hades

Bitte zu Aussagen auch nachvollziehbare Quellen/Testergebnisse liefern.

Dir ist schon klar, dass beide SBS nicht im selben lokalen Netz arbeiten können? Denn jeder SBS hat seine eigene Windows-Domain (DC mit allen FSMO) und ist auch gleichzeitig der DNS-/WINS-Server der betreffenden Windows-Domain und auch gleichzeitig DHCP-Server des zugehoerigen LAN-Segmentes. Gerade die Namensaufloesung (DNS/WINS) ist beim im SBS integriertem Exchange Server extrem wichtig. Ein Exchange Server sucht spezielle Eintraege im DNS (z.B. den Globalen Katalog) und das muss hier der SBS und kann kein DNS-Resolver im Router machen. Bei DHCP ist es aehnlich. Das sollte auch der SBS machen und nicht der Router. Wenn es Dir nur um Emails (nicht die Groupware-Funktionen wie Kalender, Oeffentliche Ordner, Postfach-Freigaben etc.) geht, dann schiesst Du mit einem SBS mit Kanonen auf Spatzen.

nagios. Ist OpenSource. Gibt dafuer aber auch kommerziellen Support, sofern man ihn benoetigt. Kann bei Alarmzustaenden neben Emails, auch SMS, SNMP Traps senden oder irgendwas anderes ausloesen/durchfuehren. Einziger Haken fuer Klickibunti Admins: nagios selbst laeuft nur auf Unix/Linux (kann aber Windows Systeme ueberwachen) und in der Grundkonfiguration wird die Konfiguration ausschliesslich an Hand von Konfigdateien vorgenommen. Es gibt aber einige der vielen Erweiterungen, die die Konfiguration auch ueber eine GUI ermoeglichen... wenn man das benoetigt.

DHCP Discover, DHCP Offer, DHCP Request und DHCP Ack/Nak sind sowohl Ethernet- (FF:FF:FF:FF:FF:FF) als auch IP-Broadcasts (255.255.255.255). Die eigentlichen DHCP Daten (welcher DHCP-Server, welcher Client, Lease /-time) stehen im Payload des IP-Paketes (Nutzdaten Schicht 5-7). Damit ein DHCP Client und ein DHCP Server die IP-Pakete unterscheiden kann, werden Source Port und Destination Port genutzt. Bei der Richtung DHCP Client -> DHCP Server wird der Source Port auf UDP 68 und der Destination Port auf UDP 67 gesetzt. Bei der Richtung DHCP Server -> DHCP Client wird der Source Port auf UDP 67 und der Destination Port auf UDP 68 gesetzt. Eine Ausnahme gibt es bei der Erneuerung der DHCP Lease: Dort gibt es bei T1 und T2 nur DHCP Request und DHCP Ack/Nak. Der DHCP Request nach T1 (Haelfte der Leasetime) ist Unicast, gerichtet an den DHCP-Server der die Lease vergab (Renew). Falls das nicht beantwortet wird gibt es T2: Der DHCP Request nach T2 (7/8 der Leasetime) ist wiederum Broadcast, um andere DHCP-Server zu erreichen (Rebind). Falls dieser wiederholte Wunsch der Leaseerneuerung auch nicht beantwortet wird, dann laeuft die Lease ab und der gesamte DHCP Prozess faengt von vorne an.

Wir bleiben bitte beim Thema. Die notwendige Hardware ist sicherlich nicht von der Hand zu weisen, es ging aber hier primaer um den Virenschutz im Unternehmen.

Fuehrt Euren Kleinkrieg woanders weiter, nicht hier. @Threadstarter: Falls zum eigentlichen Thema etwas hinzufuegen ist, bitte per PN melden. ~~~closed~~~

Die netto-Werte um 9 MByte/s (um 72 Mbit/s) waeren top fuer ein WLAN nach IEEE802.11n. Mehr geht dort als netto-Durchsatz nicht. Deaktiviere beim WLAN alle nicht benoetigten Einstellungen wie z.B. WMM und Kompatibilitaetsmodi zu aelteren WLAN-Standards (Modi: g+n, b+g+n). Auch den Kanal fest einstellen und keine autom. Anpassung der Sendeleistung. Nach Moeglichkeit das weniger ausgelastete 5GHz-Band nutzen.

Die Netzklassen gibt es seit September 1993 nicht mehr. Sie werden aber leider immer noch gelehrt, weil die binaere Darstellung einer IP immer eine Einordnung in eine der ehemaligen Netzklassen zulaesst. Mehr siehe RFC 1518 - An Architecture for IP Address Allocation with CIDR und RFC 1519 - Classless Inter-Domain Routing (CIDR): an Address Assignment and Aggregation Strategy / RFC 4632 - Classless Inter-domain Routing (CIDR): The Internet Address Assignment and Aggregation Plan

Wenn jemand an den Geraeten dran war, dann wende Dich bitte an diesen. Denn ansonsten kommt die Frage wegen der damals eingerichteten Fernwartung wieder und derjenige verstellt es wieder damit das wieder funktioniert. Woher sollen wir wissen wie das eingerichtet war und es eingerichtet sein muss?

