Canni

Hallo,

danke für die schnelle Antwort. Da liest man Heise.de regelmässig, weiß aber nichts von deren Netzwerk-Rechner :-)

Hat mir sehr geholfen. Einfach in den Verbindungen als eigenes bzw. fremdes Netz eingetragen und es lief :-)

Hallo zusammen,

wir haben zwei Standorte: unser Büro (ca. 7 Mitarbeiter) und einen kleine kleine Außendienststelle mit 3 Mitarbeitern.

An beiden Standorten steht eine GateProtect-Firewall.

Im Büro gibt es 3 Netze, die durch die Firewall getrennt werden:

LAN: 192.168.2.0 / 255.255.255.0

Terminalserver: 192.168.3.0 / 255.255.255.0

DC: 192.168.4.0 / 255.255.255.0

Am Außenstandort gibt es ein Netz: 192.168.8.0 / 255.255.255.0

Beide Standorte sind via IPSEC verbunden, was soweit auch klappt. Das Problem ist nur: beim "starren" IPSec-Protokoll muss ich ja ein eigenes und ein fremdes Netz (jeweils auf beiden Seiten) definieren.

192.168.3.0 <--> 192.168.8.0

Wie kann ich durch Supernetting erreichen, dass von 192.168.8.0 auf 192.168.2.0, 192.168.3.0 und 192.168.4.0 zugegriffen wird? Welche Subnetmaske ist erforderlich und was muss ich in den jeweiligen Routingtabellen der Firewalls eintragen.

Hallo,

danke für diese Antwort - ich denke auch, dass es klappen müsste.

Siehst Du / seht Ihr ein Problem in der Tatsache, dass wir z.B. Benutzer haben, die sehr weit weg mit ihrem Notebook arbeiten und sich NIE per LAN in der Domäne anmelden?

Hey :-D Danke für die Antwort!

Nein, per Webbrowser läuft das nicht, es ist ein ganz normaler Client.

Was habn die anderen für Meinungen?

Weiß niemand Rat?

Danke!!

Hallo zusammen,

habe eine kleine Verständnisfrage:

Angenommen, ich bin im LAN und nehme ein XP Prof.-Notebook in die Domäne auf. Anmelden klappt, danach kann ich z.B. auf Freigaben zugreifen - der Server weiß ja, mit welchem Benutzernamen ich dies tue.

Danach melde ich mich ab und das Netzwerkkabel, melde mich wieder an der Domäne an. Da der DC nicht gefunden wird, melde ich mich mit cashed credentials am System an.

Jetzt verbinde ich mich nicht per PPTP, sondern z.B. per SSL-VPN (GateProtect-Client) mit der Firewall.

Wenn ich jetzt \\freigabe\ aufrufe, müsste mich der Server doch "erkennen" ... ich muss mich nicht nochmal authentifizieren, richtig?

Vielen Dank!

Canni

Sorry,

also: 7 Geräte in unserer Firma sollen von XP Home auf XP Prof umgestellt werden, also würde ich 7 mal XP Prof. benötigen.

Hallo zusammen,

wir würden 7 mal XP Prof. erwerben wollen, welche Lizenzierung bietet sich hier an?

Danke :-)

Canni

Hallo zusammen,

mein Wissensstand war bisher der, dass man z.B. die Windows-Anmeldekennwörter von Benutzern im Unternehmen nicht dokumentieren darf bzw. keinen Mitarbeiter nicht zwingen kann, sein Kennwort zu nennen.

Dies ist für mich auch logisch, da das Klartext-Kennwort ja auch an anderen (privaten) Orten verwendet werden kann und der Admin sowieso immer die Möglichkeit hat, das Kennwort bei Bedarf zurückzusetzen.

Men Kollege glaubt mir das zwar, hätte das aber gerne anhand eines Gesetzestextes oder eines Urteiles belegt.

Wer kann helfen?

Danke

Canni

Hallo zusammen,

zu unwichtig für´s normale Forum, fast zu fachlich für´s OT ;-), aber wie informiert Ihr Eure User über geplante Systemausfälle, z. B. die notwendige Abschaltung des Servers XY für X Stunden ... oder Zeiträume, in denen die User die Anwendung XY nicht verwenden können (bei uns bald der Fall, da der Hersteller ein Update einspielen muss .. is ne branchenspezifische Sache ..)?

Per eMail? Wenn ja, welchen Text in etwa?

