Klaus Charlier

Terminal Server.Ok. Das ginge sogar, und man bräuchte einfach nur alles dicht machen bis auf Port 3389 für RDP. Das wäre eine Variante. Ist aber mit zusätzlicher Hardware, Lizenzen und seperater User-Administration verbunden. Und für den User auch umständlicher, als meine Wunschlösung. Na ja. Noch andere Ideen? Ich habe btw. auch NAS und SAN Lösungen in diesem Zusammenhang angeschaut. Dort gibt es, so weit ich das evaluieren konnte, auch nur die Einmal-logon-alles-offen Varianten. Oder hat eventuell jemand NAS/SAN Lösungen im Einsatz, die so was können? Netgear, Level-One und RaidSonic können es jedenfalls nicht...

Velius. Das mit den 70% habe ich schon richtig verstanden, vielleicht habe ich nur ungeschickt formuliert. Deiner Philosophischen Abhandlung über Sinn und Zweck der Sache entnehme ich, dass Du das Problem des Prozesses im Benutzerkontext erkannt hast. Aber was genau ist Dein Beitrag zum Thema?

Dirk. Ich stimme Dir zu, dass das Konzept ohne das Mitwirken und die Akzeptanz der betroffenen User in der Tat etwas für den ..dingens.. ist. Jedoch ist es in diesem Fall so, dass es sich nicht um Dateien für die breite Masse der User handelt, sondern um Dateien die vom Management (wir sprechen hier von max. 20 Usern) gemeinsam verwendet werden. Es ist der ausdrückliche Wunsch eben diese 20 Nasen, genau eine solche Lösung haben zu wollen. Ich kenne die Dateien und auch deren Inhalt (Verschwiegenheitserklärung) und kann deren Wunsch vollumfänglich nachhviollziehen. Und Du kennst die Antwort in einer grossen Firma, wenn IT sagt: "datt geht nich".

Ok. Firewall. Überlegen wir doch mal.... Ich habe einen Einbrecher im Haus, einen unverschlossenen Tresor, aber stelle eine Armada rund um's Haus auf, um ihn daran zu hindern, das Haus zu verlassen... Hmmm. Also rein vom Aufwand her würde ich sagen, den Safe abschliessen wäre einfacher..... By the way 70% sagst Du - ja??? Das kann ich dem Top-Level Management nicht verkaufen. Die geben lieber etwas Geld für einen besseren Tresor aus... Sicher. Mir sind die Möglichkeiten, die von Cisco und anderen Herstellern angeboten werden bekannt, aber das ist nicht der gewünschte Lösungsansatz.

lefg. Genau das versuche ich ja. Security und NTFS. Aber wie gesagt, Windows selbst bietet hier nichts, zumindets habe ich nichts gefunden. Und was willst Du anderes machen? - Du hast ein Verzeichnis auf einem File Server. - Da liegen die heiligen Dateien und Folder drin. - Du musst das Ganze als Share freigeben, damit die Leute überhaupt damit arbeiten können. - Du vergibst entsprechend den Gruppen die Rechte ... tja und dann? Mehr kann man schon gar nicht tun. Man kann zwar bei z.B. Excel Dateien noch ein Passwort vergeben, aber bitte... Als ob es noch keine Tools gäbe die das knacken können... Aus meiner Sicht wäre es in der Tat die sicherste Lösung, wen man verhindern könnte, dass im Hintergrund und ohne Wissen des angemeldeten Users auf diese Dateien zugegriffen werden kann. Denk mal drüber nach, ob Du Dir immer sicher sein kannst, das im Hintergrund nicht gerade etwas "gestohlen" wird. Und dann noch ein Satz zum Thema "richtig davor schützen, dass Viren und Trojaner gar nicht erst rein kommen." Har har. Wenn es einen hundertprozentigen Schutz davor gäbe, bräuchten wir das Thema hier gar nicht zu diskutieren. Und dabei habe ich noch nicht die User in Betracht gezogen die trotz besserem Wissen meinen, alle Attachments öffnen zu müssen. Und was, wenn es gar nicht mal ein zufällig eingefangener Trojaner ist, was, wenn es Absicht, also Spionage/Sabotage ist....? Ich versuche auch immer ein bisschen weiter zu denken, als ich im Augenblick nur sehen kann...

Hallo Urmel. Meine User sind nicht mit Adminrechten unterwegs. (Bei 1200 Usern wäre das auch ein wenig unüberschaubar - gelle?) Hier wird alles sauber über OU's und Policies und Groups geregelt. Aber für einen Trojaner reicht auch readonly.

lefg. ich habe ausdrücklich betont, dass diese Lösung nur für bestimmte Dateien/Folder gewünscht wäre. Daherwürde ich sagen, Deine Antowrt hätte auch vom Microsoft Support selbst sein können. Inhaltlich richtig, aber völlig unbrauchbar.

