naja ausm Firmennetzraushalten Ok, aber man kann ja auch die Rechte so dermaßen kastrieren das die da ruhig rein können.
im Endeffekt werden doch da sowieso keine Fremden Leute mit Wlan rangehen, also es is doch bestimmt immernoch n Firmennetz und kein Outdoor WLAN wo jeder ran kann ;D

Zitat von »Steinman«

naja ausm Firmennetzraushalten Ok, aber man kann ja auch die Rechte so dermaßen kastrieren das die da ruhig rein können.
im Endeffekt werden doch da sowieso keine Fremden Leute mit Wlan rangehen, also es is doch bestimmt immernoch n Firmennetz und kein Outdoor WLAN wo jeder ran kann ;D

Eventuell bin ich auch einfach nur paranoide, dass ich ein Wlan eigenständig route, dem eine unsichtbare SSID verpasse, das ganze mit WPA2 verschlüssel, und man dann trotzdem nur eine Verbindung ins Internet bekommt, wenn man sich mit VPN anmeldet. Selbst dann bekommt man keinen Zugriff auf die anderen Netze...

Wohlgemerkt, steht das ganze bei mir zu Hause, ist also nicht so Sicherheitskritisch, wei bei ner Firma...

r4p

Edit: hab leider keine weiteren ideen zum lösen des Problems... Jedenfalls im Moment nicht.
Sorry for topic-abuse :-/

Zitat von »JAD«

ok - physikalisch passt das so.

Zitat von »Steinman«

Jetzt muß man sich nur noch vorstellen das Notebooks direkt über die Fritzbox und WLAN ihre IP bekommen und sich über VPN ins Firmennetzwerk einwählen können.

VPN over WLAN ist auch gut - zumal Du so die VPN-Konfiguration nur einmal machen musst.

Zitat von »Steinman«

Der Server ist also Datenbank, Printserver, Internetgateway Firewall und alles auf einmal, aber bei nur drei Clients und 3 Netzwerkdruckern dürfte das kein Problem sein oder?

Performance-Probleme gibt's sicher nicht.
Allerdings bekomme ich graue Haare beim Gedanken daran, so ein Konstrukt (from scratch) aufsetzen zu müssen.
NTDS ist ja noch schnell erledigt, aber alleine die FW-Regeln für die verschiedenen SSL-Abarten von SP-Service und OWA, sowie die Dutzende Ports, die der MSX für sich beansprucht, dürften sich über mehrere Seiten eines 30''-Monitors erstrecken.
Aber dafür gibt's warscheinlich Assistenten (die ich nicht kenne).

Zitat von »Steinman«

Ist ein bisschen schwierig zu erklären, ich hoffe man kann es verstehn.

Nö, keine Probleme - ist alles klar.
Zu einer Alternativ-Konfiguration (mit 3 Segmenten) - siehe meine Antwort an Steinmann.

BOT: Welche ISA-Vorlage hast Du denn benutzt? Bzw. wie heißt denn das Netzwerksegment, das vom ISA zum Router geht? ... ich nenn' das jetzt einfach mal DMZ.
Am wenigsten Tipperei gibt's warscheinlich mit der Vorlage "Back-Firewall".

Für den DHCP mußt Du vier Regeln erstellen:
Eine, die die DHCP-Anforderung vom "lokalen Host" an den Router erlaubt (nur im DMZ) und eine, die die DHCP-Antwort erlaubt.
Der DHCP-Server auf dem SBS/ISA darf genau das Gegenteil (überall hin, nur nicht in die DMZ) - das sind wieder zwei Regeln.
Den Ping erlaubst Du in der Systemrichtlinie.

BTW... bevor ich's vergesse: Ich weiß nicht wie Du Deine Gateways/Routen (im "Internen" SubNet) verteilst - per GPO oder via DHCP.
Falls Du eine StandortRichtlinie (mit Default-Gateway=ISA) hast, mußt Du dem ISA noch den Router beibringen.

Noch was: Wenn Du an dem SBS+ISA bastelst, solltest Du in regelmäßigen Abständen die Funktion Deiner Domäne überprüfen (netdiag, dcdiag).

