grizzly999

Für IPSec braucht man ein Computerzertifikat auf beiden Seiten (VPN-Server und VPN-Clieent). Für EAP braucht der Benutzer auch ein Benutzerzertifikat. grizzly999

Es hängen aber nur die Hälfte, die anderen darf ich nicht aufhängen, wegen der Löcher in der Wand :rolleyes: grizzly999

Ja, das passiert automatisch. Wenn man den BDC zum PDC promotet, wird automatisch der PDC zum BDC demotet. Voraussetzung ist, dass sich bei sehen und unterhalten können. grizzly999

In dem Download-Link zum Kompendium im folgenden Thread kann man auch das eine oder andere nachlesen: http://www.mcseboard.de/showthread.php?s=&threadid=39233 grizzly999

Im aktuellen Windows 2000 Magazin war ein Artikel drin, nicht allzu tiefgreifend, aber immerhin. Ich weiss nicht genau, ob das der Komplette ist (zu faul zum Nachschauen :wink2: ) : http://www.win2000mag.de/O/149/Y/85627/default.aspx grizzly999

Nett .... :) Wäre wahrscheinlich schon arg spät, auch einen schönen ersten Advent zu wünschen, aber dennoch für die restliche Stunde. Oder: ich puste dann die Kerze aus (freu) ... grizzly999

Ich nehme immer die im Format 28cm x 35cm, dann mittig einlegen, das finde ich ok. grizzly999

Naja, hilft auch nicht bei verschlampten/gelöschten Keys, formatierten Systemlaufwerken wo die verschlüsselten Daten noch auf D: liegen, und solchen Problemen. Insebsondere bei XP und 2003 gilt: Key weg und nicht gesichert gewesen, kein DRAQ, vergessen wir die verschlüsselten Dateien ;) grizzly999

Wnn du den ersten Weg wählen würdest, dann müsstest du vorher den BDC zum PDC promoten, denn nur dieser lässt sich upgraden. Ich empfehle aber immer das ADMT, das ist der sicherste Weg. grizzly999

Ich habe des tsweb noch nicht auf 2000 installiert, ABER: es müssen immer beide Seiten mitspielen, und der TS von 2000 ist In My Humbled Opinion nicht in der Lage die Konsole zu übergeben, und es würde mich ganz schwer wundern, wenn lediglich eine Clientsoftware den TS-Server Dienst dahingehend ändern sollte :suspect: Ich behaupte solange niemand das Gegenteil beweist, dass die Konsole erst ab 2003 Server übernommen werden kann (RemoteDesktop von XP mal außer Acht gelassen) grizzly999

Netzmakse 240 heißt, es werden 4 Bits für die Subnetmask verwendet, das macht ein Inkrement (dezimaler Abstand zwischen den einzelnen Netzen) von 16, weil das 4. Bit über der 16 steht (in der Reihe 128 64 32 16 8 4 2 1). Die Netze gehen also von 0-15, von 16-31, von 32-47, von 48-64, usw. Demnach geht das Netz, in dem sich der gegebene Rechner befindet, von 199.4.5.96- 199.4.5.111 Dann gehören die Adressen von d) e) f) zu meinem Netzwerk. Das ist aber eine "schräge" Frage. Wieviel Netze ich da adressieren kann? Wenn ich will, 254, jede Adresse ein eigenes Netz, das wäre z.B. so bei den Adressen, die ein RAS-Server an die RAS-Clients rausgibt. es gehen natürlich auch weniger, z.B. 126, oder auch 64 oder 32 oder ...... 1 Demnach kommen nur a) un b) in Frage, denn 510 Netze kann ich innerhalb eines Class C auf keinen Fall adressieren, man hat ja nur 256 Adressen insgesamt. grizzly999

XP kann weder RAID 1 oder RAID 5. grizzly999

Was Velius mitteilen wollte ist, dass die Richtlinie nur wirkt, wenn sie in der Domäne auf die OU Domain Controllers wirkt. Auf OUs mit anderen, normalen Computerkonten ist sie wirkungslos, da die genannte Einstellung auf den DCs vorgenommen werden muss. grizzly999

Z.B. so: http://www.mcseboard.de/showthread.php?s=&threadid=10244 Ich weiss jetzt nicht mehr, ob das MS-Tool con2prt.exe da drin auch erwähnt wird, würde ich auf jeden Fall nehmen. grizzly999

Da gebe ich Kohn recht, ein völlig unnötiges Doppelposting :mad: grizzly999

Danke für den Tipp (ich verschiebe den mal auch in das entsprechende Forum Tipps und Links), und welcome back. Anm.: Das gleiche erreicht man auch über eine Gruppenrichtlinie: http://support.microsoft.com/default.aspx?scid=kb;de;246261 grizzly999

Olei hat recht, bei lokalen Gruppenrichtlinien gibt es nicht die Möglichkeit, verschiedene Einstellungen verschiedenen Benutzern zuzuweisen. Das ist für die AD-Domäne vorgesehen. Für Admins gibt es eine Ausnahme zum Basteln: http://www.mcseboard.de/showthread.php?s=&threadid=18462 grizzly999

Hm, laut Amazon wäre das aber erst nächstes Jahr unterm Tannenbaum, Erscheinungstermin geplant: 30.01.2005 http://www.amazon.de/exec/obidos/ASIN/1931836191/qid=1101419549/ref=sr_8_xs_ap_i1_xgl/302-1905797-9456062 grizzly999

Jaein, bei NT war sowas mit entsprechenden Tools und Know How theoretisch (und auch praktisch?) möglich, in dem man einen neuen Zugriff initiiert und auf dengesendeten Challenge den abgefangenen Hash neu einspielt. Bei Kerberos sind solche Replay-Attacken so gut wie ausgeschlossen. Wie gesagt, bei Kerberos nein, weder gleich noch 600 Minuten lang. Wer wissen will, wie Kerberos funktioniert, dem empfehle ich dieses ausführliche White Paper: http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp grizzly999

Nein, leider wird beim ISA 2000 kein Log für geblockten internen Verkehr geführt, nur für geblockte externen Verkehr. Das gibt's erst beim ISA 2004 :( grizzly999

Und die Anwendung dazu läuft oder laufen auf dem ISA-Server selber, weil sonst sind Paketfilter falsch, dann wären Protokollregeln richtig. grizzly999

Man wird danach gefragt, was für eine CA man haben will, wenn man sie installiert. Die Optione für eine Unternehmens-CA sind aber nur freigeschaltet für entsprechend auhtorisierte User (Enterprise Admins). grizzly999

@certify: Die erste Aussage hast du nicht korrekt gelesen. In einer Arbeitsgruppe, also alleinstehender XP gibt es standardmäßig keinen Wiederherstellungsagenten. Bei 2000 schon, da war es der lokale Admin. Die zweite Aussage stimmt, sofern an der Standardrichtlinie in der Domäne nichts geändert wurde. Will man auf einem Alleinstehenden XP einen Wiederherstellungsagenten hinzufügen, muss erst ein entsprechendes Zertifikat erzeugen. Das ist denkabr einfach: http://support.microsoft.com/default.aspx?scid=kb;en-us;887414 grizzly999

EAP hat nichts mit IPSec zu tun, sondern ist eine Form der Benutzerauthentifizierung mit Benutzerzertifikaten. Für IPSec braucht man Computerzertifikate an beiden Tunnelendpunkten, oder eben PreShared Keys. grizzly999

Die gleiche Antwort ;) grizzly999