richidd

Hi zahni, den Rootkit Scan mit der Rescue CD werd ich gleich morgen früh machen. Bzgl. dem heise Link: Ist/war das Update KB977165 im SP3 enthalten, d.h. muss ich dieses nach der Installation vom SP3 manuell entfernen?

Hi, ich bin momentan ganz schön verzweifelt und hoffe ihr könnt mir helfen. Ich habe 2 identische Rechner, auf denen Windows XP Pro mit SP2 läuft. Nun hatte ich vor auf beiden endlich mal das SP3 zu installieren. Leider ohne erfolg. Sobald die Installation des SP3 einen Neustart verlangt erscheint beim Laden von Windows ein BlueScreen mit dem Error: STOP: 0x0000007B ..... INACCESSIBLE_BOOT_DEVICE Siehe: Advanced troubleshooting for "Stop 0x0000007B" errors in Windows XP Der Fehler erscheint bei beiden Rechnern egal ob Windows "normal" im abgesicherten Modus oder die "letzte funktionierende Konfiguration" gestartet wird. Ich konnte das Windows nur wieder zum funktionieren bewegen in dem ich mit dem ERD Commander das SP3 wieder deinstalliert habe. Zu den Rechnern: AMD Athlon 64x2 Dual Core 4200+ 1 GB DDR2 RAM 2x 80 GB HDD S-ATA Die 2 Platten laufen als gespiegelte dynamische Datenträger Bzgl. KB von Microsoft: - Boot Sektor-Viren sind ausgeschlossen (Antiviren Programm und keine Probleme unter SP2) - IRQ Konflikte sind unwahrscheinlich (hatte trotzdem testesweise alle im BIOS manuell vergebenen IRQs {seriell, parallel, infrared Interface} deaktiviert) - CHKDSK findet keine Fehler - S-ATA Platten sind im BIOS auf "Non-RAID" gestellt (Unterscheidung zwischen AHCI und IDE Modus gibt es nicht in dem BIOS) - Die Platten (Soft-RAID/S-ATA Controller) werden mit dem Windows Standardtreiber angesteuert, es muss also bei der Windows Installation kein zusätzlicher Treiber geladen werden Ich bin für jeden Ratschlag dankbar......

Test wiederholt für TCP mit 1MB Window Size: ------------------------------------------------------------ Client connecting to 192.168.0.1, TCP port 5001 TCP window size: 1.00 MByte ------------------------------------------------------------ [108] local 192.168.0.2 port 51048 connected with 192.168.0.1 port 5001 [ ID] Interval Transfer Bandwidth [108] 0.0- 1.0 sec 26.7 MBytes 26.7 MBytes/sec [108] 1.0- 2.0 sec 26.6 MBytes 26.6 MBytes/sec [108] 2.0- 3.0 sec 26.2 MBytes 26.2 MBytes/sec [108] 3.0- 4.0 sec 26.1 MBytes 26.1 MBytes/sec [108] 4.0- 5.0 sec 25.9 MBytes 25.9 MBytes/sec [108] 5.0- 6.0 sec 26.2 MBytes 26.2 MBytes/sec [108] 6.0- 7.0 sec 26.2 MBytes 26.2 MBytes/sec [108] 7.0- 8.0 sec 26.2 MBytes 26.2 MBytes/sec [108] 8.0- 9.0 sec 26.1 MBytes 26.1 MBytes/sec [108] 9.0-10.0 sec 26.2 MBytes 26.2 MBytes/sec [108] 0.0-10.0 sec 262 MBytes 26.1 MBytes/sec Done. Die Seite konnte ich leider nicht aufrufen. Habe aber den Traffic mal gecaptured und bemerkt, dass das TCP Window niemals größer als 64 KB wird und nicht selten sogar auf 13-14KB abfällt. Also funktioniert ja was mit dem Scaling nicht so wie es sollte.

