ITasv
-
Gesamte Inhalte
46 -
Benutzer seit
-
Letzter Besuch
Inhaltstyp
Profile
Forum
Downloads
Kalender
Blogs
Shop
Beiträge von ITasv
-
-
Server A: Windows 2k8r2
Server B: Windows 2k8r2
Client: Windows 7 (überwiegend), XP
Hallo zusammen,
ich habe über die GPO-Einstellungen Laufwerke von Server A und Server B verbunden.
(User Configuration -> Preferences -> Windows Settings -> Drive Maps)Server A: hat einen DNS-EintragServer B: hat keinen DNS-Eintrag, wird also über die IP angesprochen
Server B wurde gestern ausgetauscht und die Pfade haben sich geändert. Also habe ich die Mappings geändert. In der Vergangenheit wurden die LWs von Server B teilweise auch über ein Skript eingefügt.
Bei den meisten Clients funktioniert das alles einwandfrei. Dann gibt es Rechner, wo es profilabhängig ist. Es liegt nicht am Item-Targeting, da die Anwender an anderen Rechnern keine Probleme haben.
Ich habe einen Rechner, bei dem es drei Szenarien mit drei unterschiedlichen Profilen gab:
1. Nutzer A meldet sich an -> funktioniert
2. Nutzer B meldet sich an -> nur Server-A-Mappings -> gpupdate /force -> alle Laufwerke da
3. Nutzer C meldet sich an -> nur Server-A-Mappings -> gpupdate /force -> keine Änderung
Dieses Verhalten gibt es bei zwei Rechnern. Beide sind Win7-Clients. Wenn ich mich an einem beliebigen PC anmelde, ohne dass ich vorher schonmal an diesem Computer (keine Roaming Profiles) angemeldet war, funktioniert das grundsätzlich ohne Probleme.
Ich habe bei diesem Problemfall die folgenden Dinge versucht:
-> net use * /delete
-> Registry nach dem alten Pfad durchsucht und alle Einträge gelöscht
-> Item-Targeting-Einträge geprüft
-> Die Verbindungsmethode steht auf Replace; MS gibt an, dass Replace = Create ist, falls es nichts zu ersetzen gibt -- das kann ich so bestätigen
Ich möchte die Profile nur sehr ungerne löschen. Umbenennen kann man bei Win7 zwar noch machen, aber das bekommt die Profilverwaltung mit und ändert die Pfade entsprechend, so dass das Profil verfügbar bleibt.
Hat diesen Fehler schon jemand gehabt? Ich kann auch via Eventviewer keine Einträge finden, die einen Hinweis geben.
ITasv
-
Danke euch für eure Antworten.
Ich hatte mich für eine Partition entschieden. Allerdings habe ich dann herausgefunden, dass HyperV im Pass-Through-Modus nur ein Gastsystem bedienen kann. Ich musste also virtuelle Festplatten erstellen und diese sind auf 2040 Gigabyte begrenzt. Diese Datei zu erstellen (fixed size) dauert übrigens über acht Stunden, wenn man zwei gleichzeitig erstellen lässt.
ITasv
-
Hallo zusammen,
ich habe momentan eine ungefähr 6 TB große Partition angelegt. Ausgangssituation ist ein Firmware-RAID (RAID5) mit 6x2TB. Ich möchte hinterher gerne begründen, wieso ich mich gegen mehrere Partitionen entschieden habe. Momentan halte ich das einfach nur für die angenehmste Variante und sehe keinen technischen Nachteil. Allerdings kann ich das nicht anständig begründen.
Kann mir jemand einen passenden Link schicken oder mir die Geschichte erklären?
Gruß
ITasv
-
Semi-gelöst: Ich kann nun auch Maschinen installieren, ohne die Option zu setzen. Securable zeigt nach wie vor an, dass die CPU keine Hardwarevirtualisierung unterstützt. Das wird dann wohl ein Problem mit dem Programm in Kombination mit Hyper-V sein.
Was jetzt die Lösung war, kann ich nicht genau sagen, da ich mich auf die Angabe von securable.exe verlassen habe.
