hades

Werden denn ueberhaupt Windows Server 2003-Treiber bei Deinem Dell System auf den Support-Seiten von Dell gelistet? Ja? -> Nimm diese fuer Deine onboard-Karte. Nein? -> Ein dezenter Hinweis auf die Hardware Compatibility List (HCL) von Windows Server 2003. Verbaue eine der genannten NICs aus der zutreffenden Liste: HCL Windows Server 2003 32-bit (x86): Windows Server Catalog HCL Windows Server 2003 64-bit (x64): Windows Server Catalog

Es kann am Treiber liegen, muss aber nicht. Total Copy nutzt als Grundlage auch nur Dateifreigaben, deshalb ist es auch nur ein Schaetzeisen. Fuer Performancemessungen solltest Du folgendes beachten: - direkte Kabelverbindung herstellen (kein WLAN oder Router dazwischen) - Windows auf den aktuellen Patchstand bringen, sonst kann ein im Hintergrund laufender Dienst (Automatische Updates bzw. BITS) Bandbreite nutzen - Virenscanner/Firewall/Securitysuite ausschalten - alle Hintergrundprogramme ausschalten, auch Filesharing und Instant Messenger

Messungen ueber Kopiervorgaenge von Dateifreigaben sind eher als Schaetzeisen einzustufen. Denn das zugrundeliegende Protokoll (SMB bzw. CIFS) ist nicht gerade als Performancewunder bekannt. Versuch mal die Messungen ueber iperf oder aehnliche Tools durchzufuehren. Dazukommt noch: - dass ein Fileserver und ein DC auf derselben Maschine nicht unbedingt performant sind. - dass die in Windows angezeigte Netzwerkkarten-Geschwindigkeit (z.B. 100 Mbit/s) nichts ueber deren Durchsatzrate aussagt.

Du hast Dir die Spyware "Begin2Search Toolbar" eingefangen. Hol Dir HiJackThis auf Deinen PC und erstelle damit ein Logfile. Dieses dann auf HijackThis Logfileauswertung auswerten lassen und dann siehst Du was noch so ungefragt auf Deinem PC ist.

Sorry, aber der Server ist selbst fuer drei User deutlich ueberladen. Ein DC ist ein DC, meinetwegen auch ein DNS-Server mit AD-integrierten Zonen. Aber nichts anderes weiter. Ein VPN-Server gehoert definitiv nicht auf einen DC. Da kannst Du ja gleich den DC einfach so ins Internet stellen. Ein Fileserver waere mit aktiviertem Schreibcache deutlich besser, das geht aber nicht auf einem DC. Ein DHCP-Server gehoert nicht auf einen DNS, sonst funktionieren die dynamischen DNS-Updates der Clients nicht immer zuverlaessig. Da soll jetzt noch ein oder gar zwei Produkte drauf? Nimm Dein Budget und investiere eher so damit wenigstens ein Dienst von diesem ueberladenen All-In-One-Server runterkommt. Z.B. in eine separate, vernuenftige Hardware-VPN-Firewall (Appliance).

Was macht dieser Server genau? DC? Terminalserver fuer Anwendungen? Fileserver? Datenbankserver? Webserver? Emailserver? Wo steht der Server im Netzwerk: im LAN, WAN oder ...? Wird auf dem irgendwas ins Internet veroeffentlicht, z.B. Webseiten oder ein Exchange Server?

Der o.g. Sicherheitskonfigurationsassistenten darf nicht beim Small Business Server 2003 angewendet werden.

Eine Firewall gibt es beim Windows Server 2003 seit SP1 auch, einstellbar mit dem Sicherheitskonfigurationsassistenten. Diese Firewall kann auch zentral ueber Gruppenrichtlinien konfiguriert werden.

Exchange 2003 geht nur auf Windows 2003. Der Windows 2003 Server fuer Exchange sollte kein Domaincontroller sein. Es gibt beim Exchange 2003 die Standard Edition und die Premium Edition. Die Exchange 2003 Premium kann nur auf Windows 2003 Enterprise Edition installiert werden. Wenn Du mit ingesamt bis zu 75 GB fuer alle Postfaecher zusammen und noch mal 75 GB fuer die Oeffentlichen Ordner zusammen auskommst, dann reicht Dir meist die Exchange Standard Edition aus.

