Poison Nuke

selbst wenn man sich überhaupt nicht einloggt und Windows einfach nur automatisch die Updates macht und dann von selbst neustartet passiert das :(

es sah für mich wie ein normaler reboot aus im log, hab da aber nicht jeden einzelnen Eintrag angeschaut, aber wenn du meinst dass der nicht vollständig gebootet hat, werde ich mal die Logeinträge von einem normalen Boot mit so einem vergleichen...wenn ich wieder auf den Server draufkomm ...arg weil ich kann per remote da gerade gar nix machen. Nur anpingen und main Mailserver läuft halt. Werd den am Montag dann durchstarten und dann die Eventlogeinträge vergleichen.

Hio, es betrifft ALLE möglichen Versionen und Hardwarekonfigurationen, angefangen von Win2003 Web 32bit bis hin zu Win2003 Enterprise x64 und auch R2. Problem sind die Updates...jedes 4. oder 5. Update oder manchmal seltener, manchmal öfter, ist nach dem Neustart (automatischer Neustart durch WinUpdate) das System zwar an sich online, die Dienste sind gestartet, HTTP und SMTP Server usw laufen alle, aber RDP geht nicht (das Fenster geht auf und man sieht einen grauen Hintergrund, aber es kommt nie eine Anmeldemaske und irgendwann geht das Fenster einfach zu). Das einzige was hilft, man geht an den Server ran und zieht den Stecker bzw macht halt einen Reset. Auch wenn man manuell nach einem Update neustartet passiert es manchmal. das lustige ist, es betrifft nicht jeden Server. trotz gleicher Updates und eigentlich ähnlicher Konfiguration ist der eine server nach dem automatischen Neustart wieder normal online, ein anderer aber nicht und beim nächsten mal ist es umgedreht. was mich verwundert, obwohl das Problem bei tausenden von Servern auftritt findet man dazu mehr oder weniger nichts? Oder such ich komplett falsch? dieses dauernde Neugestartet nervt zumindest irgendwie. Aber Updates komplett deaktivieren würde dagegen vllt helfen ist aber ja auch keine Lösung.

Hio, ich versuche gerade über mac access lists den Datenverkehr weiter zu kontrollieren. Rein vom Konzept her auch von der Beschreibung von Cisco her sollte es ja eigentlich so wie IP Access lists sein, sprich es wird bei jedem Paket der MAC Header gegen die ACL verglichen und wenn ein Paket auf kein permit Argument der ACL passt wird es verworfen. Oder nicht? weil, hier die Konfig: c2960-lanbase-mz.122-35.SE5.bin interface FastEthernet0/12 description xyz switchport mode access switchport access vlan 245 switchport protected switchport port-security switchport port-security violation restrict switchport port-security mac-address xxxx.xxxx.xxxx ip access-group fa12 in storm-control broadcast level 1.00 storm-control unicast level 90.00 storm-control action trap mac access-group fa12a in no cdp enable spanning-tree portfast spanning-tree bpdufilter enable spanning-tree bpduguard enable ip dhcp snooping limit rate 1 end sh access-lists Extended IP access list fa12 10 permit ip host xx.xx.xx.xx any 20 permit ip host yy.yy.yy.yy any Extended MAC access list fa12a deny any any sollte grundlegend dafür sorgen das am Port 12 gar nix mehr geht, oder? Nur das eigenwillige ist, der Computer daran ist weiterhin online. Wenn ich hingegen den ARP Cache des Computers lösche, dann geht gar nix mehr. D.h. vom Verhalten her bewirkt die ACL nur, dass keine ARP Request mehr gesendet werden können, aber sämtlicher anderer Datenverkehr an bekannte MAC Adressen geht weiterhin. Nur da ich keine Option "ethertype 0x0806" gemacht habe, wird es ja an sich nicht auf ARP begrenzt oder wird per default nur ARP überhaupt geprüft?

