grizzly999

Wie schon geschrieben, für alle Protokolle außer HTTP/HTTPS/FTP über Browser benötigt man den FW-Client vom ISA Server (ist auf der ISA CD mit drauf, oder bei Anhaken mit installiert worden) für die Benutzerauthentifizierung. ich weiss nicht, welchen Client du da meinst, aber offensichtlich nicht den FW-Client des ISA. Es IST möglich, das zu tun, wenn der FW-Client auf den Clients installiert sit (Gebetsmühle OFF :D ) Daher macht es durchaus Sinn, aber ohne geht es eben nicht. Das ist bei TCP/IP nunmal so. Da ist nichts schade dran, das ist logisch und man kann ja froh sein, dass Microsoft die FW-Clientsoftware anbietet. grizzly999

Von welchem Internetzugang sprichst du? Webzugang (HTTP/HTTPS)? Dann geht die FW-Richtlinie mit AD-Gruppen nur, wenn im Browser der ISA als Proxy eingetragen ist. Wenn es um andere Protokolle geht, brauchst du die Firewallclientsoftware auf den Clients. Steht aber auch alles irgendwo auf http://www.msisafaq.de grizzly999

Wie wird das Image erstellt und welche Fehlermeldung kommt genau? Was steht im Log des Clients? Außerdem weiß ich nicht, was das mit Tipps und Tricks zu tun hat. http://www.mcseboard.de/rules.php?u=4870#nr13 Verschoben .... grizzly999

was meinst Du damit? Oh sorry, da ist einiges an Buchstaben verwechsbuchselt worden. Muss heissen: Schema-Updates betrffen mich nicht ;) das Hinzufügen ist aber nicht möglich darum nur Vertrauen zu dieser einen Domäne .. Wenn ich mehreren Domänen vertrauen möchte müssen mehr VS bereitgestellt werden? Habe ja nicht gesagt, dass du die Domäne dort in den Forest nehmen solltest, du wolltest aber die Unterschiede wissen. Das ist einer davon. Ja. ;) grizzly999

Da brauchts kein großes Tutorial. ;) Routing und RAS Wizard starten, dort dann LAn-routing anhaken (Bei Bedarf herzustellendes Routing weglassen). Lediglich die Clients müssen mit dem korrekten Gateway eingerichtet werden (W2k3 IP in deren Netz) grizzly999

Nein, gar keiner. Wenn du mit der Diagnose CD keinen Fehler findest (RAM oder CPU), dann bleibt fast nur eine Neuinstallation grizzly999

Eiwei. Voher schon, also ganz zu Beginn, kannte der Router mit der 169.2 nicht die Route ins 10 er Netz, wehalb die Clients, die ihn als GW hatten nicht dorthin kamen. Das hast du nicht geändert, sondern mit einem "Workaround" gearbeitet (W2k3 als Router). Völlig legitim ;) Aber was macht dich nun denken, dass wenn du via W2k3 aus dem 10er Netz das GW 169.2. anpingst, dieser JETZT plötzlich den Weg in das 10er Netz kennt, wo er ja das Antwortpaket hinschicken soll :rolleyes: Der Timeout bei diesem ping ist mehr als logisch. grizzly999

