hades

Auf der internen Schnittstelle werden das lokale Netzwerk (=LAT) und der Domainname (=LDT) definiert, die zum internen Netzwerk gehoeren. LDAP-Zugriff erlauben: http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/Systemrichtlinien.htm#1 Kerberos-Zugriff erlauben: http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/Systemrichtlinien.htm#6 DNS-Zugriff erlauben: http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/Systemrichtlinien.htm#7 Ping-Antworten an die internen Verwaltungssysteme erlauben: http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/Systemrichtlinien.htm#10 Ping-Anforderungen vom ISA an bestimmte Systeme erlauben: http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/Systemrichtlinien.htm#11 RPC-Zugriff erlauben: http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/Systemrichtlinien.htm#22 http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/Systemrichtlinien.htm

Was nutzt Du als Verschluesselungsprotokoll? WEP oder WPA? Wenn Deine Geraete WPA unterstuetzen, nutze dieses. WEP ist zu unsicher.

Deine Shifttaste klemmt. Ja, man kann es einstellen. Schau Dir im RRAS die Einstellungen der einzelnen Netzwerkinterfaces an, dort koennen Zugriffslisten sowohl fuer eingehenden als auch fuer ausgehenden Traffic definiert werden.

Wende Dich an Deinen Administrator vor Ort. Wir helfen hier nicht, um bestehende Firmenrichtlinien zu umgehen. ~~~closed~~~

Wofuer brauchst Du das?

Genug OT. Wer etwas Fachliches hinzufuegen moechte, bitte per PM an mich richten. ~~closed~~

Schau Dir auch Deine Einstellungen bzgl. der LDT und LAT an. Zu finden in den Netzwerkrichtlinien (sinngemaess, dort wo auch das Template eingestellt werden kann). LDT = Local Domain Table LAT = Local Address Table

Der ISA Server 2004 hat jede Menge Regeln, die fuer ihn selbst gelten. Diese Regeln sind standardmaessig ausgeblendet und koennen auf der rechten Seite mit dem Punkt "Systemrichtlinien anzeigen" (sinngemaess) eingeblendet und konfiguriert werden. Das findest Du im Teil Firewallrichtlinien.

Geht mit RDP-eigenen Mitteln nicht. Ansatzpunkt 1: Zugriff ausschliesslich via VPN, keine direkte Veroeffentlichung der Terminaldienste Ansatzpunkt 2: Terminalserver fuer Anwendungen Hier Lizenzen pro Geraet vergeben und den Lizenzserverdienst nur manuell fuer die Vergabe von TS-Lizenzen einschalten. Jeder, der keine gueltige TS-Lizenz besitzt, kann sich ohne Lizenzserver-Dienst nicht verbinden. Ansatzpunkt 3: SSL / TLS Wenn das System ein Windows Server 2003 mit SP1 ist, dann kannst Du die RDP-Sitzung mit Zertifikaten (SSL / TLS) absichern.

Nimm die Gruppenrichtlinienverwaltungskonsole (Group Policy Management Console --- GPMC) und dort den Gruppenrichtlinienergebnissatz (Resultant Set of Policies --- RSoP). Damit bekommst Du die geltenden Richtlinien heraus, die in der Kombination Terminal Server+Benutzer gelten.

Nimm Outlook und erstelle ueber das Kontextmenue einen neuen oeffentlichen Ordner. Voraussetzung: Der Benutzer darf oeffentliche Ordner erstellen.

Schau Dir die Gruppenrichtlinien des Users an: v.a. das Loeschen des lokalen Profils. Bei einem TS kommt oft der Loopbackverarbeitungsmodus zum Einsatz, damit werden dem Benutzer die fuer den TS geltenden Benutzereinstellungen aufgezwungen. Anderer Ansatz: Umgehung des Problems Schau Dir die Axapta-Schalter genauer an. Du musst nicht zwingend die Verbindung aus dem Axapta-Configtool nehmen. Mit den Schaltern, die in der Axapta-Hilfe beschrieben sind, kannst Du alle Axapta-Konfigurationen (beim Terminalserver v.a. die Thinclient-Version mit Axapta Object Server) bereitstellen, ohne in der Registry Eintraege vorzunehmen.