12.2(18)SXF12a und ja sicher der BGP Scanner, der hat im 5min schnitt 10-15%. Der geht einfach jede Minute die Routen durch. Gemäß Cisco ist das normal. Der Scanner geht jede Minute jede Route durch und prüft ob der Nexthop erreichbar ist

da es mehrere Provider gibt fällt die Variante mit irgendeiner Default Route weg. BGP Fulltable (mehrere davon) sind also unumgänglich. Sprich so ca. 1,2Mio Routen-Einträge sind das kumuliert die der BGP Scanner verwalten muss. TCAM liegt bei 30% oder so, sollte also nicht das Problem sein. PFC3BXL mit DFC3BXL das ganze soll dann aber mal auf einen Routereflektor ausgelagert werden, damit würde die Last schonmal deutlich geringer für den SUP werden. mal schauen ich lass mir das nochmal durch den Kopf gehen. Achja, ich meinte schon den Distribution Bereich im Enterprise Campus MOdell von Cisco. Also Access Switche sind da ja weiterhin L2 und sollten es auch denke bleiben, meiner Meinung nach handelt man sich viel mehr Probleme mit einer kompletten L3 Architektur ein, zumindest solange man noch IPv4 verwendet. Bei IPv6 würde ich mir das auch dann schon vorteilhafter vorstellen. Zumindest war jetzt halt einfach meine Überlegung, die Access Switche mit 2x 1G an je einen 6k, zwei davon laufen als VSS. Dann sollte man ja im Normalfall einen 2G Trunkt haben der als Portchannel läuft, wo im Failoverfall von einem 6k lediglich die Bandbreite von dem L2 Trunk dann sich halbiert aber nix weiter passiert, oder?

hallo, danke für die info, damit fällt also VSS definitiv flach als hochverfügbarkeitslösung weil sie es in unserem Fall nicht ist. Das wäre nämlich als multi 10GbE Knotenpunkt zwischen mehreren BGP AS gedacht. Da hat ein c6500 so ziemlich dauerhaft 100% CPU Load, ganz einfach daher weil der BGP Scanner jede Minute mal eben etliche hunderttausend Routen durchackert. Naja bleibt es doch bei der aktuellen lösung mit zwei getrennt agierenden 6500er und ECMP läuft so oder so schon bei den intraAS Routern (fällt einer der Cores aus läuft es mit 50% Kapazität über den verbleibenden weiter, aber es ist eh so dimensioniert dass selbst das dauerhaft reichen würde) Die Hoffnung war halt einfach das man zwei getrennte Router zu einem großen logischen Router zusammenfassen kann um über mehrere Anbindungen eine gezielte (nicht ECMP) Lastverteilung machen kann, die über zwei getrennte Router nunmal nicht in der gewünschten Form realisierbar ist. wäre also nur die Frage wie sich VSS im Distribution Bereich macht im Vergleich zu GLBP oder HRSP ? gibt es da Vorzüge? Bei den letzten beiden Protokollen ist es im Endeffekt ja genau das gleiche, der eine Router ist im Hotstandby und hat auch schon alle Routen und übernimmt dann bei Ausfall des anderen die virtuellen IPs oder hätte hier VSS vllt sogar wirklich den Vorzug das man bei bei 2x 1GBit Uplinks im Access Bereich dann effektiv auch 2Gbit als PC auf zwei Chassis nutzen kann und nur beim Failover dann 50% zur Verfügung stehen?

ahso ok danke für die Erklärung :) naja, ich will erstmal CCNP schaffen, aber vllt kauf ich mir das buch irgendwann einfach mal so aus Interesse 8)

fünfte Ausgabe? ich habs meins doch erst vor kurzem gekauft und da war die vierte das aktuellste. krass. also BSCI auf Seite 65 "Sophisticated metric" die Sache ist halt die, wenn ich es mir so anschaue, wie die Nachbars***aft abläuft und wie die Einträge der sh ip eigrp topology aussehen dann sieht das pur nach einem Distanz Vector aus, sprich die Metriken werden addiert. Sprich der Router berechnet die Metrik zu seinem Nachbarn und addiert die dann auf die advertised distance. ich mach mal ein testnetzwerk mal schauen was für Werte rauskommen.