So hab ich gemacht, da sieht es schon besser aus. Wieder alles Standardeinstellungen und UDP 100MB Bandwith: TCP - 10 Streams: .... [ ID] Interval Transfer Bandwidth [184] 9.0-10.0 sec 10.4 MBytes 10.4 MBytes/sec [164] 9.0-10.0 sec 10.1 MBytes 10.1 MBytes/sec [164] 0.0-10.0 sec 90.5 MBytes 9.04 MBytes/sec [108] 9.0-10.0 sec 12.9 MBytes 12.9 MBytes/sec [116] 9.0-10.0 sec 10.3 MBytes 10.3 MBytes/sec [108] 0.0-10.0 sec 102 MBytes 10.2 MBytes/sec [116] 0.0-10.0 sec 78.8 MBytes 7.86 MBytes/sec [124] 9.0-10.0 sec 9.14 MBytes 9.14 MBytes/sec [172] 9.0-10.0 sec 8.30 MBytes 8.30 MBytes/sec [124] 0.0-10.0 sec 88.6 MBytes 8.84 MBytes/sec [172] 0.0-10.0 sec 76.8 MBytes 7.67 MBytes/sec [156] 9.0-10.0 sec 8.91 MBytes 8.91 MBytes/sec [156] 0.0-10.0 sec 84.8 MBytes 8.44 MBytes/sec [140] 9.0-10.0 sec 6.23 MBytes 6.23 MBytes/sec [140] 0.0-10.3 sec 71.3 MBytes 6.95 MBytes/sec [184] 0.0-10.3 sec 105 MBytes 10.2 MBytes/sec [132] 9.0-10.0 sec 7.63 MBytes 7.63 MBytes/sec [sUM] 9.0-10.0 sec 88.4 MBytes 88.4 MBytes/sec [132] 0.0-10.3 sec 87.8 MBytes 8.50 MBytes/sec [148] 0.0-10.5 sec 90.3 MBytes 8.60 MBytes/sec [ ID] Interval Transfer Bandwidth [sUM] 0.0-10.5 sec 876 MBytes 83.5 MBytes/sec Done. TCP - 20 Streams: .... [ ID] Interval Transfer Bandwidth [176] 0.0-10.2 sec 33.9 MBytes 3.33 MBytes/sec [192] 9.0-10.0 sec 3.70 MBytes 3.70 MBytes/sec [264] 9.0-10.0 sec 5.63 MBytes 5.63 MBytes/sec [192] 0.0-10.3 sec 42.4 MBytes 4.13 MBytes/sec [264] 0.0-10.3 sec 55.9 MBytes 5.45 MBytes/sec [232] 9.0-10.0 sec 2.79 MBytes 2.79 MBytes/sec [232] 0.0-10.4 sec 39.5 MBytes 3.81 MBytes/sec [208] 9.0-10.0 sec 6.51 MBytes 6.51 MBytes/sec [sUM] 9.0-10.0 sec 87.9 MBytes 87.9 MBytes/sec [208] 0.0-10.4 sec 42.0 MBytes 4.03 MBytes/sec [sUM] 0.0-10.4 sec 868 MBytes 83.5 MBytes/sec Done. UDP - 10 Streams: ... [ ID] Interval Transfer Bandwidth [116] 0.0-10.0 sec 41.6 MBytes 4.16 MBytes/sec [156] WARNING: did not receive ack of last datagram after 10 tries. [156] Sent 29630 datagrams . . . [116] WARNING: did not receive ack of last datagram after 10 tries. [116] Sent 29655 datagrams [sUM] 0.0-10.0 sec 416 MBytes 41.5 MBytes/sec Done. UDP - 20 Streams: [ ID] Interval Transfer Bandwidth [160] 0.0-10.0 sec 14.1 MBytes 1.41 MBytes/sec [124] 9.0-10.0 sec 1.74 MBytes 1.74 MBytes/sec [124] 0.0-10.0 sec 14.1 MBytes 1.41 MBytes/sec [144] 9.0-10.0 sec 1.63 MBytes 1.63 MBytes/sec [144] 0.0-10.0 sec 14.1 MBytes 1.40 MBytes/sec [108] 9.0-10.0 sec 1.70 MBytes 1.70 MBytes/sec [108] 0.0-10.0 sec 14.1 MBytes 1.40 MBytes/sec [116] 9.0-10.0 sec 1.78 MBytes 1.78 MBytes/sec [sUM] 9.0-10.0 sec 31.3 MBytes 31.3 MBytes/sec [116] 0.0-10.0 sec 14.9 MBytes 1.49 MBytes/sec [264] WARNING: did not receive ack of last datagram after 10 tries. [264] Sent 10296 datagrams . . . [144] WARNING: did not receive ack of last datagram after 10 tries. [144] Sent 10029 datagrams [sUM] 0.0-10.2 sec 285 MBytes 28.1 MBytes/sec Done. Hmm also ich glaub UDP scheint hier nochmal nen Thema für sich zu sein. Aber bei TCP macht es den Anschein, dass unter Windows und Mac die TCP Window Size und der Puffer nicht korrekt gescaled werden oder? Und die TCP Window Size dürfte nur beim Empfänger eine Rolle für die Übertragungsrate spielen?