Interessiert mich :-)

Liebe Grüße

Canni

Muss das Thema nochmal aufrollen:

nachdem wir die Dateien manuell ausgeblendet haben, erscheinen sie seit dem letzen Update von Tobit David erneut.

Wie würdet ihr die ausblenden, am besten bei jeder Useranmeldung?

EDIT: Problem gelöst! Registry-key war falsch :-)

Keiner ne Idee?

Hallo zusammen,

wir verwenden auf dem Terminalserver verschiedene Programme, die alle verwenden sollen. Hierzu habe ich im All Users-Ordner (Desktop) Links hinterlegt, die somit auf den Desktops aller Benutzer erscheinen. Zusätzlich gibt es aber Anwendungen, die nur manche Benutzer auf dem Desktop haben sollen. Diese Verknüpfungen setze ich manuell auf die Desktops der User. Gibt es eine elegantere Lösung? Nein, kein Citrix :-D

Danke

Okay, aber protokolliert wird ja beim 2000er- und 2003er-Server schon per default ... z.B. wer sich wann angemeldet hat.

Wie sieht es dann damit aus?

Vielleicht ein interesannter Link?

Hi :-)

Ich weiß, hab mich etwas ungenau ausgedrückt. Mir stinkt hier nur der Hersteller einer branchenspezifischen Datenbanklösung, die wir hier verwenden (müssen) ... die Programmierer dort sind in meinen Augen echte "Frickler". Frickler deshalb, weil die Programmierer dort zwar ein mehr oder weniger gutes Programm (mit genug bugs, z.B. "Access violation-Fehlermeldungen etc.") geschrieben haben, sich aber null und nichts mit Serverbetriebssystemen von Microsoft auskennen. Wenn ich dieses Delphi-Gefrickle hier nur sehe. Delphi ist sicher eine feine Sache, aber was die hier machen, sorry, aber das ist so eine Moral .. "flicke ich hier was, öffne ich dort ein Loch" .. :-(

Am Liebsten ist mir da der Lexware Kundenmanager: Installation des Clients auf dem TS, Datenbank ist EINE Datei, die auf dem DC liegen kann .. in einer Freigabe. So isses doch perfekt :-) ?!

Das Wichtigste hier ist die Datensicherung. Und die führen wir regelmässig durch (via OnlineBackup zu ITENOS - sehr zufrieden!). Auch das Rückspielen war in Versuchen immer problemlos verlaufen.

Unser Server könnte hier 3 Tage stehen. Am Monatsende wär es sicher nicht günstig, aber möglich. Das heisst nicht, dass ich hier einen längeren Ausfall in Kauf nehme. Es geht nur darum, auch abzuwägen. Mir fällt es schon schwer, meinen Chef von der Notwendigkeit einer Appliance, eines zus. Servers und der Ausstattung unserer Notebooks mit XP Prof. zu überzeugen ...

Gruß!

Hallo Daim,

danke für die schnelle Hilfe.

System State sichere ich auch jetzt schon regelmässig.

Es wird nichts repliziert; es werden ja noch nicht mal servergespeicherte Profile verwendet. Hat also wirklich nichts zu tun. Mich ärgert es nur, dass viele Datenbanken von sich aus einfach ein TrayIcon in die Taskleiste setzen (sei das die IBM-Datenbank, oder Borland Socket Server etc.) ... das zeigt doch irgendwie, dass man hier sehr vorsichtig sein sollte, weil die Datenbanken tief im System installiert werden. Darum ging es mir eben.

Bitte nicht falsch verstehen: aber ein Ausfall des DCs hätte bei uns doch keine großen Folgen ?! Schlimmer wäre es doch, dass die Datenbanken nicht zur Verfügung ständen.

Mit Virtualisierung kenne ich mich nicht genügend aus, vielleicht ist das der Grund, dass ich mich noch nicht damit beschäftigt habe.

Ausfallsicherheit des DCs stelle ich ERSTmal hinten an (bitte nicht falsch verstehen). Mir geht es eher darum, ob wir das Konzept so fahren können.

Unser Chef hat leider den Drang ... "alles auf den Server" ...

Hallo zusammen,

danke für die schnellen Antworten.

Klar, auf dem DC nur AD ist natürlich perfekt. Wir sind hier aber am Kämpfen, TS und DC zu trennen, falls ihr versteht, was ich meine :-) Sicherlich geht es da auch um eine andere Userzahl?

