Sima.
Nézem, köszi.

Win 2008 alá tudtok javasolni valami stats vagy monitorozó programot, amivel pl. az adatforgalmat lehet nyomon követni userekre lebontva? Vagy mrtg-szerű netstat?
Bárhogy kerestem, nem akadtam ilyen progikra..

www.vakbelmutet.hu

Sziasztok!

Egy kis tervezési 5letelésre hívnálak Benneteket. Ha szükség lenne az AD hitelesítésre 2 DMZ-ben lévő szervernek, akkor mit ajánlotok?

1, RODC kirakása a DMZ-be

2, Írható DC-vel, de külön tartományt létrehozni és egyirányú megbízási kapcsolatot kialakítani (a DMZ-s tartomány megbízik a belső tartományban, de fordítva nem).

3, Hagyjam a fenébe, mert mind a kettő nagy lyukat üt a biztonságon.

Köszi

Nem OVA-ról van szó, ezért írtam csak egyszerűen, hogy AD-ben hitelesíteni a felhasználókat.

Jólvan, kezdem érteni, nézd meg ezt esetleg, hátha segít: [link]

[ Szerkesztve ]

MZ/X

köszi

bár lehet, hogy az RODC egyszerűbb

majd jön a sokat látott kecske, és megmondja

MZ/X

Lehet most elveszik tőlem az MCSE+S minősítést, de én nem szarakodnék túl sokat, a belső tűzfalon kinyitnám az AD portokat csak a két bridgehead szervernek, hogy tudjanak replikálni rendesen, megcsinálnám külön site-ba, és ennyi. Tehát egy teljes értékű DC be és ennyi.
Persze ha arról van szó lehet külön tartományt csinálni a DMZ-ben, de eléggé szívás a külön adminisztráció.
Láttam már pár khmm.... kókány konfigot ahol a DC-nek publikus IP címe volt a mellette lévő IP-n meg figyelt egy Exchange szerver a tűzfal workplace-re volt állítva a domain miatt, se egyéb tűzfal, se semmi, RDP az alap porton, és évek óta nem volt gond vele.

[ Szerkesztve ]

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

Úgy érted, hogy rakjak egy sima DC-t a DMZ-be is? De ha azt törik, akkor hozzáférnek a teljes céges infókhoz?

Mekkora háló? Mennyi fontos adat van?
Én azt vallom, hogy addig jó a security amíg nem magunkat szopatjuk vele. Ha rendes tűzfal van a DMZ elött meg patchelve vannak a szerverek akkor úgyse lesz gond, ha meg valaki be akar menni az úgyis befog.
Amit írtam az persze a másik véglet, de ha a rendesen frissítesz, nem ezer éves Win2K meg NT szerverekkel dolgozol plusz csak a leg szükségesebb portok vannak kinyitva akkor én nem szenvednék sokat külön tartománnyal.
De a RODC az jó ötlet amúgy, vagy csinálhatod még hasonlóan mint az Exchange edge transport, hogy XML cuccal szinkonizálja a belső AD-t a helyi ADAM-el. Ilyenkor csak a https portot kell kinyitni.

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

Sziasztok!
A szerverben lévő tárhelyet szeretném bővíteni iSCSI megoldással!
Tudtok ajánlani megbízható iSCSI külső tárolót (2 vagy 4 lemezest)?
Megbízható legyen, stabilan működjön és persze elfogadható áron! (Synology, Qnap,....)

Előre is köszi a válaszokat!

Igen, ebben a sorrendben.. Synology, QNAP...

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

Nagy a háló és sok a fontos adat (pénzügyi cég), ezért nem merek DC-t rakni a DMZ-be.

Akkor szerintem az LDS (vagy ADAM ahogy tetszik) majd kijavítanak, de nekem úgy rémlik lehet csinálni ilyen "push" típusú szinkronizálást, amikor a DC tolja le az adatokat az LDS-nek. Ha ez megy, akkor elvileg portot sem kell nyitni befelé.

Most nem találom, de talán a 70-640-es MS könyvben láttam egy ilyen topológiát, és hogy a szinkronál "push"-volt, az tuti

MZ/X

Értem, ez esetben tényleg ne.... ADFS 2.0?
[link]

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

Ez sajna nekem nem jó, mert konkrét szervereket kellene beléptetnem a tartományba, nem egyes alkalmazásokat.

Akkor pedig server core, rajta egy RODC, így minimalizálod a támadási felületet, aztán ennyi.
Vagy a trust-os téma, de az meg eléggé macerás.

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

"Ha szükség lenne az AD hitelesítésre 2 DMZ-ben lévő szervernek, akkor mit ajánlotok?"

Ez mit takar pontosan? Mit szeretnél csinálni? Mit csinálnak a DMZ-ben lévő szerverek?

MZ/X

Van már több siteunk, domainünk, még egy a trust nem gond. Még utána olvasok a pro-kontráknak és majd meglátjuk. Mindenkinek köszönöm az 5leteket!

Én is MCSE + MCITP EA vagyok.