Wenn Du nicht weisst wie die Geraete funktionieren: Hole Dir Testgeraete ins Haus und teste an denen Deine vorher festgelegten Anforderung. Dann noch diese Fragen: Bist Du bzw. Deine Kollegen in der Lage, das favorisierte Produkt zu administrieren? Nein, dann beziehe notwendige Schulungen fuer alle der betroffenen Admins in die Projekt-Kalkulationen mit ein. Erst dann kannst Du ueberhaupt sagen, ob das Produkt fuer Deinen Betrieb wirtschaftlicher ist.

Womit erfolgt die DSL-Einwahl auf dem PC? T-Online Software? oder ueber Windows (Breitbandverbindung)? Welches Emailprogramm wird benutzt? Auch die T-Online Software? oder ...?

Gibt es Deine These auch mit einem nachvollziehbaren Urteil?

Wenn bei der privaten Nutzung von Email und Internet nichts klar geregelt ist, dann kann fuer die Mitarbeiter ein Gewohnheitsrecht entstehen, dass u.U. auch einklagbar ist. V.a. das genannte Mitlesen von Emails verstoesst ohne eine klare Nutzungsregelung gegen das Fernmeldegeheimnis (Telekommunikationsgesetz §88). Wenn Deine Azubine diesen Vorfall zur Anzeige bringen wuerde, dann kommt das Strafgesetzbuch §206 (Verletzung des Post-/Fernmeldegeheimnis) zum Tragen: Fuer den/die Mitleser gibt es entweder bis zu 5 Jahre Haft oder Geldstrafen. D.h. lasse von einem Juristen die Passagen der IT-Richtlinien / Betriebsvereinbarungen aufsetzen und dann von den Mitarbeitern unterschreiben, die die private Nutzung von Email und Internet untersagen. Nur dann ist Dein Chef auf der sicheren Seite.

Es gibt nie nur einen Adminaccount. Jeder der Admins/GF bekommt einen personalisierten Admin-Account. Der originale Admin-Account wandert danach mit einem neuen Kennwort versehen in den Safe. Dann koennen die immer wieder auftauchende Fragen wer wann etwas warum geaendert hat schnell geklaert werden. Und man kommt mit dem originalen Admin-Account immer noch ans System, wenn sich mal alle Admins aussperrren sollten. Das Kennwort des originalen Admins muss dann bei Arbeitsplatzwechsel eines der Admins/GF immer mit einem neuen Kennwort versehen werden. Irgendeiner weiss es immer, auch wenn es im Safe liegt. Idealerweise wird jedem Admin zusaetzlich ein normaler User-Account gegeben. Denn auch Admins sollten nicht generell immer mit Admin-Rechten arbeiten. Fuer Emailschreiben und im Web nach Problemloesungen suchen reichen auch bei einem Admin Userrechte aus.

Andere Moeglichkeiten: Labels am Kabel, die auf beiden Stecker-Seiten zeigen von wo nach wo das betreffende Patchkabel geht. Gibt es entweder guenstig beim Netzwerk-Lieferanten als kleines Schildchen mit integriertem Kabelbinder, die man dann handschriftlich ausfuellen/markieren kann oder als farbige Ringe/Clips (auch mit Zahlenkombinationen), die auf das Kabel draufgesteckt werden und damit das Kabel zugeordnet werden kann. Oder die Luxusvariante: Labels vom speziellen Kabellabel-Drucker. Ein mit LEDs bestuecktes Kabel ist zwar nett... es kann aber auch mal nicht funktionieren, weil z.B kein Link drauf ist oder LEDs ausgefallen sind. Das altmodische Beschriften funktioniert dagegen immer, diese Daten muessen nur halt immer gepflegt werden.

Lies mal folgende Gesetze, wenn Du vorhast fuer den Anschluss Deinen Kopf hinzuhalten: - Telemediengesetz (Du bist streng genommen ein Provider, wenn Du als Anschlussinhaber anderen die Nutzung Deines DSL-Anschlusses anbietest) - Telekommunikationsgesetz (darin enthalten ist das Fernmeldegeheimnis) - Gesetz zur Beschraenkung des Fernmelde-/Post-/Briefgeheimnis (G10-Gesetz) - Bundesdatenschutzgesetz Kurz: Wenn Du irgendwas warum auch immer mitloggen willst: Das geht nur mit Einwilligung der Betroffenen und dann musst Du auch genau sagen wofuer das ist und welche Daten Du genau mitloggst. Dabei duerfen nur Stichproben in begruendeten Verdachtsfaellen genommen werden, kein generelles Logging saemtlicher Daten. Ansonsten verletzt Du das Fernmeldegeheimnis und auch das Bundesdatenschutzgesetz. Eine Vorratsdatenspeicherung ist eh nicht. Das Gesetz zur Vorratsdatenspeicherung ist Anfang März per Urteil vom Bundesverfassungsgericht aufgehoben worden. Anders sieht es aus, wenn eine Ermittlungsbehoerde mit einem richterlichen Beschluss das Logging (TK-Ueberwachung) anordnet (meist direkt beim Anbieter des DSL-Anschlusses). Dann duerfen diejenigen, die darueber etwas wissen nichts sagen. Ansonsten drohen diesen nicht nur Geld-, sondern auch Gefaengnisstrafen. So einfach ist das alles nicht.