OK Also das sind meine Ergebnisse von jperf bei Standardeinstellungen. Windows Server 2008 = jperf Server Windows XP = jperf Client TCP: ------------------------------------------------------------ Client connecting to 192.168.0.1, TCP port 5001 TCP window size: 0.01 MByte (default) ------------------------------------------------------------ [108] local 192.168.0.2 port 49235 connected with 192.168.0.1 port 5001 [ ID] Interval Transfer Bandwidth [108] 0.0- 1.0 sec 20.2 MBytes 20.2 MBytes/sec [108] 1.0- 2.0 sec 20.2 MBytes 20.2 MBytes/sec [108] 2.0- 3.0 sec 20.1 MBytes 20.1 MBytes/sec [108] 3.0- 4.0 sec 20.2 MBytes 20.2 MBytes/sec [108] 4.0- 5.0 sec 20.1 MBytes 20.1 MBytes/sec [108] 5.0- 6.0 sec 20.2 MBytes 20.2 MBytes/sec [108] 6.0- 7.0 sec 20.3 MBytes 20.3 MBytes/sec [108] 7.0- 8.0 sec 19.5 MBytes 19.5 MBytes/sec [108] 8.0- 9.0 sec 20.2 MBytes 20.2 MBytes/sec [108] 9.0-10.0 sec 20.5 MBytes 20.5 MBytes/sec [108] 0.0-10.0 sec 202 MBytes 20.1 MBytes/sec Done. UDP @100MB Bandwith: ------------------------------------------------------------ Client connecting to 192.168.0.1, UDP port 5001 Sending 1470 byte datagrams UDP buffer size: 0.01 MByte (default) ------------------------------------------------------------ [108] local 192.168.0.2 port 60732 connected with 192.168.0.1 port 5001 [ ID] Interval Transfer Bandwidth [108] 0.0- 1.0 sec 11.9 MBytes 11.9 MBytes/sec [108] 1.0- 2.0 sec 11.9 MBytes 11.9 MBytes/sec [108] 2.0- 3.0 sec 11.8 MBytes 11.8 MBytes/sec [108] 3.0- 4.0 sec 12.0 MBytes 12.0 MBytes/sec [108] 4.0- 5.0 sec 11.7 MBytes 11.7 MBytes/sec [108] 5.0- 6.0 sec 11.8 MBytes 11.8 MBytes/sec [108] 6.0- 7.0 sec 11.8 MBytes 11.8 MBytes/sec [108] 7.0- 8.0 sec 12.0 MBytes 12.0 MBytes/sec [108] 8.0- 9.0 sec 11.8 MBytes 11.8 MBytes/sec [108] 9.0-10.0 sec 11.8 MBytes 11.8 MBytes/sec [108] 0.0-10.0 sec 119 MBytes 11.9 MBytes/sec [108] Server Report: [108] 0.0-13.7 sec 118 MBytes 8.63 MBytes/sec 0.132 ms 209/84598 (0.25%) [108] Sent 84598 datagrams Done. Nicht gerade berauschend.