Meist sind diejenigen, die solche Entscheidungen treffen, keine Techniker. Erzaehle denen Deine Bedenken: - Mitlesen von Usernamen und Kennwoertern - Abfangen von sensiblen Unternehmens-Daten Ich glaube, dass spaetestens beim letzten Punkt diejenigen hellhoerig werden. Zur Not tut es auch ein Wireshark-Mitschnitt gegen einen Test-FTP-Server und schon hast Du auch etwas zum Zeigen. Auch ist das Konfigurieren von Firewalls einfacher, wenn nur ein Port (SSH FTP) anstatt zwei (FTP) fuer ein Protokoll genutzt werden. Wenn ein neues System eingefuehrt werden soll, dann besteht immer die Moeglichkeit, dass Du mit entsprechender Argumentation auch als vermeintlich Kleinerer etwas durchsetzen kannst. Ansonsten wenn Deine Einwaende nichts bringen sollten, dann laesst Du Dir es unterschreiben, dass Du im Falle des Datendiebstahls nicht haftbar gemacht werden kannst. Wenn Du unbedingt unverschluesseltes FTP haben musst: Installiere Dir Proftp.

Aehm, die Ursache liegt an Zonealarm und nicht an Windows. D.h. Deine Desktop-Firewall hat einen Fehler. Zonealarm merkt sich den Source-Port fuer DNS-Anfragen. Und genau das wurde nicht nur von Microsoft bei Windows geaendert, sondern zusammen in einer Aktion mit Cisco, Juniper und ISC (bind-Hersteller) auch in anderen Produkten. Das Nutzen eines festen Source-Ports kann fuer Angriffe auf den Cache eines DNS-Server und DNS-Clients genutzt werden. Es ist daher keine gute Idee, das Windows-Update zu deinstallieren. Loesungen: a) im abgesicherten Modus von Windows die Zonealarm DB-Dateien in loeschen. Im Pfad C:\Windows\Internet Logs folgende Dateien loeschen: backup.rdb iamdb.rdb tvDebug.log sowie die Datei mit der Endung ldb Danach auch den Papierkorb leeren und neustarten. Jetzt muss Zonealarm neu angelernt werden. Zonealarm auf den Modus mittel runterschalten. c) Warten auf ein Zonealarm-Update

Bitte nicht verallgemeinern. Es kommt auf das Routermodell an. Denn T-Com hat mehrere Routermodelle, die von verschiedenen Herstellern fuer T-Com produziert wurden.

Welches genaue Routermodell wurde denn vorher verwendet? Welches Betriebssystem ist auf den einzelnen PCs drauf? Wenn der Router mehrere LAN-Anschluesse hat, dann kann man evtl. diesen auch fuer Internet ueber Kabel nutzen. So ist das z.B. bei einigen FritzBox-Serien moeglich. Oder andere Moeglichkeit: Das DSL-Modem auf dem WAN-Anschluss deaktivieren. Allgemeines zu Routern: Als Erstes sollte der Router mit der aktuellen Firmware ausgestattet werden. Denn die mit dem Router ausgelieferte ist meist uralt und hat so einige Macken. Weiteres zu 20.000 kbps: Das schafft nicht jeder Router. Wenn Windows verwendet wird: Windows bis einschl. XP/2003 ist mit der Standard-Installation auch nicht optimal auf diese Geschwindigkeit eingestellt. Es kann durchaus auch noch sein, dass Windows noch optimal auf 1.000 kbps eingestellt ist, weil vorher T-DSL 1000 vorhanden war.

Warum willst Du das abschalten? Damit Du ein im Vergleich zum SSH FTP unsicheres FTP mit TLS/SSL nutzen kannst? FTP mit TLS/SSL verschluesselt Dir nur den FTP Control Channel, d.h. nur die Anmeldung und die fuer den FTP Transfer notwendigen Befehle werden verschluesselt. Der Datentransfer auf dem FTP Data Channel bleibt unverschluesselt und kann so mitgeschnitten werden. SSH FTP ist dagegen komplett verschluesselt. Bei SSH FTP wird im Gegensatz zum FTP auch nur ein Port (SSH-Port) genutzt. Bei SSH FTP kannst Du alle mit SSH nutzbaren Authentifizierungen nutzen. Z.B. neben User+Password auch Zertifikate Allerdings musst Du bei SSH FTP etwas mehr Aufwand betreiben, um die Nutzer in ihr eigenes (bzw. bestimmtes) Verzeichnis einzusperren. Mit der standard SSH FTP Konfiguration koennen sich Nutzer auf dem System frei bewegen und haben so z.B. auch (lesenden) Zugriff auf / und /etc. siehe Chroot With Rssh For Ssh/sftp - openSUSE Forums siehe HOWTO SFTP Server (chrooted, without shell) - Gentoo Linux Wiki siehe Howto create chrooted Openssh SFTP without shell access through rssh. - Ubuntu Forums (Windows-)Clientprogramme fuer SSH FTP sind z.B.: WinSCP Filezilla

sftp ist hier das auf ssh basierende ftp (geht auch ueber den SSH-Port) und hat mit einem ftp-daemon nichts zu tun. ssh ftp wird gern mit dem FTP mit TLS/SSL-Verschluesselung (wobei nur der Control- und nicht der Daten-Kanal verschluesselt ist) verwechselt. D.h. schau in der sshd.conf nach ob dort sftp-server geladen wird.

