flux

Hallo, folgende zwei Auszüge sind dem RFC 4217 entnommen. Ich frage mich, wie sie zusammenpassen. Beim ersten fehlt der Aufbau eines Datenkanals, beim zweiten fehlt das Drumherum (Aufbau des Steuerkanals). FRAGE: Kann ich einfach den zweiten Auszug in den ersten an die Stelle kopieren, wo mein Kommentar 'DATENTRANSFERS?' steht? 1. Aufbau einer gesicherten Session Client Server control data data control ==================================================================== socket() bind() socket() connect() ----------------------------------------------> accept() <---------------------------------------------- 220 AUTH TLS ----------------------------------------------> <---------------------------------------------- 234 TLSneg() <----------------------------------------------> TLSneg() PBSZ 0 ----------------------------------------------> //optio <---------------------------------------------- 200 PROT P ----------------------------------------------> //nal <---------------------------------------------- 200 USER fred ----------------------------------------------> <---------------------------------------------- 331 PASS pass ----------------------------------------------> <---------------------------------------------- 230 [b]DATENTRANSFERS?[/b] kommt hier für jeden neuen Datentransfer eine eigene Aushandlung der Verschlüsselung sowie Authentifizierung von Client und Server? (siehe nächsten Auszug) CCC ----------------------------------------------> <---------------------------------------------- 200 TLSshutdown() <-------------------------------------> TLSshutdown () 2. Client Server control data data control ==================================================================== socket() bind() PORT w,x,y,z,a,b --------------------------------------------> <-------------------------------------------------------- 200 STOR file ---------------------------------------------------> socket() bind() <-------------------------------------------------------- 150 accept() <---------- connect() TLSneg() <----------> TLSneg() TLSwrite() ----------> TLSread() TLSshutdown() -------> TLSshutdown() close() ----------> close() <-------------------------------------------------------- 226

Es sind die Profis gefragt :) * * * *

Hat jemand ne Quelle, in der das nochmal genau und verständlich beschrieben ist?

Hey, habe nun die RFC2 2228 und 4217 durch. In letzterem werden beispielhaft Abläufe von FTP sowie FTP mit TLS Sessions gezeigt. Allerdings sind das nur Ausschnitte, ich frage mich: An welcher Stelle kommen bei 1. STOR.file, RETR, LIST, ... also die ganzen Transferkommandos ?? Wird dann, wie in 3. gezeigt, für jedes neue Transferkommando ein eigener Datenkanal (also Client Socket bei aktiv-FTP) erstellt und jedesmal aufs neue eine Zertifikat prüfung (TLSneg) und Verschlüsselung durchgeführt?? An welcher Stelle kommen bei 3. PBSZ 0 und PROT P, sowie USER <user> und PASS <pw> ??

Hey, danke werd's mir gleich mal durchlesen. zu deiner Bemerkung: ich werden delphi7 + indy + openssl verwenden brauche aber erstmal theorie als Basis

Hallo Community! Für die nähere Zukunft plane ich einen rudimentären FTPS-Client zu programmieren. Dazu muss ich allerdings erstmal wissen wie FTP over SSL/TLS denn genau funktioniert! Meine bisherige Internet und Bib Recherche ist bisher eher mau, daher wende ich mich direkt an die Profis :) 1 Frage: Kann mir jemand gute Quellen nennen, die den/die exakten Ablauf(e) bei FTPS erklären? 2 Frage: Der Zielserver, auf den die Daten mal hochgeladen werden sollen hat aus Sicherheitsgründen nur Port 21 offen, spricht also für aktives FTP. Ist der Aufbau des Steuerkanals unter FTPS unter diesen Voraussetzungen überhaupt möglich, da FTPS soweit ich weiß Port 990 für den Steuerkanal und Port 989 für den Datenkanal nutzt (stimmt das so?). Oder kann man die FTP-Verbindung auch trotz Verschlüsselung über die FTP Ports 21, 20 laufen lassen? Ich bedanke mich für jegliche Unterstützung LG