Dirk und Dr. Melzer. Vielen Dank für die Antworten. Jedoch ist jede noch so gute Antivirus-/Antiotrojaner-Lösung nur so gut wie sie aktuell ist. Und bekannterweise dauert es immer ein wenig vom Auftreten eines Virus/Trijaners bis zur Verfügbarkeit des Antivirus. Und in der Zwischenzeit? Des weiteren kann ich die Beurteilung der Kosten/Zeit so nicht nachvollziehen. Eine wirksam arbeitende Lösung (so es denn eine gäbe) auf der einen Seite gegenüber einer sich ständig ändernden auf der Anderen Seite....?? Firewall nützt auch recht wenig, da die heutigen Viren ihren Filetransfer mit HTTP durchführen. Also bisher würde ich sagen, nette Kommentare aber nichts brauchbares. Sorry.

Hallo zusammen. Das Sicherheitsproblem: Es geht um die Sicherheit von Dateien speziell im Zusammenhang mit Trojanern, die Dateien verschicken. Diverse Trojaner lesen beispielsweise die Recently opened File List, und kopieren/verschicken alle dort enthaltenen Datein an - na ja weiss der Geier wohin. Nun sollte man die Möglichkeit haben, das zu verhindern, zumindest für eine bestimmte Anzahl von Dateien. Ich habe schon diverse Tools angeschaut, wie z.B. Folder Access, aber die arbeiten alle nach dem Prinzip, wenn der User sich anmeldet am Netz, "loggt" er sich nochmals an einem geschützen Share mit Passwort an, wenn das aber passiert ist, ist der Zugang für einen Trojaner wieder möglich, da die Trojaner ja in den meisten Fällen im Context des angemeldeten Users laufen. Die Lösung wäre, das eine Datei so geschützt werden kann, dass JEDER Zugriff, also egal ob öffnen, kopieren oder was auch immer zunächst nochmals eine Passwort-Abfrage initiiert. Ein solches Tool habe ich leider für W2K oder W2003 Server bisher nicht entdecken können. Auch habe ich im Windows selber nichts ähnliches gefunden. Hat jemand ein gute Idee? Gruss - Klaus

Hallo Zusammen. Des Rätsels Lösung besteht wie immer im "richtigen" Leben nicht nur aus einer Komponente, aber gut. Leset, erfreuet Euche und lernt aus dieser Geschichte: Ausgehend von folgender Überlegung: "Connect vom Server aus ok, Connect von Workstations aus not ok!" Unterschied: Beim Connect vom Server aus wird nur die DSL Karte angesprochen, da die IP-Päckchen gem. default Gateway ja noch im Stack auf dem Absatz kehrt machen, und direkt auf die DSL-Karte geschickt werden. Beim Connect von Client aus wird im Server sowohl die LAN-Karte als auch die DSL Karte angesprochen. Dank ACPI alles über einen IRQ. Stellte sich hier also die Frage, beherrscht die DSL Karte eingentlich vernünftig das IRQ-Sharing? Antwort NEIN! Nachdem ich den Server neu aufgesetzt habe, IRQ's sauber manuell durchkonfiguriert (Gott-Sei-Dank habe ich ein ASUS-Board bei dem das geht) diesmal mit F5 und als "Standard-PC" wurden alle NON-HTTP Päckchen normal gerouted - und alles ohne irgendeinen Proxy! So wie es sein soll. native IP. Jetzt machten nur noch einige Webseiten Schwierigkeiten, wie z.B. gmx.de oder credit-suisse.ch. Also MTU'en wir ein wenig: Was mich dabei gewundert hat, ich brauchte lediglich die MTU Size auf den Workstations auf 1392 zu setzen, auf dem Server habe ich die MTU nicht verändert. Fazit: Überlasse es bei einem Server nie der Hardware oder dem Betriebssystem, die IRQ's zu managen. Ich hoffe, der Eine oder Andere kann von meiner 6-Nächte-Aktion profitieren. Gruss an alle. Klaus P.S. Rückblickend muss ich sagen, dass ich mich zwar über das Interesse und die Teilnahme gefreut habe, aber genau genommen, hat mir keiner von Euch auch nur ansatzweise helfen können. Und ich dachte, das wäre hier ein Experten-Forum. Also auch hier ein Lerneffekt......

