G-LO

Hallo, ich habe ein Problem mit dem Internetexplorer auf unseren Terminalservern. Erst einmal der Aufbau: W2K3 Domain mit mehreren Terminalservern. Internetzugang über einen ISA 2006. Dieser ISA macht im Netz den Proxy. Der ISA gibt die Anfragen an einen externen Proxy weiter. (DatevNET Pro). Benutzerdaten sind im ISA für den externen Proxy hinterlegt. Klappt grundsätzlich auch. An einer Workstation funktioniert es tadellos. Was nicht funktioniert ist, wenn derselbe User, bei dem es an der Workstation lief, es vom WTS aus testet. Dann poppt die Meldung auf, dass doch bitte die Zugangsdaten vom externen Proxy eingetragen werden sollen. Am ISA kann ich sehen, dass die Anfragen von Anonymous kommen, was ich aber gar nicht verstehen kann, weil dort dieselbe Gruppenrichtlinie greift. Ich verstehe aber auch wirklich gar nicht, warum diese Meldung vom externen Proxy aufpoppt. Habt ihr evtl. eine Idee was das sein kann, oder wie ich mich an das Problem heranpirschen kann? Ich habe an beiden PCs mal die GPO mit rsop.msc überprüft, aber keinen Hinweis zu diesem Problem gefunden. Danke uns Gruß.

@ NilsK Natürlich sind es Gerüchte. Leider auch sehr hartnäckige, daher kann es idR schon nicht schaden da einmal drüber zu reden, um evtl. auch Gegenargumente zu finden. Den Anwendungsfall habe ich ja oben beschrieben, dazu hätte man also schon was sagen können. @GerhardG Vielen Dank für deine Einschätzung. Ja, das "Surfnetzwerk" steht hinter einer Firewall. Zum einen zum Internet hin, zum anderen auch zum Produktivnetz. Ports sind nur für ICA offen. Dateien werden per Mail in das Produktivsystem reingeschickt. Bei größeren Dateien durch Admins. Daher sehe ich das eigentlich genau so, dass es vom Konzept keinen Unterschied in der Sicherheit besteht, bo RDP oder ICA. Wie gesagt, da gab es jahrelanges fragwürdiges Consulting. Dazu kommen dann solche Meldungen von heise, die halt dann doch irgendwie verunsichern. Aber wenn ihr meint, die Wahrscheinlichkeit sich etwas über die RDP- Verbindung einzufangen ist verschwindent gering, dann sind wir ja einer Meinung. Der Terminalserver selber ist ja auch abgesichert (AntiVirus, ISA Server), hatte aber schon das eine oder andere Mal eine Virenmeldung. Inwiefern das jetzt ein false positive war kann ich nicht mehr nachvollziehen.

Och, man findet hauptsächlich Beiträge zu einem Designfehler der ARP- Spoofing erlaubt. Freund Google bietet da zig Links, aber z.B. auch Heise. Allen voran z.B. 19 Sicherheitslücken in Windows-Komponenten und -Anwendungen geschlossen | heise Security und hier Kleiner Lauschangriff gegen Windows-Fernwartung | heise Security und auch hier: http://www.mcseboard.de/windows-forum-lan-wan-32/rdp-protokoll-sicher-84853.html Ich hatte hier auf eine Einschätzung der Problematik (mein oben grob umrissenes Szenario) von Experten bzw. IT- Verantwortlichen gehofft.

Hi, der damalige Consultant hat das behauptet und die Geschäftsführung hat es halt geglaubt. Wenn man ein wenig nachforscht, dann findet man ja auch einige Beiträge zu Sicherheitsmängeln betreffend RDP. Mir stellt sich aber die Frage, ob ich denn Sicherheitsmängel in meinem Szenario hätte, ob ich also einen Client über RDP verseuchen könnte, bzw ob das wahrschenlicher ist, als beim Einsatz von XenAPP.

Hallo, ich weiß, Thema RDP und Sicherheit gab es zuhauf, allerdings habe ich meine momentan Fragen damit nicht beantworten können. Szenario: Unternehmen hat unheimlich viel Geld vor ein paar Jahren in die Hand genommen, um "sicher" surfen zu können. Die arbeiten im Finanzsektor und haben eine komplette Domäne inkl. Citrix Presentation Server nur für das "freie" Surfen installiert und verbinden sich nun mit dem Browser halt über den Citrix Client. D.H. also Hardware + Windows Lizenzen + Terminalserver Lizenzen + Citrix Lizenzen. Aufgrund von Umstrukturierungen stellt sich nun die Frage, ob das Ganze überhaupt noch so Not tut, vor allem, ob man nicht z.B. mindestens auf Citrix verzichten könnte. Den Terminalserver könnte man ja auf 2008 hochhieven (momentan 2003) und den Browser dann streamen. Hier wurde allerdings eingeworfen, dass RDP ja unsicher sei. Wie wahrscheinlich ist es denn, dass man sich den Terminalserver infiziert und damit auch seine Client PCs? Welche Infektionsmöglichkeiten bestehen denn da? Ist da überhaupt ein Infektionsrisiko und ist das höher als bei der citrix- Variante? Ich finde in Puncto Sicherheit + RDP immer nur, dass man den Dienst nicht "frei im Internet" zur Verfügung stellen sollte. Das wäre hier ja nicht der Fall, da es sich um 2 interne Netze handelt die halt ihren eigenen Bedürnissen halt abgesichert sind. Schonmal vielen Dank für etwaige Antworten.

