Datenverkehr RSVP, Kerb und ISAKMP ist von IPSec-Filterung ausgenommen " VALUE NUMERIC 0 NAME "Kerb- und Rsvp-Datenverkehr sind nicht, jedoch aber Multicast und ISAKMP-Datenverkehr sind von IPSec-Filterung ausgenommen" VALUE NUMERIC 1 NAME "Multicast- und Übertragungsdatenverkehr sind nicht, jedoch aber RSVP, Kerb und ISAKMP sind von IPSec-Filterung ausgenommen" VALUE NUMERIC 2 NAME "Nur ISAKMP-Datenverkehr von IPSec-Filterung ausgenommen ist. Das ist das Standardeinstellung für Windows Server 2003" VALUE NUMERIC 3 DEFAULT END ITEMLIST END PART #endif END POLICY END CATEGORY Leider funktioniert sie nicht. Wenn ich Sie über die administrativen Vorlagen hinzufüge sehe ich sie zwar, habe aber keine Möglichkeit irgendwelche Einstellungen vorzunehmen. Ich bin am verzweifeln und brauche Eure Hilfe… Vielen Dank schon mal im vorraus für Eure Mühe. Gruss Matthias

Danke, für Eure Meinungen und Aussagen. Ich werde den Link zur angesprochenen Aussage der Fremdfirma posten, sobald diese mir eine entsprechende Antowrt gegeben haben. Gruss Matze

Es hat ja den Hintergrund, dass eine Aussage getroffen wurde, die besagt (auch laut Technet, doch ich habe nichts gefunden !!!), dass man alle Dinge im Cluster trennen sollte. Deshalb ist diese Diskussion auch zustande gekommen. Geld spielt eine Rolle, und auch die von Dir besagten Lizenzkosten... Ich will mir einfach Meinungen einholen und das Probelm diskutieren. Gruss Matze

OK, werden es wohl so machen ein Cluster mit allem drauf. Ein letzte Frage noch. Wir haben mal die Software + Active Directory + PDC + SQL Server auf einem einzelnen Server installiert. Nach ca. 3 Wochen konnten Wir uns direkt am Server nicht mehr anmelden. Die Anmeldemaske für Benutzername und Passwort war gegraut und nichts ging mehr. Kannst Du Dir so was erklären ? Was könnte der Grund für dieses komische Verhalten sein ? Gruss Matze

Bin ich froh, dass es nicht nur mir so geht... Hast wohl auch schon schlechte Erfahrungen in diesem Bereich gemacht ? Du würdest sagen, bei dieser geringen Auslastung, die eigentlich nur auf Ausfallsicherheit zielt und so eine geringe Last hat, kann man es wagen, alles auf die zwei Cluster-Nodes zu packen ??? Ich versuche dennoch die Lösung mit dem SQL-Cluster und den 2 DC-Servern zu probagieren. Probleme hattest Du noch nie in diesem Zusammenhang (DC + SQL) oder, dass Dir die Aussage bekannt wäre ? Gruss Matze

Danke für den Link. Du hast recht, ich weiss, das das Zeug nich billig ist, aber es wurde geüwnscht. Es handelte sich hierbei um ein Projekt, das ausgeschrieben worden ist und die Firma zu ihrem abgegeben Angebot den Zuschlag erhalten hat. Der Fehler war der, dass bei der Abgabe des Angebotes nicht mit der IT-Abteilung geredete worden ist und ein Konzept abgegeben wurde, dass 2 Server + Storage beinhaltet. Das ist der ganze Hintergrund. Mein Probelm ist es nun, einen Kompromiss zwischen Sicherheit und zu Kosten zu finden. Deshlab bin ich echt froh, verschiedene Meinungen zu höhren. Ich kann nur sagen, dass die Maschine nie, wirklich nie an ihre Grenzen stossen wird, da nur eine Datenbank und 10 Clients geplant sind. Deshalb war auch meine Frage, ob die oben genannte Aussage stimmt, man MUSS getrennte Maschinen für Active Directory und SQL-Server nehmen. Ich hoffe Du verstehst jetzt mein Problem. Gruss Matze

Danke für die Info. Habe die Aussagen an den Projektleiter weitergereicht. Er war gar nicht begeistert, dass er noch 2 weitere Server kaufen muss, da diese das ganze Buget sprengen. Das Cluster kostet an sich schon 17.00,-- € (2 HP Server + HP Storage) und nun sollen noch 2 weitere Server hinzu... Zur Info: Es läuft nur eine kelien Datenbank ca. 150 MB auf dem Server. Es sind maximal 10 Clients geplant. Die Auslastung des System bewegete sich bei dem Testsystem bei ca. 5-20 %. Es handelt sich also nicht um einen Performace-Fresser. Aus deinem Erfahrungsschatz, ab wann sollte man diese Systeme trennen (Performance + Auslastung) ? Hast Du da praktische Erfahrungen ? Gruss Matze

Danke für deine Antwort. Ich werde es so dem Projektleiter weitergeben. Prinzipell wäre es möglich, das bedeutet, Dir ist diese Aussage auch nicht bekannt. Jedoch sollte man ein Cluster für SQL Server aufbauen und 2 x Server (nicht geclustert) als Domänen-Controller und DNS-Server. Habe hierzu noch einige Fragen: - lche Software benötige ich für ein SQL-Cluser (Windows 2003 Enterprise Edition und SQL 2000 Enteprise Server)? - Sollten die DNS-Server als primärer und sekundärer Server getrennt voneinader konfiguiert werden (doppelte Pfelge) oder kann ich ein Repliziermechanismus nützen ? - Wenn ich IP-Scherheitsrichlinien und Gruppenrichlinien nutze, werden diese dann auch automatisch repliziert ? Danke nochmals. Gruss Matze

