hades

Was geben die folgende Befehle aus?

lspci | grep Ethernet

ethtool -i eth0

Welcher Kernel wird genutzt (uname -a)?

net.core.rmem_max  = 262144

net.ipv4.tcp_rmem = 4096   87380   262144

net.core.rmem_max gilt fuer alle Protokolle als maximaler Empfangsbuffer.

In diesen sollte auch die maximale TCP Window Size, die Du mit dem letzten Wert von net.ipv4.tcp_rmem definierst, reinpassen.

Ein DC ist ein DC.

Dort melden sich nur Konten mit den entsprechenden Berechtigungen an, wenn es etwas zum Administrieren in der Domain gibt.

Auch wenn die Domain klein ist.

Der normale Weg sieht eher so aus:

Man arbeitet immer lokal auf seinem eigenen Clientsystem und verbindet sich nur bei anstehender Admin-Aufgabe per RemoteDesktop auf den DC und kehrt nach der Admin-Aufgabe wieder auf seinen eigenen Client zurueck.

Auf der lokalen console eines DC ist normalerweise niemand angemeldet.

Wenn es TCP ist, dann hat der TCP/IP Stack etwas damit zu tun.

TCP hat eine Flusssteuerung, wo a) beim Verbindungsaufbau (3Way Handshake) und bei der Datenübertragung doppelte Antworten (SYN-ACK bzw. ACK) durch die enthaltene Sequenznummer bemerkt werden.

Bei UDP ist es dem TCP/IP Stack egal.

Du erlaubst mit

net.ipv4.tcp_rmem=4096 87380 174760

net.core.rmem_max = 131071

ist hier aber zu klein bemessen.

Auch wuerde ich hier anstelle der krummen 170,6640625 kByte (174760 Byte) eher 256 kByte (262144 Byte) setzen.

Was gibt Dir:

sysctl -a | grep mem

aus?

WinSCP ist kein FTP, das ist auf SSH basierendes FTP.

Deshalb wird das gezeigte Bsp. nicht funktionieren.

Nimm Dir eine Linuxkiste oder installiere Dir auf Windows cgywin und realisiere das dann mit scp.

Bsp: Dein Server hat die IP 192.168.0.1 und als Name ns1.domain.invalid

Dazugehoerige Zonefiles:

Forward Zonefile domain.invalid.

ns1 IN A 192.168.0.1 

1 IN PTR ns1.domain.invalid.

Die Zones immer mit dem Geruest:

Start Of Authority: IN SOA ...

zustaendige Nameserver der Zone: IN NS

Soweit ich weiss geht das nicht.

Weil die MSN auf 2 Endgeraeten drauf ist.

Dann klingeln immer beide.

Busy on busy am Telefon geht nur, wenn die MSN nur auf einem Endgeraet konfiguriert ist.

Was geben Dir

ethtool eth0

ethtool -k eth0

ethtool -S eth0

aus?

Wenn der Kunde keinen eigenen MTA/MDA hat, dann musst Du den MTA von Deinem Provider nehmen.

Ob das jetzt Strato, 1&1 oder der Provider xyz ist, ist egal.

Allerdings solltest Du dann in Backup Exec den SMTP Server -sofern der Provider es anbietet- mit SMTP-Authentifizierung nutzen, denn es sollte aus gutem Grund keine offenen SMTP Relays geben.

Offene Relays sind das Spamverbreitungstor Nr. 1 und landen somit gerne auf Realtime Blacklisten (RBL).

Ein lokal installierter MTA ist hier nur sinnvoll, wenn dieser Server mit dem Mail-Client/MUA (Backup Exec) darauf soweit abgeschottet, dass er keine anderen MTA erreichen kann.

Weitere Tips:

Wenn Du einen Elektriker dafuer holst, dann bitte bei der Planung solch einer Verkabelung nie die Begriffe Telefon, ISDN, DSL und PC verwenden.

Denn Du bekommst immer nur das vom Elektriker geliefert, was Du ihm als Auftraggeber erklaerst.

Wenn Du Telefon sagst, dann bekommst Du vom Elektriker 2-Draht-Leitungen (bessere Elektriker legen hier 4-Draht-Leitungen fuer Systemtelefone) auf Telefoninstallationskabel mit TAE-Dosen.