Und die Stub Zone ist deshalb auch nicht erfunden worden. Der eigentliche Ansatz der Stub Zone ist eine Alternative zur "starren" Delegierung einer Sub-Domäne, bei der die authorisierneden NS der Sub Domain fest eingetragen werden. Damit diese Namensauflösung im Tree abwärts auf Dauer funktioniert, ist eine gute Kommunikation zwischen den DNS-Verantwortlichen der Sub Domain und der übergeordneten Domain unerlässlich. Wenn die DNS-Verantwortlichen in der Sub Domain NS hinzufügen, entfernen oder ändern, OHNE das den DNS-Verantwortlichen der übergeordneten Domäne zu kommunizieren, dann stimmt irgendwann die Delegierung in der übergeordneten Domain nicht mehr und eine Namensauflösung nach weiter unten schlägt fehl. Solche "gestörten" Kommunikationen findet man in der IT immer wieder, aus welchen Gründen auch immer. Sei es, aus Vergesslichkeit, oder aus dem "Wir sind unsere eigenen Herren und brauchen die da oben doch nicht" Gedanken, bis hin zu Dilletantismus. Wenn man aber in der übergeordneten Domäne eine Stub Zone für die darunter liegende Domäne einrichtet, dann den DNS-Verantwortlichen der Sub-Domain eindringlich kommuniziert "Ihr dürft da unten Nameserver-technisch alles machen was ihr wollt, nur bitte, wenn ihr den/die Master DNS ändert, dann MÜSSEN wir da oben das erfahren", dann habe ich selbst bei einer recht agilen autarken Administration in der Sub-Domain auch bei den angesprochenen Kommuniationsproblemen keine Probleme mit der Namensauflösung nach unten. ;) Das wäre eine der möglichen Design-Überlegungen, alle kann ich hier nicht aufzählen. Natürlich kann die Stub Zone auch als Alternative zum Conditional Forwarding für Domänen dienen, die aus einem ganz anderen Tree stammen. Dabei sind dann wieder mehrere Faktoren zu bedenken, die die Entscheidung beeinflussen können, wie z.B. sind Firewalls dazwischen und welche Ports sind geöffnet (53 TCp oder UDP). Der Traffic kann heutzutage objektiv eigentlich nicht das Entscheidungskriterium sein, denn der Unterschied an Traffic würde sich nicht mal bei einer 64 kB Leitung richtig bemerkbar machen (und wo hat man die noch). Der Mehr-Traffic bei einer Stub-Zone besteht darin, dass der Stub Server in den vorgegenenen Intervallen (MS default: 15 min) bei seinem Master nachfragt, ob Updates da sind. Das sind ein paar Pakete und dann wird er ein Paket herunteladen, mit dem aktualisierten SOA-Record, weil wie oft ändern sich die Name Server?! Die paar Bytes mehr Trafic, da pfeiffe ich heute bei den üblichen Verbindungen drauf. Nichts desto trotz laufen da mehr Pakete als beim Cond. Forwarding, was bei Prüfungsfragen durchaus ein Kriterium sein kann. Wollte ich einfach als Antwort hier loswerden, liegt daran, dass ich passionierter IT-Designer immer ein Kribbeln in den Stimmbändern bzw. in den Fingern verspüre, wenn ich o.a. Aussagen höre/lese. END PART 2 grizzly999

Nun, dann will ich auch meinen Senf dazugeben :D Die eben gegebene Ausführung ist eine etwas eingengte Betrachtungsweise, die ernstzunehmenden Designüberlegungen nicht unbedingt entspricht. Das merkt man schon daran, dass da solche Phrasen auftauchen wie "Das macht man grundsätzlich so, oder so,...." Design in der IT (hier Design der Namensauflösung) ist ein Prozess, der alle Faktoren einer Umgebung, zusammenträgt, abwägt und dann nach Inbetrachtziehen aller Alternativen möglichst objektiv die beste der Alternativen zum Erreichen des Ziels auswählt. Sofern keine technischen Muss-Anforderungen bestehen, bzw. eigentlich keine anderen Alternativen etwas zu lösen (als Beispiel: mehrere Domänen bei unterschiedlichen Kennwortanforderungen), sind Aussagen wie "Das macht man immer SO...." kontraproduktiv zu einem ordentlichen Design. Das dazu. Und: Das ist in mehrfacher Hinsicht nicht korrekt. Zum einen technisch nicht korrekt: Was bitte soll kürzer oder länger bei der DNS-Abfrage per Conditional Forwarding oder Stub-Zone sein?! Man erkläre mir das. In beiden Fällen habe ich einen anderen DNS zur Namensauflösung abzufragen, die dürften i.d.R. in beiden Fällen die selben sein, oder zumindest "genauso weit", was auch immer ""weit" bedeuten mag, oder hier wurde der Begriff des "kurzen Dienstweges" gebraucht. Der ist weder beim einen noch beim anderen wesentlich kürzer oder länger. /edit: Oh, 4000 Zeichen Limit überschritten :eek: END PART 1 Fortsetzung unten

