LukasB

Ja.. Ähm, du installierst den Exchange auf dem SBS nach mittels des SBS Setup Wizards, und dann stellst du das ganze so um das die Mails direkt auf dem Exchange eintrudeln. Vielleicht noch die jetzigen Mailboxen in den Exchange migrieren und fertig.

Wenn du dich mit dem ganzen noch nicht so im Detail auskennst würde ich einen Dienstleister beauftragen der das ganze für dich erledigt.

Ignoriere doch erstmal die ERP Anwendung, und schau ob es unter Windows richtig klappt.

Wichtig ist das die Client einen zweiten DNS-Server eingetragen haben, damit es funktioniert. Sonst finden sie ja den zweiten DC nicht.

Höchstwahrscheinlich ist das Problem bei deiner ERP-Anwendung das diese nicht richtige AD-Authentifikation macht, sondern irgendeine einfache Bastellösung bei welcher irgendwo in der Konfiguration ein fixer DC hinterlegt ist.

Dafür nimmt man idealerweise perfmon, nicht den Task Manager.

Windows versucht immer alles RAM sinnvoll einzusetzen - leeres RAM bringt niemandem etwas. Die Page Out Aktivität ist auch normal, wichtig ist wieviel Daten Windows von Swap holen muss.

Günther, sp2 auf sbs2003 ohne sp2 empfehlendswert? Oder Risiko? Momentan läuft das System sehr stabil.... Ausser das mit dem Tick...

Kein Exchange SP2? Kein WS2003 SP2?

Lies bitte mal das hier:

http://www.guug.de/lokal/karlsruhe/2003-06-03/never-touch_d.pdf

Ja, es ist alt und wurde von Unix-Admins geschrieben - das heisst aber nich das eigentlich alles was da steht auf jeder anderen Plattform nicht auch gilt.

Ist es möglich das Outlook automatisiert (über einen Script,Autostart) im Tray zu starten?

Du kannst in der Verknüpfung festlegen das die Applikation minimiert gestartet werden soll.

Tönt nach dem Exchange-Greylisting Bug.

Hotfix gibts hier:

E-mail senders do not receive an indication that some messages have been held by Exchange Server 2003 until the SMTP service, the Microsoft Exchange Information Store service, or the Exchange server is restarted

ja das ist der aktuellste treiber direkt von intel ...

Wieso probierst du nicht einfach mal was Gulp dir empfohlen hat?

Das Zertifikat brauchst du eigentlich nicht wirklich, wichtig ist das Transcript.

Kannst du hier herunterladen:

https://mcp.microsoft.com/mcp/

Auf welchem Port läuft denn dein WSUS?

Und was sagt C:\windows\windowsupdate.log auf dem Client?

Ich denke Ende der Woche wird die Migration dann über die Bühne gehen.

Ich gebe dann mal Feedback ;-)

Wie NortbertFe schon sagte ist das ganze keine Hexerei, aber man weiss ja nie in welchem Zustand die Ursprungsinstallation ist.

Evtl. ist es dennoch eine gute Idee wenn du schaust das du irgendeinen Dienstleister mit starker Kompetenz im Bereich Exchange irgendwie auf Standby hast - Kosten tut das nicht wahnsinnig viel, und du hast dann im Fall eines Falles auch die Möglichkeit schnell und effizient auf passende Hilfe zurückzugreifen.

Es gibt nichts schlimmeres als vor einer Produktivumgebung zu stehen die man kaputtgemacht hat und dann keine Ahnung zu haben wie man das jetzt flicken soll.

Du musst dem Exchange erlauben das er Abwesenheitsnachrichten ausserhalb der Organisation versenden darf. Findest du unter Organization Configuration / Remote Domains / Default.

Du kannst unter Linux mit brctl eine Ethernet-Bridge erzeugen, und dann ntop auf br0 lauschen lassen.

BackupExec 12 hat AOFO automatisch dabei. Einfach die VSS-Snapshotsicherungen aktivieren, dann klappt das!

Naja, sagen wir mal so, wenn es eine GUI gibt, kann die schon mit dem Desktop sprechen: Eigenschaften des Dienstes > Reiter Anmelden > [X] Datenaustausch zwischen Dienst und Desktop zulassen anhaken. Dabei muß aber dann natürlich zwingend auch jemand angemeldet sein, ansonsten wird der Dienst gar nicht erst gestartet. Ich weiß allerdings nicht, ob es diese Checkbox noch bei W2K8 gibt.

