Crockett

@fresch_heit2000 naja bis gestern hatte ich auf den Clients im Hintergrund nichts laufen :-) habe es immer beizieten manuell gescannt. Aber es nutzt mir halt nichts nur auf den Clients wenn die Server dabei draufgehen. Bin also jetzt auf der Suche nach einem ordentlichen Virenscanner für den ISA. GFI habe ich mir mal in der Trial gezogen. Werde den mal testen. Das der nur für den Download der Clients ist, ist mir klar. @Velius Danke für die Links.. das mit dem Scripts ist ne gute Sache. Betrifft auch genau die Dinger (Viren) die ich drauf hatte (Netsky und Sasser). Wie beschränke ich denn die Ports für die VPN Verbindung. Unter RAS & Routing die BasisFirewall mit rein ? Kommt sich das nicht mit dem ISA in die Quere ? Gruß Christian

@ Velius Danke für die Antwort. SUS macht soweit Sinn das man sich nicht um die Updates kümmern muss. Kann mann nicht auf dem ISA SERVER wo sich die Außenstelle via VPN einwählt nur bestimmte Ports aufmachen die ins interne Netz dürfen ? Möchte einfach vermeiden das wenn die sich wiedermal ein Virus ziehen der frisch ist und noch nicht durch Updates gefixt ist, das das gleiche Spiel von vorne losgeht. die Nutzen via VPN nur den TS der Domäne. Gruß Christian

@hoffi- die beiden Sitzungen die du durchführen kannst sind doch für den Verwaltungsmodus da sprich Remotedesktop. Normale Domänenbenutzer sollten sich darauf überhaupt nicht einlogggen dürfen. Dafür gibt es den Terminal Server unter 2003 Server. Somit brauchst du aber nach 120 Tagen für jeden User eine TS_Lizenz. Solange stellt der Server temporäre Lizenzen aus. Mfg Christian

Hallo ! Folgendes Szenario. Auf unserem ISA läuft ein VPN Server mit dem eine Außenstelle auf unser internes Netzwerk zugreift. Heute war der Obergau. Ich telefonierte mit einem Mitarbeiter der Außenstelle, um einen 2. PC zu konfigurieren. Nebenbei connectete er sich mit einem anderen PC via VPN mit unserem ISA. c.a 30 Sekunden später kamen Mitarbeiter von unserer Fa. zu mir und sagten mir das etliche PC´s mit einer Fehlermeldung in der lsass.exe stehen und in 60 Sek. runterfahren. Kaum hatten sie es mir gesagt, erwähnte der Mitarbeiter der Außenstelle, das er dieses heute schon öfters bei dem PC hatte der sich eine Minute zuvor mit unserem VPN Server verbunden hat. Toll dachte ich mir , herzlichen Dank. Ein paar Minuten später waren alle PC´s im lokalen Netz bei uns breit. Zur Frage: Wenn die Außenstelle mit uns connected bekommt der PC eine IP aus unsere internen Netzwerk. Wenn dieser mit Sasser & Co infiziert ist, kann der ISA dieses abfangen ?? Evlt. mit Thrid Produkten ? Welchen Virenscanner könnt Ihr für den ISA empfehlen ? Content Filterung muss nicht unbedingt sein (Download Überwachung etc.) Gruß Christian

@lukin Hallo ! Die Informationen die du lieferst sind sehr spärlich. Im Prinzip kann das sehr viel sein. Dafür müsste man deine Netzumgebung besser kennen. Beispiel : Läuft bei dir im Netz ein DC mit DNS ?? Wenn ja ist dort eine Weiterleitung eingerichtet auf externen DNS ? Dann reicht ja schon eine DNS Anfrage aus um den ISA online zu schicken. Gruß Christian

@wirtnix TS läuft ja mittlerweile... Läuft im Applikationsmodus. Nur für die Remoteverwaltung hätte ich die kpl. TS-Dienste ja nicht installieren müssen. Gruß Christian

@grizzly999 jo wer gucken kann ist klar im Vorteil :( Habe bei Benutzerkonfiguration geguckt, nicht bei Computerkonfiguration in der MMC.... Steht bei meinem Server auch drin. :) Gruß Christian