Ich hab hier ein Problem aus dem ich Momentan nicht so richtig schlau draus werde. Ich habe 1Gbit Verkabelung allerdings wird dies von den Clients nur mit ca. 10-15Mbyte/s ausgelastet. Komponenten: Gbit Switch Linksys SRW2024 Twistet Pair Cat5e Kabel 1Gbit NICs Avg. RTT = 0.2ms Ich habe 2 Server: Windows Server 2008 und Mac OS X Server 10.5.8 und ich habe 2 Clients: Windows XP und OS X 10.5.8 Wenn ich mich nun von den Clients auf die Server verbinde (CIFS/SMB) und etwas kopiere, wird das Netzwerk nur zu ca. 10% ausgelastet. Also 10MByte/s von theoretisch 100MByte/s. Wenn ich mich allerdings vom Windows Server2008 auf den OS X Server per CIFS/SMB verbinde, dann habe ich eine Übertragungsrate von 90 - 100 MByte/s. Wenn ich mich von den Mac OS X Server auf den Windows Server 2008 verbinde sind es immerhin noch zw. 30-40MByte/s. Die Netzwerkverbindung aller Endgeräte steht mit 1Gbit. Ich habe die Vermutung, dass es Client-seitig Probleme mit dem "automatischen" TCP Window scaling bzw. TCP Buffer Size geben könnte. Ist die TCP Window Size nur beim Empfänger oder auch beim Sender wichtig? Hat jmd ähnliche Erfahrungen gemacht oder eine Idee woran das liegen könnte?

OK, recht hast du. Ich habe mir den Namen nicht notiert, ist aber nicht so schlimm, ich werde auf Nr. sicher gehen und nochmals per Mail die Anfrage starten, denn dann habe ich die Antwort Schwarz auf Weiss. Habe im übrigen in der Supportabteilung für Lizenzfragen angerufen, die Aussage ist also nicht von irgendeinem Mitarbeiter. Für den administrativen Zugang wird eine einzige CAL benötigt, für den Administrator eben, das habe ich vergessen zu schreiben. Aber es sind ja eh beim Kauf 5 CALs inbegriffen. To be continued...

Tut mir ja leid, dass ich eure Nerven so strapaziere... Ich habe nun einmal keine Kosten gescheut und den MS Support angerufen^^ Der Support hat sich zu dem Sachverhalt wie folgt geäußert. Netzwerkverkehr der dem bekanntmachen von Geräten dient(z.b.: ARP) muss selbstverständlich nicht Lizenziert werden. Anwedungen welche auf einem oder mehreren Clients installiert werden und rein dem administrativen Zweck dienen, z.b. Inventarisierung, NAC, Antivirenlösung müssen ebenso wenig extra lizenziert werden. Nur wenn konkrete Dienste explizit von Nutzern in Anspruch genommen werden z.b. Datenbankzugriffe, Webzugriffe, Freigaben usw., ist eine User bzw. Device CAL notwendig! Ich denke nun haben wir alle, trotz oder gerade wegen des langen Threads, etwas dazugelernt. ;-) PS: Und ich habe vieel Geld gespart

Ich hab doch konkret beschrieben für welche Zwecke dieser Server eingesetzt werden soll. Das ist natürlich nicht der einzige Server aber es wird der erste Windows-Server. In dem Fall den ich zuletzt beschrieben habe verhält es sich so: Auf dem Server ist SysAid installiert, welches für die Hardware/Software und Lizenz Inventur(Asset Management) eingesetzt wird. Dazu ist ein Agent auf den Clients installiert, welcher die Daten sammelt und dem Server übermittelt, indem der Agent sich am Server per HTTP anmeldet. Fertig aus, mehr ist da nicht. Die verwendung dafür ist rein administrativ und die Benutzer, welche am Client eingeloggt sind, bekommen weder davon was mit, noch loggen die sich am SysAid ein oder machen sonst irgendwas am Windows Server. Und dafür dürfte ja eine einzige CAL reichen. Auf die ähnliche Art und Weise verhält es sich auch beim NAC und Antiviren-Lösung. Das SVN wird nur von zwei Usern verwendet und ist daher nicht der Rede wert. Bei dem WSUS sind es nur Einträge in der Registry, welche per HTTP die Pakete abholen. Auch darauf hat der User keinen expliziten Zugriff oder sonstiges. Wie gesagt, rein administrativ.