Dann per Mail, wenn ..... grizzly999

Weiß denn das Gateway (192.168.169.2) wie es in das Netz 10.0.0.0 geht? Vermutlich nicht, dehslab funktioniert das auch nicht. grizzly999

Ja, schaue mal auf http://www.gruppenrichtlinien.de -> HowTo -> Ansicht:Details grizzly999

Mit meinem Linksys funktioniert das. Zufrieden? Ja :) grizzly999

Ah, das ist IMHO ziemlich easy. Du hast hast ja zuvor schon richtigerweise bestimmt, das es 7 Bits für die Netz ID sein müssen, wegen 2^7=128 (minus 2 = 126). Wenn man sich die Dezimalreihe der 8 Bits eines Oktetts anschaut, sieht das ja so aus: 128 64 32 16 8 4 2 1 Zähle mal 7 Bist von vorne her ab, wo steht das 7. Bit? Richtig, über dem 2er, also haben die Netze dezimal einen Abstand von 2, also 0,2,4,6,8,10, usw. Würde man 3 Bits nehmen, könnte man 2^3= 8 Netze bilden, das dritte Bit steht über der 32, die Netze wären also immer 32 auseinander: 0,32,64,96,128, usw. Anderer Rechenweg (vielleicht sogar noch "logischer"): ------------------------ 256 (=2^8 Möglichkeiten) geteilt durch die Anzahl der Netze = dezimaler Abstand der Netze. Im ersten Beispiel: 256:128 (Netze) = 2 Im zweiten Beispiel (oben): 256:8 (Netze) = 32 ;) grizzly999

Da musst du erst ein bootfähige CD davon brennen, z.B. mit Nero o.ä. Anschließend mit der CD booten, dann stehen diverse Testprogramme zur Verfügung grizzly999

Welches Programm? grizzly999

Aaaarrggll, natürlich. War beim Koppfrechnen bei 2^8256 habe dann verdoppelt und nicht hingeschrieben. Sorry, aber gut erkannt. Prüfung bestanden :D Yep, und zwar so weit, dass nur noch 6 Bits für die Host-ID übrig bleiben. Also 10 Bits für die Subnetz-ID, dann könnte man max. 62 Hosts pro Netz einrichten. Rechenweg für was? Für die ursprünlgiche Aufgabe oder die Zusatzfrage? grizzly999

Beim Router. Jo. Ich muss bei mir einen Schlauch wechseln. Kannst du mir sagen wie? . . . . . . . . Kannst du nicht? Überlege mal, warum nicht? . . . . . Weisst du wieviele Router es auf der Welt gibt? Ich meine unterschiedliche Router. Und dann kann man das bei den meisten verschiedenst ausgestalten, Freigabe für eine bestimmte IP, für einen IP-Range, für Benutzer, zu einer bestimmten IP, nach überall hin, zu einem bestimmten Range. Wie wäre es also, wenn du über deine Anforderungen bzw. die Umgebung auch noch was schreibst, als nur "Hey, ihr da wie schalte ich am Router....." :rolleyes: :rolleyes: grizzly999