Hallo, ich habe ein Problem mit dem Aktivieren der Stellvertretungsoption. Ich habe echt schon viel gesucht, aber noch keine Lösung gefunden... Vielleicht ja hier? ;) Wir haben einen Exchange 2003 SP2 und Outlook2003 Clients. Möchte ich als Domänenbenutzer einen Stellvertreter bestimmen kommt die Meldung, dass man nicht genügend Berechtigungen hat um Send-on-behalf Einstellungen vorzunehmen. Eine Suche nach dem Problem ergab, dass im AD beim Benutzer unter dem Reiter Sicherheit der Haken "Persönliche Informationen schreiben" für die Gruppe "Selbst" aktiviert werden muss. Klappt soweit ganz gut, nur leider ist der Haken am nächsten Tag wieder draußen. Was muss ich machen, damit der Exchange sich die Einstellungen merkt? Danke und Gruß

Hallo, ich suche eine Festplattenverschlüsselungsoftware, dessen Hersteller die Verschlüsselung eines Hardware- RAID unterstützt. Für die Clients nutzen wir SafeBoot, was auch gut funktioniert und auch prinzipiell auf dem Hardware- RAID funktionieren sollte, allerdings supportet der Hersteller diese Konstellation nicht. Google hat mir leider nicht wirklich weitergeholfen, aber vielleicht hat ja einer von euch eine Idee. OS ist btw. W2K3. Thanks in advance.

Hallo, kann mir da niemand eine Antwort geben, oder habe ich mich meine Fragen falsch ausgedrückt?

Hallo, ich habe mehrere Fragen zum Einsatz der sharepoint services. Ist- Zustand: Ich betreibe eine php- Forensoftware für einen Verbund von mehreren verschiedenen unabhängigen Unternehmen. Der Zugang ist und soll auch zukünftig nur den Mitgliedern des Verbunds zustehen. Nicht so technik- affine Anwender finden aber die Usability nicht so schön, also soll demnächst was Neues her. Soll- Zustand: Gedacht wurde da an Sharepoint Services auf einem Windows 2008 Web Edition. Wir haben die Sharepoint- Services hier bei uns in der Firma auch intern laufen, so konnten wir das präsentieren ;) Fragen, die sich jetzt aufwerfen: - Lizensierung Ich habe schon eine Menge nachgelesen und anscheinend ist eine external- connector- Lizenz notwendig? - Authentifizierung Ich habe die Sharepoint Services schon installiert. Greife ich per Internet darauf zu, möchte er die Windows Authentifizierung. Welche, evtl. besseren, Möglichkeiten habe ich noch. Dürfte ich überhaupt über Windows authentifizieren i.V.m. dem external Connector? - External Connector Ist das nur die Lizenz die ich kaufe, oder muß da am Sharepoint auch noch etwas installiert/ angepasst werden? Ist der Sharepoint dann überhaupt benutzerspezifisch einstellbar (Rechtevergabe)? Ich danke im voraus für die Hilfestellung. Grüße, G-Lo

Hallo, ich habe schon überall gesucht, aber irgendwie findet man schlecht etwas über Companyweb- Konfigurationen. Folgende Problematik: ich habe companyweb mit volltextsuche installiert. Läuft an sich auch, aber die Suchergebnisse lassen zu wünschen übrig. Beispiel: Ich habe in einem Beitrag das Wort "Heizung". Gebe ich nun in der Suche "Heizung" ein wird der Beitrag gefunden. Weiß ich nicht mehr, ob ich nun Heizung oder heizen o.ä. geschrieben habe wird das ein wenig kompliziert. "heiz", oder Heiz* (ich weiß in der Hilfe steht, dass "*" nicht geht) oder heiz% führt zu keinen Treffern. Ich habe gelesen, daß es eine scharfe oder unscharfe Suche geben soll. In der Companywebadministration kann ich aber an der Suche nichts einstellen. Nur Suche AN oder AUS. Weiß jemand Rat?

