Operator

Hi,

google mal nach srvany.exe.

Damit kannst Du jede EXE als Dienst starten, so daß nicht mal eine Anmeldung am PC erforderlich ist.

Gruß

Andre

Hi,

bei vielen Switchen teilt man das Netzwerk häufig in mehrere VLAN's auf. Und meistens lässt sich doch so die Zahl der Switche stark einschränken.

Auf 5 Switchen kurz die MAC-Adresse zu suchen sollte doch kein Problem darstellen.

Ein Programm gibts dafür meines Wissens nach nicht. Aber Du könntest Dir natürlich eine entsprechende SNMP-basierende Anwendung schreiben... ;)

Gruß

Andre

Hi,

"Unverschlüsselt schreiben nein, verschlüsselt schreiben ja nach Freigabe" - so eine Einstellung wirst Du wohl nirgends finden.

Eine wirklich einfache Möglichkeit gibt es hierfür wohl nicht.

Da bleibt Dir nur das manuelle Verschlüsseln durch einen Admin (oder dezentral jemand "Vertrauenswürdigen" aus der entsprechenden Abteilung) und manuelles Kopieren auf einen USB Stick. Allen anderen sollte der Zugriff auf USB Sticks etc. entzogen werden.

Bislang reicht es bei uns, daß die Ports nur beobachtet werden. Sprich: Wenn jemand ein USB Gerät einsteckt, das in meiner firmenweiten Whitelist nicht enthalten ist, bekommen alle Admins eine Mail. Meistens erkennt man daran, ob ein Flashspeicher etc. eingesteckt wurde und es wird kurz telefonisch drauf hingewiesen, daß das nicht erlaubt sei.

Diese "Erwischtwerden" reicht den meisten, um es nicht erneut zu versuchen.

Dennoch ist das kein wirksamer Schutz, da viele Abteilungen mit Digicams hantieren, auf die ja auch beliebige Firmen-Daten kopiert werden können. Dann müsste man externe Datenträger inkl. Digicams komplett verbieten.

Eine komplizierte Alternative wäre noch, daß die User eine Art Austauschlaufwerk im Netz erhalten, in denen der Krempel abgelegt werden kann, der auf externe Medien gespeichert werden soll. Sowas könnte dann Scriptgesteuert vom Admin auf die wirklichen Medien verschlüsselt kopiert werden. z.B. über ein Webformular angefordert oder per Mail oder per Anruf. Umgekehrt dann analog. Aber das ist jedes mal mit viel Aufwand verbunden.

Ich hoffe trotzdem, daß ich Dir ein paar Infos geben konnte.

Gruß

Andre

Wollte ich auch meinen... das war die einfachste Konstellation im RRAS.

Sagst Bescheid, wenn's klappt?

Andre

Hi,

die IP des Internet-Routers darf so bleiben.

Jetzt muss nur noch der W2k3-Server Router werden, aber ohne NAT.

Ich hab die Menüpunkte gerade nicht im Kopf, aber das war auch eine Funktion des RRAS.

Ganz normales Routing statt NAT.

Such noch mal. Wenn Du's nicht findest, schau ich morgen mal schnell nach.

Gruß

Andre

Tach,

ja hab mich auch schon wieder geärgert, aber mein Textaufkommen war größer. Ätsch! :D

Aber hast wohl recht. Ist ziemlich nah dran. Ich kenn nenn Lehrer namens Hemker am Berufskolleg Ahaus (Hab meine FiSi Ausbildung da gemacht).

So jetzt aber Schluß mit OT zurück zur IT.

Schönen Abend noch

Andre

Hi,

da Du keine Details schreibst gehe ich mal davon aus, daß der Server ein Webserver ist und Du via HTTPS sprich SSL auf diesen Server zugreifst...

Da dies aber auch falsch sein könnte, antworte ich nur kurz.

Pro Webseite ist immer nur ein SSL Zertifikat gültig, aber vielleicht kannst Du ja mehrere Webseiten einrichten, die auf verschiedenen Hostnames lauschen und für diese dann verschiedene Zertifikate angeben. Wenn diese dann wieder auf dieselben Dateien weisen sollte das doch funktionieren, oder?