Danke für eure Antworten. Dies deckt sich ziemlich mit meiner Rechtfertigung für Benutzername UND Passwort (siehe den 1. Punkt meines Eingangsbeitrags). Doch nicht so kompliziert wie ich dachte :) EDIT: Guter Einwand, gilt aber nur dann, wenn es einen "Token" gibt (vs. reiner String als Benutzername) @MaikHSW: Eine Art Vordiplom in meinem Studium

Hallo, diese Unterscheidung koennte doch anhand des passworts gemacht werden. Ich gebe nur mein passwort ein und erhalte zugriff auf mein konto mit bestimmten rechten. Warum also einen Benutzernamen? (abgesehen davon, dass es eine zusätzliche hürde gegen missbrauch wäre?)

Hallo, ich hatte heute eine Prüfung. Dort kam die Frage bezüglich Benutzerverwaltung: "Warum reicht es (sicherheitstechnisch) nicht, sich nur mit einem Passwort anzumelden?" Mir fiel spontan dazu nur folgendes ein: Aus dem PW wird ein Hashwert erzeugt und in der Datenbank hinterlegt. Theoretisch könnte ein anderes Passwort den gleichen Hashwert erzeugen, daher ist ein Benutzername ein zusätzliches Sicherheitsmerkmal Zu Protokollierungszwecken braucht man einen Benutzernamen, also um festzuhalten Person X hat dann und dann dies und das gemacht. Fallen euch noch weitere Gründe ein, die einem evtl. ins Auge fallen und hier fehlen? MfG

Wie jetzt? Aha, und du erwartest jetzt was? Versteh es als Rand-Info Ja. Du beantwortest "wie" mit "ja" ? :) Ich versteh dein Problem nicht, ehrlich gesagt. Steht doch da. Bevor ich mich ein Jahr in AD vertiefe wären Ratschläge für die Umsetzung der 11 Schritte hilfreich. Bspw., ob ich mir jetzt eine .adm Datei aus einem Registry-Export erzeugen soll, oder gewisse Einträge manuell einprogrammiere. Wie gestalte ich dazu die OU inkl. Gruppen etc.. Ich bin noch recht neu auf dem Gebiet, und der Umfang von AD wirkt erstmal leicht erschlagend, gleichzeitig nehme ich an, dass meine 11 Schritte nicht den vollen Umfang von AD ausreizen würden. Wie gehe ich da am geschicktesten ran?

Hallo, ich habe eine kleine Testdomäne mit 2 DC und ca. 10 weiteren Memberrechnern. Hier heisst es: “Über Gruppenrichtlinien können Anwendungen installiert werden.” Außerdem möchte ich bei allen Rechnern (incl. DCs) folgendes einheitlich einstellen: Tastatur- und Anzeigesprache (WinXP SP3 bzw. Win2k3 R2) Grafikauflösung/Hintergrundbild (einheitlicher Ablage-Pfad) Netzwerkdruckerports einstellen (statische IPs) Freigabe des Laufwerks “D:\” mit Bezeichnung “LW_D” Taskleiste einstellen Windows Autologin (alle haben derzeit Domänen-Admin-Rechte) Diskette- und DVD-Laufwerk sperren USB-Schnittstellen nur für Maus & Tastatur zulassen Autorun deaktivieren signierte Kommunikation (unter “Administrative Vorlagen”) deaktivieren bestimmte Software installieren Die Frage ist für mich, ob sich der Einsatz von Active Directory lohnt, oder ob das Verteilen&Ausführen von .reg-Dateien nicht nach wie vor einfacher und vorallem schneller ist. Einerseits wäre eine Art Automatisierung gewisser Schritte schon toll. Zudem haben wir häufig zwei DC dabei, da unsere Kunden planen, die Teilnetze in eine globale Firmen-Gesamtstruktur per AD zu integrieren.. Andererseits benötigt AD eine Menge Einarbeitung und Vorbereitung und es ist fraglich, ob AD für ein 10 Rechner-LAN nicht überdimensioniert ist. Ich habe schon ein bisschen rumgespielt und eine .adm-Datei zusammengebastelt, die mir gewisse HKLM-Registry-Keys setzen soll, bin aber noch nicht dazu gekommen, dies auch auszuprobieren. Wie sieht es bei den restlichen Schritten aus? Wie kann man beispielsweise eine LW-Freigabe per “Fernsteuerung” erzeugen? Wichtig wäre auch, dass die Einstellungen “fix” sind, also auch dann gelten, wenn bspw. beide DC offline sein sollten. Welchen Weg (praktische Umsetzung) würdet ihr empfehlen ? Bin fur Tips offen MfG flux :cool:

Hey Loki, du hast mir riesig geholfen :) Ok Super Danke, aber meine Anlage ist sehr statisch, von daher ist das ausreichend, auch in Hinblick auf Tombstone-Zeit.. MfG flux

Hallo, ich habe zwei DC in meiner lokalen Domäne. Für den Fall, dass beide DC "verloren" gehen sollten möchte ich regelmäßige Backups fahren. Dazu bietet ntbackup ja umfangreiche Einstellungen am Ende des Wizard-Dialogs. Meinen Plan stelle ich mir so vor: DC1: Backup1_1 - alle ungeraden Monate, am ersten des Monats um 06:00 Backup1_2 - alle geraden Monate, am ersten des Monats um 06:00 . DC2: Backup2_1 - alle ungeraden Monate, am ersten des Monats um 07:00 Backup2_2 - alle geraden Monate, am ersten des Monats um 07:00 FRAGE: 1. Betrachten wir einen DC: Wenn ich beide Tasks in einem "Rutsch" mache (s. Screenshot), wie erreiche ich dann, dass am ende zwei separate Backup-Files erstellt werden? Im Moment mache ich es so, dass ich den Wizard auf jedem DC zweimal durchmache, um eben zwei verschiedene Backup-Files zu erhalten. 2. Gibt es einen Ort (Tabelle, Konsole,...), wo man die bisher konfigurierten Backup-Tasks einsehen kann ? MfG flux

Hallo, ich möchte DVD und Floppy im Geräte Manager deaktivieren. Frage: Sofern es einen gibt: Welcher Registry-Eintrag korreliert mit den Geräte-Manager-Einstellungen bzgl. DVD/Floppy-Deaktivierung ? Habe dazu die komplette Registry exportiert, DVD/Floppy deaktiviert, Registry wieder exportiert und mache grad den Textvergleich, das dauert jedoch :wink2: MfG

Es funktioniert unter "meinen" Bedingungen einwandfrei :D Schritte: 1. Windows-Image 2. Systemstate mit ntbackup rückspielen 3. ggf. dnsmgmt- und AD-Konsolen selber basteln mit mmc, da die Verknüpfungen im Startmenü fehlen

Ich habe grad die beiden systemstate.bkf erstellt und spiele nun das Windows-Image zurück. Melde mich in 15 min. :)

Mein Windows Image wird nach der Installation von Windows + statische Ip + Taskleisten-Einstellung + Grafikauflösung + Druckertreiber etc gemacht. Dann installiere ich DNS und AD Danach Systemstate sichern. Gut, werds testen. Frage mich nur, woran ich die Funktion oder eben Fehlfunktion identifizieren kann ? Ja EDIT: Ich bin mir nur noch nicht ganz sicher, wie ich den Systemstate, nachdem ich das besagte Windows Image zurückgespielt habe, zurückspielen soll. Ob über den "Directory Services Restore Mode" oder einfach ntbackup > wiederherstellen ? Denn Technet sagt folgendes:

Hallo Dukel, ich habe das Gefühl du verstehst nicht richtig, von daher ist dein Beitrag verwirrend. 1. Beziehen sich die Vorgehensweisen (zwei posts hierüber) auf eben jene faq-o-matic-Empfehlungen 2. Beinhaltet mein Image nur Windows+Basiskonfiguration, aber noch keine Dienste wie DNS, ganz zu schweigen von AD (dafür soll ja der Systemstate gut sein, wird zumindest auf obigem link so rübergebracht) 3. Ist meine Domäne relativ simpel: zwei redundante DCs, FSMO wurden nach der AD-inst. nicht "angefasst", die Domäne ist statisch, da keine weiteren Member hinzukommen oder entfernt werden. Hardwareabhängigkeit ist für mich kein Problem, da ich im Fehlerfall Baugleiche Geräte verwende. Also nochmal, was beinhaltet das Systemstate dingens per ntbackup genau? Ist es möglich nachdem rückspielen des Windows-GRUNDImage Systemstate zurückzuspielen, oder muss vorher DNS und AD installiert werden?