Hallo, Unter MSISAFAQ habe ich zwar eine Anleitung gefunden, wie das Ganze funktionieren könnte, allerdings bin ich mir nicht so sicher, ob das in meinem Fall so passt. Also, ich habe einen Webserver (IIS), auf dem mehrere Webseiten laufen. (1 externe IP) Die unterschiedlichen Seiten laufen auf logischerweise unterschiedlichen Ports. Davor steht ein ISA 2000 der entsprechend Webveröffentlichungen hat. Das klappt soweit ganz gut. Was mich stört ist, dass ich keine vernünftigen Auswertungen fahren kann, da wegen des reverse cachings nur die ISA IP in den IIS- Logs erscheint. Um dieses Problem zu umgehen kann man also anstatt der Webveröffentlichung eine Serververöffentlichung machen. In der Anleitung vom Link oben steht, daß ich dann pro Seite eine externe IP bräuchte. Ist das so? Oder kann man das auch irgendwie anders regeln? Was müsste man am ISA / IIS einstellen, damit ich mehrere Domains über 1 externe IP ansteuern kann, aber dennoch im IIS die IPs der Besucher loggen kann? Kann der ISA 2004/2006 das anders handhaben? Vielen Dank und Gruß.

Hallo, ich habe schon ein wenig rumprobiert, allerdings noch keine Lösung gefunden. Ich habe einen ISA (2000), dahinter einen Webserver (W2k3 Webedition) mit mehreren Seiten. Die Seiten sind per Webfreigabe freigegeben. Funktioniert alles gut, nur ist das Log vom IIS unnütz, da ich immer nur sehe, daß vom ISA aus auf die Webseiten zugegriffen wurde. Das ist natürlich nicht so gewollt. Gibt es da eine Lösung? Vielen Dank! – Hmm, selber herausgefunden. Es scheint wo an der Webveröffentlichung zu liegen. FAQ

Ups. Selbst gelöst. Ist natürlich gar nicht vom ISA abhängig... Routing uns RAS hats gebracht :)

Hallo, ich habe hier folgendes Problem: Ich habe 3 Netze und 2 ISA Server. - lokales Netz 192.168.1.0 - Internet - 2. Netz 192.168.2.0 Der 1. ISA steht zwischen dem lokalen Netz und dem Internet (ISA 2000) Der 2. ISA steht zwischen steht zwischen Netz 1 und Netz 2 (ISA2004) ISA1 ist auf den Clients das Standardgateway. Was muß ich beim ISA2000 einrichten, daß er zum 2. ISA routet, wenn ich auf das Netz2 zugreifen will? So á la "Wenn du Netz 2 ansprechen willst, dann nehme bitte den anderen ISA" Ich habe bislang nur das Webrouting gefunden. Letztendlich soll dort aber ICA laufen. Hat jemand iene Idee? Vielen Dank.

Hallo, ich möchte einen alten Server (W2k Server) in eine VM (Virtual Server) migrieren. Jetzt habe ich das Virtual Server Migration Toolkit gefunden, was mich gerade ein wenig ärgert. Um VSMT zu installieren benötige ich ADS. ADS benötigt Windows Server 2003 Enterprise oder Datacenter. Ich habe leider nur W2k3 Standard :( Gibt es noch einen anderen Weg? Ich habe schon einen W2K3 Server in eine VM zurückgespielt. zurückgespielt -> Reparaturinstallation und ging. Unter W2K Server scheint es aber eine Reparaturinstallation nicht zu geben, zumindest nicht für den Fall, daß sich die Hardware geändert hat. Hat jemand noch einen Tipp oder eine Idee für mich, wie ich am besten den Server umziehe? Danke und Gruß

Hallo, Unter http://www.mcseboard.de/windows-forum-ms-backoffice-31/exchange-2003-nachrichten-haengen-warten-routing-103600.html gab es ansich dasselbe Problem, mE allerdings ohne Lösung. Ich habe jedenfalls bei einem Kunden dasselbe Problem. Manche Nachrichten "scheinen nicht rauszugehen", die Benachrichtigungen von Postmaster @ domäne.local landen ebenfalls nicht beim User, sondern verharren in der Warteschlange. Nachrichten von Außen kommen (hoffentlich) alle an, nur das mit dem Postmaster verwirrt mich ein wenig. Manche Empfängeradressen (z.B. aol) machen gerade Probleme. Domain wurde über 1&1 registriert. A- Eintrag verweist auf die richtige IP. MX ist bei 1und1 gesetzt (muß ich da evtl. etwas am Exchange noch einstellen?) Ideen?

Vielen Dank. Scheint geklappt zu haben ;)

Hallo, auch ich habe ein Problem bei einem Terminalserver bei einem Kunden. Es wurden UserCALs gekauft, der TS läuft momentan noch auf per Device. Kann ich das einfach im laufenden Betrieb umstellen, oder gibt es da was zu beachten. Neustart? Wird die Session der User gekickt? Vielen Dank für die Antworten.

