hades

Das reine Anschauen von Videos oder PDF-Dokumenten im Browser reicht auch aus, um Dir unerwuenschte Gaeste auf den PC zu holen. Es werden mit einem eingebetteten Exploit gezielt Schwachstellen des zugehoerigen Anzeigeprogrammes angesprochen, um darueber dann den eigentlichen Schadcode auf den PC zu laden. Potentiell kann alles, was Du Dir im Inet ansehen/-hoeren oder downloaden moechtest, Exploits fuer das dazugehoerige Programm enthalten. Und das Ganze ist browserunabhaengig, weil hier das Ziel die im Browser als Addon/Plugin verbundenen Programme sind, die auf nahezu jedem Windows-PCs zu finden sind.

Ein normaler Exchange Server kann von Hause aus keine Emails mit POP3 vom ISP abholen und das ist auch gut so. Denn ein richtiger Mailserver unterhaelt sich mit anderen Mailservern ausschliesslich ueber SMTP. Nur ein SBS hat diesen komischen POP3 Connector dabei, der nur als Notloesung gedacht ist. Jeder POP3 Connector fuer Exchange bringt einige Nachteile und Probleme mit. a) POP3 holt nur in einem Intervall von x min ab (beim SBS2003 POP3 Connector war das Minimum 15min). Eine SMTP-Direktzustellung ist zeitnah und nicht an ein Abhol-Interval gebunden. Du wirst POP3-bedingte Probleme mit CC- und BCC-Empfaengern haben. c) Du hast bereits Probleme mit Unzustellbarkeitsberichten und Quittungsmeldungen und das koennte evtl. auch beim SBS2008 zutreffen (war/ist beim SBS2003 der Fall): d) Exchange-eigene AntiSpam-Funktionen sind beim Abholen via POP3 Connector nur eingeschraenkt nutzbar Kurz: Ueberlege ernsthaft, Emails via SMTP direkt auf den Exchange Server zustellen zu lassen und den POP3 Connector zu deaktivieren. Allerdings ist fuer eine SMTP-Direktzustellung einiges an Vorkehrungen und Exchange Wissen notwendig. Die wichtigsten Punkte: a) Du brauchst dafuer eine feste oeffentliche IP. Sowas sollte bei richtigen Business-Internetanschluessen bereits dabei bzw. als Option moeglich sein. Du brauchst entsprechende Sicherheitsmassnahmen, denn ein Exchange wird nie direkt ins Internet gesetzt (=Portweiterleitung ohne weitere Pruefung ist hier nicht ausreichend). c) Ein Exchange will immer eine ganze Email-Domain haben. Das heisst, Du brauchst definitiv eine eigene Email-Domain. Providergebundene einzelne Emailadressen ala deinname1@providername.invalid, deinname2@providername1.invalid und deinname3@providername2.invalid sind hier nicht geeignet.

Der Port 443 ist auf der Server-Seite der Webseite, die Du aufrufen willst. Oder sind die Seiten, die Du aufrufst, lokal auf dem V-Server?

Du hast ein inkonsistentes AD. a) Es sind im AD-Schema keine Windows 2003 Erweiterungen drin (vorgesehen ist bei einem 2003 DC immer eine Windows 2003 Domain) und/oder Es kann der Global Catalog Server nicht erreicht werden und/oder c) Der Global Catalog Server ist nicht mehr vorhanden Fuehre bitte auf beiden DCs mal mit den zur Betriebssystem- und(!) ServicePack-Version passenden Windows Support Tools diese Befehle aus: dcdiag /q netdiag /q Beide Befehle duerfen keine Fehler ausgeben. Betriebsmaster anzeigen: netdom query fsmo Es sollten hier mit dem richtigen Wert (=der neue 2003 DC) diese hier erscheinen und nicht leer sein: Schema-Master Domain Naming Master PDC-Emulator RID-Master und Infrastrukturmaster Sowie das Ergebnis der folgenden DNS-Abfragen hier posten (fuer die Platzhalter - mit %sinngemaesse-Variable% gekennzeichnet- bitte Deine eigenen, realen Werte einsetzen) : nslookup %Name-des-Servers% nslookup %IP-Adresse-des-Servers% nslookup >set querymode=srv >_gc._tpc.%domainname% >_ldap._tcp.%domainnname% >_kerberos._tcp.%domainname% >_kerberos._udp.%domainname% >_kpasswd._tcp.%domainname% >_kpasswd._udp.%domainname% Man installiert nie nie niemals ein Outlook auf dem Server, wo der Exchange Server selbst installiert ist. Ist jetzt aber zu spaet.

