grizzly999

Hallo und willkommen :) Ich bin mir sicher, dass die Domäne nicht mindestens im Domain Functional Level 2000 läuft ;) grizzly999

Hast du schon in der closed MCT-Newsgroup in der Newsgruppe "Course Preparation" nachgefragt? grizzly999

Jetzt ist es klarer. Aber: Wenn die Prä-Windows2000 Namen der beiden Domänen nicht gleich ist, gibt's da keine Probleme. Fragen: 1.) Welche Fehlermeldung kommt exakt? 2) Geht es mit dem lokalen Administrator? 3) Geht es mit einem andern Domänen-Admin? 4) Kommt der Fehler mit jeder Software oder nur mit einer SW? grizzly999

Willkommen im Board :) Ich habe diesen Beitrag hier abgetrennt: http://www.mcseboard.de/windows-forum-lan-wan-32/security-ids-maschinen-102170.html Bitte keine Overtakes, so steht es auch in den Boardregeln ;), das verwirrt nur. Zum Thema: Klonen ja, aber richtig. Du solltest den Rechner mit sysprep nach dem Herunterfahren uund vor dem Duplizieren zum Klonen vorbereiten. Dabei wird auch die SID gelöscht und andere Benutzer- und Computerspezifische Einträge ausgetragen und müssen neu angegeben werden, wenn der Klon (und das Original) neu gestartet werden. Das geht aber recht schnell und man einen individualisierten Klon, den man ohne Probleme in die Domäne aufnehmen kann. Bitte keine Tools á la "NewSID" o.ä verwenden (so sehr ich auch Mark Russinovich verehre), aber die schaffen nicht 100%ig ;) sysprep.exe ist in der Datei Deploy.cab auf der 2000/2003/XP/-CD im Ordner Support\Tools enthalten. Bei Vista und später ist das mit dem syspreppen nicht mehr ganz so easy, aber genau so möglich. grizzly999

Nein, wenn das Patchen mit maladen Patchen deine Befürchtung ist, dann solltest du schon Vollbackup der Systempartition haben. Die Patche werden selten seine AD-DB versägen, wenn der der Rechner nicht mehr will, dann weil irgendwelche Systemdateien ausgetauscht werden. Die meisten davon werden mit einem standardmäßigen Systemstatus (mit Default-Häkchen "geschützte Systemdateien sichern") mitgesichert, aber ich würde mich dann incht darauf verlassen, dass alle die dabei sind, die vom Patch ausgetaucht werden. Daher besser ...siehe oben. grizzly999

Ich schaffe das nie' date=' mir psgetsid die Domänen-SID eines Rechners auszulesen. Er zeigt mir immer nur die lokale SID an, die der Rechner ja auch noch nach dem Domänenbeitritt hat. Mit ldp.exe lese [i']ich [/i]die Domänen-SID eines Rechners aus ;) Ja, aber im Prinzip hat Herbert recht. Wenn die SID ingesamt "zu kurz" wäre, könnte der Algorithmus wohl nicht alle Parameter zu einer eindeutigen ID zusammenfügen. Es gäbe eine Duplikatmöglichkeit von Domänen-SIDs. In einer AG würde nichts "negatives" passieren, da dort keine SIDs für Netzwerkzugriffe verwendet werden. In einer Domäne würde der Rechner mit der Duplikat-SID, der als zweites sich am DC anmeldet, keine Authentifizierung erhalten, und würde damit nicht als Workstation in der Domäne herhalten können. Der Versuch den Trust zu establishen würde schon in die Hose gehen ;) You Cannot Create a Trust Relationship and a STATUS_OBJECT_NAME_COLLISION Error Occurs grizzly999 – Nachtrag: Also, jetzt kann ich auch mit psgetsid die Domänen-SID eines Computerkonto auslesen; Vielen Dank an olc, der das für mich in seinen grauen Zellen und Testumgebungen ausgegraben hat. :) Der einfache Befehl psgetsid (mit oder ohne Computername) liefert nur die lokale SID. Der richtige Befehl für die Domänen-SID lautet: psgetsid DOMAIN\Rechnername$ grizzly999

Hallo und willkommmen im Board :) Ich verstehe noch nicht ganz, wieso man da NAT braucht. Zwei NICs, RRAS für LAN-Routing eingerichtet, und dann in der RRAS-Konsole in den Schnittstellen Eingangs-, bzw. Ausgangsfilter eingerichtet. Die lassen sich sehr fein einstellen ;) grizzly999

Prinzipiell ist es egal, welcher zuerst. Es gibt da keine empfohlene/vorgegebene Reihenfolge. Wenn du einen Ausfall wegen maladen Patches befürchtest, nimm den zuerst, der "eher ausfallen" darf, was seine Dienste o.ä. angeht. Am besten nicht den mit dem PDC-Emulator. Eine Sicherung der DCs zuvor ist immer eine gute Sache ;) grizzly999

Ich verstehe da einiges nicht, ode rich stelle mich nur **** an... :confused: Auweia, das sollte man besser lassen. Oder würdest du auch deine User vor den DC hinsetzen, die Konsole geben, und sagen "Na dann schafft mal schön am DC" :shock: Also, wieso dann als TS? Seit wann den das?!v:suspect: Weise Entscheidung, wenn auch aus anderem (nicht nachvollziehabren) Grunde. Wenn man einen DC demotet, dann ist der nachher als Member-Server in der Domäne. Wieso musstest du ihn dann erst joinen? Oder ist das was, was du nicht gesagt hast? machst du das auch über Systemsteuerung/Software oder mit dem korrekten Befehl vorher (change user /install)? Hast noch nicht den Popovon meinem Kleinen gesehen ...?! :D Welcher Fileserver jetzt? grizzly999