Wenn Du ISDN sagst, dann bekommst Du vom Elektriker Kabel mit 4-Adern Cat3 auf IAE-Dosen (IAE sind den RJ45-Dosen aehnlich, aber leider nicht fuer Deinen Zweck geeignet).

Wenn Du DSL sagst, bekommst Du entweder 2-Draht-Leitungen mit Telefoninstallationskabel auf RJ45-Dosen (fuer die Verbindung Splitter zum DSL-Modem/Router) oder Kabel mit 4-Adern auf RJ45-Dosen (fuer die Verbindung DSL-Modem/Router zum PC).

Wenn Du PC sagst, dann bekommst Du Kabel mit 4-Adern (bessere Elektriker legen Dir hier auch Kabel mit 8 Adern) auf RJ45-Dosen.

Du brauchst aber vollbelegte Twisted Pair Kabel Cat5e (8-Adern) auf RJ45-Dosen, wo alle Dienste drauf laufen koennen.

Zu solch einer Installation gehoeren Abnahmeprotokolle fuer jede einzelne Datenleitung/Anschlussdose. Denn nur so kannst Du sehen ob wirklich alle Dosen ordnungsgemaess funktionieren.

Das wird mit nicht gerade guenstigen Messgeraeten geprueft (pro Messgeraet belaufen sich die Anschaffungskosten auf einen hoeheren 3- bis 4-stelligen Betrag), die nur wenige Elektriker haben.

Einfache Kabeltester sind hier fehl am Platz, weil diese nur pruefen ob die Adern richtig angeschlossen sind, aber keine Auskunft ueber die Einhaltung der gewuenschten Spezifikationen (hier Cat5e) geben koennen.

Ja genau.

Du brauchst bei IPsec den UDP-Port 500 fuer die Aushandlung der Keys (IKE) und den UDP-Port 4500 fuer NAT-T (in UDP eingepacktes ESP).

Wenn kein NAT-T verwendet wird, dann brauchst Du fuer ESP anstelle des UDP-Ports 4500 das IP-Protokoll Nr. 50 (IP-Protokoll, nicht Portnummer!).

Der UDP-Port 500 und ESP sind meist in der Router-Funktion IPsec-Passthrough bereits drin.

Bei Nutzung von L2TP kommt noch der UDP-Port 1701 dazu.

Ja, das sieht zu Anfang immer nach zuviel aus.

Es gibt aber immer mehr Geraete, die einen Netzwerkanschluss haben.

Angefangen vom im Netzwerk verfuegbaren Drucker, der von der ganzen Familie genutzt wird, bis hin zu den Spielkonsolen (Nintendo Wii, Sony Playstation ...) und den bereits genannten MediaPlayern/NAS.

Deshalb bei den Anschluessen eher einen mehr als zu wenig einplanen.

Wenn es moeglich ist Kabel zu ziehen, mache es.

Du hast spaeter deutlich weniger Probleme.

Denn der Bau eines neuen Hauses ist DIE Gelegenheit, RJ45-Kabel Cat5e in alle Raeume zu ziehen und in einem Raum (meist Hauswirtschaftsraum) zentral alle RJ45-Kabel auf ein Patchpanel zu installieren und dort dann den Router und Telefonanlage anzuschliessen.

Wenn Du vorhast Telefonkabel zu ziehen:

Beim Hausbau nie separate Telefondosen (=TAE-Dosen) setzen, sondern diese Leitungen in die diensteneutrale RJ45-Verkabelung einplanen und dann anstelle einer TAE die RJ45-Dose nutzen. Ggfl. muss dann -mit deutlich weniger Aufwand- das kurze Anschlusskabel des Telefons von TAE- auf RJ45-Stecker geaendert werden.

So bist Du immer flexibel was wo angeschlossen werden kann und kannst spaeter ganz leicht (ohne Anschlussdosen oder Verlegekabel zu aendern) die angeschlossenen Komponenten wechseln. Wenn z.B. erst viele Telefone aber spaeter mehr PCs genutzt werden sollen.