Kommt drauf an, als was der ISA arbeitet. Beim ISA gibt es drei Hauptteile: Firewall, Proxy, VPN/RAS Wenn es Dir um alle ISA-Funktionen geht: ipcop mit passenden addons (u.a. gibt es einen Proxy und openvpn auch als ipcop addons) Wenn es Dir nur um Proxy geht: squid Wenn es Dir nur um VPN geht: openvpn Wenn es Dir nur um eine Firewall bis Layer 7 geht: ein Linux mit iptables und snort (IDS/IPS) IPCop.org :: The bad packets stop here! Welcome to OpenVPN squid : Optimising Web Delivery netfilter/iptables project homepage - The netfilter.org project Snort - the de facto standard for intrusion detection/prevention

Nimm doch einfach SNMP. Die meisten Systeme, die SNMP aktiviert haben, verraten bei einer SNMP-Abfrage auf die betreffenden OIDs etwas ueber das Betriebssystem und der Hardware (Hersteller/Modell). Je nach Implementation kommt SNMPv1, bei der SNMPv2-Variante meist v2c sowie SNMPv3 zum Einsatz. SNMP laeuft ueber UDP, zum Glueck ist es aber kein Broadcast. DNS hat nichts mit MAC-Adressen zu tun. Das waere eher ARP bzw. RARP.

Wobei man noch dazu sagen muss: Wenn das verwendete MS Office und das Outlook unterschiedliche (Major-)Versionen sind, dann gibt es zwei fuer manche vielleicht entscheidende Office/Outlook-Funktionen, die dann nicht mehr funktionieren: - In allen Office-Applikationen geht dann in der Funktion "Senden an" der Punkt Emailempfaenger nicht mehr - In Outlook geht dann "Word als Email-Editor nutzen" nicht mehr Die Ursache liegt hier in unterschiedlichen MAPI-Versionen und hard codierten Pfaden im Office.

Ich wuerde das missratene Experiment unter Lehrgeld verbuchen und alles inkl. der vorhandenen (2000?) Domain neu machen. Denn vom Zeitaufwand her gesehen, bist Du damit wesentlich schneller als ein inkonsistentes AD zu troubleshooten. Auch wenn keine offensichtlichen Fehlermeldungen erschienen sind, es wurden mit Sicherheit Logfiles waehrend der Installationen angelegt und diese sind in Deinem Fall voller Fehler. Eine Exchange-Installation uebt man nicht am Live System. Denn es gibt waehrend der Exchange Installation einige nicht umkehrbare Schritte. Das uebt man auf Testsystemen, die man bei Bedarf ohne Schaden plaetten kann.

Wenn Du die Moeglichkeit hast ein NT4 als weiteren BDC der vorhandenen Domain neu zu installieren, tue es. Eine Live-Konvertierung eines PDCs funktioniert auch, ist aber mit deutlich mehr Risiken verbunden. Was ist wenn der PDC waehrend der Virtualisierung abschmiert und das erstellte Image defekt ist? Dann musst Du notgedrungen den vorhandenen BDC zum PDC hochstufen und hast dann erstmal keinen BDC mehr. Auch weisst Du nicht ob vor diesem Notfall auf dem BDC alle Daten erfolgreich repliziert wurden und damit aktuell sind. Vor einer geplanten Umschaltung PDC/BDC fuehrt man sicherheitshalber noch mal die Replikation der Dateien und der WINS- / DNS-Server (die oft auf PDC/BDC drauf sind) durch, um sicherzustellen dass der kuenftige PDC auch die aktuellen Daten hat.

Eine Firewall blockt den genutzten Port. IdR ist es bei HTTPS der TCP-Port 443 (auf der Webserver-Seite).

Bitte keine Threads anderer User fuer Deine eigenen Probleme kapern. ~~~closed~~~

Normalerweise sollten Windows Systeme ab Windows 2000 und neuer sich selbst automatisch am DNS-Server (Windows 200x DNS oder bind ab 8.1.2) registrieren und die eigenen DNS-Eintraege (A+PTR bzw. AAAA+PTR bei Clients/Servern, bei den DCs zusaetzlich die SRV-Eintraege) auch automatisch aktualisieren. Es sei denn, Du hast die DNS-Server Optionen dynamische Update ausgeschaltet. Genau dasselbe kann und sollte auch ein DHCP-Server (auch hier ab Windows 2000) fuer die DHCP-Clients durchfuehren.

Ich wuerde neben dem aktuellen ServicePack auch noch die danach veroeffentlichten Updates offline installieren bevor ein Windows System ans Netzwerk/WLAN/Internet angeschlossen wird. ct Offline Update

Grundsaetzlich gibt man einem DC keine oeffentliche IP. Schon gar nicht so einer Zeitbombe wie einem seit vielen Jahren ohne MS-Support laufenden NT4 PDC/BDC. Wenn eine Anwendung unbedingt noch NT4 haben will, dann: a) mal ganz freundlich beim Hersteller der Anwendung nach einer Windows 200x Version fragen und migrieren. virtuelle NT4 Maschine aufsetzen c) den Kompatibilitaetsmodus auf den neueren Server Systemen anschauen d) notfalls -als temporaere Uebergangsloesung mit dem Ziel der kurzfristigen Migrierung auf ein neueres System- auf aelterer Hardware: ein NT4 Standalone Server als Member einer Windows 200x Domain, aber bitte kein NT4 PDC/BDC mehr einsetzen Wenn unbedingt der NT4 PDC/BDC noch bleiben muss und der Domaenenzugriff standortuebergreifend gewuenscht ist: Eine VPN-Loesung aufsetzen.