@grizzly999 okay klar :) habe da jetzt auf dem Server nachgeguckt, dort finde ich so eine Einstellung auch nicht. Optionen dort sind : - Gruppenrichtlinien-Aktivierungsintervall für alle Benutzer - Gruppenrichtlinien zur Erkennung von langsamen Verbindungen - Auswahl der Gruppenrichtlinien-Domänencontroller - Verknüpfungen für neues Gruppenrichtlinienobjekt - Standardname für neue Gruppenrichtlinie - "Nur Richtlinien anzeigen" erzwingen - Automatische Aktualisierung von ADM-Dateien deaktivieren - Generieren von Richtlinienergebnissatzdaten durch interakt. Benutzer nicht zulassen. Bei Gruppenrichtlinien.de finde ich den Eintrag Loopbackverarbeitungsmodus. Bei meinem 2003 Server steht er definitiv nicht drin. Gruß Christian

@grizzly999 also bei deinem Link zur MS Page steht folgendes : ------ NOTE: Loopback is supported only in a purely Windows 2000 based environment. Both the computer account and the user account must be in Active Directory. If a Microsoft Windows NT 4.0 based domain controller manages either account, the loopback does not function. The client computer must be a Windows 2000 based computer. ------- Muss das jetzt ein Windows 2000 Client sein ? Bei XP finde ich die Einstellung in den Templates nicht. Gruß Christian

Hallo Grizzly !! Das ist schon richtig mit dem Loopback Modus. Mir geht es aber nur um die Rechte auf dem TS, weil die User die den TS nutzen nicht in meinem lokalen Netzwerk sitzen, und die Workstations auch nicht in die lokale Domäne aufgenommen wurden. Sind die Workstations die via VPN drauf gehen. Habe die User jetzt in eine eigene OU gepackt und eine eigene Guppenrichtlinie für die erstellt. Die habe ich so dicht gemacht, das die User auch wirkliich nur noch die Programme starten können die sie brauchen und mehr nicht. Gruß Christian

@mordor23 Doch es ist möglich... DC und Temrinal auf einem Server ist nicht optimal, läßt sich aber manchmal nicht vermeiden. Bei mir läuft es defakto im Moment so. (seit heute dank der Tipps von ITMike). Mit der Gruppenrichtlinie hat es nichts zutun. Die ist eingestellt für lokale Anmeldung, ebenso die Lokale Sicherheitsrichtlinie für DC. Gruß Christian

@ITMike Habe jetzt eine eigene OU erstellt und dort die User reingepackt die sich über Terminal anmelden drüfen. Dort habe ich dann eine eigene Richtlinie vergeben die auch gut funktoniert. Die Funktion Laufwerke ausblenden kann ich leider nicht benutzen, da dort nur die falschen Laufwerke zur Auswahl stehen. Ich müsste LW D;F;G ausblenden lassen. Habe dort keine Möglichkeit gefunden die Auswahl zu modifizieren. Habe es jetzt so gemacht das ich untern Sicherheit der Laufwerke den Usern verboten habe darauf zuzugreifen. Mfg Christian

@Dr.Melzer Das habe ich jetzt mal vorausgesetzt das er dieses macht, falls diese auf den Arbeitsstationen installiert sein sollten. :)

@all Das mit dem angepassten Desktop / Startmenü habe ich nun eingerichet bekommen. Gibt es eine Möglichkeit dem TS_User bestimmte Laufwerke im Arbeitsplatz nicht anzeigen zu lassen ? Gruß Christian

@ madmax2225 Du kannst die Office Lizenzen für den Terminal Server nehmen. Die müssen nicht eingetragen werden. Du installierst Office einmal auf dem TerminalServer und gut ist. Die Lizenzen für Office (10x) müssen halt nur vorhanden sein. Jedoch brauchst du dann zusätzlich auch 10 Windows 2003 Server CAL´s für den 2003 Server wo der TS drauf läuft. Zusätzlich halt die CAL´s für den SBS, aber die sind ja dabei. Mfg Christian

@ITMike Danke nochmal für deine Antwort. Habe es jetzt hinbekommen. Allerdings ist die Lösung nicht wirklich logisch. Habe mich heute mit jedem Domänen-Benutzer versucht anzumelden. Bei einem ging es dann. Habe dann die beiden User verglichen. Der einzige Unterschied war, das mein User der sich anmelden sollte und nicht konnte in 2 Gruppen drin war (Domänen-Benutzer, RemoteDesktop Benutzer). Habe ihn dann nur in der Gruppe der Domänen-Benutzer gelassen, und siehe da dann ging es. Soweit so gut. Gibt es eine Möglichkeit bei den Usern den Desktop zu bearbeiten ? Standardmäßíg ist bei dem Terminal-User Desktop eine Verknüpfung zur Backup-Exec des Server. Die soll weg. Weiterhin soll der User unter Arbeitsplatz nicht alle Laufwerke sehen und auch im Startmenü nichts drin haben. Gibt es dafür eine Lösung ? Mfg Christian