Unter WS08 wie auch unter Vista laufen die Dienste in der Session 0 - der interaktive Desktop aber nicht, sondern immer in Session 1 aufwärts. Es gibt keine "Console" Session mehr.

Interessant wie lang bei euch die Bandlaufwerke durchhalten. Bei uns waren damals die VXA Bänder am schlimmsten. Der Austausch fand schon teilweise 2 mal pro Jahr statt.

Alle anderen Laufwerke werden bei uns meisten so alle 2 Jahre getauscht (Laufwerk meldet Fehler=>Servicevertrag=>Austausch des Geräts)

Gut, die VXA Laufwerke sind definitiv eine Kategorie für sich. Wir hatten diese ca. ein halbes Jahr lang mit unseren SBS verkauft, aber der Backlash war dann nachher entsprechend schlimm. Wir haben dann mit IBM eine Lösung gesucht und konnten die Laufwerke gegen LTO2 Laufwerke austauschen (kA was da die Konditionen waren, aber die Kunden waren nachher zufrieden).

Bei den LTO-Laufwerken ist halt wichtig das sie mit der Minimum-Datenrate beliefert werden, sonst gehen sie durch das ständige Anhalten kaputt.

Seit wan haben Router einen DNS Proxy? So weit ich weiß werden die Anfragen immer direkt weiter gegeben. Aber ich lasse mich da gerne eines besseren belehren.

Die Consumer-Router bei Kleinstkunden haben das - grössere nicht mehr. Hier sind vorallem die ZyXEL und Netopia Geräte die welche man gratis vom ISP kriegt.

Das verstehe ich nicht. Welchen Sinn sollte das machen.

Gerade bei kleineren Kunden ist da sinnvoll - der DNS Proxy des Routers kriegt die Nameserver-Informationen vom ISP per DHCP oder IPCP. Wenn also der ISP seine NS ändert oder der Provider wechselt müssen keine Anpassungen vorgenommen werden. Eine Fehlerquelle weniger :)

Naja, es geht schon um WLAN. Ich möchte halt irgendwie eine sichere Verbindung realisieren. Wobei ich bei UMTS den Vorteil sehe, dass ich selber die Verbindung aufbaue und nicht irgendeinen WLAN-AP nehmen muss, wo ich nicht sicher weiß, was für einen Mist der Betreiber damit macht.

Die GL arbeitet also schon von Zuhause aus an ihrem normalen Heim-LAN? Und das siehst du als weniger bedrohlich?

Wenn das so einfach wäre. Leider ist der GL einer derer, die am lautesten nach WLAN schreien. Nur wenn nachhher was ist, darf ich das ausbügeln. Es wäre schön, wenn ich vorher etwas schriftliches erwirken könnte, aber diese Hoffnungen habe ich schon begraben.

Naja, als Dienstleister hat man es da wirklich einfacher, vorallem wenn der Verkauf mitspielt. Schau einfach das du bei sowas auf der sicheren Seite bist.

Hast Du mir da ein paar Beispiele. Wäre sehr hilfreich.

Habe sowas vor ca. 2 Jahren mal mit Checkpoint realisiert. Cisco kann es auch, habe ich aber noch nie gemacht.

Das ist dann meist ein sehr umfangreicher VPN Clients der Policies von einem Server bezieht, und seine eigene Firewall mitbringt. Die Konfiguration von sowas ist eher invasiv und mit viel Aufwand verbunden. Genaues testen unbedingt anzuraten.

Könntest Du das bitte genauer erklären?

Nein, das verbieten die Boardregeln. Nur soviel: Alles man braucht ist eine passende Boot-CD. Diese gibts sogar hochoffiziell von Microsoft (allerdings nur für MVLS/SA Kunden).

Genau das ist ja das Problem. Ich habe die Befürchtung, dass die sich sonst was einholen.

Okay, es geht also nicht spezifisch um WLAN. Ich dachte schon ich hätte was verpasst :)

Das schlimme ist, dass die Windows-FW default (Vorgabe unserer Mutter) deaktiviert ist, weil's Probleme mit dem Remote-Zugriff gab. Wobei ich von der Windows-FW sowieso nicht viel halte. Klar, besser als nichts, aber auch nicht viel mehr.

Unter XP war diese auch nicht wahnsinnig viel Wert, vorallem weil man ihr extrem leicht vorgaukeln konnte das sie im Domain-Netz ist. Unter Vista ist das aber wesentlich besser geworden.

Das Problem ist, dass das unsere User nicht die Bohne interessiert. Und ich bin wieder der Depp, der das ausbügeln darf.

