grizzly999

Wenn du den SSID Broadcast abgeschaltet hast, dann hast du aber den Netznamen händisch bei WLAN Client eingetragen?!

grizzly999

Schalte doch die Überwachungsrichtlinien per GPO ein und überwache in den NTFS-Eigenschaften alle erfolgreichen Zugriffe für die Gruppe Jeder auf die Datei. Im Log sollte man den auslösenden Prozess sehen können.

grizzly999

Ist sehr OT, aber googlen hilft hier, z.B.:

http://de.wikipedia.org/wiki/Heatpipe

http://www.quick-cool-heatpipe.de/bibliothek.html

u.w.

grizzly999

Hab Funktioniert sage ich nur Merci. Woher kennst du dich eigentlich so gut aus??? Lernt man das wenn man MCSE lernt ;-)

Naja, auch. UNd wenn man MCSEs ausbildet, und vor allem viel Praxis sammelt ;)

grizzly999

Es muss doch irgendwie machbar sein

Ja, ist machbar. Setze einen CITRIX Server mit Presentation Server ein. Da gibt es diverse Token-Lösungen dafür.

... nur st es nicht gerade sinnvoll jedes mla eine SmartCard -Leser mit sich rumzutragen

Dafür ist der Presentation Server gedahct, von überall her mit Port 80 bzw. 443 zugreifen.

Mit Microsoft Mitteln ist das nicht machbar, außer mit Smartcard.

grizzly999

Wenn der Hersteller des Tokens keine Erweiterung dafür anbietet, denke ich nicht dass das geht. Microsoft bietet nur die Anmeldung über Smartcard an (bei 2003 TS)

grizzly999

Rechte Maustaste auf Firewallreglen -> System Policies ;)

grizzly999

Ich benutze auch DirectUpdate und bin auch hochzufrieden damit. IMHO einer der besten Clients für DynDNS-Accounts :)

grizzly999

Doch, wenn man auf dem ISA in den Systemrichtlinien die HTTP-Konnektivitätsverifizierung anschaltet, oder eine FW-Regel Lokaler Host -> extern einrichtet (nichts anderes macht die Systemrichtlinie).

Namensauflösung muss natürlich auch funktionieren.

grizzly999

Nein, das muss in eine Gruppenrichtlinie, die kann lokal sein, am besten richtet man die aber im AD ein, an einer OU unterhalb derer sich das/die Computerkonto(en) befinden, fürdie die Richtlinie gelten soll. Dort in der Richtlinie dann unter Computerkonfiguration\Windows Einstellungen\Skripts\Startskripts

grizzly999

Hast du schon versucht, dich als ADkinistrator anzumelden, mit dem Kennwort, das du bei der Installation eingegeben hast?

grizzly999

Du sagtest doch selber, das dauert keine 60 Tage ..... ?!

grizzly999

@grizzly999: ist das nicht für die authoritative Wiederherstellung der ADS?

Nicht nur.

Wenn man vorhat, einen DC länger als 60 Tage offline zu nehmen, dann kann man allerdings anstatt die TombStone Lifetime hochsetzen hinterher etwas rumbatseln und die LingeringObjects gerade biegen, oder die Strict Replication Consistency abschalten.

http://support.microsoft.com/kb/317097/en-us

Besser finde ich, den DC wenn es geht gar nicht so lange offline zu nehmen ;)

grizzly999

Gemäß der Standard TombStone LifeTime maximal 60 Tage

grizzly999

@velius:

Du hast Recht: ISA Server ist ´ne Top-FW aber direkt auf den SBS gibt es da schon gewisse Beschränkungen.

Ja, ISA auf einem SBS ist mit Sicherheit nicht die Idealkonfiguration (geht aber bei der PE nicht anders), und hat seine Ursachen vor allem darin, dass man auf einer FW nicht unbedingt einen DC laufen lassen sollte. Da muss man doch mächtig viele Ports öffnen und zusätzliche Dienste laufen lassen, die eigentlich nicht auf eine FW gehören.

grizzly999

Danke für Deine Sorge, aber offensichtlich konnten die anderen etwas mit meinem Problem anfangen

Dann wäre ja dein Problem jetzt gelöst.