Zitat von »Steinman«

Vor allem hab ich das richtig verstanden, dass der Server UND die Fritzbox IPs verteilen ? Was soll das Bringen ?
Lass das doch den Server machen...

Nö - und zwar aus folgenden Gründen:
1) Das "DMZ-Segment" ist automatisch (ohne weitere Tipparbeit für Routen/Gateway und DNSe) definiert.
2) DHCP-Relaying (über die LAN-WLAN-Bridge im Router) ist nicht trivial und geht bei vielen (Consumer-)Geräten in die Hose.
3) Der DHCP (incl. DNS-Update) der NTDS-Domäme sollte keine "sinnlosen" Adressen hosten.
Da die Notebooks und anderen VPN-Clients mit netbios direkt (JAD - ich hoffe, Du liest mit ) nicht ansprechbar sind, sind die Adressen aus NTDS-Sicht "sinnlos".

mfg, Thomas

Zitat von »JAD«

Oder was mir auch noch eingefallen ist, ich hab noch einen Managed Switch eingebaut den ich günstig bekommen konnte, dieser bezieht seine IP auch über DHCP.

:o

Du hast so eine schöne und überschaubare Struktur, da solltest du tunlichst *feste* IP-Adressen verwenden! Für WLAN *mag* man DHCP noch gelten lassen, aber wenn die zu verwendenden Notebooks bekannt sind (und das wäre in einer Firma definitiv besser), dann sollten sie auch feste IP-Adressen bekommen (und der MAC-Filter des APs sollte sowieso benutzt werden).

Zitat von »JAD«

... Was ich aber nicht verstehe ist, ich hab den ISA ja jetzt extra deinstalliert und es geht immer noch nichts.

Ok, dann versuchen wir mal dieses Problemchen zu lösen.
Wobei - bitte nicht böse sein - Jemand. der ein Produktivsystem aufsetzen/warten soll, profunde Kenntnisse über TCP/IP, Netzwerktopologien, sowie NTDS und MS-(Applikations)-Server haben sollte.

Zitat

Kann es an der gleichen Subnetmask liegen für beide Netze?

Definitiv nicht. Bleib' bitte (entgegen anderslautenden Tips in diesem Thread) bei 24Bit-Masken - das gibt am wenigsten Rechnerei (und am wenigsten Fehler).

Zitat

Oder was mir auch noch eingefallen ist, ich hab noch einen Managed Switch eingebaut den ich günstig bekommen konnte, dieser bezieht seine IP auch über DHCP. Liegt darin vielleicht das Problem?

Das ist nur der Management-Port (SSH/Telnet/HTTP). Die Funktion des Switches ist davon unabhängig.
Du solltest Das Ding aber mal "resetten" und auf den Modus "möglichst blöder Layer2-Switch" stellen.
Dann solltest Du (falls vorhanden) sämtliche VLANs löschen.

Zitat

Wie bereits schon erwähnt wurde, möchte ich nur ungerne von diesem Konzept abweichen, da es meiner Meinung nach das sicherste ist, was ich mit meinen eher beschränkten Mitteln für ein kritisches Unternehmensnetz tun kann.

Das Konzept ist soweit schon ok.

Zitat

Man hat ja gesehen es hat sich trotzdem ein Virus eingeschlichen und beinahe unsere ganzen Daten zerstört, das Kapital der Firma...

(Zentraler) Virenscanner, (automatische) Updates und Backups sind dann weitere Themen, die in einem Firmennetz zwingend dazu gehören.
Normalerweise würde ich hier F-PROT/Exchange, WSUS/SP1 und Acronis/Server (der ntbackup kann mangels VCS die Exchange-Datenbanken nicht sichern) vorschlagen.
Die Installation dieser Tools ist aber auf dem SBS eher kniffelig (afaik vertragen sich z.B. die SharePoint-Services mit dem WSUS nicht).

Zitat

Ich denke da darf man ruhig ein wenig Paranoid sein oder?