Das ist wohl der politische Teil des Problems. Da muss auf jeden Fall, egal mit welchen technischen Massnahmen du vorgehst, auch angesetzt werden.

Ich überlege, ob VPN die nötige Sicherheit liefern kann. Wenn die erstmal eine VPN-Verbindung aufgebaut haben, kann man diese verschlüsseln. Aber über die eigentliche Internetverbindung habe ich ja keinerlei Kontrolle.

Diverse 3rd Party Clients der grossen Hersteller kommen ja mit einer Firewall-Lösung die deine Bedürfnisse evtl. abdecken können - also z.B. das überhaupt kein Netz möglich ist, solange die VPN-Verbindung nicht aktiv ist. So kannst du sicherstellen das ausserhalb des Firmennetzes keine Verbindungen möglich sind.

Beachte dabei aber zwei Dinge:

a) Solange die User lokale Adminrechte haben ist das eine sehr akademische Übung

b) Wenn die User wirklich so böse sind wie du sagst - auf einem Laptop ohne Full Disk Encryption lokale Adminrechte zu kriegen ist nicht wirklich schwer

Als wirklich 100% nötig sehe ich solche Ansätze jedoch nicht - ein korrekt konfigurierter Client wird auch direkt am Internet nicht innert 10 Minuten verseucht sein. Ist immer eine Frage der vorhandenen Ressourcen, etc. pp.

–

Mal ne ****e Frage (ist vielleicht auch schon zu spät heute Abend): Wie realisiert Du das? Könnte das auch mit einer Desktop-Firewall funktionieren? Klar, die sind auch nicht das gelbe von Ei, aber besser als die Windows-FW. Hier in der Firma setzen wir was vernüftiges ein, da müsste sich die "Desktop-FW" wieder automatisch deaktivieren.

Die Windows-Firewall unter XP hat zwei Profile: Domain und Sonstiges. Zwischen diesen schaltet sie automatisch um. Sicher ist das allerdings nicht, erst besser unter Vista. Du kannst die Firewall so einstellen das sie innerhalb der Domain aus ist.

Eine Firewall auf allen Rechnern halte ich aber nicht für eine schlechte Idee - so stellst du sicher das nur autorisierte Dienste von aussen zugänglich sind. Das schützt primär dich von Fehlkonfigurationen, wenn irgendwo ein ungepatchter Dienst läuft von dem garniemand weiss das es ihn gibt.

Unsere Mutter setzt seit Kurzem tatsächlich den Cisco-VPN-Client ein. Allerdings habe ich damit noch keine Erfahrung. Wenn, dann müsste sich das so einrichten lassen, dass die ohne den VPN-Client gar kein WLAN nutzen könnten. Geht das prinzipiell? Und ist es damit egal, ob der WLAN-AP sicher ist oder nicht?

Ich verstehe deinen Fokus auf WLAN einfach nicht - es ist doch völlig egal mit welcher Netztechnologie die Leute ausserhalb eures Firmennetzes genau arbeiten. Am Bedrohungsszenario ändert das nichts.

Aber ja: Grundsätzlich kannst du mit dem Cisco-VPN Client mit Firewall sicherstellen das ausserhalb des Firmennetzes nur VPN-Verbindungen erstellt weden können.

Naja, Leute anstellen ist schwer - wir suchen im Moment jemanden, aber finden niemanden der unseren Anforderungen genügt (Windows und IBM i).

Ist wohl von beiden Seiten nicht allzu einfach - und Probleme hat sowieso jede Firma.

<sarkastisch>das Problem ist, dass insbesondere in Deutschland alle so auf Images abfahren.</sarkastisch>

Ist hier nicht anders.

Google spuckt auf die schnelle das hier aus:

The Microsoft Exchange System Attendant service may not come online if the RootVer registry value is invalid on a server that is running Exchange Server 2003

http://support.microsoft.com/default.aspx?scid=kb;en-us;312859&sd=ee

Vielleicht mal böse gefragt - wo genau siehst du eine zusätzliche Gefahr wenn die Laptop-User ausser Haus WLAN einsetzen?

Ich sehe da nichts das sich vom klassischen Bedrohungsszenario "Laptop ist an einem nicht-vertrauenswürdigen Netzwerk angeschlossen". Ob das jetzt WLAN, LAN, UMTS oder sonstwas ist, ist doch egal?

Was muss ich noch einstellen, damit ich den Core-Server in die Domäne bringen kann?

Zeig doch mal ein ipconfig /all von den beiden Servern.