grizzly999

Aber da war glaube ich eine ziemliche Entfernung zwischen uns, Puuhhh :D

ntbackup würde auch gehen grizzly999

Aber nix Ansteckendes, oder ?! :D :D

Da brauchst du nicht groß nachschauen, du musst nur deinen eigenen eigefügten Hilfetext lesen: Du weisst, was ein CA Certificate ist, und du kennt den Unterschied zu einem Client Certificate (incl. private Key)? grizzly999

Dieses "Wunschthema" hatten wir schon ein paar mal im Board behandelt. Suche mal nach Stichwort Teaming. Um es hier schon zu sagen, das wird so nicht einfach gehen. grizzly999

Das geht alles mit Linux Boardmitteln, da muiss man keinen Cent in bar investieren. Aber wie schon gesagt, da muss man mächtig basteln. Und solche Zusatzprodukte, die kochen auch nur mit Wasser. Ich kenne dieses spezifische Produkt nicht, aber wenn das unter Linux einfach mit Klick and Play funktionieren würde, das würde mich etwas wundern. Es gibt allerdings eine Menge solcher AD-Intgrationstools (Payware) für Linux. grizzly999

Sorry, ich muss mir jetzt auch was von der Seele schreiben, und wer mich hier im Forum kennt, weiss halt, ich bin manchmal grausam ehrlich :o Ich denke, du hast einfach nicht genügend Ahnung von dem Produkt, aber, so vermute ich mal aus miener Praxis, vor allem hier im Board, der ISA ist halt von Microsoft, und wie mit vielen Backoffice Produkten wird es oftmals so sein, "Ich kenne doch den NT/2000/2003 Server, den kann ich einigermaßen bedienen, und alls wie im Server schön Klicki-Bunti, das kann ja dann nicht schwierig sein". So ist's mit allen Produkten von Microsoft, egal ob Exchange, ob Sharepoint Portal, ob SQL oder auch ISA usw. Es laufen abertausende ISA 2004 in dieser Welt, es gibt hier und da Probleme, aber so gut wie keiner hat diese Probleme, heute geht das nicht, morgen das dafür, und nach einer Neuinstallation ist es dann genau umgekehrt. Die meisten ISAs tun klaglos ihren Dienst, auch alle, die ich aufgesetzt habe, und die, die die vielen hunderte anderen ISA-Leute aufgesetzt haben. Seltsamerweise suchst du Schuld dann nicht bei dir, sondern es ist wieder mal der liebe XXX-Server von Microsoft schuld, wie so oft. Du hast dich ausgiebig mit dem Produkt beschäftigt? Ich meine so ausführlich, wie es sich für eine Backoffice Produkt gehört? Du hast gar einen ISA-Kurs besucht? Du hast den dicken Schmöker von Dr. Thomas Shinder weitgehend durchgeackert? Du hast den Einsatz vor der Installation geprüft und notfalls auch auf Funktionalität im Lab getestet? So, das musste ich hier mal los werden :D grizzly999

Das stimmt so nicht. Services for Unix bietet u.a. an, eine Passwortsynchronisation zwischen den NIS-Servern bzw. Server mit passwd-Dateien und dem AD durchzuführen, logischerweise gibt es dabei immer zwei Benutzer zu pflegen. Es gibt die Möglichkeit, Linux-Rechner mittels Kerberos gegen das LDAP authentifizieren zu lassen, aber das sei hier betont(!!), das ist alles andere als trivial. Services For Unix bieten aber u.a. ein NFS-Gateway an, die Resourcen werden also auf dem Server mit SFU gemappt und den Microsoft-Usern auf MS-Seite zur Verfügung gestellt. Da gibt's aber auch das eine oder andere zu bedeneken, nicht zuletzt auch die Frage wieviele Benutzer, usw. Allgemein bieten die SFU einiges, aber man muss sich schon auf beiden Seiten, Linux und Microsoft ziemlich auskennen. Bei Microsoft gibt es einiges an Papers zu SFU, z.B. http://www.microsoft.com/windowsserversystem/sfu/productinfo/features/default.mspx mit weiteren Links. Ansonsten hat Gulp schin gesagt, dass SAMBA hier ein wenig selber bietet. grizzly999

Das stimmt so nicht. Services for Unix bietet u.a. an, eine Passwortsynchronisation zwischen den NIS-Servern bzw. Server mit passwd-Dateien und dem AD durchzuführen, logischerweise gibt es dabei immer zwei Benutzer zu pflegen. Es gibt die Möglichkeit, Linux-Rechner mittels Kerberos gegen das LDAP authentifizieren zu lassen, aber da sei gesagt, dass das alles andere als trivial ist. ServicesFor Unix beiten aber u.a. ein NFS-Gateway an, die Resourcen werden also auf dem Server mit SFU gemappt und den Microsoft-Usern auf MS-Seite zur Verfügung gestellt. Da gibt's aber auch das eine oder andere zu bedeneken, nicht zuletzt auch die Frage wieviele Benutzer, usw. Allgemein bieten die SFU einiges, aber man muss sich schon auf beiden Seiten, Linux und Microsoft ziemlich auskennen. Bei Microsoft gibt es eineiges an Papers zu SFU, z.B. http://www.microsoft.com/windowsserversystem/sfu/productinfo/features/default.mspx mit weiteren Links. Ansonsten hat Gulp schin gesagt, dass SAMBA hier ein wenig selber bietet. grizzly999