Was ich gemacht habe:
- Service Pack 1 installiert
- Chipsettreiber nachinstalliert (die Teile die gingen; setup.exe alleine ging nicht; habe dann alles passende entpackt und via pnputil.exe installiert)
- AMD-Hotfix aus dem Link installiert (aus Verzweiflung)
Mich interessiert trotzdem noch, ob ihr wisst, weshalb Securable Mist erzählt.
-
To work around Issue 1, follow these steps:
Start Hyper-V Manager.
Right-click the virtual machine in question, and then click Settings.
Under the Processor configuration for the virtual machine, click to select the Migrate to a physical computer with a different processor version check box, and then click OK.
Start the virtual machine.
Dann funktioniert es tatsächlich, aber ich weiß nicht, wie sinnvoll es ist, diesen Workaround zu nutzen.
Kann jemand was dazu sagen? Ich weiß halt nicht, welche Features mir dann flöten gehen.
Migrate to a physical computer with a different processor version allows you to move a running virtual machine to a physical computer with different processor features without restarting the virtual machine. When this setting is enabled, the virtual machine uses only the features of the processor that are available on all versions of a virtualization-capable processor by the same processor manufacturer. When this setting is not used, Hyper-V provides the virtual machine with all the virtualization features offered by the physical processor. -
Nein, sonst läuft nichts auf der Maschine.
Das SP1 ist übrigens inklusive aller Updates installiert.
-
Ich habe eine Boot-CD eingelegt und mal unter /proc/cpuinfo nach den Flags geschaut. VMX ist dort gesetzt.
-
Hallo zusammen,
ich kann über den Hyper-V-Manager der SAT-Tools keine virtuellen Maschinen auf meinem Hyper-V Server 2008 R2 starten. Das grundsätzliche Problem scheint aber ein anderes zu sein. Zunächst die verwendete Hardware:
Mainboard: H77 Pro4/MVP Bios: P1.30 (aktuell) Memory: 8 GB HDD: Fakeraid über den Intelcontroller des Mainboards (2x500GB; RAID1) CPU: i5-3450 @ 3.1 GHz (vier Kerne) Microcodeupdate (was auch immer das ist; steht im BIOS): 306A9/12
Das sagt der Eventlog:"wintest": Fehler beim Festlegen/Ändern der Partitionseigenschaft: Das System hat keinen Meldungstext für die Meldungsnummer 0xwintest in der Meldungsdatei D0F987E5-CD25-421A-ADC9-2F4AFF085B93 gefunden. "0x8007013D". "wintest": Fehler beim Initialisieren (ID des virtuellen Computers: D0F987E5-CD25-421A-ADC9-2F4AFF085B93). "wintest": Fehler beim Festlegen/Ändern der Partitionseigenschaft: Das System hat keinen Meldungstext für die Meldungsnummer 0xwintest in der Meldungsdatei D0F987E5-CD25-421A-ADC9-2F4AFF085B93 gefunden. "0x8007013D". "wintest": Fehler beim Initialisieren (ID des virtuellen Computers: D0F987E5-CD25-421A-ADC9-2F4AFF085B93).
Der Fehler wird irgendwo bei der scheinbar nicht vollständig aktivierten Virtualisierung liegen. Im BIOS sind die folgenden Einstellungen vorzufinden (danach wurde der Rechner vom Stromnetz getrennt):Enabled: No-Execute Memory Protection Enabled: Intel Virtualization Technology
Darüber hinaus habe ich via bcdedit die folgenden Werte gesetzt:nx AlwaysOn hypervisorlaunchtype Auto
GRC*|*SecurAble: Determine Processor Security Features*|** Dieses Programm (Securable) starte ich über CMD auf dem Hyper-V-Server mit folgendem Ergebnis:64 Maximum Bit Length Hardware D.E.P. → Yes Hardware Virtualization → No
Ich vermute, dass irgendwo ein Flag gesetzt werden muss, damit das funktioniert. Im BIOS selber habe ich alles nach Einstellungen durchforstet und keine weiteren gefunden.
Hat jemand eine Idee?