Ok habe verstanden, wobei ich den MS Support noch einmal Fragen werde, was MS unter einer Instanz versteht bezüglich ARP. Die Antwort werde ich posten. Aber eine Frage habe ich noch: Nehmen wir an der Windows Server hostet nur Serveranwendungen für administrative Zwecke. Eine User-CAL berechtigt genau einen User mit jedem Gerät auf Instanzen des Servers zuzugreifen. Der User ist in diesem Fall der Administrator. Auf den Geräten(Clients) sind Programme/Dienste installiert welche als Administrator auf den Server zugreifen um z.b. Logs abzulegen oder sonstiges. Der Benutzer, der vor dem Rechner sitzt, nutzt weder direkte noch indirekt den Zugriff auf Server-Instanzen. Nur das Programm/Dienst auf dem Client hat direkten Zugriff auf eine Instanz des Servers, egal ob ein Nutzer oder welcher Nutzer angemeldet ist und dient allein der Nutzung durch den Administrator. Dann dürfte diese Nutzung ja durch die CAL des Administrators abgedeckt sein. Oder sehe ich das Falsch? Es ist ja nicht so, als dass ich nicht die Lizenzbestimmungen von MS gelesen hätte, aber die sind meiner Meinung nach einfach zu oberflächlich formuliert, wohinter mit Sicherheit eine Absicht steckt. Beispiel: In der Lizenzbestimmung steht zwar, dass man mit einer User-CAL von jedem Gerät auf Instanzen des Servers zugreifen kann, aber es geht nicht daraus hervor ob man mit einer User-CAL von mehreren Geräten gleichzeitig zugreifen darf oder nicht. PS: Hab schon ein schlechtes Gewissen, dass ich so hartnäckig bin ^^

OK, ich versuch also mal zusammenzufassen: Man benötigt eine Lizenz für die Serverinstallation Zusätzlich werden Device/User-CALs für den Zugriff auf den Server benötigt. Client-Zugriffe sind im Sinne der CAL fast ausschließlich logisch und nicht technisch zu definieren. (Source-NAT wäre also keine Abhilfe :-( ) Die CALs müssen erworben werden wenn: 1. Ein Client regelmäßig bzw. absichtlich auf den Server zugreift 2. Der Zugriff auf den Server durch ISO/OSI Layer3 oder höher erfolgt (Switche und ARP müssen also nicht lizenziert werden) Die CALs müssen erworben werden, unabhängig davon ob: 1. eine Authentifizierung benötigt wird oder nicht (Ausnahme IIS) 2. Windows-Dienste oder (ausschließlich)Dienste von Drittherstellern angesprochen werden 3. Der Client eine Verbindung initiiert oder der Server-Dienst eine Verbindung initiiert 4. Ausschließlich der Server-Dienst Daten pusht ohne Rückmeldung des Clients (Streng gesehen wäre das nur mit verbindungslosen Protokollen möglich) 5. Client-Zugriffe gleichzeitig erfolgen oder nicht (es wird also nicht nach dem tatsächlichen Zugriff lizenziert) Die CALs müssen nicht erworben werden wenn: 1. Der Server ausschließlich als Host-System für virtuelle Maschinen fungiert und keine weiteren Dienste durch Clients in Anspruch genommen werden 2. Zugriffe auf Web-Dienste, durch den IIS bereitgestellt, erfolgen solang dabei keine Authentifizierung notwendig ist Dürfte soweit korrekt und vollständig sein. Andernfalls bitte bitte korrigieren

Hi goscho...gott ne oder? da bräucht ich ja round about 40 lizenzen..... Ja Momentan ist auf dem Server ein NAC als Testinstallation und der Windows-Server läuft lizenztechnisch auch als Testversion. Mein Chef wird sich freuen, wenn ich dem eine 10.000€ Kalkulation auf den Tisch knalle. Hardware, BS, CALs und Anwendungen...