Was verstehst Du unter Synchronisation? nur auf Email-Austausch bezogen oder auf saemtliche Exchange-Features bezogen

Nimm als Authentifizierungsmethode nur MS-CHAPv2 und EAP. Bei L2TP/IPsec musst Du entweder ein Computer-Zertifikat (empfohlene Variante) oder einen Preshared-Key verwenden. Alternative zum RRAS: OpenVPN OpenVPN ist wesentlich einfacher zu administrieren und ist sicher.

Welches VPN-Protokoll willst Du nutzen? PPTP oder L2TP/Ipsec? PPTP solltest Du ad acta legen und nicht einsetzen, es ist einfach zu unsicher. Bei L2TP/Ipsec (mit NAT-T) brauchst Du diese Ports: UDP500 UDP1701 UDP4500 Pruefe zuerst ob die betreffenden Ports offen sind, einen Portscanner fuer die eigene, oeffentliche IP-Adresse gibt es z.B. auf www.heisec.de unter Dienste -> Netzwerkcheck. Wenn die offenen Ports ok sind, pruefe Deine RRAS-Konfiguration.

Nicht ganz. Mit NTFS-Berechtigungen ist das moeglich (und in manchen Szenarien -z.B. Dateien der Personalabteilung- auch gewollt). Ein Administrator kann sich aber die benoetigten Berechtigungen durch Besitzuebernahme und Setzen der Berechtigungen verschaffen.

Cisco Router werden klassischerweise ueber die Console (blaues Cisco-Kabel mit Rolloverbelegung sowie eine Terminalsoftware z.B. Hyperterminal) oder wenn freigeschaltet ueber telnet administriert. Die Moeglichkeit der Web-Administration kann, muss aber nicht, eingeschaltet sein.

Mit Verweis auf die Boardregeln geschlossen.

Schau Dir die Unterschiede der folgenden Gruppen an: - lokale Gruppen - globale Gruppen - universelle Gruppen - domaenenlokale Gruppen Schau Dir auch die unterschiedlichen Domaenenfunktionslevel (Domain Function Level) und die unterschiedlichen Gesamtstrukturfunktionslevel (Forest Function Level) von Windows Server 2003 an. Die beiden letztgenannten Punkte Domain Function Level und Forest Function Level sind Unterschiede zwischen Windows 2000 Server und Windows Server 2003. Die Gruppen gibt es beiden Betriebssystemen.

Webservices ist der falsche Begriff, Webservices ist allein der HTTP/HTTPS-Zugriff. Du kannst Dir die Portliste auch direkt bei der IANA anschauen: http://www.iana.org/assignments/port-numbers

Die Dateien der GPOs darfst Du nicht per Hand aendern. Nutz dafuer die vorgesehenen Wege: - AD Benutzer und Computer bzw. wenn installiert - die bereits von janlutmeh genannte Gruppenrichtlinienverwaltungskonsole (GPMC)

Beim Windows Server 2003 ist standardmaessig nichts installiert. Die IIS-Version beim Windows Server 2003 ist die Version 6.0 (IIS 5.0 = Windows 2000 Server). Den IIS findest Du in den Windowskomponenten (Systemsteuerung -> Software)

Als Was? als Memberserver: kein Problem als DC: Hier bitte bei Microsoft selbst nachfragen, da hier die vorhandene 2000er Domain auf 2003 heraufgestuft wird und u.U. weitere Kosten in Form des Upgrades saemtlicher Windows 2000 CALs auf Windows 2003 CALs entstehen koennen.

IPsec != L2TP/IPsec != PPTP IPsec allein verwendet keine Ports. Es geht ueber die IP-Protokolle AH (IP-Protokoll 51) und ESP (IP-Protokoll 50), kann aber nicht mit NAT betrieben werden. IPsec in Kombination mit L2TP und NAT-T: - muessen beide Seiten (Client und Server) koennen, ansonsten ohne NAT-T - UDP 500 UDP 1701 UDP 4500 (ueber UDP 4500 werden hier die ESP-Pakete gekapselt) IPsec in Kombination mit L2TP, ohne NAT-T: - nicht ueber NAT realisierbar - UDP 500 UDP 1701 ESP-Protokoll AH-Protokoll PPTP: TCP 1723 GRE-Protokoll (IP-Protokoll 47)

Bitte bleibt beim Thema.