Netzwerk langsam, da kann ich mir viel drunter vorstellen oder auch was malen :rolleyes:

Ich erwarte da etwas detailiertere Beschreibung und vielleicht sogar ein wenig systematische Vorabeit.

Bei was langsam? Beim Öffnen einer Datei auf einem Netzlaufwerk? Wenn ja, nur in der Netzwrkumgebung, auch bei gemappten Laufwerken? Nur bestimmte Filetypen? Nur beim ersten mal? Oder immer? Auf ALLEN Clients, oder nur ein paar? Wenn ja auf welchen? Bei allen Benutzern, oder nur ein paar? Ist der Fehler IMMER da, oder nur temporär? beim Zugriff nach egal wohin, oder nur auf einen Server? Auf andere Clients?

Oder geht es um den Internetzugriff, oder langsame Namensauflösung? Ist es nur der Zugriff auf Dateien, oder Zugriff auf Webserver auch?

Und was ist langsam? 0,5 Sek warten, 2 Sek, 1 Minute?

Und den Rest, der interessant sein könnte für ein Troubleshooting, den denkste dir jetzt noch selber aus, bevor du deine grundlegenden Untersuchungen anstellst und uns wieder informierst ;)

grizzly999

pcwrunas kann ich nur empfehlen, das setzen wir auch ein. wie auch immer da du da wohl ein admin passwort mitgeben kannst / musst wäre es hilfreich die batch in eine exe umzuwandeln. dafür gibt es mehrere tools zum kostenlosen download z.b.:

 

http://www.freeware.de/Windows/Programmierung/Programmierung/Sonstiges/Detail_Batch_Converter_13243.html

Ist aber nur für DAU's, nicht für Profis. Gehört zwar in die Kategorie "Ich kann danach Strings wirklich nicht mehr aus der Exe lesen" (Bei vielen kann man das aber, z.B. übergebene Kennwörter), aber das Tool kann freundlicherweise genau seine eigenen Exes wieder in eine Batch zurückverwandeln. In die Originale :shock:

grizzly999

Ja und Nein.

Wenn du das bei "Allen anderen Domäne" eingetragen hast, im Prinzip ja. Allerdings wartet der ISA im Standardfall ("Keine Rekursion verwenden" NICHT angehakt) die vorgegebene zeit (5 Sek) und macht dann eine Abfrage über die root Server, so er kann.

grizzly999

Hallo Joe, nichts für ungut, aber ich lese da eine Menge EDV-Stammtisch-Parolen, aber nichts, was irgendwie sauber fundiert ist

Der ISA-Server mag FW-Funktionen bieten, jedoch widerspricht der Einsatz eines ISA-Servers als äussere FW jeglichem FW-Konzept. Für die Absicherung eines LANs sollte immer eine dedizierte HW-FW eingesetzt werden.

Quark. Für die Absicherung des LANs sollte immer verwendet werden, was sicher ist. Und das ist der ISA neben vielen anderen ebenso.

Wenn du mir einen Windows-Server zeigst, der keine Datei-/Druckerfreigaben, keine offene Ports und ähnliches hat...

Wenn du mir einen ISA zeigst, der ohne Zutun eines Admin irgendeinen dieser oder anderer Ports nach außen hin offen hat ...

Und angesichts der wöchentlich erscheinenden Sicherheitslücken halte ich ein auf Windows basierendes System nicht als geeignet, eine Sicherheitsfunktion (Firewall) zu bieten

Die meisten davon betreffen den IE. Du weißt wieviele in den letzten 3 Jahren den 2003 Server direkt betrafen? Bis letztes Jahr waren 4 oder 5.

Dedizierte HW-Firewalls haben ein speziell dafür ausgelegtes Betriebssystem

Sind RISC Systeme, ja, aber RISC steht nicht für risikofrei ;)

Aber da du ja Experte in HW Firewall bist, kannst du mir sicher so Pi mal Daumem sagen, wieviele Patches - und ich meine richtige Patches, also wegen Security - es in den letzten 3 Jahren für die Pix gab, oder Firewall-1 oder Watchguard oder oder oder..