Gruß
ITasv
-
Also jetzt funktioniert alles; ich hätte das gerne noch so aufgesplittet, dass die externe IP des VLANs für Gäste eine andere wäre, als die für das Mitarbeiter-VLAN, allerdings geht das leider nur, wenn dann tatsächlich jeder Client eine eigene externe IP bekommt und eine so große IP-Range steht uns leider nicht zur Verfügung, als dass ich so viele IPs reservieren könnte.
Nochmal einen großen Dank an euch und insbesondere Crash; schön, wie zeitnah und kompetent du mir im Verlaufe dieses kleinen Projekts immer wieder geholfen hast.
Ich stelle jetzt noch ein paar Firewallregeln ein und recherchiere ein paar Optionen, von denen ich keinen Schimmer habe, was sie tun, und dann kommt das Teil in den Produktiveinsatz.
Gruß
ITasv
-
Okay; das Rätsel habe ich gerade durch rumprobieren und glückliche Zufälle gelöst. Ich habe die IP-Range über die Firewallregeln für den Inbound-Verkehr freigegeben und jetzt funktionierts. Ich wusste nicht, dass da per Standard eine Beschränkung bestand.
ITasv
-
C:\>nslookup öffentlicheip.ip.ip.12
Server: ciscorouter
Address: 192.168.1.1
Die Adresse wird der Netzwerkswitch nicht finden können. Kann man das Routing im WLan-Router so umstellen, dass die Weboberfläche auch tatsächlich über öffentlicheip.ip.ip.12 zur Verfügung gestellt wird?
.....
Eine serielle Schnittstelle hat der Router übrigens nicht; da gibt es nur 5 TP-Ports. Eine Pseudokonsole kann man über das Webinterface auch nicht öffnen.
Gruß
ITasv
-
Ach so: Ja, ich bin auch der Meinung, dass es am Routing liegt.
Aber die Frage ist, ob man das Routingverhalten am Router selber korrigieren kann oder ob das am Switch der Fall sein muss. Wenn man den Router über die öffentliche IP anpingt, dann antwortet er ja. Ergo klingt es für mich sinnvoll, dass die falsche Route auch am Router korrigiert werden könnte. Der geht halt von der öffentlichen IP direkt zur IP des ersten VLans 192.168.1.1 und da treten dann die Probleme auf...
-
Angeschlossen ist der Router über den WAN-Port am am Switch, welcher Zugang zum Netzwerk und Internet hat. Wenn ich an diesen Switch einen Rechner anklemme, kann ich den Router zwar anpingen, aber nicht über die Weboberfläche erreichen. Wenn ich den Rechner direkt an den Router klemme, komme ich überall dran. Genauso über das WLan, das von dem Router freigegeben wird.
Einen "sh run" (=Config?!) kann ich momentan nicht machen, weil ich nicht weiß, wie ich bei diesem Router an die Console komme. Kann da jemand helfen?
Ich kann aber die Konfigurationsdatei posten, was ja wahrscheinlich das gleiche sein wird. Allerdings wäre es wahrscheinlich besser, du würdest spezifischer sagen, was du davon sehen musst. Sonst müsste ich gleich knapp 3000 Zeilen posten...
test test test
-
Hallo zusammen,
also soweit läuft alles, wie es soll. Allerdings erreiche ich den Router aus dem Netzwerk nicht. Der Router hat für den WAN-Port eine externe Adresse. Wenn ich nun aus dem WAN versuche, den Router anzupingen, bekomme ich eine Rückmeldung. Wenn ich allerdings über den Browser auf die Oberfläche gehe, versucht er von der externen IP auf die privaten Routeradressen (192.168.1.1) zuzugreifen, und das funktioniert dann nicht. Das bedeutet, ich müsste für jegliche Wartung entweder über das WLan oder mit einer direkten Kabelverbindung an den Router gehen. Inter-VLan-Routing ist für alle VLans aktiviert, aber ich komme trotzdem nicht auf den Router.
Was mache ich falsch?
-
Wenn man eine Accessliste erstellt, dann ist es bei Cisco-Geräten so, dass man sich am Ende noch ein "deny any any" hinzudenken muss.
Ist das 'any any' auf den Service (Port) bezogen? Ich stelle das wie gesagt über die Weboberfläche ein.