Ich hab jetzt leider keinen IIS etc. parat, so daß ich's testen könnte, aber in dieser Richtung würde ich mal recherchieren.

Gruß

Andre

Hi,

wenn Du das so lösen willst, bleibt Dir keine andere Möglichkeit, als die von ITHome.

Ein paar Erklärungen zu Deinem Szenario:

- Wenn der Router einen Ping initiiert, kennt er das 192.168.0.er Netz überhaupt nicht, also kann der Ping nur fehlschlagen.

- Wenn ein Client surft macht er dies durch den NAT Router des W2k3 Servers. Der Router sieht also nur den W2k3 RRAS Server als Client.

Wenn Du Port-Forwarding vom Router durch den W2k3 zu einem Client machen willst (was Dir aber die Sicherheit der DMZ zu einem kleinen Teil wieder kaputt macht), dann ist meiner Meinung nach eine 2-fach NAT Lösung zwar möglich, aber auch sehr fehlerträchtig.

Mein Vorschlag für die Installation:

- Clients sind im 192.168.0.0/24 Netz (wie gehabt)

- DMZ ist 192.168.1.0/24 (wie gehabt)

- Router stellt Verbindung zum Internet her, für Clients Internet via NAT

- W2k3 ist Router (kein NAT) zwischen 0er und 1er Netzwerk.

- Clients im 0er Netzwerk nutzen W2k3 als Standardgateway

- W2k3-Server nutzt Router als Standardgateway

- Internet-Router benötigt statische Route ins 192.168.0.0 Netzwerk mit W2k3-Server als Router.

Damit sollte der Ping von Router zu Client und umgekehrt funktionieren und eine Portweiterleitung vom Router direkt zu den Clients möglich sein.

Nach Möglichkeit solltest Du nur die verwendeten Ports am W2k3-Server für's Routing freigeben, um die Sicherheit hoch zu halten.

Noch Fragen? :)

Gruß

Andre

... und damit der MCSE 2003 an Wert verliert müssten erst mal sämtliche Firmen auf Longhorn umsteigen. Und da es immer noch genügend NT und 2000 Installationen gibt, die es erst noch zu migrieren gilt, würde ich mir da keinen Kopf machen ;)

Andre

Könnte es nicht sein, daß sich deine User gegenseitig blockieren?

Das würde zumindest erklären, warum es funktioniert während Du alleine am Server bist.

Gruß

Andre

Hi,

wie wär's, wenn Du Excel nicht im Browser öffnen lässt, sondern extern. Mit dem Schließen von Excel sollte der Prozess auch beendet werden.

http://support.microsoft.com/kb/q162059/

Gruß

Andre

Genau darauf bezieht sich mein Script. Es automatisiert die ganze Geschichte bei der Anmeldung.

Der entsprechende User ist eh DomAdmin und darf sich selbst modifizieren.

Andre

Hi,

ich hätte vielleicht eine Möglichkeit. Allerdings erzwingt diese keine automatische Abmeldung und der Intervall der Gültigkeit lässt sich nur datumsbezogen konfigurieren.

Dennoch denke ich, daß die Lösung bei Dir ganz gut funktionieren könnte.

Und zwar erstellst Du auf Basis des von mir erstellen Scripts eine .VBS Datei und kopierst diese bspw. ins NETLOGON Verzeichnis. Danach trägst Du das Script in's Profil des externen Dienstleisters, so daß es bei der Anmeldung ausgeführt wird.

Das Script sorgt dafür, daß das Ablaufdatum des aktuellen Benutzers auf den heutigen Tag gesetzt wird. Eine Anmeldung ist also für den Rest des Tages möglich.

Bei der nächsten "Aktivierung" muss das Datum dann nur noch wieder auf "Unbeschränkt" gesetzt werden.