Ok, Mehr oder weniger als für den 2003 Server :suspect:

Ansonsten frag mal einen HW-FW Profi (der sich vor der Antwort nicht drückt!)

So, und da setze ich an, und viele Sicherheitsexperten auch. Deine viel herbeigeschworenen Sicherheitslücken beim ISA mit Server 2003 drunter: Ich mache eine Wette, dass mehr als 95% dieser Server und ISA von den Patches her besser versorgt sind, als 95% aller HW-Firewalls.

Es sind derer (HW-FWs) viele viele viele auf der Welt im Einsatz, und es sind derer viele, die sie nicht bedienen können, geschweige denn patchen und auf dem Stand der (Sicherheits-)Dinge halten können.

Diese Firewalls, oftmals jahrelang nicht upgedatet oder gepatcht (weil ist ja CISCO und damit autom. sicher; bis ans Ende der Zeit :D ) stellen ein größeres Risiko da, als ein gepflegter ISA, und das sind die meisten. Und warum? Weil die für viele Admins einfacher zu bedienen sind (am besten mit Kurs), und weil da das Sicheheitsdenken gerade wegen MS-Produkt höher ist.

Dann bekomme ich mit dem ISA Server eine Firewall, deren Umfang nur von wenigen überboten wird, und zu diesem Preis-Leistungsverhältnis sowieso nicht. Ich rede hier nicht von popeligen Port-Filtern, ja lasse Port 80 rein und mache den Port da zu. Zu mehr reicht es bei den meisten anderen FW nicht, aber zum 10fachen Preis und mehr teilweise, da reicht es gleich.

Ich rede von einem Multi Layer Application Filtering, feinst einzustellen, bis zum geht nicht mehr (dabei geht es auch um Sicherheit ;) ), von Site-to-Site Tunnels und VPN-Clientunterstützung mit Quaranänefunktion wenn man will, einzurichten nach Anleitung im Internet, wo man bei anderen FWs den teueren Spezialisten kaufen darf, so man einen guten bekommt, und Sonderwünsche wie "Die VPN Clients müssen auch gleich auf die Branch-Offices zugreifen können", auweia, ich glaube, da müssen wir noch ein paar Stunden extra fakturieren für die Config ihrer HW-FW.

Das sind die Fakten, zumindest ein paar, aus Sicht der Sicherheit, der Bedienbarkeit und des Return of Invest.

Achja, ich weiss, wovon ich rede.

grizzly999

Wenn ich den Thread so durchlese (zum Schluss hin überfliege) ...... :rolleyes:

Da wird viel geschrieben, im Eröffnungsbeitrag seeehr viel über die Umgebung , was sehr löblich ist, meistens bekommt man hier inzwischen ja gar keine Informationen mehr geliefert, sondern nur noch ein schlecht beschriebenes Problem an den Kopf geknallt.

Dann viel wegen DNS und Hosts usw.

Was ich diesmal vermisse, wo außer der Überschrift ist denn mal das Problem detailiert beschrieben, und ich meine detailiert. Alleine mit der Überschrift und dem Satz "vor dwem Umzug ....." kann ich nichts anfangen, und wahrscheinlich die anderen Profis auch nicht

grizzly999

Microsoft leifert keine mit. Wie ich bereits sagte, wen du keinen Server hast, auf dem du eine Zertifizierungsstelle aufsetzen kannst, gibt's keine => Preshared Key verwenden.

grizzly999

Geht übrigens nicht bei Windows 98 und ME.

Achja, bei XP Home auch nicht, aber mal wieder ein Fall von ganz dollen Angaben

grizzly999

Darum ging es mir ja.

Ja, darum ging es DIR, aber ihm nicht. Bei seinem Problem ist ihm damit nicht geholfen, und das ist nunmal sein Anliegen und Ansinnen des Boards hier (konkrete Hilfe für konkrete Probleme zu geben)

 

grizzly999

Ja, mit pac-Datei geht's auch. Ich persönlich finde GPO immer noch bequemer ;)

grizzly999

Ja, man kann über die Antwortdatei den Rechner bei RIS gleich in die Domäne aufnehmen lassen

grizzly999