-
Hallo zusammen,
also das funktioniert tatsächlich ganz einfach. Man kann bei den Accesslisten die Client-IP-Range vorgeben und die sind ja mit den VLANs tatsächlich getrennt.
Als Erklärung:
VLAN 1: 192.168.1.1 - 192.168.1.254
VLAN 2: 192.168.2.1 - 192.168.2.254
Jetzt kann man in den Firewallregeln festlegen, was diese IP-Ranges (oder auch einzelne IPs) dürfen oder eben auch nicht. Das geht in beide Richtungen, also 'always block' oder 'always allow'.
Vielen Dank für eure Hilfe! Am Ende ja tatsächlich eine ziemlich triviale Sache, aber ich wüsste auch jetzt noch nicht, welche Features ein Router erfüllen muss um eben genau diese Funktionen zu bieten. Weiß das jemand?
Gruß
ITasv
-
Ich habe die VLans über das Webinterface eingerichtet. Ich bin leider noch keinen Schritt weiter, weil nonstop irgendjemand was von mir möchte...TBC
-
Hi crash,
erstmal vielen Dank für deine ausführlichen Antworten: coole Sache!
Ich habe nach deinem Beispiel nun eine anfängliche Grundvorstellung, wie die Sache funktionieren muss. Ich stehe jetzt aber trotzdem erstmal noch recht hilflos vor der Konfiguration. Ich habe jetzt zwei VLans eingerichtet (Gäste; Mitarbeiter) und versuche nun herauszufinden, wie ich ein VLan dazu bringen kann, dass nur der Internetzugriff gestattet ist, nicht aber der Netzwerkzugriff. Ich vermute, dass ich das mit Änderungen des Routings machen muss. Aber auch da sehe ich noch nicht, wie man wirkungsvoll verhindert, dass man nicht ins Netzwerk kommt.
Eine gute Lösung (?) wäre es ja vielleicht auch, via Firewall einfach die Server zu sperren. Dazu müsste ich aber eine Option finden, die für die VLans unterschiedliche Firewallkonfigurationen zulässt...
Ich bleib am Ball!
-
Vielleicht ist der DNS ja auch einfach schneller? Aber das wären im Normalfall ja nur marginale Unterschiede. Ich denke auch, dass die Ursache im Routing zu suchen ist.
Aber das macht dann in Verbindung mit dem Proxy auch nicht mehr groß Sinn...
-
Hi,
also es gibt wohl auch Router, bei denen die Frameerweiterung ausschließlich auf eben diesem stattfindet und die Frames zu den Clients der Norm entsprechen.
Der bestellte Router - der übrigens morgen ankommt - hat alleine über die grafische Oberfläche 101 Einstellungsbildschirme: da kann ich schön alles kaputtkonfigurieren und dann über die Konsole weitermachen...
-
So, ich habe jetzt den CISCO Small Business RV120W-E-G5 bestellt. Mir fehlt einfach an zu vielen Stellen noch Grundlagenwissen zu VLans, dementsprechend habe ich mich auf das Datasheet verlassen, welches folgendes Feature bewirbt:
Dank der Unterstützung für separate virtuelle Netzwerke können Sie den Zugriff auf vertrauliche Daten steuern und einen hochsicheren drahtlosen Gastzugriff einrichten
Was mich ein wenig stutzig macht ist, dass VLan dort in einer Zeile mit Layer 2 erwähnt wird, was ja bedeuten würde, dass man mit MAC-Adressen arbeiten müsste. Das ist hoffentlich nicht darauf beschränkt.
Meine Hoffnung ist, dass ich mit dem Gerät die Vorgaben erfüllen kann (die sehr offen formuliert sind, frei nach dem Motto: Hauptsache, es funktioniert) und gleichzeitig erste Erfahrungen mit VLans sammeln kann und dementsprechend ein besseres Verständnis dafür aufbauen kann.
Ich bedanke mich für eure Hilfe und halte euch - wie ich es für anständig halte - auf dem Laufenden.