RJ45-Kabel stets in Leerrohren oder Kabelkanaelen verlegen, nie einfach das Kabel unter Putz ohne Leerrohr/Kanal legen.

Warum?

Versuche mal im Nachhinein kaputte Kabel auszutauschen oder falls die Planung nicht ausreichend war weitere Kabel reinzulegen.

Da sind dann Leerrohre oder Kanaele Gold wert. Oder Du hast einen Engel, der Dir die umfangreiche Arbeit des erneuten Schlitzen, Verputzen, Streichen/Tapezieren abnimmt;) .

Planungen:

Pro Wohnraum mindestens 2 vollbelegte (mit allen 8 Adern!) RJ45-Anschluesse (=1 Doppeldose RJ45) planen.

In einem Arbeitszimmer mindestens 4, besser 6 vollbelegte RJ45-Anschluesse (=2-3 Doppeldosen RJ45) planen.

Neben Telefon und privaten PC kommt im Laufe der Zeit manchmal auch noch unverhofft ein separates Papier-Fax, zum privaten PC/Laptop noch ein dienstliches Laptop oder gar eine voellig separate Trennung dienstlicher/privater Internetanschluss dazu.

dlan und auch WLAN haben so ihre Tuecken.

WLAN:

WLAN ist abhaengig von den Entfernungen im Haus und den verwendeten Baumaterialien sowie von den in der Nachbarschaft funkenden WLANs auf die Du keinen Einfluss hast.

Bei WLAN stehen Dir in Europa im 2,4 GHz-Bereich 13 Kanaele zur Verfuegung, wo allerdings im gesamten Band nur 3 Kanaele ueberlappungsfrei sind und damit stoerungsfrei arbeiten.

WLAN hat im oft genutzten IEEE802.11g zwar 54 Mbit/s.

Aber das ist nur brutto. netto ist hier bei optimalen Bedingungen nur ca. 23 Mbit/s moeglich. Fuer ein PC ist das ausreichend, aber nicht wenn alle Familienmitglieder eigene PCs haben und ueber WLAN ins Netz wollen und auch noch untereinander Daten austauschen bzw. auf einen zentral aufgestellten MediaPlayer/NAS zugreifen und auf diesem Filme schauen wollen.

dlan:

Sollte nur dort genutzt werden, wo nichts anderes geht.

Und hier daran denken: dlan-Geraete muessen zwingend direkt an der Wandsteckdose als einziges Geraet (keine Verlaengerung mit Mehrfachsteckdosen!) betrieben werden. D.h. Du musst fuer dlan immer weitere Steckdosen pro Raum einplanen.

Es ist genau umgekehrt.

Dein Browser baut die Verbindung zum Webserver der Bank auf und fordert Daten an.

In Richtung Browser muss nichts offen sein, es geht alles (auch die zurueckgegebenen Daten) ueber die Verbindung zum Server.

Um Dein VPN auszuschliessen, gehe per ssh bzw. rdp auf den vserver und rufe dort die HTTPS-Seite mal auf.

Wenn keine graphische Oberflaeche vorhanden: ja, das geht auch ohne.

openssl s_client -connect www.webseitenname.invalid:443

HEAD / HTTP/1.1

Host:www.webseitenname.invalid

Als Antwort sollte der Webserver Dir ein 200 (OK) oder eine der 300er Meldungen (301, 302 oder 303 = Redirections) oder ein 401 (User Authentication required) ausgeben.

Das reine Anschauen von Videos oder PDF-Dokumenten im Browser reicht auch aus, um Dir unerwuenschte Gaeste auf den PC zu holen.

Es werden mit einem eingebetteten Exploit gezielt Schwachstellen des zugehoerigen Anzeigeprogrammes angesprochen, um darueber dann den eigentlichen Schadcode auf den PC zu laden.

Potentiell kann alles, was Du Dir im Inet ansehen/-hoeren oder downloaden moechtest, Exploits fuer das dazugehoerige Programm enthalten.

Und das Ganze ist browserunabhaengig, weil hier das Ziel die im Browser als Addon/Plugin verbundenen Programme sind, die auf nahezu jedem Windows-PCs zu finden sind.