Ich sehe gerade, dass ich mich wahrscheinlich leicht missverständlich ausgedrückt habe. Die Serveranwendungen Dritter greifen nicht auf das System zu, sondern werden auf dem System gehostet. Der große Plan ist, einen Windows-Server für Dienste zu benutzen, welche keinen bzw. keinen hohen Sicherheitsaspekt beinhalten mit Ausnahme der Antiviren/NAC Lösung. Wobei die Antiviren/NAC-Lösung nur einen kleinen Teilaspekt des Sicherheitskonzeptes übernimmt und dementsprechend bei Ausfall bzw. Infiltration das Netzwerk und die Clients/Server nicht ungeschützt bleiben. Hardware-seitig muss der Server sehr Potent sein um mit Hilfe von Virtualisierung viele Aufgaben zu übernehmen. Der Hintergedanke dabei ist das Einsparen/Minimieren von Stromkosten/Platz und Wärmeentwicklung. Zudem darf der Server in virtuellen Maschinen komplexere Testumgebungen abbilden. Allerdings nur, wenn sich eine "virtuelle" Netzwerkinfrastruktur mit dedizierten NICs mit Hilfe des Hyper-V abbilden lässt. Denn dies geht ansonsten, soweit mit bekannt, nur mit der teuren VmWare ESX bzw. ggf. Citrix Xen Server Lösung. Davon hängt auch ab, wieviel Dienste auf virtuelle Maschinen ausgelagert werden um dem Host-System nicht all zu viele Angriffspunkte zu verpassen. Wenn er mir gut gesonnen ist, darf der Server auch ein virtuellen Honey-Pot hosten, wobei das Honey-Pot mehr zur Analyse und Überwachung denn zum Schutz gedacht ist. Gleichzeitig ist mir auch die Gefahr bewusst, dass auch Virtualisierungssoftware Schwachstellen bzw. Sicherheitslücken hat/haben kann. Nun stellt sich die Frage, warum ein Windows-Server? Das ist für mich schnell beantwortet. Der administrative Aufwand ist geringer als bei einem Linux-System und viele der auf diesem System eingesetzten Server-Anwedungen unterstützen nur Windows als Server. Kurz um, es wird ein Multitalent, wobei dennoch die Anschaffungskosten so gering als Möglich ausfallen sollen. Noch ein kurzes Wort zu der Thematik Virtualisierung und CAL. Wenn wir annehmen, dass die NICs der virtuellen Maschinen im Bridged Mode fungieren und daher über die Host-NIC kommunizieren, kann ich nicht auf die virtuellen Maschinen zugreifen, wenn ich das Netzwerkkabel vom Windows-Server Host-System ziehe. Ist das Netzwerkkabel dran, kommunizieren allerdings die Clients max. auf ISO/OSI Layer2 mit dem Windows und nicht auf Layer3. Trotz aller Virtualisierung müssen gewisse Dienste auf dem Windows-Host-System laufen, kommunizieren allerdings mit Ausnahme des NAC ausschließlich über den Apache/IIS. Und soweit mir bekannt, benötigt man für den Web-Zugriff keine CALs. Zudem kommt, dass das NAC meist pusht und nur relativ selten Clients den Zugriff initiieren, wobei diese dann unter Garantie nicht alle gleichzeitig zugreifen.

Die ominösen Dritten wären in dem Fall SQL-Express, Versionskontrolle mit SVN, Asset Management, TTS und eine Antiviren-Lösung inkl. NAC Wobei diese Dritte jeweils nur über einen zugewiesenen Port kommunizieren, im Falle von SVN, Asset Management und TTS mit Hilfe eines Apache. Bezüglich der virtuellen Maschinen, kommt es darauf an, wie der Netzwerkzugriff gestaltet wird. Soll heissen, ob es mit Hyper-V gelingt den virtuellen Maschinen dediziert eine NIC zuzuweisen oder ob diese nur per Virtuel NIC im Bridged Modus über die Host-NIC kommunizieren müssen. Es wird fürs erste also keine ADS/Exchange, integrierte SQL-DB, Shares oder sonstiges benötigt. Ich sage mit Absicht fürs erste, da später für eine kleine Anzahl von Clients der Windows-Server als Terminal-Server agieren soll. Allerdings wäre dafür eine 5er CAL aussreichend. Für die Dritten Anwendungen würden wir uns da beim 10fachen bewegen. In anbetracht dessen lob ich mir doch das Lizenzmodell von Apple für den Mac OS X Server. Wenn also trotz dessen CALs benötigt werden, wäre eine Prozessor CAL sicherlich am sinnvollsten je nach dem was die dann kosten würde. Verweis: Grundlagen-der-Lizenzierung-von-Microsoft-Produkten