Const ADS_NAME_INITTYPE_GC = 3
Const ADS_NAME_TYPE_1779 = 1
Const ADS_NAME_TYPE_UNKNOWN = 8

Set wshNetwork = WScript.CreateObject("WScript.Network") 
strUser = wshNetwork.UserDomain & "\" & wshNetwork.UserName 

Set adsNameTranslate = CreateObject("NameTranslate") 
adsNameTranslate.Init ADS_NAME_INITTYPE_GC, vbNullString 
adsNameTranslate.Set ADS_NAME_TYPE_UNKNOWN, strUser 
strDN = adsNameTranslate.Get(ADS_NAME_TYPE_1779) 

strExpireDate = date+1
set objUser = GetObject("LDAP://" & strDN)
objUser.AccountExpirationDate = strExpireDate
objUser.SetInfo 

Eine andere Möglichkeit wäre auf einem DC ein Script laufen zu lassen, daß bspw. täglich abends um 18.00 Uhr den Benutzer deaktiviert. Wenn er schon gesperrt ist, bleibt er einfach gesperrt. Falls das interessanter ist, könnte ich das auch noch coden.

Viel Erfolg!

Andre

:D Das kenn ich.

Und aus einem Netzwerk Client wird ein Netzwerk Kunde.

War aber 'ne MuT Übersetzung vom englischen Buch zur 70-216.

Andre

Du kannst es ja trotzdem mal mit einem User versuchen, den Du A nennst und sich in der OU B befindet, die sich ganz oben am Domainlevel befindet. Dann kannst Du Namensprobleme komplett ausschließen.

Zumal Du als DomAdmin alles machen dürfen solltest.

Gruß

Andre

Hi,

kann es sein, daß Du auf dem "Weg" zu den Gruppen bzw. Usern im Active Directory durch OU's läufst, die Sonderzeichen wie Slash, Backslash etc. enthalten?

Hatte mal so einen Fall in einem VBScript; einige API's etc. scheinen da nicht ganz mit umgehen zu können. Vielleicht ist es ja auch nicht LDAP konform ;-)

Nimm verdächtige Zeichen mal raus (umbenennen) und versuchs noch mal.

Ich hoffe ich konnte Dir weiterhelfen.

Gruß

Andre

Ok, dann ist das neu :)

Hab gerade mal bei Prometric geguckt. CCNA wird auf Deutsch angeboten, die INTRO jedoch nicht.

Dennoch denke ich sollte man die Prüfung auf englisch ablegen. So schwer sind die Texte ja nicht...

Andre

Hi und willkommen an Board :)

ich habe direkt die CCNA Prüfung gemacht, also ohne Splittung INTRO/ICND.

Die Inhalte der Prüfung findest Du hier: http://www.cisco.com/web/learning/le3/current_exams/640-821.html

Empfehlenswert für die Vorbereitung ist die englische CCNA Certification Library von Cisco Press (Wendell Odom). Da die Prüfung eh in englisch abgelegt werden muss, ist das sprachlich eine gute Vorbereitung.

Über die Anzahl der Fragen kann ich nichts sagen.

Simulationen würde ich in INTRO ausschließen, da es im Theorieteil wenig zu simulieren gibt.

Im ICND kommen auf jeden Fall Simulationen dran (Admin hat 2 Router via Framerelay verbunden, kein Connect, finden und korrigieren Sie den Fehler). Das fand ich aber nicht so wild. Kommt aber drauf an, ob Du schon mal mit IOS gearbeitet hast oder eben nicht...

Ich hoffe ich konnte Dir helfen..

Gruß

Andre

bisher ist mir kein problem bekannt das mit MS SP's, patches und hotfixes in verbindung mit TS / CTX aufgetreten ist, sofern du wirklich alles up to date bringst.

mir schon! Im TS von W2k3 SP1 kann es zu Bluescreens bei der Abmeldung der Benutzer kommen. Wir mussten entsprechende Hotfixes bei MS anfordern.

Der Fehler scheint nicht in jeder Installation aufzutreten, aber wenn, ist's immer sehr nervig. Vor allem zu Stoßzeiten der Abmeldung gegen 17.00 Uhr passiert das schon mal.