Ein normaler Exchange Server kann von Hause aus keine Emails mit POP3 vom ISP abholen und das ist auch gut so.

Denn ein richtiger Mailserver unterhaelt sich mit anderen Mailservern ausschliesslich ueber SMTP.

Nur ein SBS hat diesen komischen POP3 Connector dabei, der nur als Notloesung gedacht ist.

Jeder POP3 Connector fuer Exchange bringt einige Nachteile und Probleme mit.

a) POP3 holt nur in einem Intervall von x min ab (beim SBS2003 POP3 Connector war das Minimum 15min).

Eine SMTP-Direktzustellung ist zeitnah und nicht an ein Abhol-Interval gebunden.

Du wirst POP3-bedingte Probleme mit CC- und BCC-Empfaengern haben.

c) Du hast bereits Probleme mit Unzustellbarkeitsberichten und Quittungsmeldungen

und das koennte evtl. auch beim SBS2008 zutreffen (war/ist beim SBS2003 der Fall):

d) Exchange-eigene AntiSpam-Funktionen sind beim Abholen via POP3 Connector nur eingeschraenkt nutzbar

Kurz:

Ueberlege ernsthaft, Emails via SMTP direkt auf den Exchange Server zustellen zu lassen und den POP3 Connector zu deaktivieren.

Allerdings ist fuer eine SMTP-Direktzustellung einiges an Vorkehrungen und Exchange Wissen notwendig.

Die wichtigsten Punkte:

a) Du brauchst dafuer eine feste oeffentliche IP. Sowas sollte bei richtigen Business-Internetanschluessen bereits dabei bzw. als Option moeglich sein.

Du brauchst entsprechende Sicherheitsmassnahmen, denn ein Exchange wird nie direkt ins Internet gesetzt (=Portweiterleitung ohne weitere Pruefung ist hier nicht ausreichend).

c) Ein Exchange will immer eine ganze Email-Domain haben. Das heisst, Du brauchst definitiv eine eigene Email-Domain. Providergebundene einzelne Emailadressen ala deinname1@providername.invalid, deinname2@providername1.invalid und deinname3@providername2.invalid sind hier nicht geeignet.

Der Port 443 ist auf der Server-Seite der Webseite, die Du aufrufen willst.

Oder sind die Seiten, die Du aufrufst, lokal auf dem V-Server?

...

Aber es bleiben noch zwei andere Probleme:

1. Sowohl auf den Workstations als auch direkt am Exchange Server scheitert die Outlook 2003 und die Outlook 2000 Konto-Einrichtung mit der Angabe des Exchange Servers und Benutzernamens und dessen Prüfung.

Eine Anmeldung (Domain-user/pass) über das Webinterface des Exchange Servers (https://servername/exchange) funktioniert jedoch.

2. Auf dem Exchange Server werden die beiden Adressen (SMTP und X400) im AD-Benutzer beim Reiter "Email-Adressen" nicht automatisch erzeugt. Woran kann das liegen ?

...

Du hast ein inkonsistentes AD.

a) Es sind im AD-Schema keine Windows 2003 Erweiterungen drin (vorgesehen ist bei einem 2003 DC immer eine Windows 2003 Domain)

und/oder

Es kann der Global Catalog Server nicht erreicht werden

und/oder

c) Der Global Catalog Server ist nicht mehr vorhanden

Fuehre bitte auf beiden DCs mal mit den zur Betriebssystem- und(!) ServicePack-Version passenden Windows Support Tools diese Befehle aus:

dcdiag /q

netdiag /q

Beide Befehle duerfen keine Fehler ausgeben.

Betriebsmaster anzeigen:

netdom query fsmo

Es sollten hier mit dem richtigen Wert (=der neue 2003 DC) diese hier erscheinen und nicht leer sein:

Schema-Master

Domain Naming Master

PDC-Emulator

RID-Master

und Infrastrukturmaster

Sowie das Ergebnis der folgenden DNS-Abfragen hier posten (fuer die Platzhalter - mit %sinngemaesse-Variable% gekennzeichnet- bitte Deine eigenen, realen Werte einsetzen) :

nslookup %Name-des-Servers%

nslookup %IP-Adresse-des-Servers%

nslookup

>set querymode=srv

>_gc._tpc.%domainname%

>_ldap._tcp.%domainnname%

>_kerberos._tcp.%domainname%

>_kerberos._udp.%domainname%

>_kpasswd._tcp.%domainname%

>_kpasswd._udp.%domainname%

Man installiert nie nie niemals ein Outlook auf dem Server, wo der Exchange Server selbst installiert ist. Ist jetzt aber zu spaet.

