McMegabyte

Hallo liebes Forum, bei der Vorbereitung auf die 70-291 bin ich auf eine Übungsfrage gestoßen, von der ich zwar die Lösung kenne, diese mir aber nicht so recht eine Erklärung geben will. In dieser Frage gibt es ein Szenario, in dem XP-Clients in Zweigstellen eine VPN-Vebdg. mit einem ISA-Server in der Hauptgeschäftsstelle (HG) aufbauen. Ist die VPN-Vbdg. aufgebaut, haben die Clients eine Adresse aus dem IP-Bereich des HG und können dann wieder über den gleichen ISA-Server Seiten aus dem Internet aufrufen. Weiterhin ist angegeben, dass die Adressen beider Schnittstellen (intern/extern) des ISA-Servers automatisch im lokalen DNS der Hauptgeschäftsstelle registriert werden. In den Internetexplorer-Einstellungen der XP-Clients ist der ISA-Server mit seinem Namen und nicht mit seiner IP-Adresse angegeben. Nun berichten einige (nicht alle) User in den Zweigstellen, dass sie zwar auf Ressourcen im HG, aber nicht auf das Internet zugreifen können. Als Lösung wird bei dieser Frage folgendes Vorgeschlagen: In den TCP/IP-Einstellungen des äußeren Interface (Richtung Internet) des ISA-Servers muss die Option "Adressen dieser Verbindung in DNS registrieren" deaktiviert werden. Ich erkläre mir das so, dass der ISA-Server zweimal im lokalen DNS auftaucht. Einmal mit seiner internen und einmal mit seiner externen Adresse. Wenn nun ein Client versucht den Namen aufzulösen, ist es unbestimmt, welche Adresse er zurückbekommt. Haben muss er aber immer die interne Adresse als Gateway. Wenn dies richtig ist, müsste dann in der Lösung nicht auch drinstehen, dass der Eintrag der externen Schnittstelle aus dem DNS zu löschen ist? Ich bedanke mich schon jetzt für eure Hilfe. Mit besten Grüßen Steven McMegabyte

Hallo liebes Forum, folgendes kann ich irgendwie nicht ganz auseinanderhalten: Folgendes Szenario: 1 x W2K3 DC (internes Netz); Domänenmodus W2K3 Pur 1 x W2K3 RAS Server (eine Schnittstelle im internen Netz, eine weitere im externen Netz) Auf dem DC wurde in der Default Domain Policy unter Computer / Windows-Einst. / Sicherheitseinst. / IP-Sicherheitseinst. die RL gesetzt, die IPSec anfordert Ein Telearbeiter soll sich einwählen.. Hierbei ist in seinem Konto im Reiter Einwählen der Haken "Zugriff über RAS-Richtlinien steuern" gesetzt. Nun meine generelle Frage dazu: Setzt der Haken im User-Konto die IP-RL ausser Kraft? Vielen Dank im Voraus für eure Hilfe Beste Grüße Steven McMegabyte

Hallo Herbert, wenn bei euch Office Scan in der Version 7.3 vorliegt und die Clientfirewall aktiviert wurde, dann würde ich die ClientFW (so bitter dies auch sein mag) abschalten. Die bereitet nur Probleme. Leider auch mit dem Patternupdate. Die Probleme gehen soweit, dass im laufenden Betrieb Verbindungen aus dem Stack fliegen. Damit bleiben Dateien auf Servern offen. Sitzungen werden nicht ordnungsgemäß getrennt usw. usw. Angeblich soll es für diese Version bereits einen Patch (2.1) geben. Mit diesem sollen auch die Probleme mit der ClientFW behoben werden. Allerdings haben wir ihn nocht nicht eingespielt. Daher kann ich auch nicht sagen, ob er Patch hilft. Mit freundlichen Grüßen Steven McMegabyte

Hallo Fips, wenn du dir eine eigene Klassenkennung gebaut hast, dann kannst du mit dem Wert 51 Lease eine eigene Leasedauer defnieren. An was hast du denn die neue Klassenkennung gebunden (Bereich oder Reservierung)? Mit freundlichen Grüßen Steven McMegabyte

Hallo =BT=Viper, das ist schon lustig! Den von dir gesuchten Link habe ich vor ein paar Minuten in einer anderen Antwort verwendet. Aus diesem Grund befand er sich noch in der Zwischenablage..... Nmap - Free Security Scanner For Network Exploration & Security Audits. Mit freundlichen Grüßen Steven McMegabyte Alternative: such mal in Google nach Look@Lan; super Programm Allerdings muss man zunächst ein Discovery im lokalen Netz durchführen. Im Zweiten Schritt können dann Knoten einzeln aufgerufen werden, wobei dann ein Portscann erfolgt.