You may receive a “Stop 0x000000ab” error message when you log off a Terminal Services session on a Windows Server 2003 SP1-based Terminal Server

http://support.microsoft.com/kb/901150/en-us

A Terminal Services Server Generates a "Stop 0xAB" Message on a Blue Screen" Message on a Blue Screen

http://support.microsoft.com/kb/907242/en-us

Mehr ist mir aber auch nicht bekannt. Unsere 13 Server der CPS4 Farm laufen sämtlich unter W2k3 SP1 und sind voll gepatcht. Das Rollup Package von Citrix solltest Du auf jeden Fall installieren.

Gruß

Andre

Nein geht leider nicht. Aber F5 ist ja nicht weit weg.

Hi,

ich sehe vermehrt den Port 6881. Das ist ein BitTorrent Client, der im Sinne von P2P ganz viele Verbindungen aufbaut.

Der Rest wird vermutlich auch daher stammen...

Gruß

Andre

gibt es eigentlich eine möglichkeit, genau diese Infos per Verknüpfung direkt vom desktop aus zu sehen?

Hi DrLoop,

schön, wenn Dir das gefällt. Dann will ich den Luxus mal vervollständigen.

1. Start / Ausführen / mmc

2. Datei / Snap-In hinzufügen/entfernen

3. Hinzufügen: Freigegebene Ordner

4. Anderen Computer wählen, Name des Fileservers eintragen

5. Unter "Ansicht" dann "Geöffnete Dateien" wählen

6. Fertig stellen, Schließen, OK

OPTIONAL (damits schöner ist)

7. Das Child-Fenster (Konsolenstamm) doppelklicken -> Vollbild innerhalb des Fensters

8. Datei / Optionen / "Konsole1" ersetzen durch "Geöffnete Dateien"

9. Konsolenmodus: Benutzerzugriff - Vollzugriff

10. "Änderungen für diese Konsole nicht speichern" - Haken setzen

11. "Anderes Symbol" anklicken und oben "C:\WINNT\system32\shell32.dll" etc. eintragen und schöneres Symbol aussuchen

12. Nach Klick auf OK dann Datei / Speichern unter... wählen und die Konsole so abspeichern.

Nach dem Schließen und wieder Öffnen erscheint - Voilá - direkt die Konsole.

Die letzten Schritte sind notwendig, da man ansonsten jedes mal beim Schließen der Konsole gefragt wird, ob man die Änderungen speichern will. Und natürlich ist die Optik auch immer wichtig ;)

Die Schritte 3 bis 6 können auch mehrmals für noch mehr Server ausgeführt werden.

Dann wirds ne richtig schöne große Console...

Viel Spaß damit :cool:

Andre

Hi,

ich geb einfach mal meine Anregungen kund.

%LOGONSERVER%\NETLOGON\robocopy.exe %LOGONSERVER%\NETLOGON\ c:\temp

Meinst Du nicht, daß das synchronisieren von NETLOGON länger dauert, als der bloße Zugriff zum Ausführen darauf? Ich lasse 300 User auf die NETLOGON Freigaben los und kann keinen Engpass feststellen.

SET %USERPROFILE%=\\saturn\Profile\%USERNAME%

Nach der Anmeldung kann der Profilpfad nicht mehr geändert werden.

Dafür gibt es entsprechende Optionen im Benutzerprofil.

if exist p:\nul ....

Lass das weg. Das bringt Dir kaum Zeitvorteil.

Führ einfach den Delete des Laufwerks aus.

Zu den Gruppen antworte ich später; zuvor noch eine Frage.

Kann ein User in mehreren Gruppen sein?

Gruß

Andre

Hi,

Die beiden Aussagen sind so richtig. Nur würde ich bei der 2. Aussage schreiben: Die inkrementelle Sicherung sichert auf Basis des gesetzten Archivattributs.

Gruß

Andre

Hi,

- Computerverwaltung öffnen (z. B. Rechtsklick auf Arbeitsplatz, Verwalten)

- Rechtsklick auf Computerverwaltung (Lokal), Verbindung mit anderem Computer herstellen

- Name des Fileservers eingeben

- Navigieren zu System / Freigegebene Ordner / Geöffnete Dateien

Und da siehst Du dann was alles via Netzwerk geöffnet ist.

Gruß

Andre