Wie waere es mit einem Testsystem bevor es auf ein produktives System eingesetzt wird?

Es lassen sich Daten mit mehr oder weniger Aufwand auch wiederherstellen. Hast Du das schriftlich oder kannst Du einen Zeugen benennen, dass Du es abgegeben hast? Beides Nein -> schlecht, da jetzt Aussage gegen Aussage steht

Die meinen bestimmt die 2 vorhandenen RDP-Admin-Sessions und die 1 RDP-Console-Session. Nur dann muss der RDP-Benutzer auch Domain-Admin sein. Und ist es auch kein Terminalserver (fuer Anwendungen). Es ist hier nur der standardmaessig enthaltene (aber nicht aktivierte) Remote-Desktop fuer administrative Zwecke. Unter Windows 2000 Server hiess der in 2003 eingefuehrte Remote-Desktop noch "Terminalserver im Remoteverwaltungsmodus" und musste extra installiert werden, vielleicht kommt es auch daher. siehe Chiefs Einwand mit dem Verbiegen von sinnvoll voreingestellten Gruppenrichtlinien. Ein Terminalserver (fuer Anwendungen) ist immer ein zusaetzlicher Memberserver, egal ob SBS oder normale Domain.

Kennwort ist eine gute Idee. Die Ziel-PCs muessen Dein neues, eingeschraenktes Konto kennen. Das geht bei Arbeitsgruppen nur ueber die lokalen Benutzer auf den Ziel-PCs. Wenn es eine Windows Domaene waere, wuerde das die Aufgabe eines Domaincontroller sein. Bei mehr als 5 PCs kann es bereits sinnvoll sein, von einer Arbeitsgruppe auf eine Windows Domaene zu wechseln. Dazu ist allerdings ein separater Windows Server (bzw. eingeschraenkt auch samba unter linux) notwendig.

Erstelle auf dem/den anderen PC(s) Deinen genutzten eingeschraenkten User mit demselben Kennwort.

Welche Domaene hast Du, 2000 oder 2003 oder ...? Es gibt erst ab Windows 2003 Domaenen Gruppenrichtlinien fuer den Terminalserver. Gruppenrichtlinie fuer eine Windows 2003 Domaene: Pfad: Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Terminaldienste/Client/Server-Datenumleitung Richtlinie: Zwischenablageumleitung nicht zulassen gueltig fuer Terminaldienste ab XP (kein 2000, da aelter als XP) Windows 2000 Domaenen haben keine Gruppenrichtlinien fuer den Terminalserver im Anwendungsmodus. Hier -sofern ueberhaupt einstellbar- nur auf dem TS selbst im Terminaldienste-Konfigurationsprogramms moeglich.

Es haengt davon ab, was jetzt konfiguriert ist. Wie war es denn bis jetzt? Hattest Du hinter dem SDSL-Router einen eigenen Router? Ja -> Uebernimm einfach dessen Einstellungen Nein -> Erfrage die Konfiguration des SDSL-Routers Probleme koennte es z.B. mit Auto-Negotiation geben. Das muss entweder auf beiden Seiten an sein oder es werden dieselben festen Werte fuer Speed und Duplex konfiguriert. Dann koennte vom Provider eine MTU vorgegeben sein. Welches Modell wird als SDSL-Router eingesetzt?

Du koenntest mit dem Anytime Upgrade von Home Premium auf Ultimate upgraden. Dort sind auch die Funktionen von Vista Business drin.

Teste es im LAN, ohne ueber den Router zu gehen. putty.exe -ssh lan-ip-des-Servers Simuliere beim Webserver-Aufruf die DNS-Aufloesung durch Editieren der hosts-Datei. z.B. myhost.dynalias.com 192.168.2.2 Dann kannst Du im Browser die URL im LAN ohne DNS-Aufloesung aufrufen, ohne ueber den Router zu gehen. Wenn diese beiden genannten Tests funktionieren, dann liegts an Deiner Portweiterleitung und/oder an der DynDNS-Aktualisierung. Letzteres kannst Du testen, indem Du Dich auf Deinen DynDNS-Dienst einloggst und die IP Deines angelegten Hosts mit Deiner aktuellen oeffentlichen IP vergleichst (z.B. auf Wie ist meine IP-Adresse? anzeigbar).

Neben Chiefs und Crashs Anmerkungen kann man das noch hinzufuegen: Installiere Dir den Process Explorer von Microsoft/Sysinternals als Ersatz fuer den originalen Windows Taskmanager. Dann siehst Du es gleich welcher svchosts-Prozess durch welche Dienste genutzt wird. siehe Process Explorer Meinst Du wirklich die svchost.exe oder heisst der Prozess vielleicht etwas anders, z.B. svchosts.exe, svhost.exe ...? Wenn Letzteres der Fall ist, solltest Du Dein System neu aufsetzen. Denn dann hast Du Viren auf Deinem System.