Hallo Inino, auf Insecure.Org - Nmap Free Security Scanner, Tools & Hacking resources findest du nmap zum Download. Mit diesem nützlichen Portscanner scan mal von einem Client das Interface des Servers, über das deine Clients auf die Anwendung zugreifen. Wenn sich der Port nicht in der Ausgabeliste findet, schau mal, ob auf deinem Server an irgendeiner Stelle (RAS oder TCP-Filte oder aktive Firewall) der Port geblockt wird. Mit freundlichen Grüßen Steven McMegabyte

Hallo ggpeter, schau mal in der Registry nach, was unter HKLM / system / currentcontrolset / services / tcpip / parameters im Schlüssel TcpWindowSize eingetragen ist. Meist ist dieser Wert unter XP für ISDN optimiert. Besser ist folgendes: Ausrechnen: Downstremrate in Byte pro Sekunge / 3 für schnelle Downloads oder Downstreamrate in Byte pro Sekunde / 10 für VoIP Neues Wert in Schlüssel eintragen und reboot. Mit freundlichen Grüßen Steven McMegabyte

Hallo Frank, sporadisch bedeutet leider soviel wie Wackelkontakt. Beide sind nur schwer zu identifizieren. Aber etwas kann dennoch getan werden. Ich würd mal folgendes Vorschlagen: Nimm dir ein Notebook, welches das von dir beschriebene Verhalten gezeigt hat und verbinde es an einem Port eines Switches (in eurem Netzwerk), den du vorher spiegelst (Mitschneiden des Datenverkehrs an einen anderen Port) und nimm dann einen Paketsniffer (Wireshark) auf einem anderen Gerät und schau dir mal an, wohin dein Notebook nach der Anmeldung hin will. U.U. kann es sein, dass eine Reihe von Diensten irgendwelche Services im Netz suchen und sich die dabei ergebenden TimeOuts zu einer gefühlten halben Stunde aufsummieren. Das können Updatefunktionen sein, DHCP/DNS Suche, Proxysuche, Novell ist auch ein Kandidat; autom. Updates mit konfiguriertem Updateserver, der sich nicht im Netzwerk befindet usw. usw. Viele Grüße Steven McMegabyte

Moin Snipey, zu allererst würde ich alles abschalten, was mit Enegiereinsparung zu tun hat. In den Energieoptionen gibt es ja alles mögliche: z.B. für Festplatten oder NIC-Abschaltung usw. Dann würde ich mal schauen, ob auf Dateisystemebene irgendwelche Komprimierungsprogramme laufen oder Kontingente aktiviert sind. Wenn du es noch nicht gemacht hast, dann Treiber aktualisieren: Und zwar von PCMCIA-NIC und Chipsatz Was auch sein kann: Die beiden NICs, die Daten austauschen, haben ein Problem mit der Autonegotiation (autom. Aushandeln 10/100/1000 Mbit Half/Fullduplex) Läßt sich in jedem Adapter auf Fest einstellen. Beide Seiten müssen gleich sein. Probiers alles mal aus. Hoffentlich ist etwas dabei, was dir weiterhilft. Mit freundlichem Gruß Steven McMegabyte

Herzlichen Dank IThome für die schnelle Antwort. Gruß Steven McMegabyte

Guten Morgen liebes Forum, ich stecke mitten in der Vobereitungen für die Prüfung 291. Aktuell setze ich mich mit den Möglichkeiten des Dialogs "Erweiterte TCP/IP-Einstellungen" auseinander. Wie ich gelernt habe, teilt sich dieser Dialog bzgl. der Suffixe in drei Bereiche: 1. Primäre bzw. übergeordnete Suffixe 2. Eigene Suffixvorgaben 3. Suffix dieser Verbindung Und 3. bereitet mir Probleme. Wenn ich hier ein Suffix eingebe, werden dann die Einstellungen in 1. und 2. ignoriert? Bzw. was bezwecke ich mit diesem Feld? Für eure Hilfe wäre ich sehr dankbar. Mit besten Grüßen Steven McMegabyte