Hallo, noch eine Frage: 1. Angenommen mir verreckt ein DC (hard- oder software-mäßig), dann genügt es diesen Rechner innerhalb der Tombstonezeit (von mind. 60 Tagen) z.B. per Windows Image + DNS installieren + AD installieren (zusätzlicher DC in bestehender Gesamtstruktur) wiederherzustellen? 2. Angenommen mir verrecken beide DC (hard- oder software-mäßig), dann wäre eine Sicherung des Systemstate mit ntbackup für jeweils beide DCs hilfreich. FRAGE: Was ist in der Sicherung enthalten bzw. was sind die Voraussetzungen für das Rückspielen der Sicherung? - reicht hier das Windows-Image, dann Systemstate mit ntbackup? - oder muss man zusätzlich vor dem Rückspielen noch die Dienste DNS + AD installieren ?? MfG

super, genau danach habe ich gesucht. danke ! MfG flux

Hallo, ich habe zwei DCs (redundant) sowie weitere Memberrechner im LAN. Falls der Betriebsmaster sich verabschieden sollte, möchte ich, dass mein AD weiterhin funktioniert. Dazu sehe ich folgende Möglichkeiten: 1. DC1 down, DC2 übernimmt die Betriebsmaster-Rolle, die Member merken nichts vom Ausfall des DC1. Danach richte ich den DC1 mit dem AD-wizard als zusätzlichen DC in einer bestehenden Gesamtstruktur ein, ist das möglich? 2. Archiv von der Domäne ziehen und im Fehlerfall zurückspielen. Allerdings habe ich gehört, dass das Archiv sehr schnell (nach einer gewissen Zeitspanne) nicht mehr verwertbar sei, stimmt das? Wenn nein, wie erstelle ich eine Sicherung des AD? MfG

Ich habe mich nun, mangels Antwort, dazu entschieden die Domain neu aufzusetzen, der Name enthält einen Punkt und ist identisch mit der DNS-Zone. Fehler 6702 tritt nun nicht mehr auf. Danke für eure Hilfe MfG flux

Nochmal in Kurzform :D MfG flux

Hallo, Weil ihnen der DHCP in deinem Netz sehr wahrscheinlich die IP('s) der / des DNS-Server(s) mitteilen werden? Ich arbeite mit statischen IP-Adressen Ich habe nun eine zweite DNS-Zone - welche außer SOA und zwei NS records noch leer ist - auf DC1 erstellt, diese repliziert sich automatisch auf DC2. Soweit OK. Was mache ich nun mit der alten DNS-Zone? Wenn ich meinen Test-Client danach hochfahre und in die Domäne einlogge, dann erstellt er keinen A-Record in der neuen DNS-Zone (sie ist dynamisch) Ich frage mich also, wo man einstellt, dass die bestehende AD-Domain nurnoch die neue statt der alten DNS-Zone verwenden soll? Und weiterhin, ob es wirklich nur Änderungen an den DC1 u. DC2 benötigt, oder ob man an jeden Domain-Teilnehmer einzeln händisch Änderungen (inkl. unerwünschtem Neustart) machen muss. Eine etwas detailliertere Vorgehensweise wäre sehr hilfreich. freundlichen Gruß flux

Ok, also: Ich erstelle eine neue DNS-Zone in dnsmgmt, ja? Woher wissen die Clients, dass darüber die Namensauflösung läuft? Wie müsste ich schritt für schritt vorgehen? Danke für deine Hilfe