jo stimmt, EIGRP ist da wirklich recht simpel...hat das überhaupt authentifizierung :X ich habe da gerade noch eine Frage zu EIGRP: laut dem Cisco Buch wird die niedrigste Bandbreite von der GESAMTEN Strecke genommen und über die Formel halt dann mit der Summe sämtlicher Delays verrechnet für die FD. Nur Woher weiß denn EIGRP jetzt welches die niedrigste Bandbreite auf einem Link ist? Es kennt doch nur seine direkt angeschlossenen Nachbarn und weiß nichts über die Nachbarn die hinter diese sind. Auch die Metric wird ja bei jedem Nachbarn addiert und dann weitergereicht. Somit KANN ein Router doch gar nichts von der Bandbreite eines links wissen der nicht direkt angeschlossen ist, oder?

thx fü die Tipps :) interessant finde ich, dass im BSCI Buch EIGRP fast das kürzeste Kapitel ist, OSPF ist mehr als doppelt so umfangreich. Na da bin ich ja mal gespannt.

BGP hab ich, wie sagt man so schön, "Heimvorteil", is sozusagen das tägliche Brot auf Arbeit. Hoffe zumindest dass das ausreicht. Sind wenigstens die abschließenden Fragen in den Büchern mehr oder minder auf dem Level der entgültigen Tests? Sprich wenn ich die Fragen mit links beantworten könnte würde der eigentliche Test für mich auch von den Fragen her easy sein? aber AD wurde zumindest im BSCI Buch als advertised distance bezeichnet. Wahrscheinlich gilt dass dann nur für das kapitel EIGRP ....

danke :) hatte da einen Knoten im Gehirn, durch da ganze feasible successor und distance und successor route und feasible successor usw. also eigentlich ist es ganz einfach, der Router merkt sich die Metric für jede Route die er von seinen nachbarn bekommt (AD). für die Route mit der geringsten Metrik bestimmt er dann seine feasible distance (FD). jetzt schaut er, welche der anderen Routen ins gleiche Subnetz eine AD haben die kleiner ist als die FD. Denn damit ist sichergestellt dass der Router diese nicht selbst advertiert hat (also ein Loop erzeugen würde, in dem fall wäre AD IMMER größer als FD). wenn also eine weiter Route ein AD < FD hat dann wird es der feasible successor. man muss nur erstmal im Kopf die Sortierung hinbekommen was FS, FD, AD usw genau ist. Wenn man es einmal hat ists gar nicht mehr so kompliziert :D hoffentlich kann ich das bei den restlichen 500 Seiten BSCI dann auch sagen ...

Hallo, im BSCI wird beschrieben, dass EIGRP bei dem Ausfall von einem Link den feasible successor nimmt. Dabei gilt die Regel, wenn die von diesem Nachbarn beworbene Distanz geringer ist als die "brauchbare" Distanz, dann kann da auf keinen Fall ein Routing-Loop sein und die Route wird genommen. Nun frag ich mich wie man so einfach davon ausgehen kann dass GARANTIERT kein Loop vorhanden sein kann nur weil die vom Nachbarn beworbene Distanz geringer ist als die "brauchbare" Distanz. (sprich advertised distance < feasible distance). Weil die feasible Distance wird ja meinem Verständnis nach einfach per Addition aus der beworbenden Distanz errechnet, in dem die Metric des Links zum Nachbarn hinzugefügt wird. Somit ist diese ja IMMER größer, oder etwa nicht? Oder gibt es ein Beispiel wo die feasible distance mal geringer wie die advertised distance ist? Wenn ja wie sieht das aus? danke für eure Hilfe :)