Hallo Leute, ich habe eine Frage zu PDC, Active Directory und SQL Server. Für ein Projekt sollen Wir ein ausfallsicheres Cluster mit Windows 2003 Server (Enterprise Edition), SQL Server 2000 und einer externen Software aufbauen. Hierfür werden 2 HP-Server + externes Storage gekauft. Die Server sollen bei Ausfall die Active Directory und den SQL Server übernehemn. Die Kommunuikation zwischen Server und Cleint ist via IPSec geschützt. Nun hat die Firma, die die Fremdsoftware entwickelt, folgendes gesagt: Auf einem Server der als PDC fungiert sollte nie ein aktiver SQL Server laufen. Die würde alt Technet Probleme verursachen. (Habe im Technet gesicht und nichts gefunden). Stimmt diese Aussage ? Muss ich nun ein Clsuer für die Active Directory vorsehen (2 Server) und ein Cluster für den SQL-Server (2 Server + Storage) ? Habt Ihr Erfahrungen in diesem Bereich ? Was würdet Ihr tun ? Ich vergass noch zu erwähnen. Wir haben mal die Software + Active Directory + PDC + SQL Server auf einem einzelnen Server installiert. Nach ca. 3 Wochen konnten Wir uns direkt am Server nicht mehr anmelden. Die Anmeldemaske für Benutzername und Passwort war gekraut und nichts ging mehr. Hat das was mit der Aussage von oben zu tun ? Gruss Matze

Ich habe noch was vergessen, Grundlagen und Wissen zum Thema IPSec ist vorhanden. Jedoch habe ich bis dato IPSec immer nur unter Linux/Unix eingesetzt. Vielleicht verstehst Du hier und jetzt meine Problem. Mir fehlen die Punkte zum Realisieren und Punkte die ich Beachten muss, um IPSec in der Active Directory und Windows 2003 Server zu´m laufen zu bringen. Gruss Matze

Danke, für deine Antwort. Ich habe hier beireits eine Testumgebung stehen, mit der ich diese ganze Sache austesten und vertiefen möchte. Gneu wie Du es geschreiben hast... Ich habe noch eine Frage zu deinem Statement. Das Problem habe ich erkannt, ich zwinge den Server IPSec zu benutzen, und der Cleint kann dies nicht umsetzen, da er erst gar nicht die verschlöüsselte GPO erhält, RICHTIG ? In meiner Testumgebung habe ich dann versucht, nicht den ganzen Traffic, sondern nur den Datentransfer (SMB und Netbios) zu verschlüsseln. Kann es sein, dass auch hier sich die Katze in den Schwanz beist, da die GPO auch via SMB erstmals übertragen werden müssen ? Und dies geht nicht ? Was meinst Du hiermit "Entweder das ganze sauber durchplanen oder auf dem Client mit lokalen IPSec-Policies arbeiten" ??? Gruss Matze

Hallo Leute, ich habe die folgende Aufgabenstellung erhalten und mir fehlen leider die Ideen und entsprechenden Ansatzpunkte. Es ist ein Server mit Windows 2003 (Standard Edition) installiert. Hierauf befinden sich neben der Active Directory (Domain Controller) auch ein SQL Server für die entsprechende Client-Anwendung. Ich soll nun sicherstellen, dass die komplette Kommunikation der Clients zum Server und umgekehrt verschlüsselt erfolgen. Die Clients sind Windows XP Pro Kisten. Aus diesem Grund habe ich auf dem Server und dem Client lokale IP-Sicherheitsrichlinen installiert und mit einem PSK versehen. Wenn ich nun den Traffic sniffe sehe ich die Kommunikation verschlüsselt im ESP. Jedoch funktioniert dies nur, wenn der Client sich nicht in der Active Directory befindet. Sobald ich der Active Directory beitrete und mich anmelden will, geschieht dies wiederum vollkommen unverschlüsselt. Deshalb habe ich die IP-Sicherheitsrichlinie auch für die Domäne erstellt (IP-Sicherheitsrichlinie auf Active Directory). Nun Habe ich sie unter Sicherheitsrichtlinie für Domäne zugewiesen. Leider funktioniert hier die Anmeldung nicht, da der Client keine Verbindung zum Server aufbauen kann. Folgende Fragen stelle ich mir : Was mache ich hier falsch ? Kennt ihr eine entsprechende Anleitung ? Geht das so wie ich es mir vorstelle ? Muss ich lokale und Domänen-Sicherheitsrichtlinien aktivieren ? Brauche ich noch andere Gruppenrichtlinien, ausser der "Default Domain Policy" und der "Default Domain Controller Policy" und wenn ja, warum ? Muss ich diese IP-Sicherheitsrichlinie auch unter dem Punkt Sicherheitsrichtlinie für Domänencontroller zuweisen ? In den Microsoft FAQs steht leider auch ein Hinweis, der besagt, dass es nich empfohlen ist den kompellten Traffic der Kommuniikation (Client - Server) zu verschlüsseln. Wenn es sich jedoch momentan nur um einen einzigen Server handelt, ist dies doch egal, oder ? Momentan könnte ich auch mal mit der Lösung leben, dass nur der SMB Verkehr (Ports 137-139, 455) verschlüsselt wird. Leider bekomme ich das wirklich nicht hin. Ich brauche dringent Eutre Hilfe. Vielen Dank für Eure Hilfe. Gruss Matze