Eye-Q

Am eindeutigsten ist Datenverfügbarkeit. Datenspeicherung geht ja auch mit nur einer einzelnen Festplatte, höhere Datenverfügbarkeit aber nicht.

Für ActiveSync wird Port 443 (HTTPS) benötigt, in dem Router sind Portforward-Regeln mit "Inbound Services" bezeichnet. Dort leitest Du den Service HTTPS (Port 443) auf die interne IP-Adresse des Exchange-Servers weiter. P.S.: nachdem das dann funktioniert, sollte von der Konfiguration ein Backup gemacht werden, so dass das nicht wieder passiert, und das Backup sollte auch immer neu gemacht werden, wenn am Router irgend etwas verändert wird.

Versuch' mal, ohne das VPN vorher aufzubauen, eine RDP-Verbindung auf die 10.1.10.3 zu öffnen, ich garantiere dir, dass das nicht funktionieren wird, weil die 10.1.10.3 per Definition eine private IP-Adresse ist, die nicht im Internet geroutet werden kann. Es gibt drei Möglichkeiten, wie man an einen Server, der eine IP-Adresse 10.1.10.3 besitzt, ran kommt: Man ist physikalisch im selben Netzwerk Man ist per VPN mit dem Netzwerk verbunden, in dem der Server steht Port 3389 ist auf einem Router/Security Gateway auf diesen Server weitergeleitet, dann geht das aber nur über die externe, öffentliche IP-Adresse Da Möglichkeit 1 und 3 bei dir rausfallen, kommt nur noch Möglichkeit 2 in Frage. Die Anzeige auf dem Windows-Server zeigt dir eine PPTP-Verbindung an, aber ganz bestimmt nicht deine VPN-Einwahlverbindung, da die RDP-Daten zwangsweise über die VPN-Verbindung übertragen werden müssen. Du kannst auf eine IP-Adresse, die 10.1.10.3 lautet, nicht über das Internet rankommen, außer es sind Ports von einem Router/einer Firewall/whatever auf einen PC/Server mit einer privaten IP-Adresse weitergeleitet, dann musst Du aber die öffentliche IP-Adresse des Routers/der Firewall/whatever angeben, um dich per RDP mit dem Server zu verbinden. Woran willst Du überhaupt erkannt haben, dass Hacker versuchen, sich über die private IP einzuloggen? Und über welche Dienste (HTTP/FTP/RDP/Telnet/whatever)? Manche Dienste wie HTTP sind bei einem Webserver mit IIS natürlich von außen erreichbar, sonst ergibt der Webserver überhaupt keinen Sinn. Diese von außen erreichbaren Dienste werden bei einem Server, der keine öffentliche IP-Adresse besitzt, sondern per NAT und Portweiterleitungen mit dem Internet verbunden ist, natürlich als Dienste mit privater IP-Adresse geführt, weil der Webserver eben nicht weiß, welche öffentliche IP-Adresse er per NAT hat.

Vollkommen normal, da die 10.1.10.2 ja die IP-Adresse deines lokalen PCs ist, die der bei der Einwahl auf den RAS-Server zusätzlich bekommt. Wenn Du versuchst, dich per RDP auf diese IP-Adresse zu verbinden, geht das natürlich nicht, weil Windows XP nur eine Usersession zulässt und Du dir mit dem Anmelden per RDP deine eigene Konsolenanmeldung wegnehmen würdest. Der RAS-Dienst des Windows Servers dient als Einwähl-Endpunkt für das VPN, ansonsten könntest Du auch gar keine RDP-Verbindung über die 10.1.10.3 aufbauen. So wie Du das konfiguriert hast, ist das richtig.

Kürzer geht's eigentlich nicht - mal anders herum gefragt: was ist an dieser Erlärung unklar? Die zweite Zahl gibt immer an, wie das übergeordnete RAID organisiert ist. Man kann ja nicht nur Platten, sondern auch RAIDs erneut zusammenfassen. Bei einem RAID 30 fasst eben ein übergeordnetes RAID mehrere RAID 3 zu einem großen RAID 0 zusammen. Bei RAID 01 bzw. 1+0 ist das genauso, nur dass eben nicht zwei RAID 3 zu einem RAID 0 zusammengefasst werden, sondern zwei RAID 0 zu einem RAID 1 bzw. zwei RAID 1 zu einem RAID 0.

Einspruch! Das ist ja gerade das Prinzip eines VPN, dass man eben keine Portweiterleitungen benötigt, da man nach dem Aufbauen der VPN-Verbindung schon im internen Netzwerk ist (außer wenn das noch irgendwie stärker reglementiert ist). Bei einem gewöhnlichen VPN-Router geht der gesamte Verkehr, der an das entfernte interne Netzwerk gerichtet ist (das wird über das Subnetz des angesprochenen Ziels bestimmt), über die VPN-Verbindung geschickt und kommt sozusagen aus der LAN-Verbindung des Routers heraus. Somit verhält sich der PC so als wenn er im internen Netzwerk stände.

Das ist genauso sicher wie VoIP-Pakete in IPv4-Pakete zu verpacken... Außerdem: IPv6 ist seit 14 Jahren standardisiert, es ist also kein Schnellschuss, weil plötzlich die öffentlichen IPv4-Adressen ausgehen. :confused: Wenn der Router extern eine IPv6-Adresse erhält und intern einen IPv4-Adresskreis besitzt, ist das doch astreines NAT...

Ob Du das Kind nun Proxy oder Router nennst, ist ziemlich wumpe, da auch ein Router, der sowohl intern als auch extern IPv6 spricht, extern nur eine IP-Adresse erhält und intern einen von dir ausgedachten IP-Adresskreis besitzt. Wieso willst Du eigentlich krampfhaft intern auch IPv6 einsetzen? Es spricht absolut null komma gar nichts dafür, da für interne Netzwerke IPv4-Adressen vollkommen ausreichend sind. Es gibt keine Leistungsunterschiede oder sonstwas, weswegen man intern IPv6 einführen sollte/müsste. "Weil es moderner ist" sehe ich nicht als Argument an, da IPv4 zumindest für interne Netzwerke sicherlich auch noch die nächsten 50 Jahre problemlos einsetzbar ist.

Man muss ja im internen Netz nicht zwangsläufig IPv6 einsetzen, sondern kann weiterhin bei IPv4 bleiben. Somit muss zwangsläufig NAT eingesetzt werden und fertig ist die Laube. Einen IPv6-fähigen Router braucht man natürlich, aber das war's aber auch schon.

Level 3 gibt es auch, das ist allerdings ein internationaler Anbieter von Kommunikationsdienstleistungen. Im Zusammenhang mit technischen Daten eines Switches dürfte aber wirklich Layer 3 des ISO/OSI-Modells gemeint sein.

Gerade solche Dinge fallen unter den Datenschutz, genau wie technische Mittel, wie die Daten zu schützen sind etc. pp., aber genau deswegen gibt es ja den Unterricht, um den Auszubildenden zu zeigen, worauf zu achten ist, weil oft allzu sorglos mit zu schützenden Daten umgegangen wird.

Das geht im Active Directory auf der Registerkarte "Exchange - Erweitert". Dort gibt es den Button Postfachberechtigungen, wo dann der entsprechende Benutzer hinzugefügt werden kann und der Haken dann bei "Vollständiger Postfachzugriff" gesetzt wird.

Die ursprünglichen Betreiber haben keine Kontrolle mehr über die geänderten DNS-Server, also können die auch nicht mehr den DNS-Eintrag für die Checkseite verbiegen.

Welche Exchange-Version? Und welche Berechtigungsstufe (nur lesen/Vollzugriff/irgendwas dazwischen)?

Aber immer noch besser als gar kein Backup, und aus der Aussage "bei einem Bekannten von mir" schließe ich, dass das kein Firmennetzwerk ist, so dass ein Bandlaufwerk wahrscheinlich Overkill wäre. Die Platten sind auch schon vorhanden, wieso sollte man sie also nicht weiter nutzen?

Normalerweise müsstest Du den externen Festplatten unterschiedliche Laufwerksbuchstaben zuweisen können, die die dann behalten, auch wenn sie abgezogen und wieder neu angesteckt werden. Dann ein Skript für Montags bis Donnerstags, eins für Freitag und eins für den letzten/ersten eines Monats schreiben, der kurz vor Feierabend über die Aufgabenplanung prüft, ob der Laufwerksbuchstabe vorhanden ist, und falls nicht eine Mal generiert. Über die Kommandozeile (bzw. Powershell) kann man die Sicherung per wbadmin realisieren: Anleitung

802.11a funkt laut Definition nur auf der 5-GHz-Frequenz, b und g nur auf der 2,4-GHz-Freqzenz. Die Frequenzen nennt man Bänder, und wenn ein AP 802.11a, b und g beherrscht, heißt das eben Dual-Band. Die Standards regeln die Frequenzbänder, die maximale Übertragungsrate und die Modulation der Signale. Clients können auch nur bestimmte Standards - wenn man einstellt, dass der Client nur mit 802.11a funken soll, muss es natürlich auch einen AP mit 802.11a geben. Man kann sowohl am AP als auch am Client einschränken, auf welchen Frequenzen die funken sollen. Wenn am AP eingestellt ist, dass nur auf 2,4 GHz gefunkt werden soll und am Client eingestellt ist, dass sowohl 2,4 GHz als auch 5 GHz genommen werden können, wird natürlich über das 2,4-GHz-Band kommuniziert. Wenn beide Geräte beide Standards aktiviert haben, wird das Band genommen, was die beste Empfangsqualität bietet. Nein, die Standards sind untereinander nicht kompatibel. Ein AP mit 802.11n kann aber normalerweise a, b und g ebenfalls, wenn auch nicht unbedingt gleichzeitig. Dann muss man sich für den kleinsten gemeinsamen Nenner aller beteiligten Geräte entscheiden. Nein, die gehen über die selben Antennen.

Es gibt Security-Appliances wie das Astaro Security Gateway (nur ein Beispiel - falls das interessant ist, sollten Features mit anderen Herstellern verglichen werden), da kann man u.a. bestimmte Kategorien beim Surfen blockieren und/oder (mit Genehmigung des Betriebsrates bzw. Unterrichtung der betreffenden Personen) den Verkehr mitloggen. Macht wenig Arbeit, weil das kein "General Purpose"-Betriebssytem ist, was noch separat gewartet und gepatcht werden muss, sondern ein speziell für Security-Bedürfnisse angepasstes/geschriebenes Betriebssystem, was sich auch automatisch updaten kann etc.

Mein Windows 7 kann sogar auf eine andere Partition auf der selben internen Platte sichern. Das funktioniert natürlich nicht, wenn Du alle Partitionen der einzigen eingebauten Platte sichern willst. Windows Server 2008 R2 (übrigens: R2 ist nicht einfach die zweite Ausgabe von 2008, sondern teilt sich den Kernel mit Windows 7, im Gegensatz zum 2008 ohne R2, der einen gemeinsamen Kernel mit Vista teilt) kann auch auf interne oder externe Platten sichern.

Und das hat dann keine benutzerbezogenen Pfade in der Registry stehen, wie es bei einem lokal über den "Trick", den ich in meinem Startpost verlinkt habe, geschieht? Würde ich gerne glauben und sofort einsetzen, wenn das dann sichergestellt ist. Das ist ja die selbe Anleitung, d.h. erstmal muss das Default-Profil per Sysprep angepasst werden, anschließend kann das als Netzwerk-Standardprofil gesetzt werden. Ich habe durch den Hinweis in einem anderen Forum diese Anleitung gefunden, die für den jetzt schon fertig aufgesetzten Terminalserver keine Option mehr ist, für die zukünftigen Server aber schon. Da muss ich mich wohl doch mal mit Sysprep auseinandersetzen, wenn es die Zeit erlaubt...

Wenn ich das jetzt so machen würde, müsste ich mich tief in das Automated Installation Kit einarbeiten, um die Einstellungen, die ich bei der Installation getätigt habe, genauso per Antwortdatei wieder bekomme. Das Automated Installation Kit ist aber eigentlich Overkill, weil wir bei 99% aller Kunden nur einen Terminalserver haben. Bei den Kunden sind natürlich unterschiedliche Systemeinstellungen vorhanden, so dass ich die ein Mal erstellte Antwortdatei für Kunde X auch wirklich nur bei Kunde X einsetzen kann und somit für jeden Kunden eine eigene Antwortdatei erstellen müsste. Es muss doch möglich sein, ein händisch angepasstes Profil (soll heißen am Server anmelden, Einstellungen tätigen, abmelden, ohne dass ein Sysprep da an der Installation irgend etwas ändert) einfacher zum Standarprofil zu machen, oder hat Microsoft wirklich nur an Großunternehmen gedacht, wo so etwas Standard und sinnvoll ist?

Den neuen Server installieren, anschließend in die Domäne einbinden, dann zum Domänencontroller hochstufen (dcpromo), als nächstes die Dienste/Freigaben/whatever (DHCP/DNS/Fileserver...) auf den neuen Server verschieben, die Clients anpassen, zum Schluss dem alten Server die Domänencontroller-Funktionalität nehmen und aus der Domäne nehmen. In Windows Server 2008 (R2) gibt es die Windows Server-Sicherung, die kann auch Großvater-Vater-Sohn inklusive geplanter Backups.

Das heißt ich muss das Default User-Profil per Sysprep einrichten und anschließend dieses Default User-Profil in den Netlogon-Ordner kopieren. Das ist ja noch mehr Aufwand, der aber überhaupt nichts bringt, wenn sich die Benutzer sowieso an dem Terminalserver anmelden, der schon das angepasste Default User-Profil besitzt. Wenn ich das auf einem (virtuellen) Windows 7-PC vorbereite, müsste ich auf dem PC ja auch alle Anwendungen, die auf dem Terminalserver installiert sind, installieren, um die entsprechenden Einstellungen zu tätigen, was ebenfalls erheblich mehr Aufwand bedeutet.

Es wäre gut, wenn Du uns die Bezeichnungen der beiden Monitore sagst, da unterschiedliche 22"- und 23"-Monitore unterschiedliche Auflösungen besitzen. Wie hast Du den Desktop erweitert? Über das Catalyst Control Center, die normale Anzeigesteuerung von Windows 7 oder Windows-Taste + P? Unter Windows 7 hat sich bei mir bisher immer Windows-Taste + P bewährt.

Wie meinst Du das mit "das Profil im Netlogon zur Verfügung stellen"? Wie soll ich denn das Default-Profil in den Netlogon-Ordner bekommen und in welchen Unterordner bzw. was muss dann ggf. im Active Directory (ist eine 2008 R2-Domäne) eingestellt werden?