Prinzipiell machbar ist es aber?

Hallo zusammen,

wir haben ja vor, zu unserem TS (der derzeit auch DC) spielt, einen neuen Server als DC zu erwerben.

Der TS ist dann normaler Memberserver.

Der DC betreibt das AD (inkl. DNS etc.), dient als Fileserver und betreibt mehrere Datenbanken:

- Dispositionsdatenbank

- 3x IBM Buchhaltungsdatenbank

- 1x Fuhrparkverwaltungssoftware

- 1x Kundenmanager

Das is ne ganz grobe Übersicht ohne Angabe der Auslastung, die diese Datenbanken erzeugen. Ist das so realisierbar?

Oder sprechen da gaanz wichtige Gründe dagegen?

Ich weiß, 3. Server als Datenbankserver, klappt aber nie und nimmer, bei ca. 10-15 Usern.

Gruß

Canni

Hallo,

stimmt, Kennwortrichtlinie geht ja bis Server 2003 bzw. ohne Zusatztools nur Domänenweit. Wir haben aber nur 2 Desktop-Rechner, der Rest sind Notebooks :-)

Daher meinte ich das. Hier sollte ich die Kennwörter manuell überwachen.

Das Problem ist meiner Meinung nach bei aktiver Kennwortrichtlinie folgendes:

- die User melden sich mit dem zwischengespeicherten Profil an der Windows-Anmeldung an. Normalerweise (bei DC-Verbindung) würde jetzt der Hinweis kommen ... "ihr Kennwort läuft in 2 Tagen ab ..." .. erscheint ber nicht, da zwischengespeichertes Profil

- User melden sich 1 Tag nach Ablauf Ihres DC-Kennwortes wieder mit zwischengespeichertem Profil an der Windows-Anmeldung an ... funktioniert natürlich prächtig, wollen jetzt aber eine VPN-Verbindung zum Server herstellen, genau das dürfte doch jetzt nicht mehr klappen, richtig?

Nun, Die User können Ihr Passwort in der RDP-Datei speichern. Dies kann aber durch eine Gruppenrichtlinie unterdrückt werden.

Nachteil: Ändert sich das Userpasswort, muss es neu in der RDP-Datei hinterlegt werden.

Diese "einmal-Authentifikation", die Du Dir wünschst (und ich mir auch) scheint es derzeit nur bei Citrix zu geben.

Hallo ITHome,

hallo zusammen,

sorry, dass ich erst jetzt antworten kann ... :-)

Natürlich wäre das die beste Idee - VPN-Verbindung VOR der Anmeldung.

Hier sprechen aber diverse Punkte dagegen:

1. die User müssten VOR der Windows-Anmeldung entscheiden, ob sie eine Serververbindung benötigen, oder nicht.

2. der GateProtect-VPN-Client lässt sich laut Hersteller erst nach der Windows-Anmeldung aktivieren.

3. Die Internetverbindung wird immer anders aufgebaut: beim Kunden z.B. via LAN-Netzwerkkabel (das dürfen wir an manchen Orten), UMTS-Karte ... zu Hause bei den Notebookbesitzern selbst via ISDN ... etc. ... schwer, diese Fälle vor der Anmeldung zu berücksichtigen

Nochmal auf die Kennwortrichtlinie eingegangen:

Es wäre also doch unklug, wenn wir eine Kennwortrichtlinie für die Notebookuser festlegen, richtig?

Meldet sich ein Notebookuser immer erst ohne DC-Verbindung bei Windows an, so erhält er die Meldung "Ihr Kennwort wird in ... ablaufen" überhaupt nicht.

Hier sollte dann manuell durch mich überwacht werden, wann das Kennwort zu letzt geändert wurde. (bei ca. 15 Usern machbar).

Andere Meinungen?

Das heisst aber auch, dass die Kennwortänderungsrichtlinie nicht aktiviert werden sollte, wenn die Serververbindung erst nach der Windows-Anmeldung besteht ... ?

Hi,

danke, das meinte ich. Gruppenrichtlinien bekommt mein Test-Notebook hier zugewiesen, das klappt. Aktualisiert auch GruLi-Änderungen!

Damit müsste es klappen, oder?

Hallo ITHome!

Danke für die schnelle Antwort.

Was meinst Du damit?

Die User verbinden sich doch nach der Anmeldung immer per VPN mit dem Netzwerk, da dürfte die Aktualisierung doch statt finden?