Eleu

Die Fragestellung ist eigentlich unvollständig. Wenn der zur Verfügung stehende Adressraum von 172.17.0.0 - 172.17.0.255 gehen darf, wäre die korrekte Subnetzmaske: 255.255.255.248 Du hast es eigentlich gestern selber vorgerechnet Binär die letzen beiden Oktetten: .............| 2^5| 11111111 11111000 Dez.: 255| 248 25 Subnetze sind gefordert 2^4 = 16 (Zu wenig Subnetze) 2^5 = 32 (Reicht aus) Anzahl der Host pro Subnetz: 2^3 = 8 Die Broadcastadresse ist immer die letzte Adresse des Subnetzes Die Netzadresse immer die erste Adresse des Subnetzes 172.17.0.0 /29 - 172.17.0.7 /29 172.17.0.8 /29 - 172.17.0.15 /29 Gruß Eleu

Hab vergessen die Subnetzmaske zu berechnen:floet:

Hallo, also hat denn hinterher nicht jeder host die Subnetzmaske 255.255.0.0 ? Man hätte 65536 freie Adressen in einem Klasse B Netz wenn dieses nur ein Subnetz bilden würde. Laut Aufgabe benötigst man mindestens 750 freie Adressen bei mindestens 50 Subnetze. Man hätte folgende Möglichkeiten der Unterteilung: 2 4 8 16 32 64 128 ... 32 Subnetze sind zu wenig. Also 64 Subnetze. Das sind 1024 Adressen pro Subnetz weil 65536 / 64 = 1024 Pro Oktette mit 256 Adressen, ergibt das dann nachfolgende Subnetzaufteilung (Nur die ersten 10): 150.193.0.0 - 150.193.3.255 150.193.4.0 - 150.193.7.255 150.193.8.0 - 150.193.11.255 150.193.12.0 - 150.193.15.255 150.193.16.0 - 150.193.19.255 150.193.20.0 - 150.193.23.255 150.193.24.0 - 150.193.27.255 150.193.28.0 -150.193.31.255 150.193.32.0 -150.193.35.255 150.193.36.0 -150.193.39.255 Die Fettgedruckten kann man laut Aufgabe verwenden. Gruß Eleu

Wie man sieht, gibt es jetzt bald auch eine Möglichkeit geheime Dinge seriös zu veröffentlichen, ohne dabei selbst in Erscheinung treten zu müssen: OpenLeaks ? Wikipedia

Hallo Tenebra, hallo Sheggy, Ziel ist es eigentlich die Anwendung auf Win 7 laufen zu lassen. Wenn es nicht geht, soll der XP-Modus eine mögliche Option sein. Nach dem Motto: Besser eine Option als keine Option Danke für diese wichtigen Hinweise. Vielleicht erst mal mit dem Kompatibiltätsmodus und wenn das nicht klappt dem XP-Modus ausprobieren. Vielleicht haben wir Glück und alles läuft auf Win7 ? Ist eine OEM Lizenz auch eine Einzellizenz. Nur gültig in Verbindung mit dem Ankauf neuer Hardware ? Oder gibt es sowieso nur OEM - Lizenzen als sogenannte Einzellizenzen ? Ist diese dann mehrfach wiederverwendbar, darf aber immer nur auf einer Hardware - Plattform installiert werden ( Also Rechner defekt -> Nächster Rechner) ? Muss der Lizenz - Aufkleber zwingend auf den PC aufgeklebt werden ? Gruß Eleu

Hallo und Danke, der Link ist super. Reicht mir schon... Gruß Eleu

Hallo, geplant ist der Austausch eines XP-Rechners gegen einen neuen Rechner mit Windows 7. Einige Programme laufen auf dem XP-Rechner und man ist sich nicht sicher ob das hinterher auch auf Win7 laufen wird ? Jetzt kann man ja bei Windows 7 auch mit einem vollwertigen XP-Modus betreiben. Also die 32 Bit Version ist klar, aber welche Version kann das am Besten ? Professional, Enterprise, oder Ultimate ? Oder können das alle 3 Versionen ? Zu welcher Version würdet ihr mir raten ? Gruß Eleu

Hallo, zu dem Thema habe ich z.B. diesen wikipedia - Link gefunden: http://de.wikipedia.org/wiki/Cluster_(Informatik) Verstehe es aber leider nicht. Was ich verstanden habe ist, dass mehrere Server im Cluster verbunden sind und das man dann alle Server über eine einzige IP-Adresse ansprechen kann. (Der Cluster IP Adresse) Verhält es sich jetzt so, dass wenn der User Remote über die Cluster IP Adresse auf dem Cluster eine Datei ablegt, dass dann alle beteiligten Rechner in diesem Cluster eine Kopie dieser Datei erhalten ? Wenn ja, sehe ich hier den Vorteil bzgl. Redundanz, aber eigentlich keinen Performancegewinn, weil ja alle Rechner die gleiche Menge an Daten bekommen ? Oder verhält es sich bei einem Cluster ganz anders ? Kann mir das jemand erklären, so dass ich es auch verstehe ? Gruß Eleu