Hallo, ich habe ein Problem mit unserem Sharepoint. Habe schon hier gesucht, auch bei google, aber noch nicht passendes gefunden. Ich habe hier einen SBS2003 Premium, auf dem das companyweb lief. Als versucht wurde das companyweb als Netzlaufwerk zu binden wurden die Dokumente nur schreibgeschützt geöffnet. Als darauf an den Berechtigungen rumgewerkelt wurde lief danach gar nichts mehr. Wenn man dann versucht hat http://companyweb aufzurufen wollte der Explorer eine Datei herunterladen. webDAV läuft gar nicht mehr. Hat man einen Link benutzt, der schon in das companyweb verweist so konnte man zumindest helpdesk etc. aufrufen. Das Design war allerdings verloren. Dokumente ließen sich anfangs gar nicht mehr öffnen. Nach einer Reparaturinstallation hat sich nicht viel getan. Wenn man jetzt Dokumente öffnen möchte erscheint innerhalb des Programms nur kryptische Zeichen (z.B. in Excel). Also die Dokumente lassen sich nicht mehr öffnen! Ich habe erstmal die Datenbank wegkopiert. Was habe ich probiert? - Zurücksicherung eines alten Standes des Servers in eine VM - fehlgeschlagen, companyweb startet nicht - Reparaturinstallation des Intranets -> endet nur noch mit Fehler - einen anderen SBS aufgesetzt und dort die Sharepoint- DB reinkopiert -> kein Zugriff auf DB Was kann ich anstellen, damit es wieder rund läuft, oder wie komme ich zumindest an die Dokumente wieder heran? Vielen Dank für Ratschläge ;)

Vielen Dank. Elegant ist diese Lösung leider nicht, aber sie wird es tun. Das heißt ja nun, ich muß für jeden in Frage kommenden Benutzer jeweils die Domain_b aus seinem Profil herausnehmen und ein eigenes Postfach anlegen +Rechte vergeben + Weiterleiten. Eine elegantere Lösung gibt es da nicht? Schließlich sind beide Emaildomains schon dem User zugeordnet und er kann über beide Adressen Emails empfangen. Nur auswählen, mit welcher Domain er verschickt kann man nicht.(?)

Hallo, ich habe schon ein wenig im Forum gestöbert, aber noch keine Lösung für mein Problem gefunden. Vorhanden sind: mehrere Emaildomains, Exchange 2003, Outlook 2003 Ich habe z.B. folgende Emaildomains - domain_a - domain_b Bei dem User sind alle Domains als emaildomain hinzugefügt. Er empfängt also - user@domain_a - user@domain_b Im AD ist Domain_a als Hauptadresse festgelegt. Jetzt möchte der User im Einzelfall aber als user@domain_b verschicken können. In Outlook läßt sich das allerdings nicht auswählen. Gibt es da eine elegante Möglichkeit?

Hallo, leider benötigen sie für die Anwendersoftware Hauptbenutzerrechte.

Hallo, die Drucker sind jeweils lokal angelegt, sowie auch auf dem WTS. Die Drucker haben alle einen Printserver, sind also per tcp/ip erreichbar. Im Active Directory sind sie allerdings nicht angelegt und auch nicht per Druckerfreigabe. Es sind also in dem Fall lokal (aus Sicht des WTS) installierte Drucker.

Hallo, wir haben eine W2k Domäne. Wir haben mehrere OUs. Zum einen eine mit den Usern, eine mit den Cliet- Rechnern und auch eine für die WTS- Server. Über die GPO wird für die User der Bildschirmschoner nach 5 Min aktiviert. Arbeiten sie auf dem WTS, dann müssen nach 5 Min sich auf dem lokalen PC und dann am WTS erneut anmelden. In der WTS Gruppenrichtlinie habe ichaber den Bildschischoner deaktiviert. Er scheint dort aber auh die Userrichtlinie übergeordnet zu ziehen. Was kann ich da tun? Danke und Grüße

Hallo, viele Tools, die einem helfen sollen das Netzwerk zu administrieren, benötigen, um ihren vollen Umfang nutzen zu können, die Datei- und Druckerfreigabe. In unserer Firma ist es aber nicht gewollt, daß die User (Hauptbenutzer) selber Ordner freigeben können. Deswegen hatten wir bislang die Datei- und Druckerfreigabe deaktiviert. Gibt es die Möglichkeit über die Gruppenrichtlinien den Usern das Freigeben von Ordnern, Druckern etc.zu verbieten? Oder irgendeine andere Möglichkeit? Vielen Dank