Das kommt mir aber bekannt vor. Das war doch hier schon dein Thema?! :suspect: http://www.mcseboard.de/windows-forum-ms-backoffice-31/realisiert-man-sicheren-owa-oma-2-147507.html Das Thema mehrmals in verschiedenen Threads aufkochen, macht es nicht besser, im Gegenteil. Daher: closed mit Verweis auf den anderen Thread. grizzly999

Du kannst den ersten Weg beschreiten, oder den zweiten, ganz nach deinem Gusto. Zweiteres ist ein Examen weniger, aber beide führen zum Server Administrator. Hier sind die ganzen Pfade nochmal ziemlich übersichtlich zu sehen (Achtung, direkter Link zum PDF von Computerlinks): http://www.computerlinks.de/open/datasheet/WinServer2008Zertifizierungen.pdf grizzly999

Telekom und Deutsch Bahn lassen rrüßen. Du solltest vielleicht vorher einen Anwalt dazu konsultieren. grizzly999

Kann es sein, dass du über NAP nicht völlig informiert bist. Natürlich kann man vor dem Bezug einer Lease fordern, dass der Client Update-technisch up to date sein muss, und dass ein Virenscanner mit aktuellen Pattern installiert sein muss. Dann kann man sicherstellen, dass der "Unberechtigte" wenigstens in dieser Hinsicht sauber ist:D:suspect: Und 802.1x, worauf du vermutlich anspielst, kann man schon mit Windows 2000 und ohne NAP machen. Ber 802.1x im LAN ist insgesamt gesehen auch nicht ganz ohne. grizzly999

"Unerlaubt" bekommt niemand eine Adresse. DHCP hat nichts mit Authentifizeriung zu tun, es ist ein schlichtes Protokoll zum autom. Beziehen eine IP-Konfiguration.Wer technisch korrekt kommt, bekommt eine Adresse. Und dem DHCP Server ist egal, wer das ist. Deine Anforderung ist daher im Sinne von DHCP nicht korrekt. grizzly999

Geänderte/Korrupte Datei system.adm im Policies folder, würde ich einfach mal so aus der Hüfte schießen. grizzly999

Weiß ich nicht genau. Ich weiß nur, wie es alle meine Kunden machen. ISA und entsprechendes Publishing. Oder VPN Und FTP ist sowieso immer zu hinterfragen. grizzly999

ich habe mir den Artikel gerade nochmals angeschaut, ob ich den richtigen verlinkt habe. Da steht fast ganz unten, sogar in fett gedruckt, wo man die Richtlinie findet. grizzly999

:confused::suspect::shock: ActiveSync von extern: Ich mache das Handy an, verbinde mich per UMTS/GPS/Edge o.ä. mit meinem Provider und lasse es syncen. Das frage mich auch. Das geht nicht. Lokal an die Arbeitsstation, dort Syncsoftware einrichten und syncen. Gefährlich ist relativ grizzly999

Also eine Subnetmask von 255.255.0.0 oder 255.255.128.0 oder 255.255.192.0 oder 255.255.224.0 oder 255.255.240.0 oder 255.255.248.0 oder 255.255.252.0. Korrket? Das klang aberbei dir weiter oben ganz anders: Und das hier ist dann auch wieder unklar: Was heißt hier "Standort"? Kanst du jetzt endlich mal eine ordentliche, saubere, korrekte, vollständige(!!) Beschreibung der Ausgangslage, der Konfigurationen und des Problems geben? Sonst werde ich den Thread irgendwann mal beenden :mad: grizzly999

Doch das ist zunächst mal relativ einfach. Sichere Kennwörter verwenden (Passphrases). Das ist der Hauptschwachpunkt. Denn sobald du irgendwas von außen zugänglich machst, erfolgen Zugriffe und Zugriffsversuche. Ob das ein Webserver ist, oder ein Mailserver oder ein TS-Gateway. Wen das erschreckt, der darf GAR NICHTS veröffentlichen. Besser noch: Eine Application Layer Filtering Firewall davor hängen, wie z.B. den ISA (mit entsprechender Ahnung natürlich). Einen Serverdienst würde ich nicht unbedingt direkt von außen zugänglich machen, wenn es nicht sein muss. Und wenn du es ganz sicher haben möchtest, dann ISA mit Tokenauthentifizierung. Da hast du die Kennwortgeschichte von der Backe ;) grizzly999

Wie bitte, da sind deiner Beschreibung nach mindestens 3 Subnetze im Spiel. Und außerdem sind da noch unbeantwortete Fragen. Danach machen wir dann weiter...... grizzly999

Hast du folgenden Richtlinie gesetzt? Beschreibung des Features "Anmeldeoptimierung" in Windows XP Professional grizzly999

Ja, 443. Aber da sehe ich kein Problem. Irgendwie muss ich bei jedem Mailserver einen Port aufmachen, das ist Eigenart eines jeden Servers. :confused: Das geht nach wie vor. Da spricht auch eine zusätzliches "externes" ActiveSync nicht dagegen. grizzly999

Ein Exchange Server soll man weder zum DC hochstufen, noch, wenn er schon DC ist wieder runterstufen, ohne den Exchange vorher entfernt zu haben. Da gibt es auch diverse Linnks im Internet, mit genauerer Erklärung warum. grizzly999

Du musst ja die Verbindung nicht löschen. Aber wie steht denn jetzt die Einstellung im IE unter Verbindungen? Immer die Standardverbindung wählen? Dann setze die doch mal um. grizzly999