Hi, wie definieren sich denn die Zugriffe der Nutzer, für die eine User-CAL benötigt werden? Gilt dies schon bei jedem Netzwerkverkehr mit dem Server oder nur wenn entsprechende MS Dienste genutzt werden bzw. eine Nutzer-Authentifizierung notwendig ist? Folgender Anwendungsfall dazu: wir möchten uns einen Windows Server 2008 Standard zulegen. Unser Windows Server 2008 soll zunächst ausschließlich für Serveranwendungen Dritter verwendet werden, welche den Serverdienst teils per eigenen Webserver(Apache) zugänglich machen sowie als Host-System für virtuelle Maschinen per Hyper-V. Die Clients müssen sich also nicht am BS authentifizieren und nutzen auch nicht den IIS7. Benötige ich trotzdem für jeden Zugriff eine Device bzw. User CAL ? Zusätzlich besteht die Option einen WSUS und dem dazu benötigten IIS7 zu verwenden. Eine Authentifizierung der Clients am BS ist für diesen Dienst ebenso nicht notwendig. Werden dafür trotzdem CALs benötigt, obwohl der WSUS Freeware und für Webdienste keine CALs benötigt werden? Zudem wüsste ich gern, ob ich CALs für den Windows Server 2008 als Host-System benötige, wenn Clients ausschließlich auf die gehosteten virtuellen Maschinen zugreifen.

Hey, ich danke, der Link ist echt praktisch

Ich werde es einfach ausprobieren müssen, da Load-Balancing im praktischen Einsatz für mich Neuland ist. Mir sind nur theoretische Grundlagen klar. Praktisch gibt es Unterschiede da die Implementierung von Hersteller zu Hersteller sich unterscheiden. @Otaku: was ich vorhabe ist im herkömmlichen Sinne wahrscheinlich kein Load-Balancing und ist ausschließlich für ausgehenden und nicht eingehenden Traffic zuständig. Die Zuordnung von eingehenden Traffic als Antwort auf ausgehenden Traffic sollte zuverlässig vom NAT zugeordnet werden können. @blackbox: Grundvoraussetzung ist, dass ich festlegen kann, welcher Traffic über welche Ports nach aussen geht. VPN ist z.B. ein Anwendungsfall der ausschließlich über die Standleitung benutzt werden soll und hauptsächlich von aussen initiiert wird. Der Allnet ALL1297 Router sollte genau das können was ich möchte. Allerdings muss ich das mit dem Cisco2600 Router umsetzen.

Wieso sollte es mit eingehenden sessions probleme geben? Es gibt zwei unterschiedliche externe IPs Standleitung und ADSL, je nachdem worüber der Traffic raus ist geht er auch wieder rein und wird per NAT zugeordnet. Von aussen initiierter Traffic geht sowieso über die Standleitung an den Webserver. Da ich nur vorhabe HTTP traffic über die ADSL Leitung zu zerren, ist es mir egal, wenn die ADSL Leitung abschmiert und der Router das nicht mitbekommen sollte, da es nicht wichtig ist, dass Mitarbeiter surfen können. Je nachdem was mir der Router für Möglichkeiten gibt wird entweder die ADSL Leitung für http-traffic dediziert oder es gibt ein dienste bassierendes load-balancing

Hi Otaku, warum geht das nicht so recht?

Nuja, wenn der Router das unterstützt, dann konfigurier ich den zweiten WAN Port für ADSL und dann reicht mir ein Load-Balancing für allen HTTP-Traffic aus.

Ah ok, also wird auch von der ASA definitiv kein PBR unterstützt. Wir nutzen für die Standleitung einen Cisco 2600 Router, bin schon die ganze Zeit daran, herauszufinden, ob der Router Load-Balancing oder Trunking zweier WAN Ports unterstützt.