@all habe jetzt wirklich alles dreimal probiert. Ich bekomme keinen normalen User am Termial Server angemeldet. Lokale Sicherheitsrichtlinie und Gruppenrichtlinie bin ich jetzt x mal durch. Es kann sich nur der Administrator mit dem Terminal Server verbinden. Das kanns doch nicht sein. Oder ist es bei 2003 Server wirklich so das wenn der Server DC ist es mit dem Temrinal nicht geht ??? Optimal ist es nicht, das weiß ich, aber gehen muss es doch ?? Gruß Christian

@Dr.Melzer Du hast recht, die Kleinigkeit das er ein SBS hat, habe ich übersehen. Beim SBS geht nur der LizenzServer. Gruß Christian

@Timm Grundsätzlich ist das richtig... Habe aber auch schon Situationen gehabt in neuen Bauten da kam man nicht mal durch eine Etagen-Decke durch. Die war dann mit sonstwas verlegt. Jede Wand, Decke, vermindet halt die WLAN-Reichweite. Wenn Stahlbeton Decken da sind ist es meistens heftig... Da hilft dann nur probieren. Gruß Christian

@Timm Die vorhandene Antenne am Router wird abgeschraubt, die neue Antenne wird dann an den Anschluss einfach drangeschraubt. Ein Verlängerungskabel liegt bei der Antenne bei. Die Kosten für die 800er Antenne liegen glaub ich so bei 100-120 Euros. Gruß Christian

@ madmax2225 Der Kunde benötigt keine weiteren Office Lizenzen wenn er das Office von 10 Usern via TS auf dem Server nutzen will. Es reicht wenn er die Lizenzen hat. Die müssen auf dem Server nicht eingepflegt werden. Jedoch braucht er für jeden Client eine TS-CAL und User-CAL. Eine externe Connector Lizenz braucht er für das Szenario nicht. Gruß Christian

@Timm Ein Link für die Reichweitenerhöhung habe ich nicht, kann dir aber ein kleines JPG via Email schicken wo das evtl. etwas deutlicher wird. Das mit dem Bild einstellen klappt irgendwie nicht. Wegen den Antenne für D-Link Geräten schaue mal hier : Antennen für D-Link Geräte Habe noch selber keine davon verbaut aber auch schon an Kunden verkauft die sehr zufrieden waren. Die hatten die ANT24-0500 und ANT24-0800 gekauft. Gruß Christian

@ Timm Wenn der AP den du dazukaufen möchtest im BridgeModus und Accespoint Modus gleichzeitig arbeiten kann funktioniert das so. Dann kann man den AP so konfigurieren. Habe so ein Gerät aber noch nie gesehen. (Gibt es aber wohl). Bis lang habe ich es bei Kunden immer wie folgt gemacht. 2 zusätzliche AP´s. Die werden mit einem CAT 5 Kabel miteinander verbunden. Der eine AP arbeitet im AP Modus, der andere im Bridge Mode. Die PC´s oben connecten sich auf dem AP im AP-Modus. Wichtig dabei ist das die PC´s in der oberen Etage und der AP mit einer SSID und logischer Weise mit dem gleichen WEP Key arbeiten, aber der AP der im Bridge Mode abeitet und deine WLAN Geräte im Erdgeschoss müssen eine andere SSID und WEP Key nutzen. Damit läßt sich aktzeptabel die Reichweite erhöhen. Für viele WLAN-DSL Router gibt es aber auch größere Antennen mit mehr Leistung. Bei D-LINK auf jeden Fall. Die sind meist günstiger als 2 neue AP´s und helfen meistens aucn. Gruß Christian

@zuschauer Kein Problem, das war das mindeste . :)

@zuschauer ich schätze dein "grummel" bezieht sich drauf, das im meinem letzten Post stand das ich grizzly999 eine Email geschickt habe und mehr nicht. sorry, sollte nicht böse gemeint sein. ich versuche das mit der Außenstellenanbindung im Moment 2 gleisig bzw jetzt nur noch eingleisig... Erst wollte ich es über Cert´s machen hatte da Probleme und stellte um auf Preshared Key. Dann erfuhr ich das in der Außenstelle nur W2K im Einsatz ist und nicht auf XP umgestiegen wird. Da ich keine Lust habe 250 km in die Außenstelle zu fahren um dort an der Registry von W2k auf verschiedenen PC´s rumzubasteln, bin ich dank grizzly´s Hilfe wieder auf die Variante mit den Zertifikaten zurück. Was jetzt auch größstenteils klappt. Im Moment habe ich ein bissel viel um die Ohren, heute wieder ein 14 Stunden Tag hinter mir... Also nochmal, sorry..... Gruß Christian