Kommt drauf an, als was der ISA arbeitet.

Beim ISA gibt es drei Hauptteile: Firewall, Proxy, VPN/RAS

Wenn es Dir um alle ISA-Funktionen geht: ipcop mit passenden addons (u.a. gibt es einen Proxy und openvpn auch als ipcop addons)

Wenn es Dir nur um Proxy geht: squid

Wenn es Dir nur um VPN geht: openvpn

Wenn es Dir nur um eine Firewall bis Layer 7 geht: ein Linux mit iptables und snort (IDS/IPS)

IPCop.org :: The bad packets stop here!

Welcome to OpenVPN

squid : Optimising Web Delivery

netfilter/iptables project homepage - The netfilter.org project

Snort - the de facto standard for intrusion detection/prevention

Nimm doch einfach SNMP.

Die meisten Systeme, die SNMP aktiviert haben, verraten bei einer SNMP-Abfrage auf die betreffenden OIDs etwas ueber das Betriebssystem und der Hardware (Hersteller/Modell).

Je nach Implementation kommt SNMPv1, bei der SNMPv2-Variante meist v2c sowie SNMPv3 zum Einsatz.

SNMP laeuft ueber UDP, zum Glueck ist es aber kein Broadcast.

DNS hat nichts mit MAC-Adressen zu tun.

Das waere eher ARP bzw. RARP.

Wobei man noch dazu sagen muss:

Wenn das verwendete MS Office und das Outlook unterschiedliche (Major-)Versionen sind, dann gibt es zwei fuer manche vielleicht entscheidende Office/Outlook-Funktionen, die dann nicht mehr funktionieren:

- In allen Office-Applikationen geht dann in der Funktion "Senden an" der Punkt Emailempfaenger nicht mehr

- In Outlook geht dann "Word als Email-Editor nutzen" nicht mehr

Die Ursache liegt hier in unterschiedlichen MAPI-Versionen und hard codierten Pfaden im Office.

Ich wuerde das missratene Experiment unter Lehrgeld verbuchen und alles inkl. der vorhandenen (2000?) Domain neu machen.

Denn vom Zeitaufwand her gesehen, bist Du damit wesentlich schneller als ein inkonsistentes AD zu troubleshooten.

Auch wenn keine offensichtlichen Fehlermeldungen erschienen sind, es wurden mit Sicherheit Logfiles waehrend der Installationen angelegt und diese sind in Deinem Fall voller Fehler.

Eine Exchange-Installation uebt man nicht am Live System. Denn es gibt waehrend der Exchange Installation einige nicht umkehrbare Schritte.

Das uebt man auf Testsystemen, die man bei Bedarf ohne Schaden plaetten kann.

Wenn Du die Moeglichkeit hast ein NT4 als weiteren BDC der vorhandenen Domain neu zu installieren, tue es.

Eine Live-Konvertierung eines PDCs funktioniert auch, ist aber mit deutlich mehr Risiken verbunden.

Was ist wenn der PDC waehrend der Virtualisierung abschmiert und das erstellte Image defekt ist?

Dann musst Du notgedrungen den vorhandenen BDC zum PDC hochstufen und hast dann erstmal keinen BDC mehr.

Auch weisst Du nicht ob vor diesem Notfall auf dem BDC alle Daten erfolgreich repliziert wurden und damit aktuell sind.

Vor einer geplanten Umschaltung PDC/BDC fuehrt man sicherheitshalber noch mal die Replikation der Dateien und der WINS- / DNS-Server (die oft auf PDC/BDC drauf sind) durch, um sicherzustellen dass der kuenftige PDC auch die aktuellen Daten hat.