Hallo Zusammen. Nun habe ich um alle nur denkbaren Fehlerquellen auszuschliessen folgendes gemacht: 1. Uninstall JANA 2. Uninstall RRAS 3. Uninstall Fritz DSL Card Treiber 4. Install Fritz DSL Card Treiber 5. Install RRAS & NAT 6. Set MTU=1392 auf Client's LAN Interface 7. Set MTU=1392 auf Server's LAN Interface 8. Set MTU=1392 auf Server's "Fritz Interface" Ergebnis: 1. Vom Server aus kann ich noch immer machen was ich will - alles funzt. 2. Pingen kann ich vom Client aus wohin ich will, aber das ging auch vorher schon. 3. Ausser Ping funzt auf dem Client nun nichts mehr. Kein FTP, kein POP3, kein gar nix. Um meinen Usern heute wieder Zugriif auf's Web geben zu können, habe ich Jana wieder installiert. So funktioniert wenigstens HTTP/HTTPS wieder für die User. Ich stehe aber immer mehr vor einem Rätsel. Ich habe wieder und wieder versucht, Tools zu finden, mit denen ich Troubleshooting betreiben könnte, aber die, diem cih gefunden habe basieren mehr oder weniger auf ping, und der läuft ja... Also - irgendjemand eine brauchbare Idee? P.S. - bombjack - Ich würde auch lieber für jede Funktion einen einzelnen Server aufstellen, aber das wiederspricht dem Budget.....

Auch gut. Wochendende sollte ja auch der eigenen Familie gehören... Gruss - Ich

Hallo Zuaschauer & Jedy. Ich gehe davon aus, wenn ich das mit einer Änderung der MTU Size geregelt bekomme, brauche ich den Jana ja auch für HTTP nicht mehr. Ich werde das mit der MTU mal versuchen und halte Euch auf dem Laufenden. Denke Anfang nächste Woche.... Vielen Dank so weit schon mal. Gruss - Klaus

Die geht das alles natürlich nichts an. Sind auch nicht daran interessiert, sich an einer Lösung zu beteiligen....Es könnten ja noch weitere Kunden mit Auftrag drohen.... Und - mit welcher Config erfolgreich getestet???? AVM Support-Call CID556731 Sehr geehrter Herr Charlier, vielen Dank für Ihre Anfrage. Das von Ihnen beschriebene Fehlerbild deutet auf ein Problem des Routing und RAS oder eine unpassende Konfiguration des Jana Proxy Servers hin. Bitte wenden Sie sich daher zur Lösung Ihres Problems an Microsoft bzw. den Hersteller des Proxy Servers. Hinweis: Der Einsatz der FRITZ!Card DSL unter Windows 2000 Server sollte, bei Nutzung der aktuellen Treiber von unserer Internetseite (03.11.02), problemlos möglich sein und wurde von uns auch erfolgreich getestet. Bitte beachten Sie jedoch, dass es sich hierbei weder um eine offizielle noch zugesicherte Produkteigenschaft der FRITZ!Card DSL handelt. Daher können wir Ihnen bei evtl. auftretenden Problemen keinen Support gewähren. Vielen Dank für Ihr Verständnis. Mit freundlichen Grüßen Uwe Grabowski (AVM Support)

Hallo zusammen. Zunächst recht herzlichen Dank für die Antworten. Hier also noch ein paar detailliertere Info's zum Setup: Auf dem W2K Server ist RRAS installiert. Die AVM DSL Card liefert hier die Schnittstelle zu T-Offline. Innerhalb von RRAS ist NAT installiert und routed zwischen dem LAN und T-Offline. In der Anfangsphase hat das augenscheinlich funktioniert, bis einige User meinten, sie könnten bestimmte WebSeiten nicht erreichen. Daraufhin habe ich Jana als HTTP-Proxy und NUR als solchen installert. Ergebnis: Alle Webseiten einwandfrei zu erreichen. Ich habe die Proxy Lösung gewählt, weil ich seinerzeit festgestellt hatte, dass dieses "nicht erreichen" von einzelnen Webseiten nur auf den Clients im LAN vorkam, jedoch nicht auf dem Server selbst. Später dann stellten sich Probleme mit POP3 heraus, wenn User im LAN einen POP3-Account vom Web abholen wollten. Probleme der Art, dass es mal funktioniert und mal nicht. (Siehe Beschreibungen früher in diesem Thread.) Ich habe gestern Abend auch das Ganze mal ohne Jana versucht -also native IP Routing - jedoch mit dem selben Misserfolg. Ich wäre schon bereit, an der MTU Size zu schrauben, nur bin ich mir nicht ganz ssicher, muss ich die MTU verändern auf den Clients im LAN oder auf dem Server? GIbt es irgendwelche brauchbaren tools, um festzustellen, wo die Pakete "versumpfen" ? Gruss - Klaus