Ein (Company-)Admin darf nicht nur - er MUSS sogar paranoid sein

BOT: Geh' doch jetzt einfach mal systematisch vor:
- In den Server gehören ausschließlich Komponenten, für die WHQL-Treiber vorliegen - dies gilt natürlich auch für die Netzwerkkarten.
- LAN-Netzwerk-Karte deaktivieren und der DMZ-Netzwerk-Karte eine feste IP zuweisen (innerhalb des Adressraumes des Routers, aber außerhalb des DHCP-Bereiches)
- Diese Verbindung prüfen (wenn's nicht geht, sind NIC, Treiber oder Kabel kaputt).

Sobald diese Verbindung läuft, kannst Du zur nächsten Stufe gehen:
- LAN-Karte aktivieren
- DNS-Forward einrichten
- Satische Route auf den Router einrichten
ACHTUNG: Damit hier keine Fehler passieren:
- DNS ist für ALLE der SBS
Bitte prüfe auch (nslookup), ob auf dem Router der DNS-Cache/Forward läuft und funktioniert.
Wenn nicht, mußt Du dem DNS-Server (auf dem SBS-ISA) die DNS-Server Deines Providers als Weiterleitung einrichten.
- Das Standard-Gateway ist für ALLE der ISA. Der ISA bekommt als einziger eine statische Route zum Router (route ADD /P).

.... soweit mal - wenn das läuft, sehen wir weiter.

mfg, Thomas

Zitat von »JAD«

vielen Dank Tom für die ausführliche Hilfe,

Null-Problemo.
Wenn ich Zeit habe, helfe ich gerne um das Leben mit der "zickigen EDV" etwas erträglicher zu gestalten.

Zitat

Es ist halt für eine Firma die auf PC´s angewiesen ist und sich einen Systemadmin nicht leisten kann ziemlich schwierig eine alternative zu finden.

<Grmpf>
EDV sind (notwendige) Betriebsmittel. Die Anschaffungs- und Betriebs-Kosten hierfür grundlegende Aufgaben Eurer Buchhaltung. Dazu gehören auch Abschreibung und Rücklagen für spätere Auf- und Umrüstungen.
Wenn da jemand bei der BWA/G&V (absichtlich) Posten vergessen hat, wird's Zeit für eine gründliche Kopfwäsche.

Mitarbeiter in eine Aufgabe zu drängen, für die sie mäßig/garnicht qualifiziert sind, ist einfach nur uneffizient.
Wenn man das in unternehmenskritischen Bereichen macht, isses einfach nur dämlich.
... oder gibt's bei Euch auch einen Mitarbeiter, der mit ölverschmierten Händen rumläuft, weil er "nebenbei" noch den Fuhrpark warten muß?

Zitat

Ich dachte der SBS wäre so eine.

Der SBS ist schon ok (obwohl ich ihn nicht mag - aber das ist ein anderes Thema).

Zitat

Aber glaub mir, das alte Netzwerk ohne Server hättest du nicht sehen wollen, da wurden Daten teilweise mit USB Sticks weiter gegeben, weil die Datenträgerfreigabe nicht funktionierte

Wenn es "nur" um ein paar zentrale Freigaben geht, stellt man da irgendeine Raid-1 Kiste mit Samba-3.x hin und fertig.
Mit *Ubuntu ist sowas in einer, mit Debian in zwei Stunden erledigt.

Wenn man bei der Einführung bzw. Auf-/Um-Rüstung von EDV zuerst mal ein Pflichtenheft erstellt, wird die Planung und Umsetzung deutlich einfacher.
Da Du offensichtlich gerade NTDS frisch installierst, nimm' Dir bitte ein Stück Papier und male in groben Zügen auf, wie die Organisation aussehen soll.
Dazu gehören (Domänen-)Namen, Standorte, Exchange-Organisationen und Subnetze.
Dann solltest Du Dir noch frühzeitig überlegen, welche Daten Du wie verteilen willst - DHCP / GPO / dezentral.

Da fällt mir gerade ein: Dein DMZ-Netz sollte nicht Teil der Domäne sein - d.h. es gibt keinen DNS-Suffix, keinen DNS-Update und folglich auch keinen Host-Eintrag/Alias im DNS

BTW: Ich habe gerade selbst noch ein paar Zicken bei einem meiner ISAs ausgemerzt.
Besorg' Dir mal das aktuelle "Best Practices Analyzer Tool" und arbeite die Warnungen und (falls vorhanden) Fehlermeldungen Stück für Stück ab.