Query refused ist die richtige Antwort auf DNS-Anfragen, die Du nicht erlaubst. Z.B. auf die nicht gewuenschten rekursiven Anfragen. Mangels ARM fuer die 9.3 kann man schlecht nachschauen ob query-allow-cache in bind 9.3 unterstuetzt wird. Koennte durchaus erst spaeter eingefuehrt worden sein. Die 9.3 ist schon etwas aelter. Kommentiere query-allow-cache mal aus, starte den bind neu und versuche die Aufloesung mal ohne das Dranhaengen der AD-Domain. Poste auch mal die veraenderte named.conf

Versuch es auch mal ohne das Dranhaengen der AD-Domain als DNS-Suffix. Denn Dein PC haengt den DNS-Namen Deiner AD-Domain ran, die es auf Deinem im RZ gehosteten DNS-Server gar nicht gibt. nslookup >set nosearch >server ns1.domain.net ... >mail.domain.net Auch wenn Umlaute mittlerweile bei der DENIC fuer de-Domains erlaubt sind, bitte nutze diese in AD-Domain-Namen nicht. Denn alte Exchange (2003 und aelter) und Outlook Versionen (2003 und aelter) koennen das nicht. Wenn allow-query-cache nicht vorhanden ist, wird es automatisch mit den Werten von allow-query gefuellt, wenn diesen vorhanden ist.

In Deiner named.conf fehlt allow-query-cache. D.h. Deine Zones koennen zwar angefragt (allow-query), es darf dafuer aber nicht der Cache genutzt werden. Du brauchst allow-query nicht nochmal bei der Zone angeben, wenn es bereits in options enthalten ist. Dein Freund ist das zu Deiner (leider zu ungenau angegebenen) bind-Version passende Administrator's Reference Manual (ARM), gibt es als Download bei BIND Documentation | Internet Systems Consortium.

Ein Thread reicht.

Wofuer braucht der Server mehrere Interfaces: - fuer die hoehere Bandbreite? oder - fuer die hoehere Ausfallsicherheit?

Unitymedia... hmm. Schon mal das Kabelmodem neugestartet (einfach das Stromkabel abziehen; etwas warten; wieder anschliessen und dann wieder etwas warten bis die LEDs Power, DS/Receive, US/Send und Online wieder dauerhaft leuchten)? Das Unitymedia Kabel-Modem (welches Modell ist es denn? UM hat 6 verschiedene Modelle.) merkt sich das angeschlossene Geraet anhand der MAC-Adresse. Wenn da vorher was anderes dran angeschlossen war, z.B. ein anderer Router oder ein PC, dann geht das nicht ohne Neustart des Kabelmodems weil bei UM als CPE nur 1 MAC-Adresse zugelassen ist. Zugangsdaten werden nicht benoetigt, es ist bei UM kein Einwahlprotokoll (z.B. das von DSL bekannte PPPoE) notwendig. Einfach den WAN-Port des D-Link DI-524 auf DHCP stellen und fertig.

Das ist mit evolution (gibts u.a. fuer linux) kein Problem. ... Wenn OWA geht, dann geht -wenn alle Voraussetzungen erfuellt sind- auch RPC over HTTPS, wo dann per Outlook auch von ausserhalb ohne VPN auf dem Exchange gearbeitet werden kann. Voraussetzungen, weitergehende Info zu RPC over HTTPS: MSXFAQ.DE - RPC over HTTP

Einen gebraucht erstandenen Switch stellt man nicht ohne vorherigen Reset auf Werkseinstellungen ins eigene Netz. Da kann noch alles Moegliche drauf konfiguriert sein, z.B. VLANs / Aggregated Interfaces / Monitoring Ports / Access Listen und auch abgeschaltete Webinterfaces. Schau in die Anleitung oder erfrage es bei 3com wie der Reset bei diesem Teil geht. Dann konfigurierst Du ihn fuer Deine Zwecke komplett neu.

SSL (Secure Socket Layer) ist nicht gleich TLS (Transport Layer Security). TLS wird erst nachtraeglich mit einem Kommando auf der bereits bestehenden Verbindung (auf dem selben Port) aktiviert, z.B. geht bei SMTP beides (unverschluesselt und mit TLS verschluesselt) idR ueber TCP Port 25. Eine mit SSL aktivierte Verschluesselung lauscht auf einem separaten Port, z.B. bei HTTPS idR auf TCP Port 443, und laesst auf diesem Port keine unverschluesselte Uebertragung zu.