Das wollte ich damit nicht sagen. Ehrlich gesagt, finde ich die IT - Technologien sehr interessant, sonst wäre ich hier nicht so oft im Forum unterwegs. Ich würde gerne mal eine Windows Server Domäne und Netzwerkinfrastruktur für den Produktionsbereich entwerfen. Gerne auch in Zusammenarbeit mit unserer hausinternen IT. Man kann sicherlich viel voneinander lernen.

Wenn es um Verfügbarkeit geht, gibt es bei Siemens z.B. Switche am redundanten LWL Ring die an hochverfügbare redundante S7-400Steuerungen angeschlossen sind. Die Visualisier, Programmier- bzw. Diagnosesoftware für diese Steuerungen und die Switche kommunizieren dann über Proprietäre Protokolle. Hier hat man Ausfallzeiten von nur wenigen Millisekunden. STP oder RSTP ist da je nach Anwendungsfall zu langsam. Der Standard sieht hier aber vor, dass man den Terminalbus und den Anlagenbus pysikalisch über separate NIC`s im Visu - Rechner voneinander trennt. Es gibt jetzt hier zwei Möglichkeiten, entweder Du verzichtest auf diese Features zu Gunsten einer einheitlichen Infrastruktur, oder aber Du gehst hier einen Kompromiss ein und trennst an dieser Stelle doch ? Alternativ könntest vielleicht noch versuchen diese Features über den gleichen Switchhersteller zu bekommen ? Ist dann aber nicht mehr Herstellerkompatibel zu den Steuerungen. Was also noch übrig bleibt, ist der Terminalbus mit x-Visualisierungsrechnern. Diese Rechner wären dann an Deiner globalen Domäne angemeldet. Wer würde jetzt die Benutzerrechte der Mitarbeiter in der Produktion verwalten ? Macht das dann die IT oder die Produktionsleitung vor Ort ? Nach meinem Verständnis ist das die Aufgabe der Produktion oder Produktionsleitung zu entscheiden, wer an welcher Anlage, wann wie was zu bedienen hat ? Wer darf Bilder erstellen und programmieren ? Wer darf bedienen ? Wer darf nur Bilder anschauen ? Also würdest Du das der Produktionsleitung überlassen, oder ? Übernehmt ihr dann auch den Software - Update - Service für Visu. und Programmiersoftware ? Oder das Übertragen einer neuen Firmware in die SPS ? Was wenn eure Domäne mal nicht so gut funktioniert, wie sie sollte ? Z.B.: Core - Switch hat die Grätsche gemacht. Inkonsistente Daten bei der Verzeichnisreplikation. Sollen wir dann die Produktion einstellen, weil sich dann kein MA mehr am Terminal anmelden kann ? Oder wäre ein lokales Administrator - Benutzerkonto, auf den Visu. Rechnern für eine Notfallbedienung ein Kompromiss ?

Die Fa. Siemens hat das erkannt und wahrscheinlich auch deshalb diese Empfehlung veröffentlicht. Ich denke, ein Technologieunternehmen dieser Größenordnung, kann es sich nicht leisten, nur aus ideologischen Gründen getrennte Gesamtstrukturen für die Bereiche zu empfehlen. Es geht in dem Dokument doch auch gerade um den Aspekt der Sicherheit ? (Übrigens in einem PLT-System werden selten E-Mail versendet. Das macht man dann eher mal am Büro - Domänen Client) Auf der einen Seite bemängelst Du, dass es ökonomisch extrem schlecht ist, zwei gleichwertig und selbstständig laufende IT-Infrastrukturen in einem Unternehmen zu haben. Auf der anderen Seite aber forderst Du von den Unternehmen die Verfügbarkeit zu steigern, natürlich gegen Einwurf beliebig vieler kleiner und großer Münzen. Ich denke weitestgehend voneinander unabhängige Systeme sind die beste Verfügbarkeit. Es gibt doch ohnehin unterschiedliche Anforderungen an die Netzwerktechnik in den jeweiligen Fachbereichen ? Finde ich zumindest..