eine Verständnisfrage zu VSS: es wird ja als VSS 1440 bezeichnet, sollte rechnerisch also die doppelte Leistung bringen von einem Switch...klar in der Rechnung. Nur hier lese ich jetzt, dass es im Endeffekt eine Active/Passive Lösung ist, somit ist immer nur ein Switch aktiv und der andere ist im Hot-Standby? ergo wäre das marketing von CIsco falsch oder kann man auch beide als einen virtuellen großen Switch konfigurieren der effektiv wirklich mit der doppelten Bandbreite läuft, wenn der Traffic idealerweise nicht von einem Sw auf den anderen rübermuss? Was passiert in so einem Fall wenn der eine ausfällt, läuft das ganze ohne merkbare Probleme mit halber Leistung weiter oder gibt es in so einem Fall größere Probleme? Wie sieht es mit BGP Sessions aus, habt ihr auf euren VSS BGP laufen? Wenn ja wie lange ist die Konvergenz wenn ein Failoverfall eintritt? Wie sieht es mit den Nachbarn bezüglich authentifizierung, MAC usw aus? Weil normalerweise sind die meisten BGP Peers ja zusätzlich an eine MAC gebunden, demzufolge müsste man erstmal zwei Leitungen zum Carrier haben und dann auch noch denen sagen dass über beide Leitungen dennoch nur ein einzelner Peer angesprochen wird. Geht das so ohne weiteres bei VSS? Würde es vllt sogar eine Art Lastverteilung bei BGP geben? Weil die 65er von Cisco haben ja das Problem, dass ein BGP Fulltable die so ziemlich ans Limit von der CPU bringt, wenn mehr als ein Fulltable drauf ist wirds erst recht lustig. Wie läuft das bei VSS dann, macht dass da nur ein Switch und teilt dem anderen die Routinginformationen mit?

Hallo, danke für den Tipp, auf "passive-interface" war ich nicht gekommen. redistribution hatte ich vorher probiert router ospf 1 redistribution static redistribution static subnets aber da war dann einfach nix passiert. Oder hab ich da auch was falsch gemacht? sondernlich viel fand ich zur redistribution von statischen Einträgen bei Cisco nicht. achja, beim passive-interface, ich finde da kein range kommando...bei ein paar hundert interfaces würde das etwas ausarten. Und ein int range macht sich bei nicht fortlaufend nummerierten vlan ints auch nicht so gut. Gibt es da noch eine Alternative?

Hallo, nehmen wir eine simple OSPF Konfiguration mit zwei Routern. Diese beide sind untereinander verbunden und haben auf ihrer anderen Schnittstelle ein "Endnetzwerk", also wo nur noch Clients sind. Jetzt möchte ich OSPF aktivieren (erstmal ohne weitere Optionen). Nur sollen die Schnittstellen zu den Clients kein OSPF fahren. Nur wie bekomm ich diese Netzwerke dann trotzdem über OSPF weitervermittelt? Weil wenn ich die Interfaces nicht im router ospf über "network" angebe, werden die schlichtweg auch gar nicht an den anderen Router übermittelt. Wie bekomm ich es jetzt trotzdem hin das sämtliche an den Router direkt angebundenen (direct connected) Netze über OSPF verteilt werden ohne das über einige der Interfaces die OSPF Hello Pakete gesendet werden? Hintergrund ist einfach Sicherheit...es soll gar nicht erst die Möglichkeit bestehen das jemand einen Angriff versuchen könnte, auch wenn alles mit message-digest key abgesichert ist.

danke für den Tipp. Unser Einsatzweck scheit einfach zu speziell zu sein. Visonapp sieht zwar gut aus aber ist doch eher was für die Verwaltung von eher eine handvoll statischer Server. In verbindung mit unserem aktuellen System würde sich der Aufwand sogar extrem vervielfachen anstatt wie beschrieben minimieren, weil der Verwaltungsaufwand bei unserer Art der Datenspeicherung sich glatt verdoppeln würde. mit der aktuelle Lösung von uns dauerte es mit allem drum und dran ca. 5sek um irgendeinen Server die Verbindung herzustellen und weitere 2sek um das Passwort einzufügen. ~7sek also gesamt um zu einem beliebigen Server eine Verbindung herzustellen. Mit Visionapp müsste man erstmal für jeden Server die Passwörter hinterlegen, da man fast rechnen kann das maximal zwei Verbindungen pro Server mit dem gleichen Passwort hergestellt werden, meistens sogar nur eine, würde sich hier für uns nix verbessern.

ich zitiere mich selbst: es handelt sich im übrigen um eine recht große Anzahl an Servern. Wenn man alles in einem Ordner speichern wollte würde es mit der Maus nicht mehr möglich sein darin zu scrollen soviele sind es.

hio, ja sind mehr oder minder alleinstehende Server in einem Rechenzentrum wo jeder Server über Internet direkt erreichbar ist. Jeder Server ein gleiches Passwort das wäre ja eine direkte Einladung für jeden Hacker.