Igen, ez is jó kérdés, kicsit pontosítani kéne a konkrét célt amit el akarunk érni

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

A funkció itt mindegy.
Ezért írtam, hogy szerver szinten kellene a hitelesítés, nem alkalmazás szinten. Azaz a szerver tagja az AD-nek, csak hol és milyen legyen a DC (mennyi érzékeny adatot tartalmazzon az a DC), ami hitelesít neki.

Mindenféle szervert azért nem raknak ki DMZ-be. Ha kell az AD az azonosítás miatt, akkor gondolom dolgozók használják majd. VPN / DirectAccess?

MZ/X

Még ezt is megnézheted ha nem akarsz trust-ot a két domain között: [link] Ez pl át tudja lapátolni ldaps-en a belső tartományból az emberkéket a DMZ-ben lévő különálló tartományba.

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

A szerverek már a DMZ-ben vannak, csak felmerült, hogy legyen központi hitelesítés, ha a rendszergazdáknak konkrét login kell a szerverre, elkerülve ezzel azt, hogy ahány szerver annyi account és annyi jelszó, hiszen erre van a belső szerverekre is az AD.

Köszi, megnézem.

Helló!

Tettem a "szerverbe" egy CUDA képes vga-t, egy nvidia GTS250 est. Setiznék rajta, de nem akarja látni a cua képes gpu-t a boinc. Driver fent van, legfrissebb.
Létezik, hogy valahol külön engedélyezni kell a cudat 2008 r2 alatt?

havri

havri

hátha: http://forums.nvidia.com/index.php?showtopic=201779

http://draginet.hu , MCSA, MCSE, UEWA, Microsoft 365 Certified: Modern Desktop Administrator Associa Microsoft Certified: Windows Server Hybrid Administrator Associatete,

Köszönöm, de sajnos ez már meghaladja a tudásom. Win7 alatt driver feltelepítettem, és ment
Leszedtem a Cuda Toolkit-et, de lövésem sincs mit kezdjek vele

Azért köszi, havri

havri

Űrkutatásban (földönkívüli élet kutatás) segédkezel a géped szabad erőforrásail rádiójeleket feldolgozni: SETI@home

[ Szerkesztve ]

MZ/X

Rovatunkat az ÉMÁSZ támogatta

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

Jaja, ez nekem is drága buli

MZ/X

[link]

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

Lehet, hogy hülye kérdés, de nincs ilyen leírás magyarul ugye? Amugy ezt már próbálgattam, de valahogy nem akart öszejönni. Hozzáteszem, hogy otthoni környezetben próbágattam, virtuális környezetben.

Normális magyar leírásról nem tudok, de ez tuti működik mert sok helyen használom. Annyira azért nem gáz a nyelvezete
XP klienssel próbálod?

[ Szerkesztve ]

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

Igen, XP-vel

Fel kell raknod az SP3-at meg a GP CSE-t. [link] különben nem megy.

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

Akkor fel kell rakni a kliensekre eloszor ezt

Enterprise Admin? Kirk kapitany leszel? - Ne törődjél semmivel, egyél zsömlét kiflivel

Köszönöm a választ, nemsokára ki is próbálom Remélem öszejön

windows server 2003 R2-nél hol lehet belőni, hoyg az indexálást egy adott időpontban kezdje, ne pedig reggel 10:00 kor, vagy délben, vagy délután 4kor, mikot munka folyna ....

[ Szerkesztve ]

piros-kapszula: https://www.youtube.com/watch?v=oW-VZVYohRg

[link]

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

ok
mentem
köszi

piros-kapszula: https://www.youtube.com/watch?v=oW-VZVYohRg

Sikerűlt a csoportokhoz hozzáadni a hálózati meghajtókat a leírásod szerint De az engedélyezéseket nem találom. (Nekem magyar egyenlőre az OS-em) És hát nem találom azt a TARGETING EDITOR-t. Mert már csak azt akarom valahogy beálítani, hogy ezek a csoportok meg is tudják nyitni a hálózati meghajtót, és ne keljen minden egyes felhasználónak külön-külön engedélyt adnom.

Na megtaláltam. De nem nagyon értem, a leírást, mivel ott biztonsági csoporthoz akarja hozzáadni, de nekem szervezeti egységhez kellene hozzáadnom. Csak az lenne a lényeg nekem, h minden felhasználó eltudja érni a meghajtókat, külön külön konfig nélkül. (Látják már, csak nem tudnak belelépni)

Na közben kipróbáltam minden féle variációt, másik kártya másik switch stb. Ha fix IP van, van Netlogon hiba, DHCP-vel viszont nincs. wtf.

MZ/X

Tudtok javasolni win2008-ra jó logoló appot?
Bármi amiből kiderülhet később, hogy ha valamilyen alkatrész elkezd köhögni a gépben, így ha kritikus, időben le lehet kapcsolni, különösen a tápra. Mert ha az elkezd problémázni az tényleg nem egészséges semmire...
Ti használtok ilyesmiket a rendszereiteken?

www.vakbelmutet.hu

Rendes szervervasat használunk duplatáppal

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

Ha lesz következő vasam majd abban lesz olyan csudadolog, mint rendundáns táp
De első autónak sem szabad egyből újbéemvét venni mert akkor az ember nem tanulja meg becsülni
Akkor nincs tipp, javaslat?

www.vakbelmutet.hu