Nochwas: Laß' die Finger von dem "Security-Configuration-Wizard" - Das ist Schrott.

mfg, Thomas

Direkt helfen kann ich dir nicht, aber irgendwie habe ich mit Realtek Karten die meisten Probleme gehabt und bin daher dazu übergegangen 3com zu verwenden. Von denen hab ich mal einen ganzen Sack günstig bei ebay erworben...
Alternativ noch die Intel Karten aber von Realtek bin ich geheilt

Gruß da_zero

P.S. auch die Marvell und Broadcom Onboard Karten funktionieren bei mir gut...

Zitat von »JAD«

Also schlußfolgere ich logischerweise, eines der neu verlegten Kabel funktioniert nicht richtig.

Wenn das eine Fach-Firma installiert hat, müsstest Du Prüfprotokolle haben.
Wenn nicht, sofort der Firma in den Allerwertesten treten.

Zitat

Also probiere ich es mit der anderen Netzwerkkarte (Firmennetz) aus und siehe da beide Anschlüße der Netzwerdose funktionieren mit der Firmennetzkarte und keiner der beiden mit der NIC fürs Internet. Nur wenn ich diese direkt per 40m Patchkabel anschließe geht alles!

Kann mir das mal jemand erklären???

Laß' mich mal raten:
Der Onboard-NIC (LoM) ist ein Gigabit-Adapter und die Realtek-Karte ist eine 100er Version.
Gigabit-Adapter (802.3ab) können "Auto-X" - das können 100MBit-Adapter i.d.R. nicht.

Kurz: Da hat jemand Kabel verdreht.
Ich würde mir einen Lan-Tester nehmen und diese ganze Installation auf Herz und Nieren - oder besser auf Belegung, FEXT und Dämpfung prüfen.
Wenn beim FEXT (PSFEXT) Quatsch herauskommt, hat er nicht nur die Paare, sondern einzelne Leiter verwechselt.

In diesem Fall darf der "Installateur" schon mal seinen LSA-Klemmer einstecken und alle Dosen wieder auseinandernehmen.
In der Zeit, in der die PCs nicht laufen, kann sich Euer Anwalt ja schon mal überlegen, wie hoch er den Erwerbsausfall ansetzen will.
Falls Prüfprotokolle vorliegen (das ist bei Netzwerkinstallationen Pflicht), kann er gleich noch eine Betrugs-Klage draufpacken - die Protokolle sind dann nämlich getürkt.

mfg, Thomas

Zitat von »JAD«

Gibt es noch was anderes wie ich das testen kann?

Ja - so doof es klingen mag - nimm' mal andere Patchkabel.

Irgendwann hatte ich beschlossen 2006 zum "Jahr des Kabels" zu erklären, weil sich die blödesten Fehler nach langer Herumsucherei immer wieder als Kabelprobleme dargestellt haben.
Vielleicht geht der Quatsch ja Mitte 2007 von Vorne los.

mfg, Thomas

hallo

Eins vonre weg. Ich habe nicht viel Ahnung von Netzwerken.
Aber doch ein wenig wie man Probleme dieser Art anpackt

Hast du eigentlich irgendwelche Logs(Protokolierung des Datenverkehrs)? Von der Fritzbox, bzw. Server (falls keine vorhanden, Paketsniffer laufen lassen)?
Funktioniert das Restliche Netz wenn du den Server anwirfst, oder steht alles still(DHCP konflikt)? schon ein mal mit den server knoppix
(CD oder netzwerk boot eigentlich egal) gebootet(Vermindung der Wahrscheinlichkeit eines software problems)? Gibt es Paket verkehr (Packete die anscheinend ohne sinn und Zweckübertragen werden)? Hast du Selbst gecrimpttut mir leid wenn ich das überlesen habe) (eventuell falsche pinbelegung "patch"<->"nicht patch" kabel verwechselung, die dein laptop erkennt und ausbessert, aber der server nicht).

Tut mir leid wenn ich nonsense schreibe.
Aber wenn alle anderen am Ende ihres Lateins sind...
dachte ich mir gebe ich mal meinen Senf dazu.

Edit: Es tut mir leid wenn ich hier nen toten thread ausgegraben habe...

Jürgen