Hallo, mag für einige jetzt ungewöhnlich klingen, aber wenn man tagtäglich mit zig Windows Servern zu arbeiten hat wo jeder ein anderes Passwort das natürlich den aktuellen Sicherheitsrichtlinien entspricht mit Groß- Kleinschreibung und Zahlen und Sonderzeichen usw, dann ergibt sich fast schon zwangsläufig das Bedürfnis die Passwörter (die in einer speziellen Passwortdatenbank liegen) beim Verbinden über remote desktop über die Zwischenablage einzufügen. Bei Windows XP ging das wunderbar. Da wurde man nach dem aktuellen Passwort gefragt und es war ein normales Textfeld. Jetzt wurde auf Seven umgestellt und da ergibt sich das Problem, hier geht es nicht mehr und es scheint auch keine Funktion dafür zu geben. Da sich die Passwörter regelmäßig ändern ist auch ein speichern nutzlos. habt ihr eine Idee wie man das lösen kann?

ne nicht HTML sondern *.eml aber offenbar kann das Pegasus auch lesen. Ok hätte ich nicht gedacht. nur ich hab jetzt ein paar Stunden gebraucht um WLM einzurichten und es scheint jetzt sogar ansatzweise so zu laufen wie ich es mir vorstelle...jetzt nochmal ein paar Stunden lang mich in einen völlig anderen EmailClient einarbeiten und einrichten, darauf hab ich im Moment keine Lust und vorallem Zeit mehr. Irgendwann muss ich auch wieder mit dem Rechner arbeiten. trotzdem danke für die Tipps :)

Windows Live Mail bietet als Export lediglich "Exchange" oder "Windows Live Mail" an, beides halt leider propritäre Formate :(

das hatte ich in meinem letzten Satz bereits geschrieben und auch ausprobiert. An der Benachrichtigung von diesem Thread hab ich aber gesehen das es nicht funktioniert...es landet trotzdem wieder allles im Posteingang. Diese Regeln verstehe mal einer. Ich habe jetzt aber noch eine weitere Option gefunden "keine weiteren Regeln anwenden". Sprich ich setze bei jeder Nachrichtenregel die Option "und keine weitere Regel anwenden" und mach als letztes die "Alles" Regel. Damit kommen zumindest die Nachrichten in ihre Ordner wieder rein. Eine Email die nicht zugeordnet werden kann also in den normalen Posteingang kommen sollte, kam bisher noch nicht aber es macht den Anschein als könnte es so funktionieren. jetzt müsste es nur noch eine sinnvolle Exportfunktion für die Regeln geben...ist richtig viel mittlerweile. Hab zwar den Regkey exportiert aber irgendwie kein Vertrauen dass man den so wirklich wieder importieren kann

hast du die Möglichkeit die zu sichernde HDD nochmal normal im System zu starten, allerdings wichtig (!) mit eingebautem Adaptec controller? wenn ja, dann boote von der alten HDD und installiere dort dann den Adaptec Controller, so dass dieser in der Datenträger verwaltung erkannt wird. Wenn das geschehen ist, dann die 1:1 Kopie auf diesen spielen. Dann sollte es normalerweise auf Anhieb funktionieren. Das mit dem "infen" wird in dem Fall eher nicht gehen weil die Treiber nicht in Windows vorhanden sind um man den Treiber halt erstmal komplett integrieren muss. Das geht meiner Meinung halt am besten auf die von mir beschriebene Methode.