ITasv
Edit:
Datasheet: http://www.cisco.com/en/US/prod/collateral/routers/ps9923/ps10852/DS_C78-590161-00_de.pdf
Handbuch: http://www.cisco.com/en/US/docs/routers/csbr/rv120w/administration/guide/rv120w_admin.pdf
Edit2: Ist diese (eine) grafische Oberfläche bei Ciscogeräten eigentlich die Norm? Ich hoffe, dass es auch einzelne Configdateien auf dem Router gibt, damit ich mich dahingehend auch weiterbilden kann.
-
Ah, cool!
Ist es denn auch möglich, dass man auf dem Router zwei VLans einrichtet, die wie folgt aussehen:
1. DHCP des Routers (für Gäste)
2. DHCP des Kabelnetzwerks (für 'vollwertiges' WLan für Mitarbeiter)
Vielen Dank
ITasv
Ach so: Ich will heute einen Router bestellen, der jetzt doch nur bis zu 120 kosten soll. Ich möchte das Budget ausreizen und einen möglichst großen Funktionsumfang haben, damit wir das Ganze so gut wie möglich realisieren können.
-
Also falls er DHCP-Server des Routers nur keine IP-Adressen an die anderen internen per Kabel angeschlossenen Rechner vergeben können soll, das ist einfacher zu realisieren, als du meinst.
Exakt das möchte ich haben.
Einfach hinter dem Router keine Verbindung zum internen Netzwerk herstellen, denn IP-Adressen vergeben macht er nur auf dem internen Interface (dem integrierten Switch). Wenn du ihn nciht als Verteiler einsetzt, kann er auch nur an die Stationen IP-Adressen vergeben, die entweder per Kabel oder per WLAN an seiner LAN-Seite dranhängen.Soll das heißen, wenn ich den Router über den meist mit "Internet" gekennzeichneten Port an die Netzwerkdose anschließe, darüber überhaupt kein DHCP-Broadcast über eben diesen Port gesendet werden kann?
-
Zu deiner Frage: Wenn deine Switche, an welchen die oder der AP hängt, DHCP Snooping kann, dann verbietest du dem AP-Port einfach, DHCP Offers rauszuschicken.
Kann man das selektiv?
With DHCP snooping, only a whitelist of IP addresses may access the network. The whitelist is configured at the switch port level, and the DHCP server manages the access control. Only specific IP addresses with specific MAC addresses on specific ports may access the IP network.DHCP snooping also can prevent attackers from adding their own DHCP servers to the network.
Das hört sich für mich so an, als müsse man zwangsläufig eine Whitelist erstellen, wenn man DHCP-Signale von Port x blockieren möchte. Das würde ja aber dazu führen, dass auch der am Switch angeschlossene Router auf die Whitelist müsste um überhaupt ins Internet zu kommen. Dann wäre dem Router ja auch wieder gestattet, DHCP-Signale zu senden, oder?
--------------
Schau dir mal einen Linksys E3000 an. Der sollte eigentlich alles können, was du benötigst. Diesen als einfachen Router benutzen anstatt als DSL-Zugang und gut ists.Er kann auch mehrere SSIDs verwalten (ich glaube zwei) und separiert diese beiden Netze komplett voneinander.
Im Handbuch des Geräts steht an keiner Stelle, dass man den DHCP-Dienst tatsächlich so trennen kann. Oder übersehe ich etwas?
http://content.etilize.com/User-Manual/1016512112.pdf
Ansonsten einfach zwei WLAN-Router nehmen. Einen fürs Gast-WLAN und einen fürs Mitarbeiter-WLAN.Das löst doch mein DHCP-Problem an keiner Stelle?
-------
Also axxis Vorschlag ist bisher der einzige, den ich - nach Beantwortung der offenstehenden Frage - tatsächlich nachvollziehen kann. Beim vorgeschalteten Switch, bei dem man via DHCP-Snooping verbieten kann, dass über Port x DHCP-Offers ins Netz geschickt werden, würde verhindern, dass DHCP-Signale das Kabelnetz stören, beeinflusst den DHCP-Dienst des nachgeschalteten Routers auf der WLan-Ebene aber nicht.
Gruß
ITasv
(S:2k8r2; C:7,XP) Netzlaufwerke werden profilabhängig nicht eingebunden
in Windows
Geschrieben
Die Gruppenrichtlinie wird angewendet; das ist nicht das Problem.