Wenn ich deinem Ansatz folge, bedeutet es, dass ich erst in den mir freigegeben Systeme nach dem Fehler suchen muss und nur wenn ich dann da nichts finden kann, kann ich ja mal bei der IT anfragen. Du übersiehst hierbei nur den Umstand, dass ich dann sehr viel länger dazu benötige den Fehler zu finden. Ich kenn da ne Menge Leute bei uns, die mir dann ganz schnell ausrechnen was 15 min Produktionsausfall kosten. In einem HMI - System ist es neben der Anlagendarstellung und Bedienung auch möglich über SNMP Variable, Traps etc. Zustände der Netzwerkinfrastruktur zu analysieren und darzustellen. Das Ganze, um im Fehlerfall vor Ort nicht lange danach suchen zu müssen, sondern um schnell darauf zu reagieren zu können... Mittlerweile wird im Feldbus - Bereich das Profibus-DP immer mehr von Profinet I/O verdrängt. Hierbei kann die TCP-IP und RT-Kommunikation über eine gemeinsame Ethernet Leitung verwendet werden. Hätte ich Zugriff auf einen Switch könnte ich z.B. einen Mirrorport einrichten und mit einem Netzwerksniffer den Datenverkehr analysieren und überwachen. Oder mit einer Mangement Software sogar MAC -granular den Ausfall eines Netzwerkteilnehmers. Hier mal ein Link mit einem Beispiel was es so mittlerweile alles gibt bei den Maschinenbauern: Siemens Industry IA/DT/BT Service&Support - Automation Service, Automation Support, Simatic Service, Simatic Support, Technical Support, Technical Consulting Gegenfrage: Warum denn nicht ? Bin ich nicht würdig, oder wie muss ich das verstehen ???? Ob ein Visualisierungs - bzw. Automatisierungssystem einer Domäne angeschlossen werden muss, muss ich glücklicherweise nicht entscheiden. Wenn das bei uns mal so eingeführt wird, werde ich danach arbeiten. Empfehlen werde ich es aufgrund der hier gemachten Aussagen auf keinen Fall, insofern man mir die Administration über die eingesetzten Systeme verwehrt.

Das ist ein Vorurteil. Was hilft mir denn diese Erkenntnis, wenn ich im Supportfall den Fehler nicht finden kann ? Eines ist doch klar, wenn ich Zugriff auf alle Komponenten habe (Hard und Software) und es ist keine black box darunter (Switch, DHCP, DNS, Domäne usw.) würde ich erfahrungsgemäß den Fehler besser und auch schneller finden. Nach diesen Kriterien werde ich z.B. beurteilt.

In der Praxis würde ich den Fehler für den Kommunikationsabbruch erst mal woanders suchen. Z.B. im Anwenderprogramm der SPS oder in den Kommunikationseinstellungen der Visu. Wenn der Fehler sporadisch aufläuft, hat man sowieso ganz schlechte Karten. Wenn man diese Notwendigkeit erkennt und diese Kosten auch dafür in die Hand nimmt, dann kein Problem

Okay, mag sein das man das so sehen muss. Ich bin dann aber der Meinung, man sollte Visualisierungs-Rechner erst gar nicht in einer Domäne mit aufnehmen. Nicht aus Gründen der Sicherheit, oder der Verwaltung, sondern mehr so aus Gründen der Verfügbarkeit. Wenn ich mir vorstelle, ein Visu. - Rechner verliert sporadisch die Verbindung zur SPS, weil es einen Timeout bei der Namensauflösung gibt und ich noch nicht mal weiß in welchen Gebäude der DNS Server steht, na dann prost Mahlzeit... Der Automatisierungstechniker der da ran muss tut mir jetzt schon leid. Wahrscheinlich hängt der dann in einer Telefon -Warteschleife beim Versuch das Domänenkennwort über die Service- oder Costcenter- Hotline in Singapur zu erfragen.... So um 3:00 Uhr nachts. Freitod nicht ausgeschlossen. Ich hoffe Du nimmst mir diesen kleinen Spass jetzt nicht übel.

Aber wenn es nur eine IT- Domänen und Netzwerkadministration gibt, wird es dann bei Problemen nicht so laufen, dass die Elektrotechnik der IT die Schuld zu schiebt und umgekehrt genauso. Wie will man dieses Dilemma lösen, wenn man die Verantwortungsbereiche nicht trennt ?

Auf Seite 65 steht: Prinzipiell werden getrennte Gesamtstrukturen für die Büronetzwerke und die Produktionsnetzwerke empfohlen, da der Schutz der Daten, Berechtigungen und Rechte für beide Gesamtstrukturen getrennt erfolgt, ebenso die Verzeichnisreplikation. Auch Schemaänderungen, Konfigurationsänderungen und das Hinzufügen neuer Domänen zu einer Gesamtstruktur haben nur gesamtstrukturweite Auswirkungen. Ressourcenzugriffe werden über ein- oder wechselseitige Gesamtstrukturvertrauensstellungen ermöglicht. Da jede Gesamtstruktur (Büro- und Produktion) separat verwaltet wird, steigt durch das Hinzufügen der zusätzlichen Gesamtstruktur der Verwaltungsaufwand. Gesamtstrukturvertrauensstellungen erleichtern die Verwaltung einer segmentierten Active Directory-Infrastruktur innerhalb eines Unternehmens, indem der gesamtstrukturübergreifende Zugriff auf Ressourcen und andere Objekte unterstützt wird.