Bleib bitte bei den richtigen Begriffen, auch wenn TCP/IP in seinen Urspruengen eine Entwicklung fuer das US-Militaer war.

Hast Du einen Router im Einsatz? Wenn ja welches Modell? Welche Firmware ist drauf? Wie ist der PC angeschlossen (WLAN oder LAN)?

Ein Fernzugriff auf ein System erfolgt grundsaetzlich verschluesselt, sonst brauchst Du keine Firewall. Einfach nur DynDNS aktivieren und dann mit -im Normalfall- unverschluesselten Protokollen wie VNC oder nur sehr schwach verschluesselten Protokollen wie RDP (RemoteDesktop) weiter auf einen Windows-PC reicht nicht aus. D.h. Du solltest Dich weiter informieren bevor Du Deinen PC aus dem Internet erreichbar machst.

Fuer Symantec-Programme gibt es auch Removal-Tools, die nach der Deinstallation angewendet werden sollten. Sind auf den Service-Seiten von Symantec zu finden. Suchbegriffe: Norton Removal

Auch hier gilt: Bitte eine Aussage mit nachweisbaren Quellen belegen.

Ich wuerde - wenn ich hier auch iptables haben moechte - iptables so konfigurieren, dass der squid dann als transparenter Proxy arbeitet. Denn dann brauchst Du den Proxy nicht mehr zwingend bei den HTTP-Clients konfigurieren.

Ein authorative DNS-Server ist der DNS-Server, der die angefragte DNS-Domain in seiner eigenen lokalen Zonendatei hat. Ein non-authorative DNS-Server antwortet entweder aus seinem lokalen Cache oder fragt durch Iteration bzw. Rekursion andere DNS-Server.

Dein Netzplan enthaelt nicht alles. Bitte ergaenzen: Welches System baut denn auf beiden Seiten die Verbindung ins Internet auf? Welche Art von IPs ist denn auf dem Internetanschluss beider Seiten drauf (dynamische oder feste IP)? Bei einem Standort mit ISDN waehre auch noch gut zu wissen, was fuer ein ISDN ist es? Mehrgeraete-Basisanschluss (NTBA, 2 b-Kanaele a 64 kbit/s, 1 d-Kanal, 3 - 10 MSN)? Anlagenanschluss (1 oder mehrere NTBAs, 2 oder mehr b-Kanaele mit Rufnummernblock fuer eine TK-Anlage, 1 d-Kanal)? Primaermultiplex-Anschluss (NTPM, 32 b-Kanaele a 64 kbit/s, 1 d-Kanal, 1 Sync Kanal, PBX-Anlage, Rufnummernblock)?

Was passiert, wenn Du diese Seiten direkt auf dem debian Server aufrufst? Das geht auch auf der text console, wenn z.B. kein X11 und damit kein window manager (kde, gnome ...) installiert ist: telnet lufthansa.de 80 GET / HTTP/1.1 Host:lufthansa.de Dann siehst Du nach 2x Enter den HTML-Code dieser HTTP 1.1-Verbindung und auch den HTML Statuscode. Falls kein HTTP 1.1 genutzt werden kann: telnet lufthansa.de 80 GET / HTTP/1.0

Die TCP Window Size spielt bei Windows Systemen auch noch eine andere Rolle. Es gibt bis einschliesslich Windows XP/2003 kein aktiviertes TCP Window Scaling (RFC1323) und der default Wert fuer die TCP Window Size (je nach Windows OS/SP liegt der im Bereich 17 bis 38 KByte) ist sehr oft zu klein gewaehlt. Das ist fuer Gigabit-Leitungen im LAN eine nicht zu unterschaetzende Bremse und kann bei im Internet veroeffentlichten Windows Systemen je nach Anbindung und Dienst/Zielgruppe auch bremsend wirken. D.h. hier sollte man ueberlegen ob man per Registryeintrag a) das TCP Window Scaling aktiviert und die maximal moegliche TCP Windows Size auf die Gegebenheiten anpasst. Eine andere Bremse kann die bei Windows Fileservern nicht optimal eingestellte Groesse des SMB Buffers sein.

Poste bitte die Logfiles der beiden VPN-Geraete, sonst wird das nix. Von mir aus mit anonymisierten oeffentlichen IPs/Dyndns-Namen. Es bietet sich immer an, VPN-Implementationen vom selben Hersteller zu nehmen. Kostet zwar manchmal etwas mehr, macht aber das Troubleshooting deutlich einfacher wenn nur ein Hersteller verwendet wird. Wenn NAT-Traversal im Einsatz ist (das sollte bei einem IPSec VPN auch genutzt werden), dann musst Du auch den UDP-Port 4500 auf einem dazwischenliegenden NAT-Geraet freischalten. Denn NAT-T ist nicht im IPsec Passthrough drin.