Guten Morgen Siri, wenn mich nicht alles täuscht, findest du deinen Schlüssel hier: HKLM / System / CurrentControlSet / Services / TcpIp / Parameters Der Schlüssel heißt: UseDomainNameDevolution Zumindest ändert er seinen Wert zwischen 0 und 1, wenn du den Haken in der Box setzt bzw. entfernst. Hoffentlich hilft dies dir weiter. Mit den besten Grüßen Steven McMegabyte

Hallo liebe Forenteilnehmer, wie viele in diesem Forum vor mir, so möchte auch ich euch mitteilen, dass ich heute Morgen die 70-290 bestanden habe. Und bei dieser Gelegenheit will ich es nicht versäumen, mich für eure schnelle und gute Hilfe zu bedanken. Ohne das umfassenden Wissen, welches in diesem Forum rumgeistert, hätte ich wohlmöglich nicht bestanden. Also, danke an alle, dir mir mit Rat Tat zur Seite gestanden haben. Aber: Nach der Prüfung ist vor der Prüfung. Denn die nächste ist die 70-291. Trotdem: ich weiß ja jetzt, wen ich fragen kann. Allerbeste Grüße Steven McMegabyte PS: für wen soll ich heute Abend eine Gerstenkaltschale mittrinken?

Guten Morgen Drillsergeant, (1)wenn du noch eine alte Grafikkarte rumfliegen hast (am besten PCI, nicht PCIe), dann bau die mal ein. Es geht natürlich auch eine AGP-Karte. Der Chipsatz sollte zumindest so alt seiin, das der aktuelle im System installierte Treiber nichts mit ihm anfangen kann. In diesem Fall muss W2K3 auf einen generischen Standardtreiber zurückgreifen Zusaätzlich ist die Vergabe der IRQs eine andere (sollte hier das Problem liegen). (2)Gibt das BIOS (Speaker angeschlossen vorausgesetzt) einen Ton von sich? (3)Hast du im BIOS mal alle Geräte abgeschaltet, die nicht benötigt werden? z.B. USB, Seriell, Parallel usw. (4)Wenn möglich, tausch danach mal die RAM-Riegel. (5)Zieh auch mal alle nicht benötigten Laufwerke ab (CD-ROM, Brenner, USB-Sticks usw.). (6)Wichtig ist auch, mal das Netzteil zu tauschen. Alle Schritte einzeln durchführen und bei jedem Tausch den Rechner booten. Mit besten Grüßen Steven McMegabyte

Guten Morgen Daim, vielen Dank für die Antwort. Mit besten Grüßen Steven McMegabyte

Hallo und guten Tag, wenn im autoritativen Modus Objekte (Computerkonten) zurückgesichert werden, kann es ja sein, dass die Passwörter für den Securechannel zwischen DC und Client nicht mehr identisch sind und in Folge die Echtheit des Clients vom DC nicht bestätigt wird. -> Anmeldung an der Domäne nicht mehr möglich. Wenn ich dann im AD das Computerkonto zurücksetzte, muss ich den betroffenen Client erneut in die Domäne hochbringen? Wenn ich hingegen nltest /SC_RESET verwende, entfällt dann dieser Schritt? Vielen Dank für eure Hilfe. Liebe Grüße Steven McMegabyte

Danke für die schnellen Antworten. Ja, das hat mir auf jedenfall weitergeholfen Super!

Guten Morgen, kennt ihr einen Link, wo der Unterschied zwischen den Überwachungsrichtlinien: "Anmeldeversuche überwachen" und "Anmeldeereignisse überwachen" noch einmal anders beschrieben wird? Ich muss gestehen, der Unterschied in der Beschreibung in "Hilfe" und dem grünen Übungsbuch wird mir nicht ganz klar. Ich glaube es soweit verstanden zu haben, dass "Anmeldeversuche ü." sich nur auf Anmeldungen am DC beziehen und es keine Rolle spielt, ob ich mich über eine Terminalsitzung bzw. über eine Domänenanmeldung am Client authentifiziere. Allerdings steht im grünen Buch unter "Anmeldeereignisse ü." folgender Wortlaut: "Nur interaktive und Netzwerkanmeldungen am Domänencontroller selbst generieren Überwachungsereignisse." Mit diesem Satz fällt mein bisheriges Verständnis zu den Unterschieden. Ich hoffe, ihr könnt mir in dieser Sache eine Hilfestellung geben. Mit den oben genannten Begriffen habe ich in diesem Forum nach Beiträgen gesucht, bin aber leider nicht fündig geworden. Vielen Dank im Voraus. Liebe Grüße Steven McMegabyte

Vielen Dank für eure Antworten. Beste Grüße Steven McMegabyte

Hallo und guten Tag, ich suche nach der deutschen Entsprechung für folgenden Begriff: Universal group membership caching - disabled/ enabled Wo stelle ich das ein und was bedeutet es? Vielen Dank für eure Hilfe im Voraus. Beste Grüße Steven McMegabyte

Astrein! Eine bessere Erklärung gibt es nicht! Jetzt ist der Groschen gefallen..... Vielen Dank woiza..........

Guten Morgen! Vielen Dank für die Antworten. Ich sehe schon, ich unterliege irgendeinem Denkfehler..... Also mal schauen: Richtlinie A ist deaktiviert in der Domain Policy und aktiviert in (sagen wir mal) der OU Forum. Ist bei beiden GPOs weder "Kein Vorrang" noch "Vererbung deaktivieren" gesetzt, dann bleibt RL A aktiv. Weil: RL an OU überschreibt die RL der Domain Policy. In diesem Fall ist es egal, ob ich "Vererbung deaktivieren" am GPO der OU setze, oder? Auf der anderen Seite: Ist in der Domain Policy "Kein Vorrang" gesetzt, dann bleibt diese RL deaktiviert. Weil: "Kein Vorrang" überschreibt "Vererbung deaktivieren" Auch in diesem Fall ist es egal, ob ich "Vererbung deaktivieren" in der OU setzte, oder? Hmmm, ich glaube jetzt habe ich Bandsalat im Kopf.......... Ist diese Einstellung nur für RLs, die ich in der GPO auf aktiviert oder deaktiviert setze? Wenn ja, dann müsste die Richtlinieneinstellung "nicht konfiguriert" so eine Art Bypass sein. D.h. die Schalter "Kein Vorrang" und "Vererbung deaktivieren" werden bei solchen RLs nicht ausgewertet. Ist das richtig? Mit den besten Grüßen Steven McMegabyte

Guten Abend, ich bin neu in diesem Forum und wie es sich gehört, möchte ich erstmal Guten Tag sagen, bevor ich eine Frage stelle. Also: Guten Tag, liebe Forenteilnehmer! Ich bereite mich aktuell auf die 70-290 vor und die 5 Tage Vorbereitungskurs, die nun hinter mir liegen, haben mir eines gezeigt: Jedes Thema für sich genommen ist nicht schwer, aber diese Menge an Infos.....uff. Wie ich das alles in meinen Schädel bekommen soll, ist mir noch ein Rätsel. Aber nun denn, jetzt muss ich die Suppe auslöffeln, die ich mir einebrockt habe. Jedenfalls hat mein Trainer mir dieses Forum empfohlen, weil hier Greenhorns nicht gleich abgewatscht werden und weil Höflichkeit hier gelebt wird. Auf den ersten Blick kann ich das bestätigen. Aber nun muss ich doch schonmal eine Frage loswerden: Mir ist aufgefallen, dass es in den Postings zumeist um die Prüfungen geht (Ablauf, bestanden, nicht bestanden usw.). Kann ich hier auch Fragen zu den vermittelten Inhalten stellen? Wenn ja, dann hätte ich da nämlich schonmal eine: Thema GPOs & Vererbung: Mit "Vererbung deaktivieren" soll ch erreichen, dass von "weiter oben" keine Richtlinien auf das Objekt mit dieser Einstellung vererbt werden. Wenn ich mir die Ebenenstruktur so ansehe (Standort-RLs, Domänen-RLs, RLs an OUs), dann frage ich mich, warum die Default-Policies (DC und Domäne) in jedem Fall vererbt werden, obwohl in ihnen nicht der Haken "Kein Vorrang" gesetzt ist. Könnt ihr mir das erklären? Vielen Dank im Voraus. Mit den besten Grüßen Steven McMegabyte