Danke für deine Antwort. Könnte denn die Lösung wie ich sie oben beschrieben habe funktionieren? Policy-based-routing scheint die ASA dummerweise auch nicht zu unterstützen, dann wäre es wahrscheinlich ein leichtes.

Hi@all, ich hoffe Ihr könnt mir helfen. Wir haben eine ASA5510 und ich möchte 2 Internetleitungen mit der ASA benutzen. Da wir keine Fail-Over Lizenz besitzen muss die Lösung ein wenig tricky sein. Leider weiss ich auch nicht ob und wie man mit der ASA Load-Balancing einsetzen kann. Inet 1 - Standleitung für alle wichtigen Dienste ausser HTTP/S (TCP/80-443) Inet 2 - ADSL-Leitung für HTTP/S (TCP/80-443) Verbindungen Inet 1 wird über das Outside Interface angesprochen. Für dieses Interface ist eine Static Route eingerichtet: IP-Adress und Mask 0.0.0.0 DF-Gateway: 192.168.0.1 Metric 1 Da alle anderen physischen Interfaces belegt sind wird der ADSL-Router für die Inet 2 mit einem VLAN-Interface an die ASA angebunden. Dieses Interface soll ebenfalls eine static Route erhalten: IP-Adress und Mask 0.0.0.0 DF-Gateway: 192.168.1.1 Metric 2 Damit ausschließlich Inet2 für HTTP/S benutzt wird möchte ich den TCP/80-443 Port mit den Access Rules für Inet1 (Outside Interface) sperren. Kann das funktionieren? Ich habe bedenken, dass bei ausgehenden HTTP/S-Traffic die Access Rule mit deny reagiert und danach nicht automatisch versucht wird über das VLAN-Interface mit der Metric 2, für die HTTP/S erlaubt ist, die Verbindung zu routen. Über alternative Vorschläge/Lösungen wäre ich auch sehr dankbar.

Hi, also nehmen wir mal ein Fallbeispiel zur Erklärung: (Vorraussetzung: Keine Windows Home Version) Du hast einen Ordner und dieser hat Unterordner. - Ordner1 -- Ordner2 -- Ordner3 Du möchtest dass der Ordner1 nicht gelöscht aber die Unterordner beliebig bearbeitet werden können. Zuerst sollte man erwähnen, dass 1. Verweigern immer vor erlauben geht 2. Sicherheit in beide Richtungen wirkt, soll heissen, sperre niemals den Admin aus Zur Problemlösung: Ordner1->Eigenschaften->Sicherheit-> Erweitert-> bearbeiten->Häckchen raus bei beiden "verbbare berechtigungen" und in der erscheinenden Meldung "kopieren" klicken. Benutzer oder Benutzergruppe auswählen(ggf. hinzufügen) Für Benutzer/Gruppe "Lesen, Ausfüren" "Ordnerinhalt anzeigen" und "Lesen" setzen. Bei den Unterordnern das gleiche einstellen und entsprechend Rechte anpassen. Ergebnis: Ordner1 kann vom entsprechenden Benutzer/Gruppe gelesen und der Inhalt angezeigt werden. Es könenn neue Unterordner angelegt aber Ordner1 kann nicht gelöscht werden. Unterordner können entsprechend deiner Einstellung(Rechtevergabe) benutzt werden. Wenn neue Unterordner angelegt werden, muss man beachten, dass diese automatisch die Rechte des übergeordneten Ordners übernehmen. D.h. auch dieser ist dann nicht mehr löschbar. Allerdings ist man Besitzer des Ordners, den man erstellt und somit kann man die Rechte entsprechend anpassen. Ich hoffe ich hab es ohne Bilder einigermaßen verständlich rübergebracht ^^

Hey is ja richtig geil...vielen Dank, sowas hab ich sowieso gesucht. Und da unser 08 Server im gleichen Teilnetz wie die Drucker stehen wird, hat sich damit das Problem schon fast von alleine gelöst. Der IPP-Server muss dann nur noch richtig funktionieren.