grizzly999

Meines bescheidenen Wissens nach, gibt es diese Empfehlung so nicht vom BSI, aber ich lerne gerne dazu. Daher, wenn du dieses Statement für das BSI so abgibst, dann bitte belegen :) Es gibt auch gute Gründe, das genau nicht so zu machen, sondern, wenn mehrstufig, dann z.B. mit einer FW des selben Herstellers. Ein Grund wäre: wie schon mehrfach gesagt, ist eine FW auch immer nur so gut wie ihr Administrator. Zwei unterschiedliche Produkte heißt aber, auf beiden gleich fit zu sein, alle Ecken und Kanten beider Produkte zu kennen, und auch zwei Produkte Up-to-Date halten, nach Patches und Hotfixes schauen, usw. Das alles ist mit einem einzigen Produkt wesentlich einfacher, und wenn die eben angesprochenen Bedingungen nicht erfüllt werden, u.U. sogar sicherer. grizzly999

Doch, das würde funktionieren, zumindest, wenn beide DNS Microsoft 2003 DNS sind (mit anderen habe ich das nicht gestestet). Aber der Sinn erschließt sich mir nicht. Der interen DNS würde sich, wie Woiza schon schrieb, iterativ durch die ganzen DNS des angefragten Namenspfades im Internet fragen. Dazu muss der interne DNS natürlihc per FW-Rule generell mit UDP 53 in ganze INternet gelassen werden. Worin hier jetzt der "Sicherheitsgewinn" liegen soll, entzieht sich meiner Kenntnis. :rolleyes: Da ist es doch besser wie ursprünglich vom TO vorgeschlagen mit einem Forwarding auf den DNS in der DMZ zu arbeiten und die FW-Rule ganz spezifisch dafür einzurichten. Da stammen meines Erachtens wieder mal Aussagen von jemanden, den man gerne mal direkt befragen würde. grizzly999

Wäre mir neu. Ich wüsste von keiner Beschränkung außer den oben beschriebenen (Landesbindung, usw.). grizzly999

Nein. Eine autoriserende Wiederhserstellung einer OU hat bei mir immer geklappt. Wie hast du denn das genau gemacht? Klingt nicht nach "restore subtree %s" grizzly999

Ja, Microsoft Sharepoint Portal Server grizzly999

Bat2exe ist ein Beispiel von diversen Programmen. Allerdings sollte man sich in so einem Fall - Kennwörter sollen damit "unsichtbar" gemacht werden - die .exe hinterher mit einem Texteditor anschauen, ich hatte es auch schon, dass Textteile aus der Batch in der exe im Klartext drinstanden, auch Kennwörter. Und man sollte bedenken, dass man bei den meisten dieser Programme die exe auch wieder dekompilieren kann. grizzly999

Bei Vista wird auf dem Server ein Profil mit der Endung .V2 angelegt, also eines parallel zum bestehenden. Das bisherige bleibt auf dem Server so wie es ist liegen. Es werden einige Einstellungen ins neue Profil übernommen, aber bei weitem nicht alle. Nicht mal so lausig einfache DInge wie die Favoritenliste :cry: Deshalb musst du dann u.U. von Hand eineige Sachen rüberkopieren. Du könntest es aber auch mit Easy Transfer versuchen: Description of Windows Easy Transfer for Windows Vista grizzly999

Was sind das genau für Zertifikate, bzw. in welchem Speicher liegen diese? Sind die Zertifikate vertrauenswürdig? Was für ein VPN Server wird benutzt? grizzly999

Yep. Der Anmeldedienst checkt immer beim Starten ob alle relevanten SRV-Einträge vorhanden sind. Nebenbei: Netdiag /fix tut das u.a. auch grizzly999

Dann heben wir es mal dort auf ;) :) Moved .... grizzly999

oder 70-648 + 70-646

Hallo und willkommen im Board :) Das fällt in den Bereich "NAP (Network Access Protection)" und das wird es erst mit 2008 und Vista bzw. XP SP3 geben. Im Moment gibt es das für 2003 als mächtige Skript- und Bastellösung für RAS und VPN-Einwahl und nennt sich Quarantänesteuerung. grizzly999

Das geht so, aber warum nimmst du in den Bereich 10.150.2.223 -2.255 nciht die 32 Adressen von Netz F rein?! Dann wäre eine bessere Ausnutzung gegeben. grizzly999

Wie ich schon sagte. Nein! grizzly999

DC? Cluster? Das vergiß mal schnell wieder, DCs kann man nicht clustern. Für Redundanz sind mehrere DCs gedacht. Die Datenbankgröße? Das hängt davon ab, welche Attribute alle gesetzt werden, wiviele GPOs es gibt, wieviele OUs, wieviele Gruppen und Computer, wieviele Attribute diese gesetzt haben, usw. Aber es wird sich im Bereich von vielleicht 200-400 MB bewegen, schätzungsweise, also nichts, was eien heutige Platte nicht hergibt. grizzly999

Hallo und willkommen im Board :) gehe mal inder DHCP-Konsole auf die Eigenschaften des Servers. Im rechten Reiter unter "Bindungen" .... ;) grizzly999

Für AD-integrierte Zonen braucht's kein Zulassen von Zonenübertragungen. Frage: Bist du sicher, dass alles andere im AD vom Branch zum Headquarter repliziert wird? Zur Not, in der Zweigstelle einen Testuser anlegen und schauen, ob der in der Hauptstelle erscheint. Irgendwelche Fehler im Log? Welchen Repl.-Bereich im AD hat die DNS-Zone? grizzly999

Also dann, bei Interesse bitte nur per PN oder Mail. Closed grizzly999

Welche Verzeichnis? Nur die Website im IIS? Die bekommt man so nachträglich hin: certutil.exe -vroot grizzly999

Naja, wer kommt auch drauf, dass sich außer meinem Friseur auch die Knowledge Base mit grauen Haarren beschäftigt :D :D :D

Versuche es mal mit forfiles.exe und entsprechenden Paramtern (die Online Hilfe is your friend ;)) Ist bei 2003 schon dabei, bei 2000 nur im Resource Kit vorhanden. grizzly999

Warum sollte es nicht, oder was sollte technisch/rechnerisch dagegen sprechen. Das Zauberwort dazu heißt übrigens VLSM ;) grizzly999

Warum /23? /24 ist genug für 200 Clients (siehe oben) grizzly999

Nein, Metaframe bietet auch in der XPA Version "technisch" mehr. Man braucht halt zusätzliche Lizenzen, die hast du ja aber. DER Nachteil schlechthin, wieso ich generell von 2000 abrate: Es ist selbst aus dem Extended Support rausgeflogen, also nicht mal gegen bares bekommst du von Microsoft Support, wenn es klemmen sollte. Patches werden nicht mehr zur Verfügung gestellt, außer vielleicht wichtige Sicherheits-Updates. Aber wir hatten das schon, dass sich ein Problem auftut, es gibt sogar einen KB-Artikel dazu, zum Erhalt des Hotfixes soll man unter der Nummer 0XXXX anrufen (PSS). Dort erfährt man dann, dass die wegen kein Support mehr den Hotfix nicht rausgeben. Pech gehabt. Nein, sowas kann ich nicht mal meinem schlechtesten Kunden empfehlen. grizzly999

Das ist in dieser Art falsch. Korrekt ist das hier zwar: Aber dann geht das Netz von 10.0-11.254 Damit ist das hier dann falsch : Denn dieses Netz wäre ja jetzt im Bereich von A. Für B müsste man dann das 12er Netz nehmen ;) grizzly999