Wenn er der Gruppe Richtlinien Ersteller Besitzer angehört, kann er zwar nuee Richtlinien erstellen und bearbeiten, vorhandene sind davon nicht betroffen (klar). Da musst du ihm explizit für diese Richtlinien die Berechtigungen geben. Richtlinien erstellen sollte er aber können, aber braucht auch die Berechtigung gPOLink zu erstellen und zu verwalten (oder so ähnlich) auf der OU, hat er diese Berechtigung auch? grizzly999

Das kommt darauf an, ob die Firewall NAT macht, oder routet, Wenn die nattet, dann muss es an die FW und die muss eine Regel zum Weiterleiten haben. Wenn sie routet muss es an die Zieladresse, wobei der router dann die Route in das Netz kennen muss. grizzly999

Hmmm, würde mich aber dann wenigstens in der Theorie interessieren, wenn du das hier schon verkündest. Ich sage, das geht nicht mit certutil :D grizzly999

Das liest sich schon ein wenig anders, als Zudem gilt das richtigerweise nur bei 2000 Pur Modus oder höher UND in einem Mehrdomänen-Forest. In einem Single Domain Modell ist das hinfällig, da eh jeder DC die kompletten Informationen hat. grizzly999 /edit: Oh, hatte IThome ja auch schon geschrieben, und ich nicht ganz durchgelesen :)

Und wieso nix DHCP? Und "DNS auslagern"? Bänder kann man auslagern, aber DNS ? grizzly999

Etwas weniger an Infos, aber dafür schön übersichtlich (sorry Thommy, kein Kritik ;) ) und auf Deutsch hier: http://www.msisafaq.de grizzly999

Woher die Erinnerung? Microsoft sagt, was mit derenn Zertifizierungen Sache ist, und wenn die sich Entscjheiden, irgendwann eine Zertifizierung zu widerrufen, dann ist das halt so. grizzly999

Ich verstehe die Aufregung nicht ganz, wie kann man sich an sowas hochziehen? Ist doch ganz einfach, da ist eine Fehler in der Musterlösung von wasweissichwas, in dem Bild für den DMZ-SUS muss es heissen "Save the Updates to a local Folder", der Rest stimmt und ist schlüssig und praxisgerecht, so what? :rolleyes: grizzly999

Seit wann das? Und die eventuell vorhandenen FSMO-Rollen werden automatisch beim demoten verschoben. grizzly999

hehe :D :D :D (Das Problem habe ich nicht)

Für dich persönlich können diese Zertifizierungen natürlich auf ewig gültig sein, und du kannst sie auch an der Wand hängen lassen, bis sie zerfallen, aber wenn es widerrufen ist, darfst du dich nicht mehr Microsoft Certified XXX nennen, und auch offiziell das Logo nicht mehr benutzen. Außen vor natürlich: du hältst eine andere oder eine Nachfolgezertifizierung, die gültig ist. grizzly999

Domäne, Arbeitsgruppe?

Die Zertifizierungen sind solange gültig, bis sie Microsoft widerruft bzw. für ungültig erklärt. Das geschieht in der Regel mind. 1 Jahr im voraus. Aber es gibt hier keinen Automatismus. NT 3.51 ist inzwischen widerrufen :D grizzly999

Also es gibt eineige Beispielskripts auf der ISA-Server CD, ein paar zusätzlich unter http://www.isatools.org, in einigen ISA-Büchern sind Begleit CDs mit weiteren VB-Skripts, aber es ist mir jetzt keines bekannt, um Regeln zu aktivieren und zu deaktivieren. Im SDK auf der CD sind aber Aneltiungen und Schnittstellen, um sich selber Scripts zu erstellen. NUR: Ich frage mich wie mein Vorredner, was du genau damit bezweckst? Warum soll eine Rule aktiviert werden, wenn ein Zugriff von einer bestimtmen Adresse ...? Die Rule ist da, wenn man sie einrichtet, sie ist aktiv und wirkt. Warum sollte amn sie erst.... grizzly999

Du verwirrst mich Ich sage, das Root Zertifikatkann man per GPO verteilen, und du sagst das sei gut, und jetzt fragst du nach einem Skript dafür. Schau dir mal den certutil-befehl an, der kann hier eine Menge machen (certutil -installcert) grizzly999

Das RootZertifikat kannst du per GPO verteilen, aber Clientzertifikate nicht (natürlich nicht, wir schieben ja keine privaten Schlüssel so einfach übers Netz). Mit 2003 und XP wäre es möglich Clientzertifikate per GPO anfordern und automatisch registrieren zu lassen, aber nur in dieser Verbindung grizzly999