Ich habe diesen Beitrag von dem hier abgetrennt: http://www.mcseboard.de/showthread.php?t=37223 da er zwar eine ähnliche Thematik hat, aber doch eine Sache und Fragestellung für sich ist. A: Die DNS-Namensauflösung zur jewils anderen Domäne muss passen. Entweder auf den DNS in beiden Domänen ein Forwarding zur andern Domäne einrichten oder - wenn zugelassen - eine sekundäre Zone der anderen Domäne einrichten. beides geht, ich würde der Erinfachheit halber Ersteres wählen. Dann kann die VS über AD-Domänen und Vertrauensstellungen als eine "Externe Vertrauensstellung eingerichtet werden". Der Unterschied zu einer VS innerhalb des selben Forests? Ich zähle ienfach mal auf, was mir in den Sinn kommt. Keine Rangfolge o.ä. dabei. Das Ganze aus Sicht der 2000 Domäne: - man kann den Globalen Catalog des anderen Forests nicht nutzen - Man hat ein eigenes Schema, das sich u.U. vom anderen unterscheidet, d.h. auch: scham-Updates dort betreffen mich nicht - Die VS ist nicht transitiv, d.h. Vertrauen zu anderen Domänen im Forest sind nicht gegeben, wären es aber als Mitgleid im selben - Die VS kann einseitig eingerichtet werden, im Forest sind sie immer zweiseitig und transitiv - Enterprise Admins aus dem anderen Forest haben bei mir keinerlei Berechtigungen - VS kann wieder gelöscht werden, innerhalb des Forest nicht Das sind mal einige Unterschiede auf die Schnelle. bestimmt postet der eine oder andere noch, was ich vergessen habe ;) grizzly999

Ahja?! :rolleyes: grizzly999

Was heißt "Auf Standard". Ich , und viele andere hier, kenne diese Panda FW nicht. Hast du die schonmal komplett deaktiviert? Und dazu dann auch die XP eigene FW deaktiviert? Im Moment halte ich das für ein Firewall Problem :suspect: grizzly999

Host-Berechung ist falsch. Wenn du 7 Bits für das Subnetting nimmst, bleiben 9 Bits für den Host-Anteil, macht pro Netz 2^9= 256 Hosts (ist auf jeden Fall mehr als 50 ;) ) Die 128 gebildeten Subnetze liegen dezimal geshen immer 2 auseinander (das letzte Bit steht auch über dem 2er). D.h. die Netze heißen 172.16.0.0 172.16.2.0 172.16.4.0 172.16.6.0 usw., alle mit /23 Dann sind die Hosts: 172.16.0.1 - 172.16.1.254 172.16.2.1 - 172.16.3.254 172.16.4.1 - 172.16.5.254 usw. HTH grizzly999

Nun, da du ja ins Internet kommst, hast du irgndwie/~wo einen anderen Rechenr. Auf den könntest du dir ein ISO Image von der Ultimat Boot CD im Netz herunterladen und bootfähig brennen. Da sind jede Menge Testprogramme für alle mögliche Hardware drauf. Vielleicht findet da ein Programm einen Fehler. http://www.ultimatebootcd.com/ Weitere Möglichkeit der Fehlereingrenzung: Du besorgst/brennst dir eine Bart's PE Boot-CD http://www.nu2.nu Mit der bottest du und öffnest die Datei C:\Windows\ntbtlog.txt. Welcher Treiber wurde da als letztes geladen? Das müsste mit hoher Wahrscheinlichkeit der sein, der Ärger macht, bzw das zugehöreige Gerät (muss aber nicht so sein). grizzly999

Wenn du die Grafikkarte ausbaust, dann ja nur, wenn du eine andere dafür reinsteckst. Ich würde sie aber erst mal drin lassen und erst dann tauschen, wenn es immer noch nicht geht. CD-ROM u.ä. brauchst du ja nur kabelmäßig abklemmen. grizzly999

Hi und willkomen :) Das ist meist ein Treiberproblem, viele Treiber kommen bei dir als Ursache nicht in Frage. Könnte auch ein Hardwareproblem sein, RAM z.B., Grafikkarte Prozessor eher unwahrscheinlich. Baue mal alles aus, was geht, aslse nur das notwendigste drin. Wenn mehrere RAM Riegel drin sind, nimm alle bis auf einen raus. geht es jetzt (wenigstens im abgesicherten Modus)? Wenn ja, dann sukzessive die Komponenten wieder hinzufügen. Wenn nein, kannst du HW tauschen (anderer GraKa, andere RAMS)? grizzly999