Hallo und vielen Dank. Interessant finde ich auch, dass man dann die Administration und Verantwortung der Teilnetze dem jeweiligen Fachbereich überlassen kann, obwohl das gesamte Unternehmensnetz einer gemeinsamen Firmen-Domäne angehört. Vielleicht auch ein guter Kompromiss, der beiden Fachbereichen gerecht wird ?

Hallo, ein Sicherheitskonzept muss in Zusammenarbeit der Netzwerkadministratoren von Unternehmensnetzen (IT-Administratoren) und Automatisierungsnetzen (Automatisierungsingenieuren) ausgearbeitet werden. In Abstimmung wird festgelegt, für welche Anwendung bzw. an welchen Rechnern bestimmte Rechte, Programme und Prozesse notwendig sind, und wie eine sicherheitsoptimierte Netzwerkstruktur auszusehen hat. Ansichtssache ? Die Fa. Siemens hat zu dem Thema ein Dokument veröffentlicht: Siemens Industry IA/DT/BT Service&Support - Automation Service, Automation Support, Simatic Service, Simatic Support, Technical Support, Technical Consulting M.E. muss man jetzt nicht alles lesen, wenn man was dazu sagen möchte. Auf Seite 44 in der Doku wird grafisch eine Netzwerkinfrastruktur dargestellt. Daran kann man eigentlich schon erkennen wohin die Reise geht. Prozess Contol Network und Control System Network sind im Bild der Automatisierungsbereich, oder anders gesagt der Fertigungs- oder Produktionsbereich eines Unternehmens. Es geht mir hier nicht um irgendwelche Produkte, sondern um das vorgeschlagene Konzept als solches und um Eure Meinung als IT-Administratoren. Ist aus Eurer Sicht das vorgeschlagene Konzept sinnvoll ? Was ist schlecht ? Was könnte man besser machen ? Eure Meinung zu dem Thema würde mich mal interessieren. Wenn es das falsche Forum ist, bitte verschieben. Gruß Eleu

Bzgl. des Routings auf dem Server siehe auch noch mal hier: Routing mit 2 Netzwerkkarten unter Windows u. Linux - Router und Routing - administrator Laut Link gilt für W2K8: Windows Server 2003: Bei Windows 2003/2008 Systemen ist lediglich der RAS/Routing Dienst mit der Option "LAN-Routing" zu aktivieren ! Also kann man sich für diese Funktion den Eintrag in der Registry wohl sparen. Sorry, das wusste ich nicht.

Du musst dem Router mit der IP -Adresse 192.168.1.254 /24 noch ein Standard Gateway verpassen. Und zwar als Gateway - Adresse die 192.168.1.246 / 24 Das ist die IP der NIC 1 vom Server Andernfalls kennt der Router den Rückweg nicht.

Das Routing am Server aktivierst Du unter: HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters findest Du den Eintrag "IPEnableRouter" als Datentyp REG_DWORD. Den musst Du auf 1 setzen. Ändereungen in der Registry auf eigenes Risiko. Ich garatiere für nichts.

Entweder durch den Einsatz eines weiteren Routers, der dann zwischen den beiden Netzen routet. (Diese Adresse dann als Gateway-Adresse bei der NIC 2 vom Server eintragen) oder Du läßt die Gatewayadresse bei der NIC 2 vom Server leer und verpasst allen Teilnehmern vom Netz 192.168.2.0/24 als Gatewayadresse die IP der NIC 2 vom Server. Wenn Du dann beim Server die Routerfunktion aktivierst, müsstest Du in das Netz 1 kommen. Vorausgesetzt 192.168.1.254/24 ist der Weg Richtung Internet, müssteste auch das klappen. Aber dann muss der Server immer eingeschaltet bleiben.

Genau darum geht es mir, um Terminalserver. Thin Clients sollen auf 2 Server zugreifen. Die beiden Server sollen so eine Art Redundanz für die Thin Clients werden. Die Thin Clients kennen dann nur eine virtuelle Adresse, hinter der beide Server stecken. Ich habe auch schon in der TechNet gewühlt Z.B. das hier: Schrittweise Anleitung zum Konfigurieren des Netzwerklastenausgleichs mit Terminaldiensten in Windows Server 2008 Aber bin ich da richtig ? Hast Du einen besseren Link für mich ? Z.B für W2K3 Server ?

Korrektur: Der Load Balancer ist eine Funktion im Switch :schlaf: