WINDOWS NT 4.0: MAUS UND TASTATUR FUNKTIONIEREN NICHT MEHR
Nach der Installation des “Post Windows NT 4.0 Service-Pack 6a Security Rollup Package” funktionieren Maus und Tastatur nicht mehr. Was kann ich tun?
Dieses unschöne Phänomen beschreibt Microsoft in ihrer Knowledge Base im Artikel Q305462. Das Problem tritt dann auf, wenn das Rollup-Package auf einem Rechner installiert wird, an den ironischer Weise eine Microsoft-Maus mit den Intellipoint-Treibern in der Version 2.0 angeschlossen ist. Um das Problem zu umgehen, sollte der Administrator vor der Installation des Rollup-Packages unbedingt die Intellipoint-Treiber auf die neueste Version aktualisieren. Die Treiber können unter http://www.microsoft.com/hardware/mouse/download.asp herunter geladen werden. Kommt dieser Ratschlag zu spät, muss der Administrator auf dem betroffenen Rechner die Datei Msi8042.sys in Msi8042.old sowie die Datei I8042prt.sys in Msi8042.sys umbenennen. Beide Dateien befinden sich im Ordner %SystemRoot%\System32\Drivers. Das Problem ist allerdings, auf dieses Verzeichnis ohne funktionierende Maus und Tastatur zuzugreifen. Ist das Dateisystem auf dem Rechner FAT, so kann der Benutzer das System mit einer DOS-Diskette booten und anschließend in das Verzeichnis auf der Festplatte wechseln. Ist die Festplatte jedoch NTFS-formatiert, wird es kompliziert. Hier empfiehlt Microsoft zwei Vorgehensweisen: Besitzt der Administrator eine Windows-2000-Boot-CD, so kann er über diese in die Recovery Console booten und von dort aus auf das NT4-Systemverzeichnis zugreifen. Details beschreibt der Artikel Q229716 der Knowledge Base. Ist so eine CD nicht zur Hand, bleibt dem Benutzer laut Microsoft nur eine Parallelinstallation von Windows NT 4.0 in eine freie Partition auf dem betroffenen Rechner. Dies ist jedoch nur in den seltenen Fällen möglich, in denen sich auf dem Rechner eine freie, nicht genutzte Partition befindet. Die notwendige Vorgehensweise erläutert der Knowledge-Base-Artikel Q259003. Eine Parallelinstallation von Windows NT in ein anderes Verzeichnis auf der ursprünglichen Partition ist nicht empfehlenswert, da unter anderem Dateien im “Programme”-Verzeichnis überschrieben werden. Eine nicht von Microsoft genannte Alternative ist effektiver, funktioniert aber nur, wenn der Rechner mit einem Netzwerk verbunden ist. Denn dann hat der Administrator die Möglichkeit, über das Netz auf die Standardfreigabe C$ des blockierten Rechners zuzugreifen, sofern diese nicht zuvor aus Sicherheitsgründen entfernt wurde. Über das Netz lassen sich die beiden Dateien dann bequem umbenennen. Eine weitere Alternative ist das Tool “NTFSDOS Pro” von Winternals (www.winternals.com), das das Booten von Diskette auf NTFS-Systeme ermöglicht. Das Tool kann direkt über das Web gekauft werden, kostet jedoch knapp 300 Dollar. Nach dem Umbenennen der Dateien und einem Neustart funktionieren Maus und Tastatur wieder wie gewohnt. Spätestens dann sollten allerdings die Intellipoint-Treiber aktualisiert werden, um ein Wiederauftreten des Problems zu verhindern.
(Georg von der Howen)
APACHE-WEB-SERVER: DENIAL OF SERVICE-ATTACKEN
Der Apache-Web-Server bis Version 1.3.24 und ab Version 2.0 bis 2.0.36 (auch 2.0.36-dev) bietet durch fehlerhafte Routinen Angriffsmöglichkeiten. Betroffen sind die Routinen für die Bearbeitung ungültiger Web-Anfragen, durch die zum einen eine “Denial of Service-Attacke”, zum anderen die Ausführung schädlichen Codes möglich wird. Zusätzlich können Buffer-Overflows auftreten, da der Apache-Web-Server über einen variablen “Chunk” arbeitet. Ein Client meldet die Datenmenge, die übermittelt werden soll beim Web-Server, dieser erzeugt einen Puffer entsprechender Größe, erst dann werden die Daten übertragen. Apache Webserver besitzen hier einen Software-Fehler. Eingehende “Chunks” werden bezüglich ihrer Größe falsch interpretiert. Genau dies kann der Angreifer ausnutzen, in dem er einen Buffer Overflow erzwingt und dann entweder schädlichen Code ausführt oder einen “Denial of Service”-Zustand erzeugt. Betroffene Systeme mit dem Apache-Web-Server bis 1.3.24 sollten ein Update auf die Version 1.3.26 fahren. Systeme mit den Web-Servern Version 2.0 bis 2.0.36 sollten die Version 2.0.39 einspielen. Beide Versionen sollen laut Apache von den Fehlern befreit sein. Weitere Informationen:
Apache:
http://httpd.apache.org/info/security_bulletin_20020617.txt
ISS:
http://www.iss.net/security_center/static/9249.php
Quellen:
www.channelweb.de,
www.r2r.de
(R2R/mw)
TREND MICRO: UMGEHUNG DES VIRENSCHUTZES BEI E-MAILS
Bei Trend Micros “Virus Scan” in der Version 3.52 können veränderte E-Mails den Virenschutz umgehen und bösartigen Code auf ein System bringen. Dazu muss der Angreifer eine E-Mail erzeugen, in der im “Content-Type” und “Content Transfer Encoding” Feld Veränderungen enthalten sind. In dem Fall würde als Attachment angehängter Code die Firewall ungeprüft passieren und von den E-Mail-Clients geöffnet werden. Ursache ist die unterschiedliche Interpretation der Einträge. Laut Trend Micro besteht ein mittleres Risiko. Folgende Einträge würden den Fehler hervorrufen: Allein das Einfügen eines oder mehrerer Leerzeichen im Bereich der Keys, die durch den Outlook-Client und Virus-Wall ausgewertet werden, führt zur unterschiedlichen Interpretation. Betroffen sind HP-UX (alle Versionen), Interscan-Virus-Wall (Version 3.52), Linux (alle Versionen), Solaris (alle Versionen), Windows NT und Windows 2000 (alle Versionen). Es sollte das neueste Upgrade der Interscan Virus Wall (3.52 build 1462 oder spätere) eingespielt werden, das von der Trend-Micro-Website herunter geladen werden kann: Außerdem wird von Trend Micro ein Patch zur Verfügung gestellt, der das Problem beheben soll: Quellen:
Originaleintrag Veränderter Eintrag “Content-Type:” “Content-Type :” “Content-Transfer-Encoding:” “Content-Transfer-Encoding:” ‘boundary=”——=_NextPart_000_000E_01C2100B.F369D840”’ ‘boundary=——=_NextPart_000_000E_01C2100B.F369D840 ‘ ‘boundary=”——=_NextPart_000_000E_01C2100B.F369D840”’ ‘boundary= ——=_NextPart_000_000E_01C2100B.F369D840’
http://www.trendmicro.com/download/updates.asp
ftp://ftp-download.trendmicro.com.ph/Gateway/isnt/build1462smtp.zip
www.iss.net,
www.securiteam.com,
www.r2r.de
(R2R/mw)
RESTAURATION EINES NICHT-BOOTFÄHIGEN RAID-1-RECHNERS UNTER WINDOWS NT/2000
Unter RAID 1 versteht man bekanntlich eine Festplattenspiegelung. Dabei schreibt der Festplattencontroller identische Informationen parallel auf zwei Platten. Man investiert also in eine zweite, möglichst identische Festplatte, um sich gegen einen Ausfall der ersten zu schützen. Dies ist eine recht preiswerte Investition, die sich für den Betrieb eines “kleineren” Servers anbietet, wenn man keinen – deutlich teureren – RAID-5-SCSI-Controller mit SCSI-Harddisks anschaffen möchte. Wenn ein Fehler auftritt, der ein Booten des Rechners verhindert, kann es dafür mehrere Ursachen geben: multi(0)disk(0)rdisk(0)... für die Platte 0 und multi(0)disk(0)rdisk(1)... für die Platte 1. Die Datei boot.ini muss natürlich vorsorglich in genau dieser Form auf beiden Platten und auf der Diskette vorhanden sein. Der Anwender sollte nach dem erfolgreichen Booten im Festplattenmanager sicherstellen, dass die beiden Festplatten wieder ein funktionsfähiges RAID1-System bilden.
a) Der Boot-Sektor ist defekt. Dann muss entweder – nach dem Öffnen des Gehäuses – der IDE-Anschluss der beiden Platten getauscht oder im BIOS des Motherboards die Boot-Reihenfolge der beiden Platten vertauscht werden; Letzteres ist wegen der Namensgleichheit der Platten nicht deutlich erkennbar, funktioniert aber genauso gut. Voraussetzung ist, dass auch die zweite Festplatte vor dem Einbinden in die Spiegelung schon einmal unter Windows NT formatiert wurde und dadurch überhaupt einen Master Boot Record bekommen hat.
b) Eine der Windows-NT-Boot-Dateien ist defekt. Dann kann der Anwender eine Windows-NT-Boot-Diskette einsetzen (mit den Dateien ntldr, ntdetect.com und boot.ini), oder er bootet direkt von der intakten Festplatte. Dies geht am bequemsten, wenn er in der boot.ini eine entsprechende Möglichkeit vorgesehen hat:
(Dr. Henning Astheimer/mw)
VOR- UND NACHJOBS BEI DER DATENSICHERUNG MIT ARCSERVE 2000
Es gibt eine ganze Reihe von Aktionen, die der Administrator unter Umständen vor der Durchführung einer Datensicherung mit Arcserve 2000 durchführen sollte: Arcserve 2000 bietet bei der Definition eines Sicherungsjobs unter “Optionen” auf der Registerkarte “Vor/Nach” eine bequeme Möglichkeit an, Batchjobs zu benennen, die im Zusammenhang mit der Sicherung durchgeführt werden sollen. Wenn die Batch-Datei “AsVorNach.cmd” heißt, könnte die erste Befehlszeile folgendermaßen aussehen: cmd /c h:\AsVorNach.cmd 0 > h:\AsVorNach.lst 2>&1 Der Parameter 0 wird in der Batch-Datei ausgewertet und führt dazu, dass die Programme ausgeschaltet werden und deren Ausgabe ebenso eventuelle Fehlermeldungen in die Datei “AsVorNach.lst” umgelenkt wird. Wenn die Batch-Datei fehlerfrei ausgeführt wurde, kann die Datensicherung sofort beginnen. Danach wird dieselbe Batch-Datei erneut aufgerufen, wie weiter unten auf der Registerkarte “Vor/Nach” definiert: cmd /c h:\AsVorNach.cmd 1 > h:\AsVorNach.lst 2>&1 Dieses Mal werden die Programme nach Auswertung des Parameters 1 eingeschaltet und alle Meldungen an die Protokolldatei angehängt. Dies soll unabhängig vom Erfolg der Datensicherung geschehen, damit am nächsten Arbeitstag alle benötigten Programme und Dienste wieder laufen. Damit dies auch bei einem besonders langen Sicherungslauf geschieht und Arcserve 2000 nicht noch am Morgen auf ein Folgeband wartet, sollte man zusätzlich auf der Registerkarte “Sicherungsdatenträger” unter “Optionen für zusätzliche Sicherungsdatenträger” ein kurzes Zeitlimit eintragen.
– Abschalten des Virenscanners (sofern ein Online-Scanner läuft und regelmäßige System-Scans erfolgen),
– Abschalten von Diensten wie WINS, DHCP und Datenbanken (um deren dann geschlossene Dateien sichern zu können),
– Beenden von sonstigen Programmen (zur Entlastung des Servers und Beschleunigung des Sicherungsjobs). Nach beendeter Sicherung – nicht nach einer festgesetzten Zeit – müssen diese Aktionen wieder rückgängig gemacht werden. Ein Beispiel aus der Praxis:
(Dr. Henning Astheimer/mw)
ISS ENDECKT SICHERHEITSLÜCKE IN BIND
Eine schwerwiegende Sicherheitslücke in dem zentralen Domain-Name-Service-Tool (DNS) BIND (Berkeley Internet Name Domain) hat die X-Force von Internet Security Systems (ISS) aufgespürt. Diese Schwachstelle kann von potenziellen Hackern dazu genutzt werden, den Server-Prozess eines DNS durch die Veränderungen einer internen Programmvariable zum Absturz zu bringen (Denial-of-Service). DNS sorgt im globalen Internet für die automatische Übersetzung von Domain-Namen (wie www.iss.net) in numerische Adressen des IPv4-Protokolls (zum Beispiel 192.168.120.12). Von dieser Schwachstelle sind insbesondere die BIND-Versionen 9 bis 9.2.0 betroffen. Seit Mai 2002 gibt es unter der Adresse http://www.isc.org/products/BIND die aktuelle Version 9.2.1 des DNS-Tools zum kostenlosen Download. Das betroffene BIND-Derivat des Internet Software Consortiums (ISC) ist meist sowohl in kommerziellen als auch Open-Source-Distributionen populärer Unix-Betriebssysteme enthalten. Administratoren wird daher dringend empfohlen, einen Versionscheck auf allen aktiven DNS-Servern durchzuführen und gegebenenfalls umgehend auf das aktuellste Release von BIND umzusteigen. Benutzer des ISS Internet Scanner (ab Version 5.0) sollten den “bindvrs”-Check aktivieren, um sich über ungewöhnliche Versionsabfragen der eigenen BIND-Installationen informieren zu lassen. ISS Realsecure verfügt über das Intrusion-Detection-Event “Bind_Version_Request” bereits seit dem X-Press Update 1.3 vom 29. September 2000. Auch BlackICE 2.1 von ISS ist gegen einen “DNS BIND Version Request” bereits gerüstet. Weitere Informationen zur aktuellen BIND-Thematik finden sich außerdem unter http://www.cert.org/advisories/CA-2002-15.html. - Quelle: ISS
(Internet Security Systems/mw)
KOPPLUNG ZWEIER NETZE VIA ISDN-S0-WÄHLLEITUNG MIT AVM-B1-KARTE UNTER NETWARE 5.1 MIT TCP/IP
Der im Lieferumfang von Netware enthaltene Multiprotokoll-Router gestattet unter anderem die WAN-Kopplung zweier Netzwerke über ISDN. Das folgende Beispiel erläutert die Netzkopplung mit der aktiven ISDN-Karte B1 von AVM über das TCP/IP-Protokoll anhand einer ISDN-S0-Wählleitung unter dem Aspekt der Optimierung der Leitungsgebühr. Dabei soll der Einwahl-Server NW1 eine Verbindung zum Ziel-Server NW2 nur bei Bedarf aufbauen und nach Ende der Verbindung wieder abbauen, um die Leitungskosten zu minimieren. Die IP-Verbindung kann beispielsweise zur Herstellung einer Datenbankverbindung vom Netz bei Server NW1 (Client-Seite) zum Netz des Servers NW2 (Host-Seite) dienen. Die Konfiguration der installierten B1-Karten erfolgt auf beiden Servern auf der Konsole mit dem Dienstprogramm INETCFG. Im Beispiel befinden sich beide Server in unterschiedlichen NDS-Trees.
Installationsschritte:
Um einen ungewollten Verbindungsaufbau über IP am Einwahl-Server NW1 zu verhindern, können folgende Werte im MONITOR.NLM unter “SERVER PARAMETERS” gesetzt werden:
– auf beiden Servern im Menü “Boards” als Treiber für die B1-Karte “WHSMCAPI” auswählen und gegebenenfalls die Kartenparameter anpassen:
Bei “LINE CONFIG” ist “MTP” (Multipoint) zu wählen (PTP = Point to Point nur bei Direktverbindung von zwei B1-Karten mit Cross-Over-Kabel). Bei Ladeproblemen der B1-PCI-Karte kann die Slot-Nummer geändert werden
– unter “NETWORK INTERFACES” B-Kanäle konfigurieren und passende ISDN-Nummer eingeben (ohne Vorwahl), bei mehreren ISDN-Nummern (drei je S0) je eine pro B-Kanal zuweisen, die Werte “Modem/DCE-Type” auf “ISDN (AT Controlled)” und “Framing Type: Sync, Physical Type: ISDN” setzen
– am Ziel-Server NW2 bei “NETWORK INTERFACES”/ “AUTHENTICATION DATABASE” den Einwahl-Server NW1 mit Name und Passwort eintragen, am Server NW1 diese Werte (Systemname/Passwort) bei “BINDINGS/WAN CALL DESTINATION” übernehmen
– auf beiden Servern im Menü “BINDINGS” die IP-Adressen für die B1-Karte zuweisen (ein IP-Transfernetz) und RIP und OSPF auf “disabled” setzen (bei den LAN-Karten kann man RIP beziehungsweise OSPF beibehalten)
– bei beiden Servern unter “PROTOCOLS/TCPIP” das Routing aktivieren sowie statisches Routing aktivieren, bei Server NW2 unter “LAN STATIC ROUTING TABLE” eine statische Netzroute zum LAN-IP-Netz des Servers NW1 eintragen, als Gateway die IP-Adresse der B1-Karte von Server NW1 verwenden, beim Server NW1 wird eine statische Route später bei “BINDINGS” gesetzt
– am Einwahl-Server NW1 bei “WAN CALL DIRECTORY” einen Eintrag mit Rufnummer für den Ziel-Server NW2 setzen und folgende Paramter wählen: “CALL TYPE: ON DEMAND” (Wählverbindung durch IP-Verkehr auslösen) als “IDLE CONNECTION TIMEOUT” kann man als Einstieg 2 Minuten wählen (Verbindungsabbau bei Inaktivität)
– am Einwahl-Server NW1 bei “BINDINGS”/”WAN CALL DESTINATIONS” beim zuvor gesetzten Wähleintrag den Parameter “TYPE: STATIC ON DEMAND” setzen und bei “REMOTE IP ADDRESS” die Adresse der B1-Karte von Ziel-Server NW2 wählen, bei “STATIC ROUTING TABLE” als Zielnetz das LAN-IP-Netz vom Server NW2 eintragen,
– die Header-Kompression der B1-Karte kann zur Leistungssteigerung auf beiden Servern aktiviert werden (Kompressionstyp STACKER oder PREDICTOR muss auf beiden Servern gleich sein)
– nach Beenden der Konfiguration in INETCFG zur Aktivierung “Reinitialize System” wählen
– zum Test der IP-Verbindung am Einwahl-Server das Dienstprogramm “CALLMGR” oder “PING” verwenden, Aufbau und Abbau der Verbindung werden auf den Server-Konsolen angezeigt.
SERVICE LOCATION PROTOCOL
SLP ENABLE UA MULTICAST -> OFF
SLP DA HEART BEAT TIME-> 65535 sec
TIME
TIME SYNC POLL. INTERVAL 30000 sec,
TIMESYNC SERVICE ADVERTISING-> OFF.
(Jürgen Herrmann/gh)
UNERLAUBTE SKRIPTAUSFÜHRUNG IN OUTLOOK
In Microsoft Outlook 2000 und 2002 ist es Angreifern möglich, per E-Mail eingeschleuste Skripte unter der Kennung des angemeldeten Benutzers auszuführen. Ursache sind die unterschiedlichen Sicherheitseinstellungen für das Lesen beziehungsweise Schreiben von E-Mails. Erkennt Outlook HTML-formatierte E-Mails, dann gelten automatisch die Rechte der Internet-Explorer-Security-Zone, die eine Ausführung von Skripten unterbindet. Wird eine HTML-E-Mail weitergeleitet und ist Microsoft Word als HTML-Editor festgelegt, dann öffnet Outlook die E-Mail, die Ausführung von Skripten innerhalb der Mail ist nicht mehr blockiert und schädlicher Code kann ausgeführt werden. Für betroffene Systeme mit Outlook 2000 und 2002 hat Microsoft einen Patch bereitgestellt: Word 2002: Client Installation: http://office.microsoft.com/downloads/2002/wrd1003.aspx, Administrative Installation: http://www.microsoft.com/office/ork/xp/journ/wrd1003a.htm. Für Word 2000: Client Installation: http://office.microsoft.com/downloads/2002/wrd0901.aspx sowie die Administrative Installation: http://www.microsoft.com/office/ork/xp/journ/wrd0901a.htm.
(R2R/gh)
SICHERHEITSTIPPS FÜR DIE SOFTWARE REMOTELYANYWHERE
Hacker haben vor einigen Wochen einen Einbruch in die Computersysteme von US-Army und Navy vorgenommen. Dazu benutzten sie als “Trojanisches Pferd” die Remote-Control-Software Remotelyanywhere (RA) von 3AMLabs. Die Administratoren von Navy und Army führten sofort Sicherheitsüberprüfungen aller Windows-Systeme durch und beseitigten mögliche Schwachstellen.
Port-Forwarding-Server RA enthält einen Port-Forwarding-Server, der es ermöglicht, TCP/IP-Verbindungen zwischen einer Firewall und Einzelrechnern oder Computern in einem internen Netzwerk herzustellen. Wird die Software auf dem Firewall-Rechner installiert, erhält der Administrator einfachen Fernzugriff auf die Rechner, ohne auf Sicherheitsanforderungen verzichten zu müssen.
Änderung von IP-Adresse und Port Die IP-Adresse, über die RA angesprochen wird, kann einfach geändert werden. Damit erhalten mögliche Hacker erst gar keinen Anhaltspunkt für einen widerrechtlichen Zugriff:
Passwort-Authentification Natürlich müssen bei der Nutzung von Software für die Fernwartung auch die Zugriffsrechte entsprechend erteilt und verwaltet werden. Hier kann der Administrator prinzipiell bestimmen, welche Einstellungen den Vorgaben des individuellen Unternehmens am besten entsprechen.
Packet Snooping/Sniffing Um “Snooping”, dem aktiven Ausspionieren von Daten auf sensitive Inhalte wie Kreditkartennummern oder Passwörter, zu entgehen, hilft der Einsatz von Verschlüsselungsmechanismen.
In Deutschland vertreibt das Unternehmen Sinn Remotelyanywhere und gibt konkrete Tipps, wie man die Lösung richtig und sicher konfiguriert, um Risiken zu vermeiden.
Der Port-Forwarding-Server agiert sozusagen als Verbindungsagent für den Fernzugriff. Im Gegensatz zu den Standardeinstellungen bei Windows-XP/2000/NT-Services kann der Port, der Zugang zu RA bietet, separat konfiguriert werden. So kann ein möglicher Eindringling den Zugang über RA nicht erkennen.
Angenommen, der Web-Server eines Unternehmens ist im Internet unter der URL www.myWebServer.com erreichbar; RA ist auf Port 2000 installiert. In diesem Fall kann der Web-Server über einen Web-Browser unter Angabe von “http://www.myWebServer.com:2000” ferngewartet oder verwaltet werden.
Diese Daten sind für einen Hacker leicht zu ermitteln. Um Missbrauch zu verhindern, kann nun eine weitere IP-Adresse auf dem Web-Server hinzugefügt werden, beispielsweise 177.246.27.91. RA wird dann so konfiguriert, dass die Software nur über diese IP-Adresse erreichbar ist. Darüber hinaus kann die Software so konfiguriert werden, dass sie nur Fernzugriff von oder über eine bestimmte IP-Adresse oder einen Bereich von IP-Adressen zulässt.
Um Zugang zu RA zu erhalten, müssen gültige Windows-Zugangsdaten wie Benutzername und Passwort eingegeben werden. Sind diese Daten gültig, erhält der Nutzer die Zugriffsrechte, die seinen Windows-Berechtigungsnachweisen zugeteilt sind. Um auch in diesem Fall etwaigen Missbrauch zu vermeiden, gibt es zwei Möglichkeiten:
Gesunden Menschenverstand benutzen und ein möglichst schwer zu erratendes Passwort auswählen – was natürlich nichts mit der Remote-Control-Software selbst zu tun hat. Die Lockout-Funktionalität von RA – hiermit kann der Administrator individuell einstellen nach wie vielen Fehlversuchen innerhalb eines bestimmten Zeitraums (meist Sekunden) die betreffende IP-Adresse für eine gewisse Zeitspanne für weitere Anfragen gesperrt wird. In Kombination mit den gängigen Lockout-Mechanismen von Windows bietet diese Funktionalität guten Schutz.
RA unterstützt dabei zwei Arten:
1) Bei der Nutzung des Microsoft Internet Explorer bietet RA die Möglichkeit, Nutzer mittels eines Challenge-Response Algorithmus zu authentifizieren; das Passwort wird dabei niemals übertragen; der Anwender muss dazu nur die Option “NTML Authentication” im Konfigurationsdialog aktivieren. (Netscape bietet diese Option leider nicht!)
2) Die Kommunikation zwischen RA und dem Browser wird über SSL verschlüsselt. Der Schlüssel sollte jedoch mindestens eine Länge von 128 Bit aufweisen.
Die hier angegebenen Hinweise allein bieten natürlich nicht die ultimative Sicherheitslösung.
Aber eine Kombination dieser Einstellungen zusammen mit einem verantwortungsbewussten Umgang mit der Software bieten Sicherheit für Fernwartung und Kontrolle verteilter Systeme. Weiterführende technische Dokumente finden sich unter www.s-inn.de/Remotelyanywhere.
(Sinn/mw)
BERICHTIGUNG ZU LANLINE 4/02: "ARCSERVE 2000 DISASTER RECOVERY"
Laut Computer Associates ist die Meldung “Arcserve 2000 Disaster Recovery” nicht richtig. Folgende Berichtigung wurde uns vom technischen Support-Center übermittelt.
Die Disaster-Recovery-Option von Arcserve 2000 ermöglicht es, sowohl den lokalen Arcserve-Host, an dem das Bandlaufwerk beziehungsweise Tape Library angeschlossen ist, als auch davon entfernte Windows NT 4 und Windows 2000 Server oder Workstations mit minimalem Benutzereingriff zeitoptimiert nach einem kompletten Systemausfall wieder herzustellen.
Hierbei stehen dem Benutzer die Startmöglichkeiten von Boot-Disketten, -CD oder -Band für die Disaster-Recovery-Prozedur zur Verfügung. Das Bandlaufwerk kann entweder am lokalen SCSI-Bus oder auch über SAN am Arcserve-2000-Host angeschlossen sein.
Voraussetzung für ein erfolgreiches Disaster Recovery ist eine vorherige komplette, fehlerfreie Sicherung des wiederherzustellenden Systems auf das Bandlaufwerk des Arcserve-2000-Hosts. Es ist dabei unbedingt zu beachten, beim Konfigurieren des Backup-Jobs den zu sichernden Knoten in der Quellauswahl des Arcserve-2000-Backup-Managers vollständig zu selektieren. Dies wird durch ein komplett ausgefülltes grünes Quadrat vor dem Knotensymbol verdeutlicht, wogegen bei einer Teilauswahl das grüne Quadrat nur zur Hälfte gefüllt dargestellt wird. Außerdem muss der Sicherungs-Job erfolgreich abgeschlossen werden. Es dürfen keine Fehler im entsprechenden Sicherungsprotokoll aufgeführt sein.
Während der Dauer der Datensicherung sollte niemand am Arcserve-Host angemeldet sein. Andernfalls können Zugriffsfehler auftreten, die dann zu einer unvollständigen Sicherung führen. Gegebenenfalls ist der Open-File-Agent zu verwenden. Nach der erfolgreich abgeschlossenen Datensicherung können dann die Boot-Disketten oder Boot-CD erstellt werden. Ein Boot-bares Band muss aber vor der Datensicherung initialisiert werden, weil die Boot-Informationen am Anfang des Bands geschrieben werden und die Sicherungsdaten dann daran angehängt werden.
Seit dem Service-Pack 3 von Arcserve 2000 ist es auch möglich nicht englisch-sprachige Systeme mit der Disaster Recovery-Option wiederherzustellen. Im Archiv für SP3 sind alle vorhergehend veröffentlichten Patches enthalten, sodass es nicht nötig ist, diese zuvor aufzuspielen.
Wie offensichtlich wird, ist es notwendig, für ein optimales Disaster Recovery zuvor ein umgebungsspezifisches Konzept ausgearbeitet zu haben und dies anhand einer Pilotumgebung zu verifizieren.
(Andreas Müller, Technical Consultant bei Computer Associates/mw)
ELSA LANCOM-ROUTER FÜR INVERSES MASQUERADING KONFIGURIEREN
Lässt sich ein Elsa Lancom-Router auch bei dynamisch zugewiesener öffentlicher IP-Adresse aus dem Internet “anrufen”, um beispielsweise via inversem Masquerading freigegebene Dienste auf LAN-Seite zu nutzen?
Dies ist prinzipiell möglich, setzt aber voraus, dass auf Lancom-Seite ein Benutzer die aktuelle öffentliche IP-Adresse ermittelt und diese dem “Anrufer” (zum Beispiel via Telefon oder E-Mail) mitteilt. Ferner muss die bestehende Internet-Verbindung (mit der zugehörigen öffentlichen IP-Adresse) für den benötigten Zugriffszeitraum aufrecht erhalten bleiben (bei der Nutzung einer Flat-Rate ist dies finanziell unbedenklich, Haltezeit 0). Die aktuelle öffentliche Internet-Adresse lässt sich mit dem Windows-Tool Elsa Lanmonitor (kann auch ohne Gerätepasswort installiert und aktiviert werden) leicht ermitteln, indem dort die Anzeige zur bestehenden Internet-Verbindung komplett geöffnet wird. Die gesuchte IP-Adresse findet sich unter dem Subeintrag “Eigene IP-Adresse”.
Eine etwas umständlichere Ermittlungsmethode, die allgemein und damit auch ohne Lanmonitor funktioniert, ist ein Browser-Zugriff auf eine geeignete Web-Seite im Internet, die die öffentliche IP-Adresse des Aufrufers ermittelt und anzeigt. Hilfreich sind hier CGI- oder SSI-Testseiten mit Anzeige der Environment-Variable “REMOTE_ADDR”. Diese Variable enthält genau die gesuchte öffentliche IP-Adresse. Geeignete Web-Seiten lassen sich über Suchmaschinen finden, ein Beispiel: http://www.inf.tu-dresden.de/~hf2/anon/environment.shtml Bei entsprechender Konfiguration im Lancom-Router für inverses Masquerading lassen sich mit der gefundenen öffentlichen IP-Adresse dann auch lokale Dienste hinter der NAT-Firewall wie beispielsweise ein Web- oder FTP-Server nutzen. Dringend abzuraten ist jedoch von einem ungeschützten administrativen Zugriff auf den Router via Internet.
Der Elsa-Lanmonitor zeigt auch die aktuelle öffentliche IP-Adresse an
(Kurt Pfeiler)
ADMINISTRATIVER ZUGRIFF AUF DEN LANCOM-ROUTER
Das Administrationspasswort eines Lancom-Routers ist nicht (mehr) bekannt. Wie lässt sich das System wieder administrativ ansprechen?
Hier einige Vorschläge zur Lösung des Problems.
1) Hardware-Reset auf die Factory Defaults. Es ist dann kein Passwort vergeben, allerdings muss das System komplett neu konfiguriert werden. Zum Hardware-Reset bieten die Lancom-Geräte in der Regel eine Reset-Taste, die bei einigen Modellen an der Vorder- oder Rückseite über ein kleine Öffnung zugänglich ist und beispielsweise mit einer aufgebogenen Büroklammer bedient werden kann. Bei den meisten Lancom-Modellen ist die Reset-Taste jedoch hinter der abziehbaren Frontblende im linken Bereich verborgen. Das genaue Prozedere des Hardware-Resets ist abhängig von Modell und Firmware, läuft aber im Prinzip wie folgt: Gerät ausschalten, WAN-/S0-Kabel möglichst entfernen und neu starten. Nach dem Boot-Vorgang die Reset-Taste für zirka acht Sekunden drücken (in der Regel signalisiert dabei ein Aufleuchten der WAN-LEDs den eingeleiteten Reset). Anschließend das Gerät ausschalten und neu booten. Hinweis: Bei einzelnen Modellen und älterer Firmware wurde empfohlen, die Reset-Taste bis zu 25 Sekunden lang gedrückt zu halten.
2) Besteht Zugriff auf den Administrationsrechner, von dem aus das Gerät mit dem Windows-Programm Lanconfig konfiguriert wurde, so existiert eine kleine Chance, dass die Konfiguration von dort aus ohne (!) Passworteingabe erfolgen kann. (Hintergrund ist, dass sich die Gerätepasswörter zur einfacheren Administration auf Wunsch fest in Lanconfig abspeichern lassen.) Gelingt der Konfigurationszugriff, dann lässt sich auch das Passwort ändern oder das bisherige im Klartext ausdrucken. Hinweis: Mit Kenntnis des bisherigen Passworts lassen sich auch alle damit als Datei abgelegten Konfigurationsversionen wieder öffnen.
3) Existiert die Möglichkeit, einen SNMP-Zugriff auf das Lancom-Gerät via Protokollanalysator mitzuschneiden, so besteht die Chance, daraus das Passwort zu ermitteln, da dieses – neben “public” – als SNMP-Community Verwendung findet und dann im Klartext über die Leitung geht. Einen Ansatzpunkt zur Nutzung dieser Sicherheitslücke bietet beispielsweise ein Administrationsrechner, von dem aus das gewünschte Gerät mit dem Kontrollprogramm Elsa Lanmonitor überwacht wird. Auch bei diesem SNMP-Tool lässt sich das Gerätepasswort zur einfacheren Administration fest abspeichern und wird dann mit jedem Aufruf automatisch als Community-Name verwendet. Ob dies der Fall ist, lässt sich daran erkennen, dass der fragliche Router im Lanmonitor nach dem Programmaufruf angezeigt wird und in den “Eigenschaften” (rechte Maustaste) das Feld “Passwort” mit Sternchen hinterlegt ist.
(Kurt Pfeiler)
SYNCHRONISATION EINER WINDOWS-2000-DOMÄNE MIT EINEM EXTERNEN ZEIT-SERVER
Windows2000-Clients holen sich beim Systemstart oder bei der Benutzeranmeldung automatisch die Systemzeit vom Primären Domänencontroller beziehungsweise Betriebsmaster. Wenn man einen externen Zeit-Server beispielsweise im Internet als Zeit-Server für das interne Netz verwenden will, sind einige Änderungen erforderlich.
Zunächst ist der Server, der als SNTP-Server dienen soll, über den Registry-Eintrag HKLM\SYSTEM\CCS\Services\W32Time\Parameters entsprechend einzurichten. Hier ist “LocalNTP” zu öffnen und der Eintrag (REG_DWORD) auf 1 zu ändern. Danach muss der Zeitgeber neu gestartet werden.
Jetzt kann eine andere Maschine mit “NET TIME/ setsntp:Servername” auf diesen Zeit-Server eingestellt werden. Der aktuell eingestellte Wert lässt sich mit “NET TIME /querysntp” abfragen. Die erfolgreiche Synchronisation zwischen den beiden Maschinen kann der Administrator kontrollieren, indem er zuerst den Zeitgeber des Clients mit “net stop w32time” beendet. Anschließend kann mit “w32tm -once” eine einmalige Synchronisation bewirkt werden. Ist diese erfolgreich, muss der Zeitgeberdienst mit “net start w32time” wieder gestartet werden. Die Synchronisation läuft dann erstmalig nach 45 Minuten ab.
So lange die festgestellte Zeitdifferenz kleiner als zwei Sekunden ist, erhöht sich das Synchronisationsintervall jeweils aus das Doppelte (1,5 Stunden, drei Stunden, sechs Stunden und so weiter).
(Udo Büchner/mw)
"ONE BUTTON DISASTER RECOVERY" (OBDR) MIT ARCSERVE 2000
Die Möglichkeit, einen Rechner mit “One Button Disaster Recovery” (OBDR) zu restaurieren, kann in der Hektik eines Notfalls sehr nützlich sein. Dieses Verfahren wurde von Hewlett-Packard entwickelt und ist bei HP-DAT-Streamern zum Beispiel in Kombination mit der Disaster-Recovery-Option (DR) von Arcserve verfügbar. Bei ausgeschaltetem Rechner drückt der Administrator die Auswurftaste des DAT-Laufwerks und schaltet den Rechner dann ein. Ein abwechselndes Blinken der beiden Lämpchen (Gelb, Grün) des Laufwerks signalisiert, dass der OBDR-Modus aktiviert wurde. Beim Hochfahren nimmt der Rechner nun das DAT-Laufwerk als ein boot-fähiges CD-ROM-Laufwerk wahr, und der Rechner kann ohne Boot-Disketten oder dergleichen nur mithilfe dieses einen Bandes komplett restauriert werden.
Dazu ist folgendes nötig:
1) Das DAT-Laufwerk (beziehungsweise seine SCSI-ID) muss im SCSI-BIOS als boot-fähig deklariert sein.
2) Das DR-Programm muss einmal mit dem “OBDR-Menüpunkt” ausgeführt werden (dadurch wird ein neues Verzeichnis ..\Arcserve\DR\
3) Das DAT-Band muss eine komplette Sicherung des betreffenden Rechners enthalten (dies funktioniert auch, wenn man einen Sicherungsagenten verwendet). Leider wird an keiner Stelle des Arcserve-Sicherungsprotokolls vermerkt, dass man tatsächlich ein “OBDR-fähiges” Band erzeugt hat. Der Administrator kann dies nur ahnen, wenn im ..\Arcserve\DR-Verzeichnis die Setup-Dateien des gesicherten Rechners aktualisiert wurden und dies im Protokoll als eine separate Sicherungssitzung eingetragen ist. Um sich Gewissheit zu verschaffen, sollte er also die OBDR-Restauration einmal ausprobieren. Nötigenfalls kann sie der Administrator abbrechen, wenn nach dem Booten der OBDR-Hinweis auf die bevorstehende Restauration angezeigt wird.
(Dr. Henning Astheimer/mw)
DIENSTE AUS DER FERNE
Ich suche ein Fernverwaltungs-Tool für Windows NT, mit dem ich die NT-Dienste starten und stoppen kann, und wenn es geht, per E-Mail eine Nachricht zu erhalten, wenn ein Dienst gestoppt wurde.
Ein entsprechendes Tool ist Servers Alive. Dabei handelt es sich um ein Programm, das die Winsock-Aktivitäten (FTP, HTTP, POP3, SMTP, IMAP4, DNS,...) überwacht und den Administrator beispielsweise per E-Mail oder SMS benachrichtigt, wenn ein Service ausfällt. Servers Alive kann bis zu 300 Server überwachen. Die Shareware-Version ist allerdings im Funktionsumfang eingeschränkt.
Wenn Windows-NT-Dienste nicht mehr funktionieren, bietet Servers Alive unter anderem noch folgende Möglichkeiten:
– Benachrichtigung mittels Pager (numerisch/alphanumerisch),
– E-Mail-Benachrichtigung,
– Ausführen eines Programms, Abspielen eines Sounds,
– Erstellen einer WAP-Seite,
– Statusdatei,
– Neustart eines NT-Dienstes,
– Neustart des Servers,
– Syslog-Datei,
– GSM-Benachrichtigung.
Sie finden Servers Alive zum Download auf der Web-Seite http://www.woodstone.nu/salive/
In dieser Maske wählt der Administrator aus, welche Art von Überprüfung durchgeführt werden soll
(Andreas Runde/mw)
NORTON-GHOST-BOOT-DISKETTE
Wenn der Administrator mit Norton Ghost ein Image auf einen Rechner zurückspielen möchte und dafür eine eine Norton-Ghost-Boot-Diskette verwendet, muss er darauf achten, dass mit dieser Boot-Diskette in der Vergangenheit keine Fehler aufgetreten sind.
Norton Ghost speichert diese Fehlermeldung auf der Boot-Diskette und bei einem erneuten Versuch ein Image zurückzuspielen, liest das Programm die Fehlermeldung aus der Log-Datei und bricht den Recovery-Versuch sofort ab.
Bevor der Administrator also ein Image zurückspielt, sollte er in der Log-Datei nach Fehlermeldungen suchen und diese löschen.
(Manfred Jürgens/mw)
E-MAILS AUF IMAP-SERVER LÖSCHEN
Wie kann ich unter Outlook 2000 E-Mails auf dem IMAP-Server löschen?
Um E-Mails auf dem IMAP-Server unter 2000 löschen zu können, ist folgende Vorgehensweise notwendig:
Wenn Sie die E-Mails im Posteingang gelöscht haben und diese durchgestrichen sind, dann erscheint im Menü “Bearbeiten” der Punkt: “Gelöschte Nachrichten permanent löschen”. Wenn Sie hier die E-Mails permanent löschen, werden diese auch auf dem IMAP-Server entfernt.
(Markus Rath/mw)
FERNSTEUERN VON WINDWOS-RECHNERN MIT BORDMITTELN
Es ist sehr lästig, extra eine Remote-Control-Software zu installieren, nur um einmal kurz einen Windows-Computer fernzusteuern. Bei Windows XP wird der Anwender verhältnismäßig schnell auf den mitgelieferten Remote-Desktop hingewiesen, der die dafür erforderlichen Funktionen zur Verfügung stellt. Gibt es bei den älteren Windows-Versionen eine vergleichbare Zugriffsmöglichkeit?
Wenn es nur um die Funktion geht, den Rechner fernzusteuern, so lässt sich das mit Hilfe von Netmeeting auch auf älteren Windows-Versionen realisieren. Dazu ist es lediglich erforderlich, auf dem zu steuernden Rechner die Remote-Desktop-Freigabe von Netmeeting zu aktivieren. Diese findet sich innerhalb von Netmeeting unter “Extras/Remote-Desktop-Freigabe”. An gleicher Stelle lässt sich auch ein Assistent aufrufen, der bei der Konfiguration der Freigabe hilft. Er gibt beispielsweise die Information aus, dass zur Nutzung der Remote-Freigabe Administratorrechte erforderlich sind und ermöglicht darüber hinaus auch die Aktivierung eines kennwortgeschützten Bildschirmschoners, um den Zugriff auf den Rechner abzusichern, wenn längere Zeit keine Steuersignale übertragen werden. Nach dem Abschluss des Assistenten und dem Beenden von Netmeeting steht dann in der Taskleiste das Symbol der “Netmeeting-Remote-Desktop-Freigabe” zur Verfügung, über das die Freigabe aktiviert und deaktiviert werden kann. Um sich nun von einem Client aus mit dem Rechner zu verbinden, ist es lediglich nötig, auf diesem Client Netmeeting auszuführen, unter “Extras/Optionen/Sicherheit” das Kontrollkästchen “Ausgehende Anrufe sichern” zu aktivieren und anstelle einer Rufnummer die IP-Adresse oder den Host-Namen des zu steuernden Rechners anzugeben. Daraufhin fragt Netmeeting nach Benutzername und Passwort des entsprechenden Accounts mit Administratorrechten auf dem Remote-Computer und öffnet dann ein Fenster mit dem Desktop des zu steuernden PCs.
(Götz Güttich/mw)
TIPPS UND TRICKS RUND UM DIE LANCOM-ROUTER-FAMILIE VON ELSA
In der Browser-Administration des Lancom-Routers ist die Online-Hilfe nicht (mehr/immer) verfügbar. Wie lässt sich die Online-Hilfe permanent lokal einrichten?
Die Online-Hilfe wird standardmäßig über das Internet direkt vom Elsa-Web-Server bezogen. Ist diese Verbindung gestört, dann funktioniert auch die Online-Hilfe nicht. Allerdings besteht die Möglichkeit, die HTML-Hilfedateien auch auf einem lokalen Rechnerpfad (oder einem eigenen Web-Server) abzulegen. Der Datensatz mit den entsprechenden HTML-Dateien sollte auf der Installations-CD oder – in der jeweils aktuellsten Version – über Download (notfalls von einer Mirror-Site wie ftp.servodata.lublin.pl) als htmldoc.zip verfügbar sein. Die Implementation einer lokalen Online-Hilfe erfolgt in drei Schritten:
1) Öffnen Sie in der Web-Administration die “Experten-Konfiguration” und überprüfen Sie dort den URL des Links auf “Hilfe (Referenzhandbuch)”. Der URL lautet beispielsweise:
http://www.elsa.de/help/400/1/1000/de/index.html
Notieren Sie den angegebenen Unterpfad im “help”-Verzeichnis, im Beispiel:
/400/1/1000/de
2) Legen Sie auf einer lokalen Festplatte unter einem geeigneten Hauptverzeichnis einen entsprechenden Unterverzeichnispfad an, zum Beispiel:
S:\elsa\htmldoc\400\1\1000\de\
Extrahieren Sie dort die angesprochene Zip-Datei einschließlich aller Unterverzeichnisse.
3) Ändern Sie nun in der “Experten-Konfiguration” unter “Setup”, “HTTP-Modul”, “Dokumentenwurzel” den Standard-URL
http://www.elsa.de/help
wie folgt auf den lokalen Hauptpfad:
file:///S:/elsa/htmldoc
Speichern Sie die Änderung mit “Setzen”. Anschließend sollte die lokale Online-Hilfe aktiv sein.
(Kurt Pfeiler)
NETMEETING UND VoIP MIT LANCOM-ROUTER
Lässt sich über einen Lancom-Router und das Internet auch MS Netmeeting beziehungsweise Voice over IP (H.323) nutzen?
Ab der Firmware-Version 2.5x stehen diese Möglichkeiten hinter der NAT des Lancom-Routers nicht nur ausgehend sondern für eine vordefinierte Station im LAN auch eingehend zur Verfügung. Die technische Problematik, die dabei durch spezielle Algorithmen überwunden wird, sind die während einer H.323-Sessions dynamisch vereinbarten Port-Adressen, die ein Firewalling normalerweise verhindern. Für den eingehenden H.323-Zugriff muss dies dem Lancom-Router über entsprechende Einstellungen im inversen Masquerading (Lanconfig, IP-Router, Masquerading, Service-Tabelle) signalisiert werden. Hierfür sind lediglich die beiden signifikanten TCP-Ports 1503 (T.120 Data Collaboration) sowie 1720 (H.323 Call Setup) der gewünschten Ziel-IP-Adresse im LAN zuzuordnen.
Auf diese Weise lassen sich beispielsweise eine Netmeeting-Arbeitsstation oder ein H.323-IP-Phone über das Internet anrufen, sofern die aktuelle externe IP-Adresse des Routers dem Anrufer bekannt ist. Die Praxis zeigt, dass ein- und ausgehendes Rufen über die direkte Anwahl der IP-Adressen der jeweiligen Gegenstelle einwandfrei funktionieren. (Hinweis: die üblicherweise praktizierten Verbindungsaufnahmen via Internet-Location-Server oder MS Messenger scheitern an einer falschen Ermittlung der korrekten IP-Adresse.) Der Einsatz von Netmeeting ist dabei nicht nur für reine IP-Telefonie interessant, sondern auch in Anbetracht seiner weiter gehenden Funktionen wie Desktop-Freigabe oder Remote-Control (“Remotedesktop-Freigabe”).
(Kurt Pfeiler)
LANCOM-PASSWÖRTER IM KLARTEXT
Lassen sich die in einer Lancom-Konfiguration verwendeten Geräte- und Verbindungs-Passwörter im Klartext anzeigen beziehungsweise für Dokumentationszwecke offen legen?
Die einfachste Methode ist die Nutzung des Windows-Programms Lanconfig. Bei entsprechender Berechtigung (Gerätepasswort) lässt sich die aktuelle Konfiguration nach dem Markieren des Gerätenamens im Lanconfig-Anzeigefenster über die rechte Maustaste und “Drucken” (oder das Menü “Gerät” und “Drucken”) auch mit Klartext-Passwörtern ausdrucken. Im darauf folgenden Druck-Fenster ist dann die Standardoption “Passwörter nicht im Klartext drucken” zu deaktivieren. (Entsprechendes gilt auch für den Ausdruck abgespeicherter Konfigurationsdateien.)
Eine zweite Methode ist die Nutzung von TFTP zum Auslesen der kompletten Konfiguration im ASCII-Klartextformat. Hierzu wird TFTP beispielsweise im Windows-Commandline-(DOS-)Fenster wie folgt aufgerufen:
tftp < IP-Adresse> get < Passwort>readconfig < Dateiname>
zum Beispiel:
tftp 192.168.1.254 get passreadconfig config.txt
Zu beachten ist dabei, dass zwischen Passwort und “readconfig” kein Leerzeichen gesetzt werden darf.
(Kurt Pfeiler)
LOKALE SICHERHEITSRICHTLINIEN UNTER WINDOWS XP
Wer unter Windows XP die Wiederherstellungskonsole zur Sicherung oder zum Backup von Systemdateien verwenden will, muss, damit die Dateien unter “Dateien und Einstellungen” erreichbar sind, bekanntermaßen die lokalen Sicherheitsrichtlinien modifizieren. Anderenfalls lässt sich der Pfad nicht mit
“SET AllowAll Paths = true”
freischalten.
Unter der XP Home Edition tritt das Problem auf, dass die lokalen Sicherheitsrichtlinien nicht ohne weiteres modifiziert werden können. In Windows XP Home fehlt so ziemlich alles, was die lokale Berechtigungsvergabe anbetrifft. Somit bleibt “SET AllowAll Paths = true” in der Wiederherstellungskonsole verwehrt, und damit der Zugriff beispielsweise auf die NTUSER.DAT. Abhilfe schafft hier ein Eingriff in die Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole
Setzt man hier “SetCommand=1”, ist das Problem gelöst.
(Udo Büchner/mw)
CISCO-ROUTER MIT UNKONTROLLIERBAREN EINWAHLVERSUCHEN
Wir arbeiten mit einem Cisco-Router in einem mit Windows-Clients bestückten Netzwerk für den Zugang unseres LAN in das Internet. Allerdings machte der Router unkontrollierbare Einwahlversuche beim ISP, obwohl augenscheinlich niemand den Internet-Zugang verwendete. Doch schließlich konnten wir dieses Problem mit folgendem Trick in den Griff bekommen:
Um den ständigen Leitungsaufbau zum Provider zu verhindern, wurden über die UDP-Ports 137 bis 139 verschickte NetBIOS-Broadcasts mit einem Filter geblockt. Dazu stellten wir zunächst über die serielle Schnittstelle eine Konsolenverbindung zum Router her und starteten ein Terminalprogramm. Der eigentliche Paketfilter auf dem Ethernet-Port wurde durch folgende Befehle gesetzt:
Wechsel in das LAN-Profil mit CD LAN
SET IP FILTER UDP in
SOURCE=r.o.u.t/24:137-139 BLOCK
Nach Setzen dieses Kommandos baut unser Router nur noch dann eine Verbindung auf, wenn er tatsächlich von Benutzern angefordert wird. Bei Anmeldung an einer Windows-NT-Domäne über diese Verbindung muss der BLOCK-Parameter durch IGNORE ersetzt werden, sonst würde ein Anmeldeversuch ignoriert werden.
(Stefan Böttcher/mw)
STARTDISKETTE FÜR NETWARE-ZUGRIFF
Nachfolgend wird das Erstellen einer DOS-Startdiskette zum Zugriff auf einen Netware-5.x/-6-Server mit dem IP-Protokoll am Beispiel einer SMC-Netzkarte beschrieben. Eine einzelne DOS-boot-fähige Startdiskette ermöglicht den reinen IP-Zugriff von einer Workstation aus. Die Startdiskette kann auch von der Netware-5.x-CD aus dem Verzeichnis \PRODUCTS\ SRVRINST erstellt werden. Eine Beispielkonfiguration sieht demnach folgendermaßen aus:
config.sys:
DEVICE=A:\himem.sys /testmem:off
FILES=40
BUFFERS=40
LASTDRIVE=Z
STACKS=9,256
autoexec.bat:
path=A:\;%PATH%
SET NWLANGUAGE=ENGLISH
PROMPT $P$G
NIOS.EXE
LOAD NBIC32.NLM
LOAD LSLC32.NLM
LOAD CMSM.NLM
LOAD ETHERTSM.NLM
rem in der nächsten Zeile wird der Netzkartentreiber geladen
LOAD SMC8000.LAN FRAME=ETHERNET_II
LOAD TCPIP.NLM
LOAD TRANNTA.NLM
LOAD SRVLOC.NLM
LOAD CLIENT32.NLM
f:
net.cfg:
NetWare DOS Requester
FIRST NETWORK DRIVE F
NETWARE PROTOCOL NDS BIND
# in der nächsten Zeile die korrekte IP-Adresse des Netware-
# Servers eintragen
PREFERRED SERVER = 192.168.1.1
MAX CACHE SIZE = 5000
Protocol TCPIP
IF_CONFIGURATION STATIC LAN_NET
IP_ADDRESS 192.168.1.10
IP_ROUTER 192.168.1.254
IP_NETMASK 255.255.255.0
PATH TCP_CFG A:\
Link Driver SMC8000
FRAME Ethernet_II
(Jürgen Herrmann/mw)
Bei Sophos gemeldete Top-Ten-Viren - Januar 2002
An erster Stelle der an Sophos gemeldeten Viren stand im Januar 2002 mit 61,1 Prozent der W32/Badtrans-B-Wurm. W32/Badtrans-B ist ein E-Mail-fähiger Wurm, der sich über MAPI verbreitet. Der Wurm leitet sich in einer E-Mail ohne Text an Adressen weiter, die er auf dem Computer findet. Der Wurm sucht Adressen, an die er sich senden kann, indem er das Adressbuch durchsucht. Zusätzlich durchsucht er die Ordner des Internet-Cache und “Eigene Dateien” nach Web-Seiten, um auch dort weitere E-Mail-Adressen zu entdecken, an die er sich senden kann. Wenn der Wurm auf eine E-Mail antwortet, die er auf dem infizierten Rechner gefunden hat, verwendet er die Adresse des Anwenders im Feld “From:”. Sonst verwendet eine Adresse aus der folgenden Liste im Feld “From:” Die E-Mail verwendet eine bekannte Schwachstelle in bestimmten Versionen von Outlook Express 5, um die angehängte Datei automatisch auszuführen. Microsoft hat einen Patch zur Verfügung gestellt, der Berichten zufolge diese Schwachstelle ausgleicht. Dieser Patch steht auf der folgenden Web-Seite zur Verfügung: http://www.microsoft.com/technet/security/bulletin/MS01-027.asp. (Dieser Patch umfasst zahlreiche Schwachstellen in Software von Microsoft einschließlich derjenigen, die von diesem Wurm ausgenutzt wird.) Der Wurm erzeugt ein Subject, in dem er E-Mails auf dem infizierten Rechner liest und diese E-Mails “beantwortet”. Zum Beispiel: Re: "subject found by reading mail on infected machine" Bei E-Mail-Adressen, die über Web-Seiten im Internet-Cache oder im Ordner “Eigene Dateien” gefunden wurden, lautet das Subject lediglich “Re:” ohne weiteren Text. Der Wurm versucht, einen Namen für die angehängte Datei zu erzeugen, indem er den Namen zufällig aus drei verschiedenen Teilen erstellt. Der erste Teil wird aus folgender Liste ausgewählt: Aufgrund eines Fehlers innerhalb des Wurms wird die Option “.ZIP.” nie gewählt. Der letzte Teil wird von den Nachfolgenden gewählt: Aus diesem Grund kann die angehängte Datei ein große Anzahl verschiedener Namen haben, unter anderem: Wird die angehängte Datei gestartet, kopiert sie sich mit dem Dateinamen KERNEL32.EXE in das Windows-Systemverzeichnis und ändert den Registry Key HKLM\SOFTWARE\ Microsoft\Windows\CurrentVersion\RunOnce, sodass der Wurm beim nächsten Start von Windows ausgeführt wird. Beachten Sie, dass der Registry Key zu dem originalen Attachment verweist, wenn der Wurm keine Kopie im Windows- beziehungsweise Windows-Systemverzeichnis erstellt hat. Der Wurm legt weiterhin eine Datei namens kdll.dll ab, hinter der sich der kennwortstehlende Trojaner Troj/PWS-AV verbirgt. W32/Badtrans-B verwendet den Trojaner Troj/PWS-AV, um die Tastenfolgen des Anwenders in einer Datei namens cp_25389.nls im Windows-Systemverzeichnis zu protokollieren. Das Protokoll der Tastenfolgen kann verschlüsselt sein. W32/Badtrans-B versucht, das Protokoll an eine der folgenden E-Mail-Adressen zu senden:
Ausführliche Hinweise zum Entfernen des Wurms finden sich unter: http://www.sophos.de/support/news/w32badtransb.html
“Anna” "aizzo@home.com"
“JUDY” "JUJUB271@AOL.COM"
“Rita Tulliani” "powerpuff@videotron.ca"
“Tina” "tina0828@yahoo.com"
“Kelly Andersen” "Gravity49@aol.com"
“Andy” "andy@hweb-media.com"
“Linda” "lgonzal@hotmail.com"
“Mon S” "spiderroll@hotmail.com"
“Joanna” "joanna@mail.utexas.edu"
“JESSICA BENAVIDES” "jessica@aol.com"
“Administrator” "administrator@border.net"
“Admin” "admin@gte.net>
“Support” "support@cyberramp.net"
“Monika Prado” "monika@telia.com"
“Mary L. Adams” "mary@c-com.net"
CARD
DOCS
FUN
HAMSTER
NEWS_DOC
HUMOR
IMAGES
info
ME_NUDE
New_Napster_Site
PICS
README
S3MSONG
SEARCHURL
SETUP
Sorry_about_yesterday
stuff
YOU_ARE_FAT!
Der zweite Teil wird aus der folgenden Liste ausgewählt:
.DOC.
.MP3.
.ZIP.
pif
scr
card.DOC.pif
docs.DOC.pif
fun.MP3.pif
HAMSTER.DOC.PIF
Humor.MP3.scr
IMAGES.DOC.pif
Me_nude.MP3.scr
New_Napster_Site.MP3.pif
Pics.DOC.scr
README.MP3.scr
S3MSONG.DOC.scr
SEARCHURL.MP3.pif
SETUP.DOC.scr
Sorry_about_yesterday.MP3.pif
Sorry_about_yesterday.MP3.scr
stuff.MP3.pif
YOU_ARE_FAT!.DOC.pif
YOU_are_FAT!.MP3.scr
ZVDOHYIK@yahoo.com
udtzqccc@yahoo.com
DTCELACB@yahoo.com
I1MCH2TH@yahoo.com
WPADJQ12@yahoo.com
fjshd@rambler.ru
smr@eurosport.com
bgnd2@canada.com
muwripa@fairesuivre.com
rmxqpey@latemodels.com
eccles@ballsy.net
suck_my_prick@ijustgotfired.com
suck_my_prick4@ukr.net
thisisno_fucking_good@usa.com
S_Mentis@mail-x-change.com
YJPFJTGZ@excite.com
JGQZCD@excite.com
XHZJ3@excite.com
OZUNYLRL@excite.com
tsnlqd@excite.com
cxkawog@krovatka.net
ssdn@myrealbox.com
Bei Sophos gemeldete Top-Ten-Viren im Januar 2002 - Quelle: www.sophos.com
(Sophos/mw)
Tipps zu DDS-, DLT- und Ultrium-Laufwerken
DDS-, DLT- oder Ultrium-Laufwerke dürfen nicht an RAID-Systeme oder RAID-Controller mit SCSI-SE-Ausgang angeschlossen werden. Bandlaufwerke sind nicht RAID-geeignet und erzeugen SCSI-Fehlermeldungen. DAT-24x6- oder 40x6-Laufwerke müssen zweimal im SCSI-Scan angezeigt werden (Loader und Laufwerk) sowie unter Windows. Werden Sie nur einmal dargestellt, denkt die Software, dass es sich um ein Einzellaufwerk handelt. Werden diese Geräte nur einmal angezeigt, kann es sein, dass die LUN (Logical Unit Number – verschiedene Geräte unter eine SCSI ID verwalten) im Bios der SCSI-Karte nicht aktiv ist (ab 2940UW ist er standardmäßig auf “Off” eingestellt). Es kann auch vorkommen, dass diese Karte über keinen LUN-Support verfügt; dann ist der SCSI-Adapter zu wechseln.
(Andreas Runde/mw)
Netware-5-Lizenzprobleme
In einem Single-Server-Tree mit einem Netware 5.0 Server sind fünf Lizenzen installiert. Nach dem Einspielen des Service-Packs NW50SP6a auf dem Server (zuvor wurde kein anderes Service-Pack installiert) können sich nur noch zwei Workstations anmelden. Eine dritte Arbeitsplatzstation findet zwar den Server, lässt jedoch keine Anmeldung zu; es kommt eine Fehlermeldung wie “Benutzername nicht vorhanden”. Sobald eine der beiden schon angemeldeten Workstations heruntergefahren wird, kann sich die dritte Workstation wieder anmelden. Das NW50SP6a wurde mit einer vollständigen Anmeldung (Admin.Kontext) eingespielt. Es erscheinen keine Fehlermeldungen vom Policy Manager, weder auf dem Client noch auf der Systemkonsole des Servers. Die Workstations laufen unter Windows NT4.0 mit Service-Pack 6a.
Entweder sind nur das Lizenzschema oder die Lizenzen an sich nicht in Ordnung, oder das Einspielen des Service-Packs hat auch die Server-Registry beschädigt. Grundsätzlich gibt es mehrere Vorgehensweisen zur Lösung, je nachdem, welche Module defekt sind. Sie sollten versuchen, das Problem über die nachfolgend beschriebenen Prozeduren zu beheben.
Erste Möglichkeit:
Da vor dem Service-Pack 6a kein älteres Service-Pack eingespielt wurde, kann es durchaus sein, dass das Lizenzschema nicht sauber aktualisiert wurde. Oftmals macht sich dies dadurch bemerkbar, dass im NWAdmin in den Details der Lizenzobjekte selbst (SN:xxxxxxxx) die “Data Version” immer noch auf einer alten Versionsnummer steht; bei dem derzeit aktuellen Licensing- Schema muss die Data Version auf 50 stehen, nicht mehr auf 40. Wenn es also “nur” am nicht sauber upgedateten Licensing-Schema liegt, so führen Sie folgende Schritte durch:
Bei Netware 5.x werden prinzipiell drei Objekte für das NLS-Schema angelegt:
a) das Licensing Provider Object: NLS_LSP_rvername>,
b) der Base-License-Container mit der darin befindlichen Base License: Novell+Netware 5 Server+500,
c) der Connection-License-Container mit den darin befindlichen Connection-Licenses: Novell+Netware 5 Conn SCL+500.
Die jeweiligen Lizenzen in den Lizenz-Containern selbst heißen SN:xxxxxxxx
Folgende Vorgehensweise empfiehlt sich:
1.) Im NWAdmin löschen Sie das Licensing-Provider-Object NLS_LSP_rvername>; außerdem auch die Lizenzen in den Lizenzcontainern. Schließlich, wenn diese leer sind, auch die Lizenzcontainer selbst.
2.) Im NWCONFIG.NLM können Sie versuchen, die Lizenzen nochmals zu entfernen, hier sollte dann natürlich die Meldung kommen, dass keine Lizenzen mehr vorhanden sind.
3.) (load) SETUPNLS. Anmeldung als [ROOT]-Admin samt Kontext. Dies erweitert wieder das Lizenzschema und erstellt das NLS_LSP_rvername>-Objekt im Server-Container.
4.) (load) DSREPAIR, ADVANCED OPTIONS, REPAIR LOCAL DS DATABASE, unbedingt zusätzlich mit REBUILD OPERATIONAL SCHEMA ausführen; mit F10 dann so oft reparieren, bis kein Fehler mehr auftritt.
5.) Jetzt sollten Sie nochmals SETUPNLS ausführen.
6.) Anschließend installieren Sie die Lizenzen wieder. Bei der Erstinstallation empfiehlt sich hier auf alle Fälle das NWCONFIG.NLM, zumindest für die Base-License, weil nur hier – je nachdem, ob es sich um eine MLA- oder NON-MLA-Lizenz handelt – die Lizenzdatei selbst oder das entsprechende NFK-File als NICIFK-File nach SYS:SYSTEM abgelegt wird (für die NICI-Services). Aber auch ansonsten ist NWCONFIG eigentlich die einfachste und beste Methode, Lizenzen einzuspielen. Sollte dies aber einmal nicht funktionieren, können Sie alternativ diese auch über das TOOLS-Menü des NWAdmn32 unter “Novell Licensing Services”, “Add Licenses...” installieren.
7.) Letztendlich führen Sie zur Sicherheit nochmals das SETUPNLS aus.
8.) Für NON-MLA-Lizenzen muss unbedingt noch verifiziert werden, dass diese (sowohl die Base- als auch die Connection-License) dem Server richtig zugewiesen sind (in den Details der SN-Objekte, Karteireiter “Assignments”).
Nun sollte das Licensing eigentlich wieder sauber arbeiten. Das Entfernen, Vorbereiten (SetupNLS, DSRepair, SetupNLS), und Wiedereinspielen ist normalerweise in zwei bis fünf Minuten erledigt und stellt deshalb die einfachste Lösung für die meisten Lizenzprobleme dar.
Zweite Möglichkeit:
Zusätzlich kann durch Einspielen des NW50SP6a (oder auch NW51SP2a bei Netware 5.1) die Server-Registry beschädigt worden sein. Die Auswirkungen einer solchermaßen korrupten Registry sind vielfältig (Rechte, Lizenzen, Fehlermeldungen etc...; vergleiche hierzu auch TID 10059470 beziehungsweise 10058608 unter http://search.novell.com/ NSearch/SearchServlet?query=%2FTID_Number%3D10059470+&collection=Support&theme=support). In diesem Fall können Sie die Server-Registry löschen. Die Registry besteht aus den folgenden drei Dateien im C:\NWSERVER-Verzeichnis:
SERVCFG.000,
SERVCFG.NBK,
SERVCFG.TMP.
Nach dem Löschen der drei Dateien und einem Neustart des Servers wird die Registry automatisch wieder angelegt, allerdings mit Standardwerten der SET-Parameter. Deshalb sollten Sie sich vor dem Löschen der drei Dateien mit
SAVE MODIFIED ENVIRONMENT MOD.TXT
direkt in der Root von SYS: eine MOD.TXT-Datei erstellen, die alle geänderten SET-Parameter auflistet, sodass Sie diese nach dem Neuerzeugen der Server-Registry leicht wieder wie gehabt konfigurieren können. Eventuell sind obige Schritte (Löschen der Lizenzen, Schemaerweiterung, Einspielen der Lizenzen) danach nochmals durchzuführen.
Folgende Vorgehensweise wird empfohlen:
1.) Mit SAVE MODIFIED ENVIRONMENT MOD.TXT legen Sie in der Root von SYS: ein ASCII-File namens MOD.TXT an, das alle geänderten SET-Parameter beinhaltet.
2.) Nach Herunterfahren des Servers löschen Sie im C:\NWSERVER-Verzeichnis die drei Dateien SERVCFG.000, SERVCFG.NBK und SERVCFG.TMP (immer alle drei Dateien löschen, es reicht nicht aus, nur eine oder zwei davon zu löschen).
3.) Nach dem Neustart des Servers werden diese drei Dateien wieder angelegt, allerdings mit Standardeinstellungen. Anhand der gespeicherten MOD.TXT-Datei können Sie die SET-Parameter wieder auf die gewünschten Werte setzen.
4.) Abschließend führen Sie die oben im Abschnitt “Erste Möglichkeit” beschriebenen Schritte durch.
(Computer 2000 Deutschland GmbH/mw)
Neuer Linux-Trojaner RST.b
Qualys hat die Entdeckung und Analyse eines neuen und potenziell gefährlichen Remote-Shell-Trojaners bekannt gegeben. Der als RST.b bezeichnete Trojaner verfügt über Backdoor-Funktionalitäten und ist in der Lage, sich selbstständig zu vervielfältigen. Rechner werden durch binäre Attachments von E-Mail-Nachrichten oder durch heruntergeladene Dateien infiziert. Anschließend installiert RST.b eine “Backdoor”, woraufhin das System auf Datenverkehr auf beliebigen UDP-Ports wartet. Zur Aktivierung der Backdoor schicken die Angreifer spezielle UDP-Pakete, mit denen beliebige Befehle ausgeführt werden können.
Durch die Möglichkeit, sich selbstständig zu vervielfältigen, besteht die Wahrscheinlichkeit, dass sich RST.b über Binärdateien auf dem infizierten Host verbreitet – eine Funktion, die es Trojanern und Viren schon früher erlaubt hat, auch andere Betriebssysteme wie etwa Windows zu befallen. Zusätzlich erhöht wird das Gefahrenpotenzial dadurch, dass es RST.b Hackern ermöglicht, das Internet nach infizierten Systemen zu durchsuchen, wodurch die Verbreitungsgeschwindigkeit und die Gefahr eines Angriffs weiter steigt.
Tools zur Erkennung des Remote-Shell-Trojaners und zur Säuberung infizierter Systeme werden unter https://www.qualys.com/forms/remoteshellb.html kostenlos angeboten.
Quelle: Qualys
(mw)
Download von Microsoft-Updates
Wir möchten eine Software installieren, die zwingend Windows 2000 Service-Pack 1 voraussetzt. Auf der Microsoft Download-Seite http://corporate.windowsupdate.microsoft. com, auf der man die kompletten Service-Packs für Netzwerkinstallationen herunterladen kann, findet sich jedoch nur noch die aktuelle Version Service-Pack 2. Wie kann ich an ältere Patches herankommen? Gibt es außerdem auch eine Möglichkeit, Office-Installationen via Online-Update auf den neuesten Stand zu bringen?
Ältere Patches finden sich unter http://download.microsoft.com. Das dortige Software-Archiv enthält alle wesentlichen Updates, auch diejenigen die älter als zwölf Monate sind. Office-Installationen lassen sich über den Unterpunkt “Product Updates” auf der Site http://office.microsoft.com auf den aktuellen Stand bringen.
(gg/mw)
David: Euro-Unterstützung ab Service-Pack 3
Mit dem Service-Pack 3 wurde die komplette Unterstützung des Euro-Zeichens eingebunden. Aber es kann der Fall auftreten, dass dieses Zeichen trotzdem nicht korrekt dargestellt wird. Folgende Hinweise sollten dazu beachtet werden:
Das Euro-Zeichen ist in der NEUTRAL.FNT eingebunden, sodass normalerweise der Service Layer Faxnachrichten, die per Filescan, Editor und so weiter übergeben werden, in diesem Font konvertiert.
Bei einem Font-Wechsel mittels @_@FONT ist aber diese Unterstützung nicht mehr gewährleistet, da sehr viele Fonts dieses Zeichen nicht unterstützten. Es sollte darauf geachtet werden, dass in Deckblättern, Formularen etc. der Standard-Font eingesetzt wird, wenn Euro-Zeichen etwa im Betreff oder in Adressfeldern eingebunden werden sollen. Dieses gilt natürlich auch für Textpassagen.
Folgende Einstellungen sind bei der Installation des SLS-Systems (Server Locator Services) zu beachten.
Bei der Installation des Service-Packs 2 für David können Sie den SLS-Service auswählen. Hier geben Sie das Passwort für ihren club.tobit.com-Zugang in Grossbuchstaben an. Nach der Installation werden folgende Einträge gesetzt:
In der Postman-Konfiguration unterhalb von System/erweitert ist der Punkt Server Locator Services aktivert. Innerhalb von Datenbanken/Gültige Domain Namen befindet sich ein Eintrag für ihre SLS-Domain (Side-ID.tobit.net). Innerhalb von Datenbanken/AUTH Domain Namen steht ihre SLS-Domain mit den Authentifizierungsdaten. Diese können, falls nicht eingetragen, auch manuell eingegeben werden:
Der Name der Domain ist Side-ID.tobit.net.
Der Benutzername ist ihre Side-ID.
Das Passwort ist das club.tobit.com-Passwort in Grossbuchstaben
Als Verschlüsselung verwenden Sie die verschlüsselte Anmeldung (CARM-MD).
Beachten Sie, dass sich keine weiteren Einträge im Postman unterhalb von Datenbanken/ATHN Domain Name und TURN/ ETRN/ATRN Domain Name befinden dürfen. Die aktuelle IP wird mit dem Postman über den Port 25 per ATHN-Protokoll übertragen. Falls der Internet-Zugang über den David-Server generiert wird, sind dies alle Punkte, die zu beachten sind.
Quelle: Tobit
(Tobit/mw)
Doppelte Tobit-David-Archive
Meine David-Archive sind doppelt vorhanden, wie stelle ich den ursprünglichen Zustand wieder her?
Wenn das Verzeichnis des User-Archives nur einmal auf dem Server existiert, dieses aber im Infocenter mehrfach angezeigt wird, so handelt es sich um einen fehlerhaften Eintrag in der ARCHIVE.DIR. Die Ursache für das Auftreten eines solchen Effekts kann vielschichtig sein, etwa ein Viren-Scanner, der ebenfalls auf die geöffnete ARCHIVE.DIR zugreift oder ein Backup des Servers, welches während der nächtlichen Datenbereinigung des Service Layer (Hinweise hierzu finden Sie in der Dokumentation) durchgeführt wurde - dieses sollte zeitlich in jedem Fall getrennt werden.
Da das User-Verzeichnis nur ein Mal existiert, liegt der Eintrag doppelt in der ARCHIVE.DIR unterhalb von DAVID\ARCHIVE\USER vor. Wenn Sie dieses über das Tobit Infocenter löschen, wird das eine Verzeichnis gelöscht, der User in der Archive-Struktur gar nicht mehr angezeigt, aber in der ARCHIVE.DIR ist er noch einmal enthalten. Er wurde einmal gelöscht und der User wird wegen dem fehlenden Verzeichnis im Tobit Infocenter nicht mehr angezeigt. Würden Sie ein neues User-Verzeichnis erstellen, würde der User auch wieder im Tobit Infocenter angezeigt, allerdings in diesem Falle ohne Sub-Archive.
Daraus folgt, dass Sie das User-Verzeichnis (inklusive Unterverzeichnisse) sichern, alle Unterverzeichnisse über den Microsoft Explorer löschen und anschließend das User-Root-Archive über das Tobit Infocenter löschen. Hiernach kopieren Sie das gesicherte User-Archive zurück und der User wird korrekt im Tobit Infocenter mit den Unterarchiven angezeigt. Wird ein User oder Archive mehr als zweimal im Tobit Infocenter angezeigt, sind die oben genannten. Schritte entsprechend öfter durchzuführen. Es muss aber in den Zwischenschritten lediglich das User-Root-Archive erzeugt werden, damit über das Tobit Infocenter jeweils der Eintrag um einen verringert werden kann.
Quelle: Tobit
(Tobit/mw)
Tobit Infocenter und MS Terminal-Server
Wie wird das Tobit Infocenter in Verbindung mit MS Terminal-Servern installiert?
Wenn Sie das Tobit Infocenter auf einem Terminal-Server installieren wollen, sollten Sie wie folgt vorgehen: Wechseln Sie am Terminal-Server in den Installationsmodus. Starten Sie dazu die Eingabeaufforderung und geben Sie “change user /install” ein. Danach starten Sie das Setup des Infocenters (zu finden in David\Clients\Windows) durch einen Doppelklick.
Ist das Setup beendet, lassen Sie nicht das Infocenter starten, sondern installieren die Terminal-Server-Erweiterung (im Verzeichnis David\Clients\Windows\Winnt\Terminal). Diese können Sie ebenfalls durch Doppelklick auf die Setup.exe installieren.
Nach Abschluss der Installation wechseln Sie erneut zur Eingabeaufforderung und geben “change user /execute” ein. Nun können Sie das Tobit Infocenter wie gewohnt starten beziehungsweise als Anwendung freigegeben.
Hinweis: Diese Installationsmethode gilt ebenfalls für Server mit Citrix Metaframe 1.8.
Quelle: Tobit
(Tobit/mw)
Windows 2000: DomänenController wird nicht gefunden
In einem Windows-2000-Netz befinden sich zwei Domänencontroller (DC) mit Active Directory. Ein Domänencontroller umfasst SQL-Server, der andere Exchange 2000. Bei dem Versuch Windows-2000-Clients an der Konsole anzumelden, kommt die Fehlermeldung: “Kein DC gefunden.” Der Haupt-Domänencontroller ist aber verfügbar, und das Active Directory läuft auch einwandfrei. Der zweite Domänencontroller (mit Exchange 2000) scheint allerdings Probleme mit dem Active Directory zu haben. Wenn wir dort die Microsoft-Management-Console (MMC) starten, tritt folgende Fehlermeldung auf: “Es konnten aufgrund des folgenden Problems keine Namensinformationen gefunden werden: Für die Authentifizierung war keine Autorität erreichbar. Wenden Sie sich an Ihren Administrator...”. Wenn diese Meldung mit OK bestätigt wird, erscheint ein rotes Kreuz bei den “ADS Benutzern und Computern”. Darüber hinaus ist auch keine Verbindung zum “Haupt-Domänencontroller” möglich. Von diesem aus funktioniert die Synchronisation zum zweiten Domänencontroller problemlos. Zudem haben wir NSLOOKUP auf dem zweiten Domänencontroller durchgeführt: Sowohl Domäne als auch Server werden sauber aufgelöst. Wie können wir den zweiten Domänencontroller aus dem Active Directory entfernen?
Für das manuelle Entfernen nicht mehr vorhandener Domänen-controller beziehungsweise Server aus dem Active Directory, oder Fehler, die während des Active Directory Installation Wizards auftreten, stehen zwei Optionen zur Verfügung. Sollten dabei Zugriffskonflikte entstehen, muss der Rechner im Modus “Verzeichnisdienstwiederherstellung” gestartet werden (F8 beim Systemstart).
Option eins umfasst das Entfernen des NTDS-Settings-Objekts. Dabei wird das Server-Objekt im Active Directory belassen und alle NTDS-Setting-Objekte des entsprechenden Servers gelöscht. Option zwei entfernt das Server-Objekt aus dem Active Directory, und Windows 2000 muss anschließend komplett neu installiert werden. Letztere Vorgehensweise wird von Microsoft empfohlen, wenn eine Installation mit dem Active Directory Installation Wizard fehlgeschlagen ist.
Entfernen des NTDS-Settings-Objekts: Es ist möglich, dass das NTDS-Settings-Objekt bei einer fehlerhaften Installation nur teilweise konfiguriert werden kann. In diesem Fall muss der Administrator das Ntdsutil-Utility verwenden, um das NTDS-Settings-Objekt manuell zu löschen. Im Folgenden werden die Schritte beschrieben, die notwendig sind, um das NTDS-Settings-Objekt im Active Directory von einem vorhandenen Domänencontroller zu entfernen: Auf der Kommandozeile geben Sie “ntdsutil” ein, anschließend “metadata cleanup” und bestätigen mit Enter. Basierend auf den angezeigten Optionen, kann der Administrator jetzt die Entfernungsprozedur durchführen, allerdings müssen vorher zusätzliche Konfigurationsparameter spezifiziert werden. Geben Sie “connections” ein, und drücken Sie die Enter-Taste. Das Menü dient zur Verbindung mit demjenigen Server, auf dem die Änderung erfolgen soll. Dazu müssen Sie über administrative Berechtigungen verfügen, anderenfalls sind diese Credentials vor der Verbindung zu ändern: “set creds
Anschließend tippen Sie “connect to server
(mw)
Norton-Antivirus-Client verschwindet aus Console
Wir setzen Norton Antivirus (NAV) in der Corporate Edition ein. Nach drei Tagen verschwinden einige NAV-Clients plötzlich aus der Management-Console. Was kann die Ursache sein?
Norton-Antivirus-Clients schicken in einem vordefinierten Intervall (alle 60 Minuten) ein zirka 800 Byte großes Paket an ihren Parent-Server. Der Parent-Server trägt die Informationen aus dem Paket in die Registrierungsdatenbank ein. Sie finden diese Informationen unter: HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\Clients Dort wird auch die letzte Check-in-Zeit festgehalten (wann hat der Client zuletzt ein Paket geschickt?). Ist diese Zeit größer als 72 Stunden, wird der Client automatisch aus der Registry des Servers gelöscht und ist dann auch nicht mehr im Symantec System Center sichtbar. Tragen Sie einen neuen DWORD-Wert unter ..\VirusProtect6\CurrentVersion\ ein. Nennen Sie den Eintrag “ClientExpirationTimeout”, und setzen Sie als Wert Ihre “Anzahl” der Stunde ein (dezimal).(Quelle: Niwis Consulting, www.niwis.com/tippsIdx.htm)
(Niwis Consulting/mw)
Netware-Server-Fehler: NICI Initialization Error
Wie muss ein Netware-5.1-Server “manuell” gebootet werden, damit in Loadstage 3 nicht ständig der NICI Fatal Initialization Error auftritt?
Wenn Sie Fehlern oder “Abends“ (Abnormal Endings) beim Booten eines Servers auf die Schliche kommen möchten, empfiehlt es sich, die einzelnen Loadstages manuell auszuführen. Wenn hier aber eine falsche Reihenfolge verwendet wird, kommt es auf alle Fälle in Loadstage 3 zu der NICI-Fehlermeldung (Novell International Cryptographic Infrastructure), was bei neueren DS-Versionen (Directory Service) auch dazu führt, dass die NDS-Datenbank nicht aufgemacht werden kann. Falsch wäre: SERVER -NS -NA -NL LOADSTAGE 1 LOADSTAGE 2 STARTUP MOUNT SYS LOADSTAGE 3 -> NICI CCS: FATAL-Initialization error Controlled Cryptography Services are not available Um dies zu verhindern, muss folgende Reihenfolge eingehalten werden: SERVER -NS -NA -NL STARTUP LOADSTAGE 1 LOADSTAGE 2 – überprüfen, dass SYS definitiv gemountet wurde (wird normalerweise schon nach Loadstage 1 gemountet). Ohne gemountetes SYS kann aber im nächsten Schritt NICI nicht initialisiert werden, und damit auch die NDS nicht aufgemacht werden! LOADSTAGE 3 -> NICI initialisiert LOADSTAGE 4 -> NDS wird geöffnet AUTOEXEC LOADSTAGE 5 TID 10060526 gibt übrigens Hinweise, worauf ein Abend in einer bestimmten Loadstage hindeuten kann. Sie finden das Dokument unter: http://support.novell.com/cgi-bin/search/searchtid.cgi?/ 10060526.htm Zu beachten ist, dass bei dieser Reihenfolge das SYS-Volume automatisch gemountet wird. Kann SYS aber beispielsweise aufgrund einer korrupten FAT oder DET-Tabelle (Directory Entry Table) nicht gemountet werden und Sie möchten “lediglich” ein Vrepair auf das SYS-Volume durchführen, so müssen Sie die folgende Reihenfolge einhalten: SERVER -NS -NA -NL LOADSTAGE 1 LOADSTAGE 2 LOAD Diskdriver SEARCH ADD C:\NWSERVER LOAD VREPAIR
(Computer 2000 Deutschland GmbH/mw)
Netware erkennt nur 8 GByte der Harddisk
Für die Installation eines Netware-4.11-Servers (ohne Service-Pack) ist eine 20-GByte-IDE-Festplatte eingebaut worden. Beim Erzeugen der Partition während der Installation werden aber nur 8 GByte erkannt. Wie kann ich vorgehen, damit auch schon während der Installation die vollständige Speicherkapazität erkannt wird?
Entscheidend dafür, ob mehr als 8 GByte für eine IDE-Festplatte erkannt werden können oder nicht, ist nicht das IDEATA.HAM-Modul, sondern IDEHD.CDM. Dieses Modul muss mindestens in der Version 2.00 vorliegen, damit auch größere Festplatten erkannt werden. Ein nachträglicher Austausch bringt nichts: Die primär angelegte 8 GByte-Partition lässt sich nach dem Austausch des Treibers nicht weiter vergrößern. Insofern muss der Treiber schon während der Installation ausgetauscht werden. Unter Netware 4.11 gibt es hierfür eine einfache Lösung: Ein IDEHD.CDM, das Festplatten größer als 8 GByte unterstützt, findet sich in dem IWSP6 oder höher. Am besten verwenden Sie aber den Patch NWPAUP1A.EXE, dessen NWPA-Module dem IWSP6 entsprechen, der aber aktuellere IDE-Module umfasst. So ist hier zum Beispiel das Modul IDEHD.CDM in der Version 2.00a enthalten. Den Patch finden Sie unter: http://support.novell.com/servlet/filedownload/pub/nwpaup1a.exe/ Dieses aktualisierte IDEHD.CDM-Modul läuft auch mit einer nicht gepatchten Netware 4.11 zusammen. Würde man aber zum Beispiel das IDEHD.CDM aus dem NW4SP9.EXE nehmen, funktioniert dies nicht. Für die Installation kann dieses Modul nicht verwendet werden, selbst wenn Sie während der Installation ein aktuelles NBI.NLM, NWPA.NLM, NWPALOAD.NLM und IDEATA.HAM einsetzen. Eventuell funktioniert diese Vorgehensweise, wenn Sie die SERVER.EXE ebenfalls noch aus dem SP9 einsetzen; dann müsste aber der Server explizit damit gestartet und die eigentliche Installation über die Server Options im Install.nlm weitergeführt werden (LOAD INSTALL -SO). Dies ist aber umständlich und nicht immer von Erfolg gekrönt. Also verwenden Sie am besten die folgende Methode: 1.) Zunächst kopieren Sie aus dem NWPAUP1A.EXE das IDEHD.CDM samt IDEHD.DDI auf Diskette 2.) Nun installieren Sie Netware bis zu dem Punkt, an dem für die automatisch erkannten IDE-Schnittstellen die Treiber geladen werden (IDEATA.HAM mitsamt IDEHD.CDM). 3.) Nach dem Laden der IDE-Treiber wechseln Sie auf die Systemkonsole und entladen explizit nochmals das IDEHD.CDM. Nun können Sie es von der Diskette nochmals laden. Hier wie beschrieben nur die Version 2.xx verwenden! Die Version 3.x (beispielsweise aus dem NW4SP9.EXE) kann nicht geladen werden und bringt Public Symbol Errors. 4.) Anschließend führen Sie die Installation wie gewohnt weiter durch und können beim Anlegen der Partition auch schon die gesamte Festplattengröße angeben (minus DOS-Partition natürlich). Unter Netware 4.10 scheint diese Vorgehensweise übrigens nicht zu funktionieren, da der IDEATA-Treiber anscheinend zu neu ist. Das IDECD.CDM-Modul v2.00 und höher arbeitet auch mit UDMA-Festplatten zusammen. Solange aber nicht auch das IDEATA.HAM-Modul upgedatet wird, werden diese Festplatten im langsamen PIO-Mode angesprochen (möglich, aber langsam...). Insofern sollte man dann, nachdem der Server installiert ist, ein aktuelles Service-Pack installieren (NW4SP9.EXE), damit sowohl der Support für IDE-HDDs größer 8 GByte gegeben ist, als auch der UDMA-Support. NW4SP9.EXE finden Sie unter: http://support.novell.com/servlet/filedownload/pub/nw4sp9.exe/
(Computer 2000 Deutschland GmbH/mw)
Windows 2000 Server: SUBST-Befehl beim Systemstart ausführen
Wie lässt sich der Befehl SUBST beim Systemstart unter Windows 2000 ausführen?
Der SUBST-Befehl kann in eine Batch-Datei aufgenommen werden. Diese Batch-Datei lässt sich dem RUN-Schlüssel in der Registry für den Rechner oder für einzelne Anwender hinzufügen: (HKEY_LOCAL_MACHINE\Software\Microsoft\Win dows\CurrentVersion\Run oder HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run). Auch eine Kopie in dem Ordner “AUTOSTART” funktioniert in gleicher Weise, allerdings ungeschützt.
(Computer 2000 Deutschland GmbH/mw)
Sprachenwirrwarr bei Outlook 2000
Wir setzen die deutsche Outlook-Version 2000 ein, Verknüpfungen werden aber nur in Englisch angezeigt. Wie kann dies geändert werden?
Die Sprache des Postfachs wird beim ersten MAPI-Zugriff festgelegt. Das Umbenennen funktioniert nur mit dem Exchange-5.0-Client aus dem Service-Pack 2.
(Computer 2000 Deutschland GmbH/mw)
Unterverzeichnis bei Windows 2000 schützen
Ich möchte ein virtuelles Unterverzeichnis unter Windows 2000/IIS 5.0 mit einem Passwort schützen. Nach der Vergabe komme ich aber danach nur mit einem Passwort auf die gesamte Domäne. Woran kann das liegen?
Vergeben Sie die Berechtigung auf den Subfolder des virtuellen Verzeichnisses im Windows Explorer entsprechend der von Ihnen gewünschten Sicherheit und Zugriffssteuerung. Im IIS-Manager entfernen Sie dann die anonyme Anmeldeerlaubnis auf den Subfolder und stellen den gewünschten Authentifizierungszugriff ein.
(Computer 2000 Deutschland GmbH/mw)
PROBLEM MIT HP DDS-4-AUTOLOADER
Wir haben einen HP Autoloader Modell 5715-90901 in einem Server unter Windows 2000 Advanced Server mit Service-Pack 1 installiert. Das Gerät wurde als HP 5613A DDS-4-Laufwerk erkannt. Als Backup-Software kommt CAs Arcserve-It 2000 mit Service-Pack 2 zum Einsatz. Auch hier wird der Autoloader nur als Version HP 5713A identifiziert. Es lässt sich nur auf die gerade im Zugriff befindliche Kassette schreiben, nicht aber auf das ganze Magazin, das in Arcserve-It 2000 auch nicht erkannt wird. Diese Situation hat sich auch nach Installation der Windows-2000-Treiber von HP nicht gebessert. Mit den HP Tape Tools wurde zuvor schon ein Firmware-Update auf die Version H910 des Autoloaders vorgenommen, ohne Erfolg. Die Library verwendet die Library-Option und die SCSI ID 3.Darüber hinaus kommt ein Onboard RAID Adapter (Netfinity Server) zum Einsatz. Wo liegt das Problem?
Sie sollten die Library beispielsweise an einem 2940-Controller von Adaptec testen und den Wechsler an einen einzelnen SCSI-Controller zu anschließen.
Nach dem Einbau eines zusätzlichen Adaptec-Controllers, wurde der HP C5715A im Windows-Gerätemanager als Wechslergerät erkannt und auch im Arcserve-It 2000 Geräte-Manager als Wechsler eingerichtet.
(Computer 2000 Deutschland GmbH/mw)
OUTLOOK-WEITERLEITUNG FUNKTIONIERT NICHT
Ich möchte im Outlook-Client unter Exchange eine Weiterleitung einstellen. Ein Beispiel: In den öffentlichen Ordnern kommt eine Nachricht an, diese soll in ein Postfach geleitet werden. Das funktioniert aber nicht. Alle Nachrichten in den öffentlichen Ordnern sollen weitergeleitet werden. Wie muss ich dabei vorgehen?
Sie können im Outlook-Client unter “Ordnerverwaltung ”, “Ordnerassistent ”eine Regel definieren oder im Exchange System Manager beim öffentlichen Ordner eine Weiterleitung angeben.(Zusatzinfo:Wenn eine Nachricht an einen öffentlichen Ordner weitergeleitet wurde,gehen Informationen verloren wie etwa ursprünglicher Empfänger und Versender).
(Computer 2000 Deutschland GmbH/mw)
STANDARDVEREICHNIS IN OUTLOOK 2000 ÄNDERN
Die Einstellung für das Standard-Dateiverzeichnis im Outlook 2000 soll geändert werden. Wie kann ich hier sinnvoll vorgehen?
Die Einstellung für das Standard-Dateiverzeichnis lässt sich mit Regedit in der Windows-Registry ändern.Dazu müssen Sie den Eintrag “Personal ”für “Shell Folders ”und “User Shell Folders ”unter \HKEY_CURRENT_USER \Software \Microsoft \ Windows \CurrentVersion \Explorer \ändern.
Statt “Eigene Dateien ”tragen Sie dort das gewünschte Laufwerk und Verzeichnis ein.Sollten Sie Ihre Daten in verschiedenen Verzeichnissen ablegen wollen,zum Beispiel in D:\Daten \Texte und D:\Daten \Bilder,so empfiehlt es sich,ein gemeinsames übergeordnetes Verzeichnis als Standardverzeichnis für Daten festzulegen.Im Beispiel also D:\Daten. Denn wenn Sie das Standardverzeichnis auf diesem Wege geändert haben,führt der “Aufwärts ”-Button in Dateimenüs nicht mehr ins nächste übergeordnete Verzeichnis,sondern direkt zum Desktop.Ein Wechseln von D:\Daten \Texte zu D:\Daten \Bilder wird so sehr umständlich.Etwas bequemer als mit Regedit gehts mit dem Tool Tweakui, das Microsoft zum Download unter folgender Adresse anbietet:
http://www.microsoft.com/ntworkstation/downloads/PowerToys/Networking/NTTweakUI.asp
(Computer 2000 Deutschland GmbH/mw)
KEINE MAIL AN BESTIMMTE EMPFÄNGER
Bei uns tritt das Problem auf, dass an bestimmte Empfänger keine E-Mails gesendet werden können. Der Absender bekommt eine entsprechende Rückmeldung. Versucht man von einer Adresse wie beispielsweise Benutzer@gmx.de eine E-Mail zu versenden, tritt diese Problem nicht auf.
Zur Konfiguration: David 6.6 mit Service-Pack 1 unter Windows NT 4.0 Server mit Service-Pack 5 ist über eine Standleitung angebunden. Der Server befindet sich in internen Räumlichkeiten, und es kommt statisches NAT zum Einsatz.
Die Status-Mails lauten:
>
> Your message:
>
> To: p.baumann@xxxx.test.de
> Subject: testmail
> Sent: Wed, 18 Jul 2001 13:53:07 +0200
>
> did not reach the recipient.
>
> Mail transmission failed with error:
>
> Invalid destination address
Konfigurieren Sie Ihren Postman so,dass er die E-Mails nicht direkt zu versenden versucht,sondern leiten Sie alle Mails an den Smarthost des Providers weiter.Diese Konfiguration nehmen Sie im Postman-System-Provider vor.Tragen Sie im Feld Smarthost die IP Adresse des MTP-Servers des Providers ein.
(Computer 2000 Deutschland GmbH/mw)
WINDOWS 2000 UND DIE “ÜBLICHEN” SERVICE-PACK-PROBLEME
Bei einer neu installierten Windows-2000-Workstation mit Service-Pack 1 und Word 2000 mit Service-Pack 1 wurde erst das Service-Pack 2 für Windows 2000 lokal auf Laufwerk C:\Install\W2k-SP2 kopiert und anschließend von dort aus installiert. Danach wurde Office 2000 Professional installiert. Während der Installation hieß es: “Datenträger von Windows 2000 Service-Pack 2 einlegen”.
Leider gibt es keine Möglichkeit, den Pfad zu ändern oder suchen.
Auch eine erstellte CD mit Service-Pack 2 brachte keinen Erfolg. Die Office-2000-Installation musste immer wieder abgebrochen werden.
Auch der Registereintrag “ServicePack2Source” zeigte keine Wirkung.
Wie lautet die korrekte Vorgehensweise?
Folgendermaßen können Sie vorgehen:Vor der Office-Installation deinstallieren Sie das vorinstallierte Word.Anschließend benennen Sie den Ordner “Microsoft Office ”(C \Programme) um.
Jetzt starten sie das Setup für Office 2000.Sollte es sich beim Office um ein Update handeln,dann reicht es aus,bei der Konformitätsprüfung,die Word-CD einzulegen.
Sollte dieser Lösungsansatz nicht greifen,besteht nur die Möglichkeit,Windows 2000 zu aktualisieren,so dass das Service-Pack 2 nicht mehr vorhanden ist.
Dabei gehen Sie folgendermaßen vor:Booten Sie den Rechner von der Windows-2000-CD.Es kommt die Abfrage, ob sie installieren oder reparieren möchten.
An dieser Stelle klicken Sie auf “Installieren ”.Im weiteren Verlauf des Windows-2000-Setups erscheint eine weitere Abfrage,ob Sie reparieren möchten.Hier antworten Sie mit “R ” für reparieren.Dadurch wird die so genannte “große Reparatur ” durchgeführt..
Nach dieser Reparatur installieren Sie Office 2000.Sie sollten auch hier darauf achten,dass Word 2000 vorab deinstalliert wird,da es sonst zu Dateikollisionen kommen kann,weil Sie dann quasi zweimal Word installieren: einmal als Einzelversion,einmal als Bestandteil des Office-Pakets.
Anschließend installieren Sie das Service-Pack 2 für Windows 2000 erneut.
(Computer 2000 Deutschland GmbH/mw)
NACH NT-LOGON FEHLEN NETWARE-MAPPINGS
Wir setzen ein gemischtes Netzwerk mit Windows-NT-und Netware-Servern ein. Eine Workstation (Windows NT 4 Workstation mit Service-Pack 5) mit dem Netware-Client Version 4.60.202 fährt hoch und meldet sich an. Als erstes startet das Netware-Skript und scheinbar werden die Netware Laufwerke zunächst sauber gemappt. Danach läuft das Windows-NT-Logon-Skript. Die gemappten Netware-Laufwerke fehlen anschließend. Nach der Neuanmeldung sind alle Laufwerke gemappt. Fehlermeldung werden nicht angezeigt.
Im Windows-NT-Logon-Skript ist vermutlich der Befehl NET USE DEL eingetragen,der vor den NT-Mappings zuerst alle anderen (und damit auch die zuvor ausgeführten Netware-Mappings)löschte.
(Computer 2000 Deutschland GmbH/mw)
DER AUSGANGSNACHRICHTENORDNER VON GROUPWISE-5.5 IST GELÖSCHT
Unter Netware 5.1 hat ein Anwender in seinem Groupwise-5.5-Frontend den Ausgangsnachrichtenordner gelöscht. Wie lässt sich dieser wiederherstellen?
Sie können im Groupwise-Client unter “Datei ”,“Neu ”,“Ordner ”,“Suchergebnisordner ”einen Vordefinierten Ordner “Ausgangsnachrichten ” auswählen und neu erstellen.
(Computer 2000 Deutschland GmbH/mw)
ARCSERVE-IT: "INVALID LICENSE FILE"
Die Festplatte des Netware-3.2-Servers wurde gewechselt. Beim Hochfahren des Systems kommt die Fehlermeldung: "ARCSERVE.NLM meldet kritischen Fehler:
Es werden keine weiteren Module geladen. e0196 invalid license file."
Wir haben das Verzeichnis ARCSERVE 6.1 gelöscht und neu installiert, aber der Fehler wurde nicht behoben.
Zuerst sollten Sie die gesamte Arcserve-It-Umgebung nochmals löschen, dann mittels purge physikalisch von der Festplatte entfernen und einen Bindfix laufen lassen.
Anschließend sollten Sie sicherstellen, dass der richtige Lizenzkode verwendet wird (falls Sie mehrere Arcserve-It-Versionen im Einsatz haben) und mit diesem Arcserve-It in
der Grundversion installieren. Empfehlenswert ist dann ein Update auf das aktuelle Service-Pack sowie ein weiterer Neustart.
(Computer 2000 Deutschland GmbH/mw)
ARCSERVE-IT: DATEINAMEN NUR NOCH IM 8.3-FORMAT
Auf einem Netware-5-Server mit Arcserve-It for Netware 6.6 in Deutsch tritt folgendes Problem auf: Bei der Rücksicherung vom Band erscheinen die Dateinamen nur noch im 8.3-Format und nicht wie auf dem Server abgelegt, mit langen Dateinamen. Welche Schritte sind notwendig, um den ursprünglichen Zustand wieder herzustellen?
Um die volle Unterstützung im Bereich der Namenskonvention zu erhalten, müssen zwingend bei der Sicherung (die nur offline, also über den Auftragsplaner laufen) die Module TSA500, TSANDS und SMDR geladen sein. Wenn am Server selbst die entsprechenden Module für lange Dateinamen eingerichtet und geladen sind, muss die Sicherung der langen Dateinamen funktionieren. Zudem sollten Sie das Arcserve-It-Protokoll auf Fehlermeldungen überprüfen. Die Rücksicherung muss dann ebenfalls über den Auftragsplaner laufen und darf nicht online ausgeführt werden.
(Computer 2000 Deutschland GmbH/mw)
DAT-WECHSLER AN INTERNEM HP-LH3000-SCSI-CONTROLLER
Wir setzen in unserem Firmennetz einen HP-Server LH3000 ein. Ein HP-DAT-Wechsler soll an dem internen SCSI-Controller angeschlossen werden und unter Arcserve-It 6.6 sowie Netware 5.1 laufen. Worauf müssen wir achten?
Um einen Wechsler unter Arcserve 6.x einwandfrei bedienen zu können, wird ein HBA (Host-Bus-Adapter) benötigt, der über eine LUN-Unterstützung verfügt. Da dies beim Onboard-Controller von HP nicht gewährleistet ist (darüber hinaus steht der HBA vom HP-Server LH 3000 nicht in der Zertifizierungsliste ), muss ein anderer HBA eingesetzt werden, beispielsweise das Adaptec-Modell AHA-2940. Zusätzlich muss in der Zeile, in der der Treiber geladen wird, der Parameter: LUN_ENABLE=FFFF stehen. Damit wird der LUN-Support eingeschaltet.
(Computer 2000 Deutschland GmbH/mw)
WINDOWS 2000: SICHERHEITSLÜCKE BEI LDAP ÜBER SSL
In Windows 2000 wurde bei der Nutzung von LDAP über SSL eine Sicherheitslücke gefunden. Diese Lücke wurde in einer Funktion entdeckt, die nur zur Verfügung steht, wenn der LDAP-Server so konfiguriert ist, dass er über SSL angesprochen wird und die Benutzer ihre Passwörter selbst ändern können. Sie sollte natürlich Änderungen nur dann übernehmen, wenn sich der Benutzer vorher erfolgreich authentisiert hat. Es besteht aber die Möglichkeit, dass aufgrund eines Fehlers Angreifer auch ohne diese Authentisierung das Domain-Passwort anderer Benutzer verändern können - auch das des Administrators.
Microsoft hat unter folgendem Link einen Patch zur Verfügung gestellt.
http://www.microsoft.com/Downloads/Release.asp?Relea seID=31065
Quelle: http://www.aerasec.com/
(R2R AG/mw)
WINDOWS 2000 ALS NTP/SNTP-ZEIT-SERVER
Öffentliche Zeit-Server im Internet bieten eine einfache und kostenlose Möglichkeit, die lokale Uhrzeit von Rechnersystemen mit "Atomzeit" zu synchronisieren. Genutzt wird dabei das Protokoll NTP/SNTP (Network Time Protocol beziehungsweise Simple NTP). Idealerweise wird in einem vernetzten Unternehmen ein lokaler Zeit-Server aktiviert, der gegenüber öffentlichen Zeit-Servern als Client auftritt und die korrekte Uhrzeit an die eigenen Clients oder beliebige lokale NTP/SNTP-Clients weitergibt. Interessant ist dies insbesondere in heterogenen Umgebungen, da alle NTP-fähigen Plattformen wie Unix oder Novell Netware aber gegebenenfalls auch Net-Appliances wie IP-Phones an der einheitlichen lokalen Systemzeit partizipieren können. Windows 2000 hat diese Möglichkeiten integriert - sie sind allerdings etwas versteckt.
Zur Aktivierung des NTP-Client/Servers unter Windows 2000 sind lediglich zwei Dinge nötig: Die erforderlichen Parameter müssen dem System bekannt und der
entsprechende Zeitdienst dauerhaft gestartet sein. Der Zeitdienst findet sich unter Verwaltung/Dienste als "Windows Time" (deutsch: "Windows-Zeitgeber"); er sollte nach
Einstellung der Parameter mit dem Autostarttyp "Automatisch" gestartet werden. (Starts und Stopps dieses Dienstes sind auch mit den Command-Line-Befehlen "net start
w32time" beziehungsweise "net stop w32time" möglich.)
Die für den Zeitdienst relevanten Parameter finden sich letztlich alle in der Registry und lassen sich dort bei Bedarf auch editieren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters.
Eine Dokumentation der einzelnen Registry-Einträge bietet Microsoft übrigens im Internet unter folgender Adresse:
http://support.microsoft.com/support/kb/articles/q223/1/84.asp.
Der einzig wirklich wichtige Eintrag, damit Windows 2000 als NTP-Client fungieren kann, sind die Internet-Adressen des oder der öffentlichen Zeit-Server, die bei jeder
Synchronisation abgefragt werden sollen. Listen öffentlicher Zeit-Server finden sich auf der NTP-Homepage (www.ntp.org) unter dem Stichwort "Public NTP Time Servers",
zum Beispiel: http://www.ee cis.udel.edu/~mills/ntp/clock1.htm. Es empfiehlt sich, mehrere öffentliche NTP-Server auszuwählen, da auch hier gelegentlich Störungen
auftreten. (Es ist zwar naheliegend, aber nicht zwingend nötig, Zeit-Server im eigenen Land zu wählen, da die Uhrzeit in UTC-Koordinaten übermittelt wird - für die
Zeitzoneneinstellung ist jeder Empfänger selbst zuständig.)
Der oder die ausgewählten NTP-Server lassen sich entweder in der Registry unter dem Eintrag "ntpserver" editieren oder mit dem Command-Line-Befehl "net time
/setsntp[:NTP-Serverliste]". (Wird eine ganze Liste eingegeben, so sind die einzelnen Adressen durch Leerzeichen abzutrennen und die Liste beim net-Befehl in
Anführungszeichen zu setzen.) Ein Beispiel aus der Praxis: net time /setsntp:"ntp1.fau.de swisstime.ethz.ch". (Es empfiehlt sich, mit Domain-Namen zu arbeiten, da die
IP-Adressen der öffentlichen Zeit-Server teilweise gelegentlich wechseln.)
Beim nächsten Start des Zeitdienstes werden die Einträge übernommen und die Zeit synchronisiert; standardmäßig geschieht dies dann in Folge alle acht Stunden. Die
aktuell gesetzten Zeit-Server lassen sich übrigens auch via Command-Line mit dem Befehl "net time /querysntp" anzeigen. Damit Windows 2000 nicht nur als NTP-Client,
sondern auch als Server fungiert, ist in der Registry folgender Eintrag nötig: "LocalNTP" muss von standardmäßig "0" auf "1" gesetzt werden. Nach anschließendem Neustart
des Dienstes können jetzt auch beliebige NTP/SNTP-Clients von diesem Windows-2000-Rechner die Zeit abfragen.
Noch ein wichtiger Hinweis für Firewall-Umgebungen: Der IP-Port 123 muss für die NTP-Kommunikation frei sein.
Ein weiterer Parameter in der Registry könnte gegebenenfalls interessant werden: die Frequenz, mit der die öffentlichen Zeit-Server von Windows 2000 abgefragt werden. In
der Regel sollte der genannte Standardwert ausreichend sein, in Netzen mit permanenter Internet-Anbindung ist eine höhere Frequenz, zum Beispiel stündlich allerdings
ebenfalls denkbar. Die Frequenz versteckt sich unter dem Eintrag "Period" und ist standardmäßig als REG_SZ mit dem Wert "SpecialSkew" abgelegt. Um beispielsweise
24-mal am Tag zu synchronisieren, muss dieser "Period"-Eintrag durch einen entsprechenden REG_DWORD mit dem Dezimalwert 24 ersetzt werden (das heißt: Den alten
Eintrag komplett löschen oder umbenennen und einen Neueintrag zur Eingabe numerischer Werte anlegen).
Eventuelle Fehlermeldungen des Zeitdienstes werden im Systemprotokoll der Ereignisanzeige eingetragen. Zu Diagnosezwecken lässt sich übrigens auch die
Command-Line-Utility "w32tm.exe" nutzen; der Zeitdienst muss dabei deaktiviert sein. Eine Übersicht der Aufrufvarianten bietet der Hilfe-Befehl "w32tm /?".
Beispielsweise kann mit "w32tm -once" eine einmalige Synchronisation mit detaillierter Anzeige ausgelöst werden.
(Kurt Pfeiler/mw)
SMTP-RELAYSERVER BEI T-ONLINE
Internet E-Mail soll über T-Online versendet werden. Was muss ich dabei konfigurieren?
SMTP-Relayserver:Wenn Sie Ihre E-Mails von T-Online aus über einen fremden Mail-Server schicken möchten (beispiels- weise mail.meinefirma.de),können Sie zusätzlich den entspre- chenden Server als SMTP-Relayserver (ausgehender E-Mail- Server)in Ihrem E-Mail-Programm konfigurieren. T-Online SMTP-Relayserver:Bei Verwendung dieses Servers wird die Absenderadresse Ihrer E-Mail nicht mehr automatisch auf Ihre T-Online E-Mail-Adresse gesetzt.Sie haben damit die Mög- lichkeit,auch andere Absenderadressen zu verwenden. Damit Sie den SMTP-Relayserver nutzen können,sind zwei Dinge notwendig:
- Registrieren Sie sich zunächst einmalig bei dem T-Online SMTP-Relayserver.
- Danach tragen Sie in Ihrem E-Mail-Programm als ausge- henden Server (SMTP)den Server “smtprelay.t-online.de ” ein.
Sie können nun den SMTP-Relayserver nutzen.Der Regis- triervorgang und die Nutzung des Servers sind für Sie mit kei- nen zusätzlichen Kosten verbunden.Diese und weitere Infor- mationen sind auch unter http://www.t-online.de/service/inhalte/kemsviea.htm zu finden.
(Computer 2000 Deutschland GmbH/mw)
LANGSAMES NT-NETZ MIT NETBIOS ÜBER IP
Wir betreiben ein Netzwerk mit zehn Servern (Windows NT 4.0, Novell Netware 5.1 und Unix-Server). Das Netz wurde von 10 MBit/s auf 100 MBit/s umkonfiguriert und in diesem Zusammenhang der Lancom-Router gegen einen Cisco Router 5500 ausgetauscht. Nach Tests wurde fest-gestellt, dass die Übertragung sehr langsam ist, wenn Pa-kete via NetBIOS über TCP/IP geschickt werden. Dagegen ist in einer reinen IP-Umgebung die Verbindung sehr schnell. Woran könnte das liegen?
Die Übertragung von NetBIOS-Paketen kann nur bei ungüns- tiger Konfiguration zur Verlangsamung des Netzwerks führen: Stellen Sie sicher,dass die Namensauflösung über den WINS- Dienst erfolgt und binden Sie Microsoft-Netzwerkfunktionen nur an das Protokoll TCP/IP.
(Computer 2000 Deutschland GmbH/mw)
ARCSERVE-IT 6.1 SICHERT DATEIEN MIT UMLAUTEN NICHT
Arcserve-It für Netware Version 6.1 wird unter Netware 4.11 mit Service-Pack 8.0a betrieben. Es erscheint die Fehlermeldung: “3039“, Dateien mit Umlauten werden nicht gesichert.
Dateien oder Verzeichnisse werden aus Gründen der Abwärtskompatibilität nicht korrekt beziehungsweise gar nicht gesichert.Da Arcserve-It 6.1 auch unter Netware 3.x in Verbindung mit Windows 3.xx einsetzbar ist und dort Umlaute noch nicht vorgesehen sind,ist diese Fehlermeldung korrekt.Es gibt Konfigurationen,die solche Dateien oder Verzeichnisse sichern,aber spätestens beim Restore kommen dann Fehler.
(Computer 2000 Deutschland GmbH/mw)
OUTLOOK 2000 – BENUTZER KANN DER VERTEILER-LISTE NICHT HINZUGEFÜGT WERDEN
In Exchange 5.5 (mit Service-Pack 3) erscheint eine Fehlermeldung beim Bearbeiten von öffentlichen Verteilerlisten: “Diese Verteilerliste hat die maximale Größe für das Speichern auf dem Netzwerk-Mailserver erreicht. Das neue Mitglied konnte nicht hinzugefügt werden.“ In der Verteilerliste befinden sich zirka 200 Mitglieder.
Die Verteilerliste hat die zulässige Größe überschritten.Sie müssen deshalb mehrere Verteilerlisten erstellen.
(Computer 2000 Deutschland GmbH/mw)
IMAP-FUNKTIONALITÄT VON OUTLOOK 2000
Im Outlook Express kann auch ein IMAP-Konto eingerichtet werden. Hier gibt es neben dem Button “Löschen“ (Mail wird als durchgestrichen markiert) auch den Button “Entfernen“, wobei dann die Mails auch wirklich vom IMAP-Server gelöscht werden. Die Entfernen-Option fehlt aber in Outlook 2000, hier gibt es nur Löschen (Mail wird also nur durchgestrichen aber nicht gelöscht).
Outlook 2000 bietet keine Möglichkeit,IMAP-Mails zu löschen.
(Computer 2000 Deutschland GmbH/mw)
ARCSERVE-IT DISASTER RECOVERY
Nach der Rücksicherung der C-Partition eines Windows-NT- 4-Servers mit Arcserve-It für NT Version 6.61 kann sich der Administrator nicht mehr anmelden (der Windows Logon-Dialog wird nicht aufgebaut). Wie lassen sich gezielt einzeln Teile des Betriebssystems zurücksichern?
Die Rücksicherung geöffneter Dateien wie beispielsweise der Registry erfolgt nach Anleitung von Computer Associates.Im Internet unter http://support.ca.com/techbases/asnt/16046.html befindet sich eine genaue Beschreibung,wie nach einem Disaster der lokale Arcserve-Server wieder hergestellt werden kann.)
(Computer 2000 Deutschland GmbH/mw)
DAVID FÜR NETWARE:
DVGRAB LÄUFT NICHT AUF RUNTIME
Auf dem Haupt-Server ist Netware 5.1 mit Service-Pack
1 installiert. Für die Runtime-Server-Installation wird Net-ware
4.11 mit Service-Pack 8a verwendet.
Von Tobit David für Netware wurde ein Update von der
Version 6.0 auf 6.5 durchgeführt. Danach haben wir das
Runtime-Setup aufgerufen. Dabei kam es zu dem folgenden
Problem:
Auf dem Runtime-Server im SYSTEM-Verzeichnis gab es
kein DVGRAB.NCF. Wir haben diese Datei anschließend vom
Haupt-Server kopiert.
DVGRAB startet zwar jetzt auf dem Runtime-Server,
allerdings ist unter Konfiguration – Postfächer kein Ein-trag
vorhanden, und es kann vor allem auch kein Post-fach
angelegt werden, da der Eintrag nicht abgespei-chert
wird.
Wir haben deshalb testweise DVGRAB auf dem Haupt-Ser-ver
gestartet. Dort läuft er, bei den Postfächern sind die Post-fächer
auch eingetragen, die in der Version 6.0 im POST-MAN
eingerichtet wurden.
Wenn DVGRAB auf dem Haupt-Server läuft, werden die
Mails empfangen und nach \DAVID\TLD\PORT\EXTRA
kopiert, aber von dort nicht vom Service-Layer aus verteilt.
Wir bekommen wir die Daten in den Grabbing-Server auf
der Runtime?
Dass beim Start des Grabbing-Servers auf dem Host-Server die Mails nicht weiterverteilt werden,ist klar,da auf dem Host ja nicht der hierfür zuständige Service-Layer läuft (er darf hier auch nicht gestartet werden,da Sie ja ansonsten eventuell Ihre Runtime-Installation unbrauchbar machen).
Dass bei einer Runtime-Installation die für den Grabbing-Server
notwendigen Module nicht auf die Runtime kopiert werden,
scheint bei Tobit ein bekanntes Problem zu sein:
“Runtime-Installation,Postman und DVGrab:Unter Umständen kann es vorkommen,
dass bei einer Runtime-Installation Daten von Postman und DVGrab nicht
abgespeichert werden können.Die Ursache liegt darin,dass die Verzeichnisse unterhalb von
David/Archive nicht auf dem Runtime-Server vorhanden sind.
Um dieses zu beheben,legen Sie einfach folgende Archive auf
dem Runtime-Server an:
David \Archive \System \David \DVGrab
David \Archive \System \David \Domains
mit allen Unterarchiven.“
(Computer 2000 Deutschland GmbH/mw)
ARCSERVE-IT UND BTRIEVE:
ASJOB-DATENBANK WIEDER HERSTELLEN
Unter Netware 4.11 läuft zur Datensicherung Arcserve-It
for Netware 6.6. Die Btrieve-Version ist 7.51.000. Folgende
Fehlermeldung tritt beim Start auf:
“E4205 – ASJOB.DB failed on integrity.“
Dieses Problem hatten wir schon einmal. Wie lautet die ge-naue Syntax, um mit BUTIL die ASJOB-Datenbank wieder herzustellen?
Seit dem Btrieve-Update gibt es Probleme mit den ASDB- Daten.Sie sollten zunächst alle *.DB-Dateien unter Arcserve-It löschen,anschließend purgen und neu anlegen.Danach eventuell noch die Btrieve-Version downgraden.Folgende Btrieve-Versionen sind in Verbindung mit dieser Arcserve- Version einsetzbar.Btrieve 6.10C,Btrieve 6.10F und Btrieve 7.00.
(Computer 2000 Deutschland GmbH/mw)
TIVOLI, AS/400 UND AXENT-FIREWALL
Tivoli soll über eine Firewall laufen, welche Ports müssen dafür freigeschaltet werden? Im gleichen Netz, in dem sich die AS/400 befindet, ist auch die Managementkonsole für Tivoli installiert. Alles läuft soweit ohne Probleme. Wenn über eine Firewall auf einen anderen Rechner zugegriffen werden soll, geht das allerdings nicht. Die Firewall ist von Axent, Version 6.02 auf Windows-NT-Basis.
Sie müssen den Port 94/TCP und 94/UDP (Tivoli Object Dis- patcher)in beide Richtungen freischalten.
Nachfolgend ein Beispiel der TCP/IP-Standardeinstellungen:
tcpport | 1500 | |
httpport | 8522 | |
ipxsocket | 1580 |
(Computer 2000 Deutschland GmbH/mw)
DAVID NT 6.0:
OLE-SERVER KONNTE NICHT REGISTRIERT WERDEN
Wenn ich mir unter Windows 2000 im Infocenter ein Fax ansehen möchte, erscheint folgende Fehlermeldung:
“OLE-Server konnte nicht automatisch registriert werden. Versuchen Sie es mit Regedit. OK”.
Mit OK kann man sich das Fax dann auch ansehen, trotzdem stört natürlich die Meldung. Wie bekommt man die weg?
Ob das Fax im Ausgangs- oder Eingangsbuch steht, ist dabei unerheblich. Wir nutzen nur den Faxdienst, also kein E-Mail. Bei einer Windows-NT-4-Workstation funktioniert dagegen alles normal.
Fügen Sie den Benutzer,der an der Windows-2000-Workstation arbeitet,im lokalen Benutzermanager einfach als Hauptbenutzer hinzu.
Oder geben Sie dem Benutzer über regedit auf alle David-Einträge Vollzugriff.
(Computer 2000 Deutschland GmbH/mw)
REDHAT-LINUX:
SICHERHEITSLÜCKEN IN SAMBA, ZOPE UND NEDIT
In allen Releases von Samba vor 2.0.9 wurde eine Racecondition bei der Erzeugung von temporären Dateien entdeckt. Dieser Umstand kann es einem lokalen Benutzer ermöglichen, Root-Rechte zu erlangen.
In Zope wurde eine Schwachstelle bei ZClasses gefunden, die es einem Anwender möglicherweise erlaubt, Berechtigungen zu verändern.
Im Nirvana-Editor NEdit wurde eine Lücke bezüglich temporärer Dateien entdeckt. Wird aus diesem Editor heraus Text gedruckt, sind die temporär angelegten Dateien nur ungenügend gesichert. Dadurch kann ein Angreifer Zugang zu einem Account dieses Systems erhalten - auch Root-Zugang.
Es stehen neue Updates zur Verfügung,nähere Einzelheiten
zu den Dateien und Betriebssystemen finden sich beispielsweise
im Security-Newsletter der R2R AG unter:
http://www.r2r.de/frameset_neues_r2r.html
Quelle:http://www.redhat.com/
(R2R AG)
NETZWERKANMELDUNG AKTIVIEREN UND DEAKTIVIEREN
Auf einem Notebook ist Windows NT 4.0 im Einsatz und der Novell Netware Client 4.71 installiert.
Da das Gerät mal am Netz hängt und manchmal auch standalone eingesetzt wird, wurden
zwei Hardware-Profile eingerichtet. Dabei ergibt sich das Problem, dass bei der
Anmeldemaske immer umgeschaltet werden muss zwischen
lokaler Anmeldung und Netzanmeldung, beziehungsweise
auch immer andere Accounts (NDS-Ac-count/lokaler User) eingetragen werden müssen.
Ist es irgendwie möglich, dies auch zu automatisieren?
Über die Hardware-Profile können Sie die gewünschte Anforderung nicht automatisieren,da die Novell-GINA, also das “Login ”an sich,nicht über die Hardware-Profile verknüpfbar ist;das heißt,Sie müssen trotzdem den “WORKSTATION ONLY ”Button drücken,auch wenn Sie sich nur lokal anmelden wollen.Damit dieser Button überhaupt auftaucht, muss er in den Client-Eigenschaften unter dem Karteireiter “ADVANCED LOGIN ” natürlich freigeschaltet sein.
Eine wesentlich elegantere Methode gelingt aber über die
LOCATION PROFILES:
Wenn ebenfalls unter “ADVANCED LOGIN ”die “LOCATION LIST ”
freigeschaltet ist, so haben Sie die verschiedenen eingerichteten
Location-Profiles in der Anmeldemaske zur Auswahl, in denen alle
Login/Logon-Informationen (bis auf das Passwort
natürlich)gespeichert sind: Also Login-Name, wo man sich anmelden
möchte (Netware-Tree /Kontext /Server), beziehungsweise eben eine
lokale Anmeldung (Account/Workstation etc...).
Insofern müssen Sie - je nachdem, ob das Notebook am Netz hängt oder nicht - bei der Anmeldemaske nur noch das entsprechende Location-Profile auswählen, um sich dann entweder an einem NDS-Baum oder eben nur lokal an der Workstation anzumelden.
Erstellen der verschiedenen Location-Profiles:
- In den Client-Eigenschaften unter dem Karteireiter “ADVANCED LOGIN ”stellen Sie wie oben beschrieben sicher,dass die Location List auch in der Anmeldemaske auftaucht.
- In den Client-Eigenschaften unter dem Karteireiter “LOCATION PROFILES ”löschen Sie am besten das “Default ”-Location-Profile,da dies nicht
unbedingt ein aussagekräftiger
Name ist,und erstellen gleichzeitig ein neues,beispielsweise
“NETZWERK ”.Wenn Sie dieses nun mit ADD hinzufügen,
so geben Sie als SERVICE INSTANCE nochmals den Namen ein (NETZWERK),fügen es wieder hinzu,und füllen
dann alle relevanten Daten aus:
Dies entspricht dann der ganz normalen NDS-Netzwerkanmeldung.
- Nun fügen Sie noch ein weiteres Location-Profile hinzu, beispielweise LOKAL,in dem Sie nun aber weder unter NDS,noch unter BINDERY noch unter Dial-up irgendetwas anschalten dürfen (also kein “Active Authenticator ” oder “enable Tab ”), sondern lediglich im Karteireiter WINDOWS NT wiederum denselben User wie oben (oder einen anderen lokalen User)für die Workstation definieren.Über die Location-Profiles können Sie den “Workstation Only ”-Button nicht konfigurieren; dies benötigen Sie aber auch nicht: Wenn wie hier im zweiten Profile lediglich die lokale Anmeldung konfiguriert wird (also kein NDS /Bindery /Dial-up), so bekommen Sie auch nur eine lokale Anmeldung zustande,das heißt,Sie brauchen hier auch nicht jedes mal den “Workstation Only ”-Button bei der Anmeldemaske umzustellen (dies wiederum bedeutet, Sie können den Button über den Karteireiter “Advanced Login ”auch gleich wieder ausschalten, um den User nicht weiter zu “verwirren ”).
Nun lässt sich bei jeder Anmeldung einfach das gewünschte Location-Profile aus der Location-List in der Anmeldemaske auswählen, und Sie brauchen nur noch Ihr Passwort für den jeweiligen User-Account eingeben und sind dann entweder im Netz oder lokal angemeldet.
Wenn Sie Ihre Workstation über die Location-Profiles
konfigurieren, benötigen Sie auch die Hardware-Profile
nicht unbedingt...(es sei denn,NT dreht durch, sollte zum Beispiel die
PCMCIA-NIC nicht im Slot stecken...?!)
(Computer 2000 Deutschland GmbH/mw)
DAVID FÜR NT 5.2 KANN KEINE FAXE MEHR VERSENDEN
Unsere Netzwerkumgebung besteht unter anderem aus Windows NT Server 4.0 mit Service-Pack 5, Tobit David 5.20a und AVM-B1-PCI-ISDN-Controllern. Seit einigen Tagen können wir nicht mehr faxen; das “normale” mailen (intern) über den Client funktioniert ohne Probleme. Gibt man eine Faxnummer als Empfänger an, wird dieser Versandauftrag nicht bearbeitet (Status unbearbeitet). Als Fehlermeldung erscheint im David Admin:
- Protocol error layer 1,
- Illegal Controller/PLCI/NCCI.
Wenn man mehrere ISDN-Controller im System betreibt und nicht alle für Tobit David, wie werden dann zum einen über die CAPI die entsprechenden Controller aufgeführt und zum anderen die TLD-Zuweisungen getätigt, um beim Faxversand den Fehler 0x2002 (falscher PLCI) zu verhindern?
Dieses Problem tritt auf,wenn mehrere Anwendungen auf einen oder mehrere ISDN-Controller zugreifen. Um den Stopp der TLD bei Fehlern zu beheben, können Sie folgende Änderungen durchführen.
- In der DAVID.INI eintragen:MaxSuccessiveErrorCount=0
- DVAdmin und TLD001 stoppen und wieder starten.
Werden PCI-B1-Karten verwendet,so lassen sich diese im
B1SETUP.NLM nicht deaktivieren.Wird im System eine B1
nicht für Tobit-Software verwendet, so kann man beim Laden
der CAPI nur die gewünschten Controller initialisieren lassen:
LOAD CAPI20 -Kx
x zählt hierbei von 0 an.Der erste Controller wird also mit
-K0 aktiviert,der zweite mit -K1 etc.Möchten Sie beispielsweise
Controller 2 und 4 aktivieren, während Controller 1 und
3 etwa für den AVM MPR oder AVM Connect zur Verfügung
stehen sollen, so laden Sie die CAPI mehrfach:
LOAD CAPI20 -K1
LOAD CAPI20 -K3
Die Zählweise im TLD-Layer unterscheidet sich aber wiederum von der obigen.
Um die richtigen Controller dem TLD bekannt zu geben,muss man in der
TLD.INI mit dem Punkt
CONTROLLER =y
die B1-Karten bekannt geben.Hier zählt aber die CAPI2.0 von
1 ab!
Dies bedeutet für obiges Beispiel (Controller 2 und 4 für To-
bit)muss in der einen TLD.INI eingetragen sein:
CONTROLLER =2
und in der anderen TLD.INI:
CONTROLLER =4
Zusammenfassung:
Zählweise bei der CAPI-Initialisierung:bei Null beginnend,
Zählweise bei der TLD-Zuweisung:bei Eins beginnend.
(Computer 2000 Deutschland GmbH/mw)
Sicherheitslücke in PGP unter Windows 9x, Me, NT und 2000
In PGP Version 5 bis einschließlich 7.03 wurde eine Sicherheitslücke gefunden. Wird eine so genannte ASCII-Armored-Datei wie beispielsweise ein öffentlicher Schlüssel oder auch eine angehängte Unterschrift geöffnet, besteht die Möglichkeit, dass auf dem System eine beliebige Datei angelegt wird. Unter Windows heißt dieses gleichzeitig, dass auch beliebiger Code ausgeführt werden kann.
Wir empfehlen, den Hotfix 1 für PGP Desktop Security Version 7.0.4 beziehungsweise PGPfreeware Version 7.0.3 zu installieren.
http://download.nai.com/products/licensed/pgp/desktop_secu rity/windows/version_7.04/hotfix/PGPDS704Hotfix1.zip
Quelle: http://www.atstake.com/
(R2R AG/mw)
SCSI-Controller an HP-DAT-Wechsler
Ein SCSI-Controller soll an einen HP DAT-Wechsler angeschlossen werden. Als Backup-Lösung ist Arcserve-It 6.6 unter Netware 5.1 vorgesehen. Worauf muss ich achten?
Um einen Wechsler unter Arcserve-It 6.x einwandfrei bedienen zu können, wird ein HBA (Host Bus Adapter) benötigt der LUN-Unterstützung hat. Da dies beim Onboard von HP nicht gewährleistet ist, muss ein anderer HBA genommen werden ( beispielsweise Adaptec 2940 ). Zusätzlich muss in der Zeile in der der Treiber geladen wird, der Parameter LUN_ENABLE=FFFF stehen. Damit wird der LUN-Support eingeschaltet.
White-Paper-Sammlung auf Bitpipe
Eine umfassende Sammlung von White-Papern und Artikeln findet sich im Internet bei Bitpipe unter www.bitpipe.com. Der Interessierte kann auf der Website nach Herstellern (mehr als 1700 Firmen), Analysten (Reports meistens kostenpflichtig, Abstracts frei) oder themenbezogen recherchieren. Zudem steht eine Volltextsuche über alle Bereiche zur Verfügung. Die meisten Dokumente sind erfreulicherweise kostenlos. Bitpipe umfasst unter anderem die Bereiche Hardware, E-Commerce, Networking, Telekommunikation, Enterprise-Computing, Software-Entwicklung und IT-Management. (mw)
Unter www.bitpipe.com findet sich eine umfassende Sammlung von White-Papern
Arcserve-It-Manager kann nicht gestartet werden
Auf einer Workstation im Netware-5.1-Netz läuft Windows 95 mit dem Novell-Client 3.21. Beim Start des Arcserve-Managers ( Arcserve-It for Netware Version 6.6 mit Service-Pack 1) kommt die Meldung: "No Sockets available Tape Server request denied, please try it later".
Auch wenn nur IP auf der Workstation gefahren wird, sollten Sie überprüfen, ob eine Datei mit der Bezeichnung NWIPXSPX.DLL mehrfach auf der Arbeitsplatzstation vorhanden ist. Wenn ja, dann darf nur die aus WINDOWS/SYSTEM gestartet werden, alle andere müssen Sie in NWIPXSPX.OLD oder *:BAK umbenennen. Anschließend Starten Sie die Workstation erneut und versuchen dann, den Arcserve-Manager zu starten. Dieser sollte grundsätzlich auf dem Server installiert werden und nur bei Bedarf auf einer Workstation mit dem GRPSetup eingerichtet werden. Dabei ist aber die gleiche Vorgehensweise zu beachten : NWIPXSPX.DLL darf nur aus dem Windows-Startverzeichnis geladen werden. Zusätzlich sollten sowenig Tasks wie möglich gestartet sein. Idealerweise beenden Sie alle Dienste und öffnen nur den Arcserve-Manager. Der Zugriff auf den Device-Manager hängt unter anderem auch vom RAM ab, das auf der Workstation zur Verfügung steht.
Red Hat Linux: Sicherheitslücken in Netscape, pine und pico
Netscape nimmt aus GIF-Dateien die enthaltenen Kommentare nicht heraus. Diese Kommentare können Java-Script enthalten, das beim Betrachten des Bildes automatisch ausgeführt wird. Mögliche Angriffe sind beispielsweise Zugriffe auf die lokale Festplatte oder die History des Browsers. Einige Versionen des E-Mail-Clients pine und des Editors pico zeigen bezüglich dem Anlegen temporärer Dateien Lücken. Daher kann jeder lokale Benutzer im Prinzip alle Dateien des Systems überschreiben.
Es stehen neue Updates zur Verfügung. Netscape: Red Hat Linux 6.2:
SRPMS:
ftp://updates.redhat.com/6.2/en/os/SRPMS/netscape-4.77-0.6.2.src.rpm
ftp://updates.redhat.com/6.2/en/os/SRPMS/netscape-alpha-4.77-0.6.2.src.rpm
alpha:
ftp://updates.redhat.com/6.2/en/os/alpha/netscape-common-4.77-0.6.2.alpha.rpm
ftp://updates.redhat.com/6.2/en/os/alpha/netscape-communicator-4.77-0.6.
2.alpha.rpm
ftp://updates.redhat.com/6.2/en/os/alpha/netscape-navigator-4.77-0.6.2.alpha.rpm
i386:
ftp://updates.redhat.com/6.2/en/os/i386/netscape-common-4.77-0.6.2.i386.rpm
ftp://updates.redhat.com/6.2/en/os/i386/netscape-communicator-4.77-0.6.2.i3
86.rpm
ftp://updates.redhat.com/6.2/en/os/i386/netscape-navigator-4.77-0.6.2.i386.rpm
Red Hat Linux 7.0:
SRPMS:
ftp://updates.redhat.com/7.0/en/os/SRPMS/netscape-4.77-1.src.rpm
ftp://updates.redhat.com/7.0/en/os/SRPMS/netscape-alpha-4.77-1.src.rpm
alpha:
ftp://updates.redhat.com/7.0/en/os/alpha/netscape-common-4.77-1.alpha.rpm
ftp://updates.redhat.com/7.0/en/os/alpha/netscape-communicator-4.77-1.alpha.rpm
ftp://updates.redhat.com/7.0/en/os/alpha/netscape-navigator-4.77-1.alpha.rpm
i386:
ftp://updates.redhat.com/7.0/en/os/i386/netscape-common-4.77-1.i386.rpm
ftp://updates.redhat.com/7.0/en/os/i386/netscape-communicator-4.77-1.i386.rpm
ftp://updates.redhat.com/7.0/en/os/i386/netscape-navigator-4.77-1.i386.rpm
pine/pico
Red Hat Linux 5.2:
SRPMS:
ftp://updates.redhat.com/5.2/en/os/SRPMS/pine-4.33-5.5x.src.rpm
alpha:
ftp://updates.redhat.com/5.2/en/os/alpha/pine-4.33-5.5x.alpha.rpm
i386:
ftp://updates.redhat.com/5.2/en/os/i386/pine-4.33-5.5x.i386.rpm
sparc:
ftp://updates.redhat.com/5.2/en/os/sparc/pine-4.33-5.5x.sparc.rpm
Red Hat Linux 6.2:
SRPMS:
ftp://updates.redhat.com/6.2/en/os/SRPMS/pine-4.33-6.6x.src.rpm
alpha:
ftp://updates.redhat.com/6.2/en/os/alpha/pine-4.33-6.6x.alpha.rpm
i386:
ftp://updates.redhat.com/6.2/en/os/i386/pine-4.33-6.6x.i386.rpm
sparc:
ftp://updates.redhat.com/6.2/en/os/sparc/pine-4.33-6.6x.sparc.rpm
Red Hat Linux 7.0:
SRPMS:
ftp://updates.redhat.com/7.0/en/os/SRPMS/pine-4.33-7.src.rpm
alpha:
ftp://updates.redhat.com/7.0/en/os/alpha/pine-4.33-7.alpha.rpm
i386:
ftp://updates.redhat.com/7.0/en/os/i386/pine-4.33-7.i386.rpm
Quelle: http://www.redhat.com/
Virengefahr durch: ELF_ADORE.A Aliase: Unix/Adore, ADORE.A, Red Worm, Linux/Adore
Adore nutzt die selben Schwächen wie seine Vorgänger Ramen und Lion. Nachdem der Wurm in das System eingedrungen ist, ersetzt er die Applikation ps durch einen Trojaner. Ps zeigt an, welche Programme auf dem Server aktiv sind - abgesehen vom Trojaner Adore. Die Original-Version von ps wird nach /usr/bin/adore verschoben. Danach versendet der Wurm die Systemdaten an vier E-Mail-Adressen mit den Benutzernamen adore9000 oder adore9001. Übertragen werden /etc/ftp/users, ifconfig, ps -aux (mit dem Original in /usr/bin/adore), dazu kommen /root/.bash_history, /etc/hosts und /etc/shadow. Außerdem ersetzt der Wurm das Internet Control Message Protocol (ICMP) mit einer Hintertür, die die Sicherheitsfunktionen des Servers umgeht, wenn dieser die entsprechende Sequenz aus dem Internet erhält. Über eine Root-Shell ist der Zugriff auf den Server möglich. Wurde der Befehl ausgeführt, aktiviert Adore einen so genannten Cron-Job, der alle Spuren des Wurms bis auf die Hintertür löscht.
Die Trend-Micro-Produktpalette erkennt diesen Virus ab dem Pattern 876. Quelle: http://www.trendmicro.com/
Sicherheitslücke in PGP unter Windows 9x, Me, NT und 2000
In PGP Version 5 bis einschließlich 7.03 wurde eine Sicherheitslücke gefunden. Wird eine so genannte ASCII-Armored-Datei wie beispielsweise ein öffentlicher Schlüssel oder auch eine angehängte Unterschrift geöffnet, besteht die Möglichkeit, dass auf dem System eine beliebige Datei angelegt wird. Unter Windows heißt dieses gleichzeitig, dass auch beliebiger Code ausgeführt werden kann.
Wir empfehlen, den Hotfix 1 für PGP Desktop Security Version 7.0.4 beziehungsweise PGPfreeware Version 7.0.3 zu installieren. http://download.nai.com/products/licensed/pgp/ desktop_security/windows/version_7.04/hotfix/PGPDS704Hotfix1.zip Quelle: http://www.atstake.com/
Sicherheitslücke im ISA Server 2000
Der ISA Server Web Proxy behandelt Web-Anfragen mit "speziellen" Argumenten nicht richtig. Durch das Abarbeiten einer solchen Anfrage gibt es eine Schutzverletzung, wodurch der Web Proxy nicht mehr zur Verfügung steht. Dieser Denial-of-Service (DoS) ist erst nach einem Neustart des Service behoben.
Microsoft hat einen Patch zur Verfügung gestellt: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29081 Quelle: http://www.aerasec.de/
DFML-FORMULARE IN TOBIT DAVID FÜR NETWARE 6.0 ERSTELLEN
Wie kann man die DFML-Formulare erstellen beziehungsweise bearbeiten, sodass diese auch im Tobit-Infocenter direkt in die Menüliste “Formulare” mit eingefügt werden? Wenn man ein bestehendes Formular abändert und unter einem neuen Namen speichert (“speichern als”) passiert dies jedenfalls nicht. Gibt es einen speziellen DFML-Editor, und wie ruft man ihn auf?
Die schon von Tobit mitgelieferten
DFML-Formulare sind zum Beispiel im Front-end über die Archiv-Leiste “Archive
– Ressourcen –Formulare ”zu erreichen oder einfacher direkt über den Menü-Button
“Formulare ”.Unter diesem Button tauchen nun die neu erstellten Formulare in diesem
Problemfall nicht auf.
Der physikalische Pfad auf das Formularverzeichnis
ist übrigens:Vol:DAVID \ARCHIVE \RESOURCE \FORMS \ Eine Möglichkeit,geänderte
DFML-Formulare ebenfalls in das Archiv beziehungsweise dann auch in die Menüleiste
mit zu übernehmen,ist die folgende:
Sie kopieren mit der Maus ein gewünschtes
Formular in Ihrem Front-end mit gehaltener STRG-Taste in ein anderes Archiv,wo
Sie es über die “Eigenschaften ”umbenennen.Wenn Sie dieses Formular dann wieder
mit der Maus in das ursprüngliche Formulararchive (Ressourcen –Formulare)verschieben,so
wird es auch in die Menüliste mit eingetragen. Hier können Sie es dann auch weiter
bearbeiten.
Alternativ können Sie in diesem Archiv
auch einfach ein neues Dokument erstellen,wobei Sie dann gleich alle gewünschten
HTML/DFML-Tags einsetzen;Dieses Dokument können Sie nun unter “Eigenschaften –Parameter
–Optionen als DFML-Formular ausweisen.Auch mit dieser Vorgehensweise ist dann
das Formular sowohl im Archiv selbst als auch in der Menüliste eingetragen.
Mit der Option “Speichern unter – Neuer
Name ”–taucht das “zusätzliche ”Formular jedenfalls nicht in der Liste mit auf.Dies
ist auch einleuchtend,da dann im physikalischen Pfad einfach eine neue Datei eingefügt
wird,dies aber nicht der ARCHIVE.DAT in diesem Verzeichnis mitgeteilt wird. Der
DFML-Editor verbirgt sich hinter der Datei DVDFML.EXE,die im Infocenter-Pfad steht:
C:\PROGRAMME \TOBIT INFO CENTER \DVDFML.EXE
Der Editor kann auch in das Kontextmenü
eingebaut werden, sodass ein DFML-Formular direkt aus dem Kontextmenü mit diesem
Editor aufgerufen werden kann.
Der Eintrag hierzu muss in die TOBIT.INI
in der Sektion [DVWIN ] getätigt werden und heißt folgendermaßen:: EntryCommand01=DFML-Viewer,“c:\programme
\tobit infocenter \dvdfml.exe ” %%s.001
Die Extension der Dateien (.001)muss
explizit mit angegeben werden,da sonst der “Pfad ” nicht gefunden wird. In dem
Aufruf können Sie die langen Verzeichnisnamen verwenden,obwohl Tobit hier die
folgenden Anweisung vorschlägt:
EntryCommand01=DFML-Viewer,“c:\progra~1
\tobiti~1 \ dvdfml.exe ” %s.001
Nun können Sie auf ein DFML-Formular
mit der rechten Maustaste gehen und den Eintrag DFML-Viewer (oder den von Ihnen
verwendeten Namen)auswählen,wobei dann dies gleich im DFML-Format (Maske)angezeigt
wird.Mit STRG+E beziehungsweise über das Menü “Formular –Bearbeiten ” können
nun die DFML--Tags etc.bearbeitet werden.
Unter Netware 5.0 mit Service-Pack
4 läuft unter anderem Arcserve-It für Netware Version 6.6.
Gibt es eine Möglichkeit, Arcserve-It
zu starten, ohne ein Bandlaufwerk im Server installiert zu haben?
Falls ein Server ausfällt, soll
eine Wechselfestplatte in den zweiten Server geschoben werden und dann Arcserve-It
mit einem Copy-Job gestartet werden; mit diesem Job soll dann von der Wechselfestplatte
zurückgesichert werden. Bei der Arcserve-It-Version für
Netware ist dies nicht möglich,es muss unbedingt ein Streamer vorhanden sein,damit
die Software einwandfrei starten kann.
Unter Windows 2000 läuft Novell Zenworks
Version 2.0. Seit dem Update auf den neuen Client 4.8 erhalten wir beim Start
des Novell NAL Application Launcher (Zenworks 2.0 Starter-Pack) die folgende Fehlermeldung:
“Status der Arbeitsstation konfigurieren,
ID 223. Problem: Zugriff auf benötigte Netzwerkressource nicht möglich. D01E”.
Die genaue englische Fehlermeldung
lautet: Problem: Unable to access needed
network resource (D01E)”
Aller Wahrscheinlichkeit nach haben
Sie bei der Installation des neuen Clients 4.8 den NAL-NT-Service mitinstalliert.
Dieser ist eigentlich nur für Zenworks 3 gedacht und nicht für das von Ihnen verwendete
Zenworks 2.Eine Lösung besteht darin,die ZENAPP32.DLL aus dem Zenworks-2- Patch
ZFD2SP1.EXE auszutauschen.Den Patch finden Sie zum Download unter: http://ftp3.novell.com/pub/updates/nw/zen2/
Diesen Patch dürfen Sie aber nicht installieren,da Sie ja “nur ” das Starter--Pack
im Einsatz haben.Der Patch kann nur bei der Vollversion installiert werden.Trotzdem
können Sie versuchen,die genannte DLL einzeln auszutauschen.
Die ZENAPP32.DLL aus der gezippten
ZFD2PT1.EXE kopieren Sie nach SYS:PUBLIC und in die drei Unterverzeichnisse
WIN32,WIN95 und WINNT (also insgesamt viermal). Die alte ZENAPP32.DLL kopieren
Sie zunächst zur Sicherheit woanders hin.Mit der geänderten ZENAPP32.DLL in
allen vier Verzeichnissen klappte wieder alles.
Auf einem Stand-alone-Server wurde
Outlook Web Access installiert. Anschließend habe ich versucht, das Exchange-
Service-Pack 3 zu installieren. Allerdings bricht die Installation mit der Fehlermeldung
ab, dass kein Zugriff auf die cdohtml.dll möglich ist.
Beim Installationsversuch waren folgende
Dienste gestoppt:
– Antivirusdienst (Inoculan), Compaq
Insight Agents, WWW-Dienst (wahrscheinlich der WWW Publishing Service). Welcher
Dienst greift auf die cdohtml.dll zu beziehungsweise welcher Dienst muss gestoppt
werden, damit die Installation des SP3 für Exchange funktioniert? Stellen Sie zur Installation sicher,dass
der Realtime-Scanner (Task-Leiste)des Virenscanners ebenfalls deaktiviert ist
(Dienst beenden,nicht anhalten).Beenden Sie gegebenenfalls die Web-Seiten in
dem Internet-Dienstmanager,aber nicht den WWW-Publishing-Dienst der NT-Dienste.
Unter Netware 4.11 mit Service-Pack
8a ist Zenworks 2 im Einsatz. Wenn ein Snapshot einer Applikation erstellt wird,
werden jedes mal die Verzeichnisse C:\SNAP-SHOT. DIR\BEFORE und C:\SNAPSHOT.DIR\AFTER
erstellt. Standardmäßig werden diese auf C:\ erstellt. Dort ist aber zu wenig
Platz. Wo kann ich Änderungen vornehmen, sodass das Verzeichnis auf ein anderes
Laufwerk umgelenkt wird?
Wenn der Snapshot durchlaufen wird,gibt
es beim Punkt “Snapshot Setting Summary ”die Möglichkeit,die Einstellungen unter
“Save Preferences ”in eine *.INI-Datei zu sichern.
In der *.INI-Datei kann manuell unter
der Sektion [STRINGS ]der Eintrag “SnapShotWorkingDrive ” auf das gewünschte Laufwerk
gelegt werden.
Wird der Snapshot erneut durchlaufen,können
Sie an der Stelle: Nachdem ein Börsenticker von einem
Browser-Client geöffnet wurde, holt sich der Proxy alle paar Minuten aktuelle
Daten aus dem Internet. Wie kann man dies wiederabschalten? Sie können anhand der Logfiles überprüfen,wer
was im Internet tut und dementsprechend einen Port im Winsock blockieren beziehungsweise
eine Web-Seite sperren. Die Einträge ohne Quelladresse kommen vom Proxy-Server
selbst,der über das aktive Zwischenspeichern Seiten aktualisiert. Auf dem Client sind Outlook 2000
und Windows 95C mit dem DFÜ-Netzwerk installiert. Die Einwahl in das Firmennetz
erfolgt über einen RAS-Server. Es kann allerdings nur mit dem Administrator-Account
auf Exchange – Version 5.5 mit Service-Pack 3 – zugegriffen werden. Alle anderen
User werden zwar authentisiert (PPP), aber der Zugriff auf Exchange funktioniert
nicht. Hier wird nochmals die Anmeldung verlangt. Diese lehnt der Exchange-Server
aber mit folgender Meldung ab: “Anmeldeinformationen fehlerhaft”. Meistens schlägt eine Benutzeranmeldung
an Windows-NT- Domänen fehl,weil im Feld “Arbeitsgruppe ”der Identifikation
der Netzwerkumgebungseigenschaften nicht der Name der Domäne enthalten ist,an
die sich der Windows-9x-Client anmeldet. Das lokale Passwort muss mit dem der
Domäne übereinstimmen, damit die Anmeldung erfolgreich abgeschlossen werden
kann. Beim Zugriff auf den Kalender eines
Anwenders in Vertreterfunktion erscheint die folgende Meldung: “C057”. Ein direkter
Zugriff ist auch nicht mehr möglich. Ich habe im Novell- Support-Forum im Web
nachgelesen, was dies bedeuten soll, wurde mir aber nicht ganz schlüssig. Dort
wird von einer Datenrücksicherung gesprochen. Kann ich nur den einen Anwender
zurücksichern? Wenn ja, welche Dateien sind das? Bei einem Proxy-Zugriff auf diesen
Anwender kommt die Meldung:“unexpected error occured,please exit and restart.C057.”
Auf dem Client wird Windows 98 SE und der Netware-Client32 3.2.0.0 gefahren. Das WAN-Interface des AVM-Multiprotokoll-Routers
3.1 für Netware wechselt manchmal in den Status “out-queued”. Was bedeutet das?
Es gibt mehrere Ursachen für einen
“out-queued ”-Status.Da das Problem aber nur hin und wieder aufzutreten scheint,dürfte
es am ehesten auf einen der ersten drei Punkte zutreffen und hier auch am ehesten
auf Punkt eins: Es sollen neue Druckertreiber herunter
geladen und unter Netware 5.1 in das NDPS-System eingepflegt werden. Wie geht
das? Die in der NDPS-Resource-Managementdatenbank
schon hinterlegten Druckertreiber kann man sich beim Erstellen eines neuen Printer
(Agents)beziehungsweise dann auch über die De- tails des NDPS-Brokers “Resource
Management Service ”(RMS) ansehen. Um weitere/neuere Druckertreiber der RMS-Datenbank
hinzu- zufügen,geht man normalerweise wie folgt vor: In unserem Unternehmen ist Windows
NT Server 4.0 in Deutsch im Einsatz. Bei dem Versuch, das Service-Pack 6a einzuspielen,
bricht die Installationsroutine beim Überprüfen der Konfiguration mit folgender
Fehlermeldung ab:
Sie haben wahrscheinlich auf Ihrem
System auch den Internet Explorer 5.5 installiert,der 128-Bit-Verschlüsselung
unterstützt; daher tritt diese Fehlermeldung auf. In der Sektion [Check.For.128.Security ]setzen Sie in den letz- ten zwei Zeilen
jeweils ein Semikolon an den Beginn der Zeile und kommentieren diese damit aus
(Bild1). Damit überprüft die Installationsroutine die Verschlüsselung nicht
mehr,und das Update funktioniert. Eine weitere Lösung besteht darin,mit einem
Texteditor den Verweis auf die Datei SCHANNEL.DLL aus dem Abschnitt [CheckSecurity.System32.files
]der Datei UPDATE.INF des Ser- vice-Packs zu entfernen,bevor Sie versuchen,es
zu installieren. Dadurch wird verhindert,dass das Installationsprogramm die
Ver- sionsnummer der Datei SCHANNEL.DLL prüft. (Computer 2000 Deutschland GmbH/mw) In unserem Unternehmen ist Windows
NT Server 4.0 in Deutsch im Einsatz. Bei dem Versuch, das Service-Pack 6a einzuspielen,
bricht die Installationsroutine beim Überprüfen der Konfiguration mit folgender
Fehlermeldung ab: “Sie möchten eine Service-Pack-Version mit Standardverschlüsselung
auf einem System mit 128-Bit-Verschlüsselung (High Encryption) installieren.
Diese Konstellation wird nicht unterstützt. Um das Service-Pack erfolgreich
zu installieren, müssen Sie die Version mit 128-Bit-Verschlüsselung verwenden.
Weitere Informationen zum Beziehen der Service-Pack-Version mit 128-Bit-Verschlüsselung
erhalten Sie in der Hilfe. Die Installation wird jetzt abgebrochen.” Wie lässt
sich das Service-Pack 6a in Deutsch trotzdem auf dem System installieren? Sie haben wahrscheinlich auf Ihrem
System auch den Internet Explorer 5.5 installiert,der 128-Bit-Verschlüsselung
unterstützt; daher tritt diese Fehlermeldung auf. Im Verzeichnis Ihres Service-Packs
6a existiert ein Unterver- zeichnis “UPDATE ”und darin die Datei UPDATE.INF,die
Sie folgendermaßen editieren: In der Sektion [Check.For.128.Security
]setzen Sie in den letz- ten zwei Zeilen jeweils ein Semikolon an den Beginn
der Zeile und kommentieren diese damit aus (Bild1). Damit überprüft die Installationsroutine
die Verschlüsselung nicht mehr,und das Update funktioniert. Eine weitere Lösung
besteht darin,mit einem Texteditor den Verweis auf die Datei SCHANNEL.DLL aus
dem Abschnitt [CheckSecurity.System32.files ]der Datei UPDATE.INF des Ser- vice-Packs
zu entfernen,bevor Sie versuchen,es zu installieren. Dadurch wird verhindert,dass
das Installationsprogramm die Ver- sionsnummer der Datei SCHANNEL.DLL prüft.
Es sollen neue Druckertreiber herunter
geladen und unter Netware 5.1 in das NDPS-System eingepflegt werden. Wie geht
das? Die in der NDPS-Resource-Managementdatenbank
schon hinterlegten Druckertreiber kann man sich beim Erstellen eines neuen Printer
(Agents)beziehungsweise dann auch über die Details des NDPS-Brokers “Resource
Management Service ”(RMS) ansehen. Das WAN-Interface des AVM-Multiprotokoll-Routers
3.1 für Netware wechselt manchmal in den Status “out-queued”. Was bedeutet das? Es gibt mehrere Ursachen für einen
“out-queued ”-Status.Da das Problem aber nur hin und wieder aufzutreten scheint,dürfte
es am ehesten auf einen der ersten drei Punkte zutreffen und hier auch am ehesten
auf Punkt eins: Beim Zugriff auf den Kalender eines
Anwenders in Vertreterfunktion erscheint die folgende Meldung: “C057”. Ein direkter
Zugriff ist auch nicht mehr möglich. Ich habe im No-vellSupport-Forum im Web
nachgelesen, was dies bedeuten soll, wurde mir aber nicht ganz schlüssig. Dort
wird von einer Datenrücksicherung gesprochen. Kann ich nur den einen Anwender
zurücksichern? Wenn ja, welche Dateien sind das? Bei einem Proxy-Zugriff auf diesen
Anwender kommt die Meldung:“unexpected error occured,please exit and restart.C057.”
Auf dem Client wird Windows 98 SE und der Netware-Client32 3.2.0.0 gefahren. Auf dem Client sind Outlook 2000
und Windows 95C mit dem DFÜ-Netzwerk installiert. Die Einwahl in das Firmennetz
erfolgt über einen RAS-Server. Es kann allerdings nur mit dem Administrator-Account
auf Exchange – Version 5.5 mit Service-Pack 3 – zugegriffen werden. Alle anderen
User werden zwar authentisiert (PPP), aber der Zugriff auf Exchange funktioniert
nicht. Hier wird nochmals die Anmeldung verlangt. Diese lehnt der Exchange-Server
aber mit folgender Meldung ab: “Anmeldeinformationen fehlerhaft”. Meistens schlägt eine Benutzeranmeldung
an Windows-NT- Domänen fehl,weil im Feld “Arbeitsgruppe ”der Identifikation
der Netzwerkumgebungseigenschaften nicht der Name der Domäne enthalten ist,an
die sich der Windows-9x-Client anmeldet. Das lokale Passwort muss mit dem der
Domäne übereinstimmen, damit die Anmeldung erfolgreich abgeschlossen werden
kann. Dieser Wurm verbreitet sich, indem
er eine Kopie von sich selbst an alle Adressen verschickt, die sich im User-Adressbuch
befinden. Wenn er ausgeführt wird, befällt er das HOSTS-File im Windows-Verzeichnis
und überprüft einen speziellen Schlüssel in der Registry. Hat VBS_REQ.A diese
Informationen erlangt, versucht er, diese an drei E-Mail- Adressen zu versenden.
Die betreffende E-Mail enthält folgende Informationen: Die Trend-Micro-Produktpalette erkennt
diese Variante ab dem Pattern 800. Wir setzen Windows NT Workstation
mit Service-Pack 6a ein. In der Netzwerkumgebung wird bei TCP/IP ein Default
Gateway eingetragen. Allerdings sollen bestimmte Hosts oder Netze nicht über
das Default Gateway, sondern über einen anderen Hop erreicht werden. Dies wird
durch folgenden Eintrag realisiert: ROUTE ADD ipadresse MASK maske hop METRIC
1 Nach jedem Systemstart muss dieser Eintrag allerdings erneut spezifiziert
werden. Wo kann ich diese Zeile hinterlegen, damit sie bei jedem Systemstart
abgearbeitet wird ? Wird der Parameter -p mit dem ADD-Befehl
verwendet, bleibt die Route nach dem Neustart des Systems erhalten.Standardmäßig
werden zuvor existierende Routen beim Neustart des Systems entfernt.Wenn Sie
diesen Parameter mit dem PRINT- Befehl verwenden,wird eine Liste aller registrierten
gespeicherten Routen eingeblendet.Dieser Parameter wird ignoriert, wenn er mit
anderen Befehlen verwendet wird,die sich immer auf die entsprechenden beständigen
Routen auswirken. Bei älteren David-Versionen konnte
man die Verbin-dungsinformationen einer E-Mail (wer wann was worüber versandt
hat) einsehen, und zwar über das Kontextmenü mit dem Punkt “KOMMENTAR EDITIEREN”.
Dieser Punkt ist auch unter David 6 vorhanden, nur wird hier nichts angezeigt. Dieser Menüpunkt ist auch im David-6-Infocenter-Client
enthalten.Ob hier aber überhaupt etwas angezeigt wird oder nicht, hängt auch
von der Einstellung im “POSTMAN -KONFIGURATION -SYSTEM -KOMMUNIKATION ALS KOMMENTAR
” ab.Diese Einstellung steht bei David 6 aber standardmäßig auf NEIN,sodass
die Header-Informationen zunächst gar nicht als 0TX-File mit gespeichert werden.Wenn
Sie diese Einstellung aber auf JA ändern,so sehen Sie auch die 0TX-Files,in
denen die Mail-Header-Informationen enthalten sind.Diese Informationen können
Sie nun entweder wie gewohnt über den Kontext-Menüeintrag “KOMMENTAR EDITIEREN
”einsehen,oder aber einen selbst definierten Menüeintrag anlegen.Hierzu nehmen
Sie in Ihrer TOBIT.INI im Windows-Verzeichnis unter der Rubrik [DVWIN ] den
folgenden Eintrag vor:: EntryCommand01=Header,“c:\winnt \notepad.exe ” %%s.0tx
In diesem Fall sehen Sie im Kontextmenü den zusätzlichen Eintrag “Header ”.Bei
einem Klick darauf wird in diesem Beispiel das Notepad von einer Windows-NT-Workstation
gestartet und die Header-Informationen angezeigt.Der Pfad muss natürlich eventuell
an die tatsächlich vorhandene Umgebung angepasst werden. Nach dem Starten des Backups mit
Veritas Backup Exec 8.0 tritt eine Fehlermeldung in der Ereignisanzeige auf:
“ID 10010 Der Server (...) konnte innerhalb des angegebenen Zeitabschnitts mit
DCOM nicht registriert werden Benutzer = Exchange, Quelle = DCOM”. Die Meldung
kommt vom Exchange Server 5.5 mit Service- Pack 3. Der Fehler tritt seit einer
Woche auf, das Backup funktioniert anschließend korrekt. Die Ereignisanzeige “ID 10010 Der
Server {EE1EC458-69B3- 11D3-A0B7-00105A723493}konnte innerhalb des angegebenen
Zeitabschnitts mit DCOM nicht registriert werden ”tritt mit unterschiedlichen
Applikationen und Betriebssystemen auf.Um zu tes- ten,ob Veritas Backup Exec
8.0 daran beteiligt ist,sollte der Backup-Job um eine Stunde versetzt werden.Dadurch
kann einerseits festgestellt werden,ob die oben genannte Meldung mit dem Backup-Job
zusammenhängt und ob die Erzeugung der Verzeichnisses Wfv(x)damit zusammenhängt.
Durch Zulassen der DCOM-Registrierung und Einrichten eines neuen Jobs zu einer
anderen Zeit konnte das Problem behoben werden. Unter Windows NT gibt die Ressourcen
C$ und D$, auf die man als Admin zugreifen kann. Das soll nun bei Win-dows 2000
Professional Workstation entfernt werden. Unter Windows NT ließ sich das mit
einem Registry-Ein-trag durchführen. Wie funtioniert das unter Windows 2000?
Die Einträge befinden sich nicht an der gleichen Stelle wie bei Windows NT 4.0. Sie können unter Windows 2000 genauso
wie unter Windows NT 4 die administrativen Freigaben ein-beziehungsweise ausschalten.Unter
dem Registry-Key HKEY_LOCAL_MACHI NE \System \CurrentControlSet \Services \LanmanServer
\Parameters füge Sie die neuen Schlüssel AutoShareServer und AutoShareWks als
DWORD hinzu und setzen die Werte (0=disable 1=enable). Unter Windows 2000 ist es durch eine
Lücke in der NTLM-Authentisierung möglich, die Sperre, nach der keine weiteren
Passwörter eingegeben werden können, zu umgehen. Selbst wenn der Administrator
die Anzahl der Versuche beschränkt hat, ist dies noch möglich. Diese Lücke betrifft
Rechner mit Windows 2000, die Mitglied einer NT-Domäne sind. Außerdem muss sich
der Benutzer, dessen Account kompromittiert werden soll, bereits einmal an diesem
Rechner angemeldet haben, damit sich seine Daten im Cache befinden. Zur Vermeidung dieser potenziellen
Lücke hat Microsoft unter folgender URL einen Patch veröffentlicht: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25606
Quelle:http://www.aerasec.de/security/ In unserem Netware-5.0-Netz erscheint
ständig die fol-gende Konsolenmeldung: “The DS audit file treshold for T=Baumname
has been reached” Was ist zu tun, und was ist die Ursache? Entweder wurde auf Volume-oder Containerlevel
das Netware Auditing aktiviert,und das entsprechende Logfile hat jetzt die maximal
eingestellte Größe erreicht. Sie können per AUDITCON.EXE über den Menüpunkt
“Audit files maintenance ”das Logfile löschen,kopieren oder zurücksetzen. Während der Installation wird bei
früheren Versionen von Exchange 2000 ein Default-Benutzer mit einem Default-
Passwort angelegt, aber danach nicht gelöscht. Normalerweise kann man mit diesem
Account lediglich einen lokalen Log-in durchführen, wodurch nur normale Benutzerrechte
erlangt werden. Ist Exchange jedoch auf einem Domain-Controller installiert,
kann Domainweiter Zugang erreicht werden. Microsoft hat unter folgender URL
einen Patch veröffentlicht: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25866
Quelle:http://www.aerasec.de/security/ In unserem Netzwerk mit Windows 2000
Professionell (Service-Pack 1) und NT 4.0 treten Probleme mit der Zeitsynchronisation
auf. Der Client synchronisiert seine Zeit mit dem Domänen-Controller nicht.
Die Option "Net Time" hat auch keine Änderung gebracht. Die Zeit am Client ist
nach wie vor verstellt. Von einer Windows-2000-Professional-Workstation
wurde der Befehl Net Time \\Name> /set /y ausgeführt und einmal an einen Windows-NT-4-Domänen-Controller
sowie an einen Windows-2000-Domänen-Controller gesendet. Beide Befehle stellten
die Zeit entsprechend um. Steht der Windows-2000-Professionell-Rechner als Ressource
in der Windows-2000-Domäne, regelt sich der Zeitabgleich automatisch. Wie kann man, als Administrator angemeldet,
auf einem entfernten PC unter Windows NT eine Freigabe einrichten? Kann ich
dazu den Server-Manager verwenden? Mit dem Programm SHRPUBW.EXE können
Sie auf entfernten Systemen Verzeichnisse einrichten und freigeben. Der Server-Manager
ist nur in der Lage, ein bereits bestehendes Verzeichnis freizugeben. Wenn unter Netware 3.2 eine SMC-Karte
geladen werden soll, funktioniert dies nicht, und folgende Fehlermeldung erscheint:
"Cannot allocate the required number of RCBs". Es handelt sich um eine SMC 9432m,
getestet wurde auch die SMC 9432btx/1. In der STARTUP.NCF waren die RESERVED
BUFFERS BELOW 16 MEG nicht gesetzt. Diese stellten wir auf 300, aber ohne Erfolg.
Die MINIMUM PACKET RECEIVE BUFFERS
wurden auf Default (100 bei Netware 3) belassen; dies sollte auf alle Fälle
ausreichen, da nur eine NIC installiert ist. Die ODI-Spec und die Support-Module
stimmten ebenfalls. Der RAM-Speicher wurde darüber hinaus vollständig automatisch
erkannt.
Es stellte sich heraus, dass die
"MAXIMUM PHYSICAL RECEIVE PACKET SIZE" auf 1514 heruntergedreht wurde. Als wir
diese auf Default 4202 einstellten, konnte die NIC aktiviert werden. Die Fehlermeldung
der SMC-Karte entspricht somit den von einigen anderen NICs hervorgerufenen
und eher bekannteren Fehlermeldungen:
Error: "Set maximum Packet Receive
Buffers to > or = 2000" (irreführend!!!)
Error: "Insufficient receive buffers
to initialize the received unit"
Error: "Insufficient memory to initialize
the received unit"
Diese drei Fehler sind in TID 10015660
für die Intel- CE100B- oder die Compaq-N100-Netzwerkkarten beschrieben. Auch
bei diesen Meldungen muss die MAXIMUM PHYSICAL RECEIVE PACKET SIZE auf mindestens
2048 gesetzt sein, damit die Karte initialisiert werden kann, auch wenn ein
Ethernet-Frame eigentlich nicht größer als 1518 werden kann. Wir setzen einen Cisco-Router Modell
801 und IOS 12.07 mit der CAPI-Version ein. Dabei haben wir folgendes Problem:
Damit der Router rauswählen kann, muss die MSN-Nummer (Multiple Subscriber Number)
der Nebenstelle angegeben werden. Welche Befehle werden dazu verwendet? Sie müssen den Befehl ISDN CALLING
NUMBER verwenden. Für einen "Outgoing Call" mit der Nummer 5551212 würde das
folgendermaßen aussehen: Mit NET USE soll ein freigegebenes
Laufwerk des NT-Servers (Version 4.0 mit Service-Pack 5) verbunden werden. Dabei
kommt immer die Meldung: Systemfehler 53- Der Netzwerkpfad wurde nicht gefunden.
Die Verbindung geht über einen Router, PING funktioniert. Als Protokoll wird
nur TCP/IP eingesetzt. Was mache ich falsch? Müssen am Router bestimmte Ports
offen sein? Der Router ist eigentlich völlig offen. Hier besteht kein Problem der Namensauflösung,
sondern der Berechtigung: Es handelt sich nicht nur um zwei Segmente, sondern
um zwei Domänen. Es muss eine einseitige Vertrauensstellung hergestellt werden
(die Ressourcendomäne vertraut der Anmeldedomäne). Wie wird der SQL Server 7 im Einzelbenutzermodus
gestartet? Sie geben im DOS-Fenster sqlservr.exe
-m ein. Ich habe ein Profil erstellt, dieses
umbenannt, gesichert und so gespeichert, dass der Benutzer es nicht mehr ändern
kann. Dann wurde dieses Profil dreimal kopiert und auch so gesichert, dass es
nicht verändert werden kann. Benutzer können es trotzdem modifizieren, woran
liegt das? Im Benutzermanager für Domänen haben
Sie wahrscheinlich keinen Pfad zum Benutzerprofil (UNC-Pfad) eingetragen. Somit verwendet der Benutzer, der
sich auf der Domäne anmeldet, nur das lokal gespeicherte Profil und nicht das
Mandatory-Profil vom Server. Wir verwenden Tobits David für NT
in der Version 6. Beim Senden soll das Tobit-Logo rechts oben im Dokument gegen
ein Firmen-Logo ersetzt werden. Unter Netware ging das problemlos. Was muss
ich unter NT beachten? In David\Code\Resource\Header Header$.bmp
nach Header.bmp kopieren und neu gestalten. Zu beachten gilt: 200 mal 46 Punkte
und nur schwarzweiß möglich. Danach müssen Sie den Service-Layer neu starten.
In der Systemsteuerung, Eintrag Kennwörter,
Benutzerprofile: Es soll an 100 Maschinen von "Für alle Benutzer gelten die
gleichen Profile.." auf den zweiten Punkt "Benutzer können ändern...es werden
die individuellen Einstellungen wieder hergestellt" gewechselt werden. Welcher
Wert in der Registry repräsentiert dies? Die Einstellung der Userprofiles
ist unter HKLM\Network \Logon\UserProfiles = 1 hinterlegt. UserProfiles muss
als DWORD-Wert hinzugefügt werden. Wenn man sich über einen Browser
am FTP-Server von Netware 5.1 anmelden möchte, ist dies etwas umständlich:
Entweder gibt man als URL an:
FTP://Username:Passwort@IP-Adresse(:Port)
oder aber:
FTP://Username@IP-Adresse,
wobei man bei der zweiten Möglichkeit
nach dem Passwort gefragt wird. Angenehmer wäre es aber, wenn man sich einfach
wie in einer DOS-Box anmelden könnte:
FTP://IP-Adresse
mit einer anschließenden Anmeldemaske
für den User-Namen und dessen Passwort. Dies funktioniert aber nicht, da sofort
die folgende Fehlermeldung erscheint:
"FTP-Fehler Anmeldung beim FTP-Server
nicht möglich
Login failed: Anonymous Access Disabled"
Kann man die Login-Syntax irgendwo
umstellen?
Den Netware-5.1-FTP-Server können Sie
nicht entsprechend umkonfigurieren. Dass Sie die URL-Syntax
ftp://User:Password@IP-Address(:Port)
verwenden müssen, ist auch in den Server
Settings im Web-Manager hinterlegt:
https://IP-Adresse:2200 -> "Netware
FTP Server" -> "Server Settings"
Die einzigen Möglichkeiten, die umständliche
Syntax nicht verwenden zu müssen, ist der FTP-Zugriff weiterhin über eine DOS-Box
per ("FTP IP-Adresse" und der dann kommenden User- und Passwortabfrage) oder aber
das Einrichten des Users ANONYMOUS: Hierzu müssen Sie das NWFTPD.NLM mit dem Schalter
-A starten:
(LOAD) NWFTPD -A
Sie melden sich dann als Admin an.
Damit wird Ihnen in der NDS der User Anonymous erstellt und gleichzeitig auch
die Erlaubnis eines anonymen Users umgestellt. Folgendes sollten Sie aber auf
alle Fälle nochmals überprüfen:
a) Entweder wieder über den Web-Manager:
https://IP-Adresse:2200 -> "Netware FTP Server" -> "User Settings" -> "Allow anonymous
access" muß dann auf YES gesetzt sein.
b) oder über die FTP-Server-Konfigurationsdatei
SYS:ETC\FTPSERV.CFG Beachten Sie zum Anonymous-Log-in aber folgendes: Dessen "Home-Directory"
ist standardmäßig SYS:PUBLIC, das heißt, mit dieser Methode hätte jeder Benutzer
Zugriff auf SYS:PUBLIC inklusive der Unterverzeichnisse. Eventuell sollten Sie
also ein anderes Home-Directory hinterlegen, was Sie wieder über die User-Settings
oder über die FTPSERV.CFG. vornehmen können.
Ein Admin hat dann weiterhin Zugriff
auf andere Verzeichnisse wie SYS: oder dergleichen, wenn er sich mit der etwas
umständlicheren Syntax am FTP-Server anmeldet. Wir haben einen neu installierten
Small-Business-Server (SBS), der in ein Netz mit einem bereits vorhandenen primären
Domänen-Controller (PDC) integriert werden soll. Der bereits vorhandene
PDC kann aber nicht zum Backup-Domänen-Controller (BDC) umkonfiguriert
werden. Er synchronisiert sich stundenlang, und weiter passiert nichts. Im Ereignisprotokoll
sind anscheinend keine Fehler.
Der Small-Business-Server muss der
PDC der SBS-Domäne sein. Sie können den SBS nicht als Backup-Domänen-Controller
zu einer vorhandenen Domäne installieren. Der SBS wird PDC, und der vorhandene
PDC muss als BDC neu installiert werden.
(Computer 2000 Deutschland GmbH/mw) Wir setzen Exchange Server 5.5 und
Outlook 2000 ein. E-Mails, die in dem öffentlichen Ordner reinkommen, sollen
automatisch ausgedruckt werden. Wie lässt sich das realisieren?
Es ist mit Exchange nicht möglich,
Nachrichten aus öffentlichen Ordnern automatisch auszudrucken. Mit Outlook
2000 können Nachrichten aus dem Posteingang über den Regelassistenten
ausgedruckt werden.
Richten Sie die Umgebung derart ein,
dass alle Nachrichten in einem speziellen Postfach eintreffen, von dort ausgedruckt
werden und anschließend in den öffentlichen Ordner verschoben werden.
Dazu ist es notwendig, dass auf einem Client (Server) Outlook permanent läuft.
(Computer 2000 Deutschland GmbH/mw) Bislang konnte der Netware-5-Server
sauber über die Tobit-Time-LAN-Funkuhr synchronisiert werden. Seit dem
Einspielen des Service-Pack 5 für Netware 5 kommt aber keine Synchronisation
mehr zustande. Woran kann dies liegen?
Dafür können zwei Gründe
dafür verantwortlich sein:
1. Mit dem Einspielen eines Netware-5-Service-Packs
kommt es häufig vor, dass alle geänderten SET-Parameter wieder auf Default
zurückgesetzt werden; nicht unbedingt mit dem NW5SP5, aber auf jeden Fall
kann dies bis zu NW5SP4 inklusive passieren (siehe auch das Readme im Service-Pack
4). Die eingestellten (geänderten) SET-Parameter werden bei der Installation
des Service-Packs in der Text-Datei SYS:\ENVIRO.TXT abgelegt und müssen nach
der Installation wieder geändert werden. In Zusammenhang mit der Tobit-Time-LAN-Funkuhr
ist hier der SET-Parameter "SET TIMESYNC HARDWARE CLOCK" entscheidend, der für
eine saubere Synchronisation durch die Time-LAN-Funkuhr auf OFF gestellt sein
muss.
2. Werden IDE-Devices im Server verwendet
(HDDs, CD-ROMs), so zeigt selbst der IDEATA.HAM aus dem derzeit aktuellen NW5SP5.EXE
noch ein Zeitsynchronisations-Problem (Treiber vom 29. März 2000). In diesem
Fall muss unbedingt der IDEATA.HAM aus dem Zusatz-Patch IDEATA5A.EXE eingespielt
werden. Der Treiber sollte also mindestens vom 05. Juni 2000 sein.
(Computer 2000 Deutschland GmbH/mw) In unserem Netz läuft unter
anderem Microsoft Backoffice Small Business Server 4.5 (SBS 4.5) mit Service-Pack
5 sowie Exchange Server 5.5 mit Service-Pack 4. Wie können wir alternative
E-Mail-Adressen für Exchange-Server-Objekte erstellen? Zudem erhalten wir
folgende Fehlermeldung:
ID:10067 MSEXCIMC.EXE 0xc0000005.
Bei der Installation des POP3-Connectors
traten Probleme auf. Dieser wurde daraufhin wieder deinstalliert. Dabei wurde
leider auch der Internet-Mail-Dienst entfernt. Wie kann man diesen wieder installieren?
Verwenden Sie die Registerkarte "Adressierung",
um alternative E-Mail-Adressen für Microsoft-Exchange-Server-Objekte zu erstellen
oder zu ändern. E-Mail-Adressen werden verwendet, um Microsoft-Exchange-Server-Objekte
für Gateways und Connectoren zu identifizieren, die Microsoft Exchange Server
mit anderen Messaging-Systemen verbinden. Verwenden Sie die Registerkarte "Adressierung",
um einen oder mehrere der folgenden Adresstypen zu erstellen, zu ändern oder
zu entfernen:
benutzerdefinierte Adresse
- Microsoft-Mail-Adresse
- Mac-Mail-Adresse
- X.400-Adresse
- Internet-Adresse
- cc:Mail-Adresse.
Standardmäßig generiert Microsoft
Exchange für jedes Empfängerobjekt mit Hilfe der von Ihnen eingegebenen
Informationen Lotus cc:Mail-, Microsoft Mail-, X.400- und Internet-Adressen. Wenn
Sie Empfängerinformationen ändern, die zum Erstellen von E-Mail-Adressen
verwendet werden (wie beispielsweise den Vornamen, Nachnamen oder Alias eines
Postfachs), werden die E-Mail-Adressen nicht automatisch aktualisiert. Bereits
generierte E-Mail-Adressen müssen Sie manuell bearbeiten.
Vorsicht: Viele andere Exchange-Server-Dienste
verwenden diese Standardadressen. Beim Ändern oder Entfernen der Standardadressen
können Probleme bei Messaging- und nachrichtenbasierten Diensten wie etwa
der Verzeichnisreplikation auftreten.
Die Fehlermeldung "ID:10067 MSEXCIMC.EXE
0xc0000005" verweist eindeutig auf ein Problem mit der X.400-Adresse für
das Administrator-Postfach auf dem Exchange-5.5-Server. Die X.400-Adresse für
das Admin-Postfach existiert nicht. Sie sollten zunächst das aktuelle Service-Pack
für Exchange installieren und Folgendes überprüfen:
1. Sind Exchange-Dienst-Admin-Berechtigungen
vorhanden?
2. Netzwerkeinstellungen, TCP/IP, DNS-Server
überprüft?
3. Systemmonitor, Server-Monitor und
andere Überwachungsagenten sowie SNMP deaktivieren.
4. Ist unter Dienste in der Systemsteuerung
der IMC zu sehen?
5. Viren-Scanner-Software, Backup-Agents
installiert?
Sie können die Exchange-Server-Installation
direkt von der SBS-CD 3 starten und die Option: "alles nochmals installieren"
auswählen. Das Setup-Programm wird die Dateien des Exchange-Servers gemäß
Ihrer momentanen Setup-Konfiguration neu installieren. Bereits bestehende Datenbanken
bleiben erhalten. Es ist trotzdem empfehlenswert, zuerst den Exchange-Server (Priv.edb,
Pub.edb und Dir.edb), besser den ganzen SBS 4.5 mit einem Backup komplett zu sichern.
Der Pfad lautet: SBS4.5 CD3\ExchSRVR\Server\Setup\I386\Setup.exe
(Computer 2000 Deutschland GmbH/mw)
Exchange Server bricht Verbindung ab
Im Einsatz ist der Exchange Server 5.5 mit Service-Pack 3. Woran erkennt der
Exchange Server, dass ein Mail versendet ist? Wir erhalten als Fehlermeldung
einen "unerwarteten Verbindungsabbruch" (Service Control Manager ID: 7024).
Kann man einen Wert für das Quit-Signal nach erfolgter Datenübertragung
spezifizieren?
Es besteht keine Möglichkeit,
einen Wert für das Quit-Signal zu definieren. Das Signal wird ohne Verzögerung
vom sendenden Computer nach erfolgter Datenübertragung übermittelt.
Die Fehlermeldung "Service Control Manager,
ID:7024, der Nachrichtendienst terminierte mit Dienstfehler 2270", hat folgende
Bedeutung: Der Computername existiert bereits in diesem Netzwerk (er ist nicht
eindeutig).
Beim Versenden von Nachrichten - nach
erfolgter Datenübermittlung - wird der Nachrichteninhaltsdatenstrom vom sendenden
Computer durch Senden eines allein in einer Zeile stehenden Punkts (.) beendet.
Die Verbindung wird mit dem Befehl "QUIT" getrennt (Teil des SMTP- Prozesses).
(Computer 2000 Deutschland GmbH/mw) Ich habe in einen Windows-NT-Server
eine neue Festplatte eingebaut. Jetzt möchte ich eine Freigabe von einer
vorhandenen Festplatte auf die neue Festplatte übertragen. Bei einem Testverzeichnis
habe ich festgestellt, dass die eingetragenen Zugriffsrechte nicht übernommen
werden. Ist das normal, und wie kann ich die Freigabe mit den kompletten Rechten
übertragen? Funktioniert das Backup und ein anschließendes Restore
mit Arcserve-It NT?
Die Rechte werden nur in folgendem
Kontext beibehalten: Sie verschieben eine Datei oder ein Verzeichnis innerhalb
einer Partition. In diesem Fall wird nur der Pointer auf die Datei in der File
Allocation Table (FAT) aktualisiert.
In allen anderen Fälle, sprich:
- Sie kopieren eine Datei (oder ein
Verzeichnis) innerhalb einer Partition
- Sie kopieren eine Datei (oder ein
Verzeichnis) von einer Partition in eine andere Partition oder
- Sie verschieben eine Datei (oder ein
Verzeichnis) von einer Partition in eine andere Partition
werden die Rechte nicht beibehalten,
sondern Sie erhalten die Rechte des neuen Verzeichnisses. Im letzten Fall (verschieben)
wird die Datei zuerst in das neue Verzeichnis kopiert und in dem alten gelöscht.
Dies ist der Grund, warum dieses "Verschieben" eigentlich ein "Kopieren" ist.
Das Kopieren über Arcserve-It (mit
dem entsprechenden Copy-Befehl) ist eine Möglichkeit, um die Berechtigungen
beizubehalten. Wenn Sie innerhalb Arcserve-It ein Verzeichnis von einer Partition
in eine andere kopieren, werden die Rechte mit übertragen.
(Computer 2000 Deutschland GmbH/mw)
In dem Basispaket AAA_Base, das mit
jeder Suse-Distribution installiert wird, wurden zwei Sicherheitslücken entdeckt:
Quelle: http://www.leu.de/security/
Zur Zeit versucht sich eine weitere
Variante des E-Mail-Wurms "ILOVEYOU" über Outlook zu verbreiten. Meldungen befallener
Systeme aus Österreich und der Bundesrepublik liegen bereits vor. Nach der vorliegenden
Analyse des Virenlabors der H+BEDV Datentechnik arbeitet der Wurm mehrsprachig.
Je nach installierter Sprachversion von Windows wird der Anwender bereits in
seiner Landessprache aufgefordert, ein Bild mit einem eindeutig erotischen Inhalt
zu öffnen. In Wirklichkeit aber startet ein VB-Script und führt seine Infektionsroutine
aus. Der Wurm verschickt sich anschließend an alle Einträge im Adressbuch von
Outlook. Dabei erstellt er nicht wie alle seine Vorgänger für jede Person eine
eigene E-Mail, sondern er trägt alle Kontakte in eine einzige E-Mail als "Blind
Carbon Copy" (BCC) ein Die Schadensroutine wird jeweils
am 20. Juni eines jeden Jahres aktiv. Der PC wird dauerhaft lahm gelegt, indem
Maus und Tastatur deaktiviert werden. Ohne Neuinstallation von Windows ist ein
Weiterarbeiten nicht mehr möglich. Quelle: H+BEDV Datentechnik (mw)
Die E-Mails eines Anwenders sollen
an eine Kollegin weitergeleitet werden. Nun wurde auf einem PC unter dessen
Benutzerkennung eine E-Mail-Weiterleitung eingerichtet (im Post-Office-Assistenten
und Abwesenheitsassistenten Regeln definiert), damit dessen E-Mails in das Postoffice
der Sekretärin geschickt werden. Dies funktioniert aber nicht. Bei der Übernahme eines Postfachs
werden alle Ordner angezeigt, für die Sie Berechtigungen erhalten haben. Sie
können dieses Postfach wie Ihr eigenes verwalten. So lässt sich ein anderes
Postfach übernehmen: (Computer 2000 Deutschland Gmbh/mw)
Microsoft hat einen Patch für alle
Windows-Systeme herausgegeben, der einen Fehler bei der Zusammensetzung fragmentierter
IP-Pakete behebt.
Indem eine große Zahl identischer fragmentierter
IP-Pakete an einen Windows-95/98/NT/2000-Rechner geschickt wird, kann erreicht
werden, dass der Rechner für die Zeitdauer dieser Attacke seine normale Arbeit
einstellt. Die CPU-Last steigt dabei auf 100 Prozent an, was zur Folge hat, dass
sowohl auf Applikations- wie auch auf Netzwerkebene keine Anfragen mehr bearbeitet
werden können.
Für Windows-9x-Systeme ist derzeit
nur ein Patch für die EN-US-Version verfügbar. Als Workaround - bis der internationale
Patch zur Verfügung steht - empfiehlt es sich, soweit möglich, fragmentierte IP-Pakete
an Ihren Routern abzufangen.
Für folgende Versionen sind Patches
verfügbar:
Links: http://www.microsoft.com/technet/security/bulletin/fq00-029.asp
Quelle: Genua Security News Letter,
http://www.genua.de (mw) Nach dem Neustart wird angezeigt,
dass sich der Windows NT Server nicht in der Domäne befindet. Bei der Anmeldung
kann die Domäne nicht angegeben werden. Ich kann mich lediglich lokal am Server
anmelden. Was mache ich falsch? Damit ein Server die Funktion des
Backup-Domänen-Controllers (BDC) übernehmen kann, muss er als solcher installiert
worden sein. Wurde der Server als alleinstehender Server eingerichtet, lässt
sich dies nachträglich nicht mehr ändern, und Sie müssen erneut installieren.
Sie können allerdings einen alleinstehenden
Server zur Domäne hinzufügen, indem Sie (analog zu den Windows-NT-Workstations)
ein Computerkonto in der Domäne erzeugen. Danach können Sie bei der Anmeldung
auch die Domäne auswählen. (Computer 2000 Deutschland Gmbh/mw)
Ende Mai wurde eine schwere Sicherheitslücke
in der Software-Firewall Gauntlet von Network Associates auf der Website http://www.securityfocus.com/news/40
gemeldet.
Wenn die Filter-Software Cyber Patrol
zusätzlich zur Gauntlet-Firewall-Software installiert wurde, ist es möglich, sich
remote Zugang als Root zu verschaffen.
Das Problem liegt in einem Buffer Overflow
der Verbindungs-Software zwischen Gauntlet und dem Cyber-Patrol-Programm. Zusätzlich
akzeptiert das System irrtümlicherweise auch Verbindungen von der Außenwelt. Ein
Patch steht unter ftp://ftp.tis.com/gauntlet/patches/5.5/cyber.patch
für folgende Versionen zur Verfügung und sollte unbedingt installiert werden:
Für Gauntlet 4.1-Anwender steht
unter http://www.tis.com/support/cyberadvisory.html
ein Workaround zur Verfügung. Quellen: www.securityfocus.com/news/40
Die neue Firmware v.6.2.1 des 3Com
ISDN-LAN-Modems 3c891 soll RAS-Dial-in unterstützen, was bei uns allerdings
nicht funktioniert. Was machen wir falsch? Wenn Sie einen NET-USE-Befehl absetzen
wollen, um eine Windows-Freigabe zuzuordnen, dann muss am LAN-Modem noch der
NetBIOS-Filter abgeschaltet werden. Dies können Sie beispielsweise in einer
Telnet-Sitzung durchführen. Hier müssen Sie den Befehl "NETBIOS C" eingeben,
damit ist der NetBIOS-Filter nur für den Call-Aufbau aktiviert und ansonsten
abgeschaltet. Dies verhindert, dass NetBIOS-Pakete unnötigerweise eine Anwahl
zum Internet-Provider verursachen. (Computer 2000 Deutschland Gmbh/mw)
Wie können wir alle Pakete des Cisco-Routers
1603 aufzeichnen und eventuell sogar grafisch aufbereiten? Mit DEBUG IP PACKET DETAIL (und/oder
DEBUG IPX PACKET) können Sie alle Pakete, die der Router verarbeitet, mitprotokollieren.
Speichern lässt sich dies beispielsweise über Aufzeichnen in eine Datei via
Hyperterminal oder Telnet-Protokollsitzung. (Computer 2000 Deutschland Gmbh/mw)
Arcserve It 6.6 läuft auf Server
1, Exchange auf Server 2. Gibt es eine Anleitung, auf welchem Server was eingerichtet
werden muss, und wo muss das Option-Pack für den Exchange-Client installiert
werden? Der Exchange Server soll vom Server 1 mitgesichert werden. Auf der Web-Seite http://support.cai.com/techbases/asnt/
16049.html gibt es von Computer Associates ausführliche Hinweise wie die Backup-Umgebung
einzurichten ist, welche Voraussetzungen gegeben sein müssen, welche Rechte
für den Backup-User vorhanden sein müssen etc. (Computer 2000 Deutschland Gmbh/mw)
Outlook 97 mit Service-Release 2b
stürzt nach zirka 30 Sekunden ab. Wenn das Journal aufgerufen wird, stürzt das
Programm sofort ab. Outlook 97 läuft unter Windows NT Workstation 4.0 mit Service-Pack
6a. Letztendlich lag das Problem an
einer Temp-Datei (*.tmp) im Temporär-Verzeichnis auf dem lokalen PC. Dieses
Verzeichnis ist lokal und nicht Teil des Benutzerprofils. Daher ist auf einem
anderen PC mit dem gleichen Profil das Problem nicht aufgetreten. (Computer 2000 Deutschland Gmbh/mw)
Auf unserem Exchange Server 5.5
mit Service-Pack 3 unter Windows NT Server 4.0 (Service-Pack 5) existiert ein
Adressbuch mit zirka 3500 Einträgen, das von einem anderen Format (MS Mail)
importiert wurde. Wenn Anwender jetzt aus Outlook auf das Adressbuch zugreifen
wollen, wird der Zugriff immer langsamer. Wie lässt sich der Adressbuchzugriff
wieder beschleunigen? Folgende Vorgehensweise zur Lösung
Ihres Performance-Problems auf dem Exchange-Server kann Abhilfe schaffen: (Computer 2000 Deutschland Gmbh/mw)
Welche erweiterten Sicherheitsfunktionen
stehen für Exchange 5.5 in Verbindung mit Outlook 2000 zur Verfügung (Verschlüsselungsstufen,
TLS-Verschlüsselung, PGP-Verschlüsselung?) Gibt es Zertifikate für Exchange
und Outlook? Für die Übermittlung von Informationen
dienen Verschlüsselungs- und Signaturzertifikate, auch digitale IDs genannt,
die von unabhängigen Zertifizierungsstellen wie beispielsweise Verisign vergeben
werden. In Outlook können Sie mehrere digitale IDs und Verschlüsselungszertifikate
einbinden und für jede digitale ID eine Sicherheitseinstellung einrichten. Haben
Sie noch keine digitale ID, können Sie diese über die Schaltfläche "Digitale
ID anfordern" beantragen. Stellen Sie zuvor eine Verbindung zum Internet her.
Der Internet Explorer startet nun und versucht, die passenden Web-Seiten von
Microsoft aufzurufen. Auf diesen erhalten Sie ausführlichen Informationen zu
digitalen IDs und Links zu verschiedenen Zertifizierungsanbietern. Weitere Instruktionen
zur Installation erhalten Sie vom Hersteller der digitalen ID. (Computer 2000 Deutschland Gmbh/mw)
Gibt es eine Möglichkeit, eine Berechtigung
für den Administrator zu vergeben, damit dieser auf jedes Postfach Zugriff erhält?
Der Administrator kann im Exchange-Admin
unter "Postfach, Eigenschaften, Berechtigungen" seinen eigenen NT-Account zusätzlich
diesem Postfach unter "Windows NT-Konten mit Berechtigungen " als Benutzer hinzufügen.
In diesem Fall hatte der Anwender den Administrator-NT-Account das zweite Mal
mit der Admin-Funktion statt als Benutzer eingetragen. Jetzt läuft alles wieder.
Eine weitere Vorgehensweise, die funktioniert: Im Exchange-Admin, Postfach-Eigenschaften,
Hinzufügen: "Windows NT- Konten mit Berechtigungen " Funktion: Benutzer eintragen.
(Computer 2000 Deutschland Gmbh/mw)
"Obwohl der Life Stages Wurm im
Juni eine große Rolle spielte, war der Kakwurm weiterhin der weltweit am häufigsten
anzutreffende Virus", meint Graham Cluley, Head of Corporate Communications
bei Sophos Anti-Virus. "Die Tragödie liegt darin, dass Microsoft im letzten
Jahr einen Patch veröffentlicht hat, mit dem man sich gegen Kakwurm schützen
kann - eindeutig haben zahlreiche Anwender nicht dafür gesorgt, ihn zu implementieren."
VBS/Kakworm nutzt Sicherheitsschwachstellen
im Microsoft Internet Explorer und Microsoft Outlook. Das bedeutet, dass eine
Infektion auch möglich ist, wenn nur ein Mail gelesen wird und nicht erst durch
das Öffnen des Anhangs. Weitere Details zum VBS/Kakworm und zum möglichen Schutz
dagegen sind unter www.sophos.com/virusinfo/articles/kakworm.html zu finden.
(Sophos Anti-Virus/mw) Die E-Mails eines Anwenders sollen
an eine Kollegin weitergeleitet werden. Nun wurde auf einem PC unter dessen
Benutzerkennung eine E-Mail-Weiterleitung eingerichtet (im Post-Office-Assistenten
und Abwesenheitsassistenten Regeln definiert), damit dessen E-Mails in das Postoffice
der Sekretärin geschickt werden. Dies funktioniert aber nicht.
Bei der Übernahme eines Postfachs
werden alle Ordner angezeigt, für die Sie Berechtigungen erhalten haben.
Sie können dieses Postfach wie Ihr eigenes verwalten. So lässt sich
ein anderes Postfach übernehmen: In Outlook wählen Sie aus dem Menü
"Extras" den Befehl "Dienste, Microsoft Exchange Server", klicken Sie auf die
Schaltfläche "Eigenschaften, Weitere Optionen, Hinzufügen", und geben
sie das Postfach ein, das Sie zusätzlich öffnen möchten.
Um einem anderen Anwender die Möglichkeit zu gewähren, einen Ihrer
Ordner zu öffnen, müssen Sie ihm für diesen Ordner eine Berechtigung
erteilen. Im Ordnerdialog "Eigenschaften", kann Personen auf der Registerkarte
"Berechtigungen" der Zugriff auf Ihre Ordner gewährt werden, ohne die Berechtigung
zum Senden "im Auftrag von" zu erhalten. Stellvertretungen können Elemente
in Ihrem Auftrag senden. (Computer 2000 Deutschland GmbH/mw) Nach dem Neustart wird angezeigt,
dass sich der Windows NT Server nicht in der Domäne befindet. Bei der Anmeldung
kann die Domäne nicht angegeben werden. Ich kann mich lediglich lokal am
Server anmelden. Was mache ich falsch?
Damit ein Server die Funktion des Backup-Domänen-Controllers
(BDC) übernehmen kann, muss er als solcher installiert worden sein. Wurde
der Server als alleinstehender Server eingerichtet, lässt sich dies nachträglich
nicht mehr ändern, und Sie müssen erneut installieren.
Sie können allerdings einen alleinstehenden Server zur Domäne hinzufügen,
indem Sie (analog zu den Windows-NT-Workstations) ein Computerkonto in der Domäne
erzeugen. Danach können Sie bei der Anmeldung auch die Domäne auswählen.
(Computer 2000 Deutschland GmbH/mw) Im Einsatz befindet sich ein Cisco-Router
Modell 1700. Neu hinzugekauft wurde IOS 12.0. Nach dem das Image übertragen
wurde, meldetet der Router, dass er das Device-Flash nicht findet. Wie lässt
sich ein Image auf die Flash-Karte laden?
Der TFTP-Download ist - neben X-Modem, was allerdings Stunden dauert - die
einzige Möglichkeit, ein Image wieder auf die Flash-Karte zu laden. Wenn
der Router vom Boot-ROM startet, sollte auch ein COPY-TFTP-FLASH möglich
sein.
Vor dem Kommando TFTPDNLD müssen fünf Parameter gesetzt werden:
IP_ADDRESS=ip_adress
IP_SUBNET_MASK=ip_address
DEFAULT_GATEWAY=ip_address (am besten die Adresse des Konsol-PCs)
TFTP_SERVER=ip_address
TFTP_FILE=filename (Name des IOS-Images. Diese Datei muss sich im FTP-Server
Root-Directory befinden.)
Mit dem Kommand DIR FLASH: (mit Doppelpunkt!) können Sie das vorhandene
Image-File und die Check-Summe überprüfen.
Weitere Informationen finden Sie auf der Cisco-Website unter http://www.cisco.com/univercd/cc/td/doc/product/access/acs_mod/cis1700/sw_conf/rom_mon.htm#xtocid202394.
(Computer 2000 Deutschland GmbH/mw) Windows NT Server 4. 0 und der Exchange-Server
5.5 sind in der englischen Version installiert, die englischen Templates (Eigenschaften
des Adressbuchs, Telefon-Nr., Adresse usw.) wurden automatisch eingespielt.
Da die meisten Clients deutsch sind, kommt es immer wieder zu Fehlermeldungen.
Wie können die deutschen Detail-Templates eingespielt werden?
- Länderinformationen für
Server:
Um Benutzern eine Anzeige bereitzustellen, die mit ihrer jeweiligen Sprache
konsistent ist, können Sie Länderinformationen festlegen. Diese richten
Indizes ein, die für die fremdsprachlichen Clients angepasst sind. Länderinformationen
bestimmen, wie die Werte für Datum, Währung und Uhrzeit angezeigt
werden und steuern andere Einstellungen wie beispielsweise Sortier- und Suchreihenfolgen
für Ordnerhierarchien sowie das Verzeichnis, das auf den Konventionen der
betreffenden Sprache basiert. Wenn bestimmte Länderinformationen (etwa
"Französisch") für einen Server ausgewählt sind, zeigen französischsprachige
Clients, die eine Verbindung zu diesem Server herstellen, Informationen (zum
Beispiel Adressbuchinformationen) an, die für diese Sprache richtig sortiert
und formatiert sind.
Durch Länderinformationen kann die Systemleistung des Servers verringert
werden, weil die Verzeichnisdatenbank Verarbeitungsleistung und Speicher einsetzen
muss, um zusätzliche Indizes für jede Client-Sprache zu erstellen
und zu warten. Wenn die fremdsprachlichen Clients nicht sehr oft Verbindungen
zum Server herstellen, rechtfertigen die Kosten für die Server-Leistung
möglicherweise nicht das Einrichten von Länderinformationen auf dem
für diese Clients bestimmten Server.
So zeigen Sie die Server-Registerkarte "Länderinformationen" an:
Wählen Sie im Administratorfenster "Server" und wählen Sie dann einen
Server aus.
Wählen Sie "Eigenschaften" aus dem Menü Datei.
Wählen Sie die Registerkarte "Länderinformationen".
- Installieren von Länderinformationen:
Sie können Länderinformationen für eine oder mehrere Sprachen
auswählen, die auf einem Server verwendet werden sollen. Wählen Sie
die Registerkarte "Länderinformationen".
Wählen Sie im Feld "Installierte Länderinformationen" eine Sprache
aus und wählen Sie dann "Hinzufügen".
- Entfernen von Länderinformationen:
Wenn Sie bestimmte Länderinformationen nicht mehr anzeigen müssen,
können Sie diese von einem Server entfernen. Wählen Sie die Registerkarte
"Länderinformationen".
Wählen Sie im Feld "Ausgewählte Länderinformationen" die zu
entfernenden Länderinformationen aus und wählen Sie dann "Entfernen".
Länderinformationen unter "Standort, Konfiguration, Server- Eigenschaften"
bestimmen, wie die Werte für Datum, Währung und Uhrzeit angezeigt
werden und steuern weitere internationale Einstellungen wie etwa die Sortierreihenfolge.
Wenn eine bestimmte Einstellung (zum Beispiel "Französisch") für einen
Server ausgewählt ist, werden für französischsprachige Clients,
die eine Verbindung zu diesem Server herstellen, die Informationen in Französisch
entsprechend sortiert und formatiert angezeigt. (Computer 2000 Deutschland GmbH/mw) Bei einem HP Laserjet 4050 TN können
die Schächte nicht angewählt werden. Auch der Administrator kann dies
im Treiber nicht, da die Optionen grau hinterlegt sind. Ferner lässt sich
die Papierquelle nicht anwählen, auch sie ist grau hinterlegt. Die Anwender
haben inzwischen Rechte als Druckoperatoren im NT-Netz. Das Problem tritt bei
allen Applikationen auf. Der Drucker läuft über einen internen Printserver,
darüber hinaus sind die neuesten Treiber aus dem Internet heruntergeladen
und installiert worden. Es gibt im Treiber des HP LJ 4050
eine Funktion, die es erlaubt, unter Windows NT Formulare einzurichten. Wenn
diese Funktion aktiv ist, kann keine Schachtauswahl vorgenommen werden. Der
Drucker trifft dann je nach eingerichtetem Formular die Auswahl je empfangenem
Dokument selbst. Um also die Schachtauswahl selber treffen zu können, muss
diese Funktion abgeschaltet werden. (Computer 2000 Deutschland GmbH/mw)
Bislang verwenden wir Netware 4.10
SFT III mit 100 Lizenzen und demzufolge auch eine SFT-III-Lizenz "100 User oder
weniger". Da diese Netware-Version 4.10 SFT-III nicht Jahr2000-fähig ist,
soll sie nun auf Netware 4.2 SFT-III aufgerüstet werden. Hier stellt sich
nun folgende Frage:
Bei einem derartigen Update hat man Anspruch auf das Update der Server-Lizenz
und auf ein Update-Paket über genauso viele User-Lizenzen wie bislang eingespielt
waren.
Daraus resultieren aber insgesamt 105 Connection-Licenses: fünf Connections
aus der Server-Base-License und 100 Connections aus der Connection-License.
Wie verhält es sich in diesem Fall mit der SFT-III-Lizenz? Reicht auch
hier eine "bis-zu-100-User-Lizenz" oder muss man explizit die "ab-100-User-Lizenz"
einspielen (die natürlich auch wesentlich teurer ist...). Selbst wenn man
die "bis-100- User-Lizenz" einspielen könnte, ist dies legal?
Von Novell kam folgende Antwort:
"Da bei der Server-Base-Lizenz von
Netware 4.2 fünf User automatisch dem Kunden zur Verfügung gestellt
werden (die Novell dem Kunden schenkt), kauft der Kunde bei einem Upgrade auf
Netware 4.2 SFT III die "100-User-oder-weniger-Lizenz", auch wenn er dann insgesamt
105 User hat. Technisch gibt es bei der Installation keine Probleme. " (Computer 2000 Deutschland GmbH/mw) Der Server-Eintrag im BIOS zeigt
korrekt das Jahr 2000 an. Unsere Netware-4.1-Version beharrt dagegen auf der
Jahresangabe 1988.
Stellen Sie sicher, dass es sich bei der Netware-Version 4.1 nicht um SFT II
oder eine Multiprozessor-Netware handelt. Des Weiteren werden für die Installation
des Patches 410Y2KP2.EXE folgende Punkte vorausgesetzt:
- Überprüfen Sie nochmals, ob die Hardware Jahr-2000-kompatibel ist.
- Setzen Sie den 32-Bit-Netware-Administrator ein, den Sie mit den aktuellen
Novell-Clients unter www.novell.com/down load finden.
- Alle aktuellen Patches müssen zusätzlich zu oben genanntem Patch
installiert sein. Die aktuellen Patches sind zu finden unter: http://support.novell.com/misc/patlst.htm
oder der Support-Connection-CD.
Eventuell ist es möglich, dass nicht der LOADER-Patch des Patches 410Y2KP2.EXE
aktiv ist. Sie können die SERVER. EXE (am besten die original SERVER.EXE
von CD) mit dem LOADER.EXE und LSWAP.EXE aus dem 410Y2KP2.EXE Patch (nicht aus
einem anderen Patch!) noch einmal explizit "nachpatchen".
Kopieren Sie die drei Dateien beispielsweise in das Server-Startverzeichnis
unter DOS und führen LWSAP.EXE LOADER.EXE SERVER.EXE am DOS-Prompt aus.
Die SERVER.EXE wird dabei für den Patch modifiziert.
Achten Sie unbedingt darauf, dass der aktuelle Patch 410Y2KP2.EXE eingesetzt
wird. Diesen Patch gab es mit gleichem Namen und in unterschiedlichen Versionen.
(Computer 2000 Deutschland GmbH/mw) Der Index-Server von Microsoft indiziert
nur einen Server anstatt der gewünschten sieben. Was machen wir falsch?
Um die Indizierung mehrer Server
zu erreichen, müssen Sie lediglich im Folder "Verzeichnisse" den UNC-Pfad
(gegebenenfalls mit Anmeldeinformationen) zum gewünschten Ziel-Server eintragen.
Wenn Sie über die administrativen Freigaben (C$, D$) zugreifen wollen,
müssen Sie als Anmeldeinformationen einen administrativen Account des Zielsystems
verwenden (R2R EDV-GmbH/mw) Microsoft hat ein neues Security
Bulletin (MS99-052) veröffentlicht, um die sogenannte "Legacy Credential
Caching" Verletzbarkeit, eine neue Sicherheitslücke unter in Windows 95
und Windows 98, zu beheben. Durch die Sicherheitslücke kann das Netzwerkkennwort
eines Benutzers in Klartext aus dem Cache bezogen werden. Windows for Workgroups war mit einem
RAM-basierenden Caching-Mechanismus ausgestattet, der die Netzwerkzugangsdaten
des Benutzers in Klartext speicherte. Dieser Mechanismus wurde teilweise im
Windows-95- und Windows-98-Design übernommen, auch wenn er von beiden nicht
verwendet wird. Ein böswilliger User kann nun mit Hilfe dieses Mechanismus
die Netzwerkzugangsdaten der Person, die die Maschine als letztes im Netzwerk
benutzt hat, erlangen. Allerdings darf der Rechner seit der letzten Netzwerksitzung
nicht mehr neu gebootet worden sein.
(Computer 2000 Deutschland GmbH/mw)
ARCSERVE-IT OHNE BANDLAUFWERK STARTEN
(Computer 2000 Deutschland GmbH/mw)
ZENWORKS: ZUGRIFF AUF RESSOURCEN NICHT MÖGLICH
“Could not configure workstation for application [nds application object] (id=223)
(Computer 2000 Deutschland GmbH/mw)
SERVICE-PACK 3 FÜR EXCHANGE SERVER KANN NICHT INSTALLIERT WERDEN
(Computer 2000 Deutschland GmbH/mw)
SNAPSHOT-PFAD BEI ZENWORKS ÄNDERN
LOAD SNAPSHOT PREFERENCES FROM den Pfad zu der gesicherten *.INI-Datei mit geändertem
Arbeitsverzeichnis angegeben. Damit sollte das SNAPSHOT.DIR-Verzeichnis auf
einem anderen Laufwerk erstellt werden.
(Computer 2000 Deutschland GmbH/mw)
UNGEWOLLTER VERBINDUNGSAUFBAU MIT MS PROXY SERVER 2.0
(Computer 2000 Deutschland GmbH/mw)
KEIN ZUGRIFF EINES “NORMALEN” BENUTZERS VIA RAS MÖGLICH
(Computer 2000 Deutschland GmbH/mw)
GROUPWISE-5.5-DATENRÜCKSICHERUNG
Folgende Vorgehensweise wird empfohlen:
Sie deinstallieren den Client,stellen auf C/S Only um und testen erneut.Anschließend
starten Sie “Analyze and Fix ”und versuchen ein “Re-create User DB ”.Wenn das
nicht geht,müssen Sie die entsprechende USERxxx.DB zurückspielen.
(Computer 2000 Deutschland GmbH/mw)
AVM ISDN-MPR 3.1 FÜR NETWARE:
WAN-INTERFACE IM STATUS “OUT-QUEUED”
1.Die Thresholds sind erreicht:Diese sind einzusehen beziehungsweise zu verändern
in der INETCFG im jeweiligen Interface unter “EXPERT CONFIGURATION ”.Standardmäßig
sind die Thresholds auf 40 Minuten eingestellt beziehungsweise auf 200 Calls/Gebühreneinheiten.Der
kleinste erreichte Wert greift dann auch;dies bedeutet beispielsweise,dass sich
der Out-queued- Status einstellt,selbst wenn die Zeit auf mehrere tausend Stunden
hochgedreht wurde,aber einfach schon 200 Gebühreneinheiten aufgelaufen sind.Ein
Zurücksetzen der Thresholds geschieht durch ein ISDNU (ncf)und ein REINITIALIZE
SYSTEM.Ansonsten kann man die Thresholds natürlich erhöhen oder sogar ganz ausschalten
(auf 0 stellen).
2.Ressourcenvergabe des B1-ISDN-Controllers:Der Fehler kann auch auftreten,wenn
die B1-Karte entweder IRQ 9/2 oder IRQ15 belegt,beziehungsweise einen schon
durch ein anderes Device belegten IRQ (Sharing)
3.Die Minimum Packet Receive Buffers sind vollgelaufen. AVM empfiehlt das Setzen
des Minimums auf 400 beziehungsweise des Maximums auf 1000.Dies muss natürlich
eventuell noch weiter angepasst werden,sollten noch weitere Services auf dem
Server laufen oder mehrere Netzwerkkarten integriert sein.
4.Die ODI-Spezifikation stimmt nicht:Im Falle des MPRs interessieren zunächst
nur das MSM.NLM und die ISDN-LAN- Treiber ISDN-BRI.LAN und ISDNWAYS.LAN.Diese
dürfen nur einer einzigen Spezifikation entsprechen (3.30 oder 3.31). Dies gilt
für das gesamte System:Support-Module MSM,NBI, ETHERTSM-LAN-Treiber,ISDN-LAN-Treiber.
5.Der MPR ist nicht genügend gepatcht.Auf einem AVM-Mul- tiprotokoll-Router
der Version 3.1 sollte mindestens das Release 7 installiert sein.
(Computer 2000 Deutschland GmbH/mw)
NDPS-DRUCKERTREIBER UNTER NETWARE 5.1 EINPFLEGEN
Kann man beispielsweise auch einen Universal-Drucker-treiber für einen alten
Druckertypen distribuieren?
Im NWAdmin gehen Sie in die Details des NDPS-Brokers auf die “RMS ”und hier
auf die Schaltfläche “Add Resources ”.Hier können Sie dann für die verschiedenen
Betriebssysteme getrennt über “ADD ”weitere Treiber in die RMS-Datenbanken einpflegen,
wobei der Pfad auf das INF-File des Druckertreibers zeigen muss. In der RMS-Datenbank
unterhalb von SYS:NDPS \RESDIR wird dann ein neues Unterverzeichnis für den
jeweiligen Druckertyp er- zeugt:Unterhalb von RESDIR sehen Sie das Verzeichnis
PRNDRV mit den drei weiteren Unterverzeichnissen,aufge- schlüsselt nach Client-Betriebssystem
(NT4/WIN31/WIN95).In diesen Unterverzeichnissen liegen nun die verschiedenen
Dru- ckertreiberverzeichnisse mit allen notwendigen Files.Hier würde beim automatischen
Hinzufügen in die RMS-Datenbank eben auch ein neues Druckerverzeichnis angelegt
werden. Hin und wieder funktioniert das automatische Einpflegen aber nicht (etwa
bei HP-Druckern wie dem DJ2000).Dann müssen Sie in dem genannten Pfad ein eigenes
Verzeichnis manuell erstellen und dort hinein die entpackten Treiber-Files kopieren.
Sobald die Treiber samt INF-File in einem der Verzeichnisse vorliegen,sind diese
Treiber auch für die Distribution der Treiber auf die Workstations verfügbar.
Das selbst erstellte Verzeichnis darf übrigens nicht mehr als acht Zeichen besitzen.Ein
Einpflegen von Druckertreibern funktioniert nur,wenn der Treiber auch ein entsprechendes
INF-File mitbringt.
Verfügt der Drucker über eine eigene SETUP-Routine (also kein selbstentpackendes
Treiberarchiv),so muss er zunächst auf einer Workstation manuell installiert
werden.Über das entspre- chende INF-File kann man dann ersehen,welche Dateien
auf die Workstation installiert wurden.Diese Files müssen dann wiederum manuell
in das eigens erstellte Unterverzeichnis ko- piert werden.
Generic-Drucker:
Wenn Sie einen neuen Printer (Agent)über den NDPS-Mana- ger anlegen,so können
Sie hier vier verschiedene Generic-Dru- cker auswählen:GENERIC PCL,GENERIC PCL
(PJL),GENE- RIC PS und GENERIC PS (PJL).
Dies sind die einzigen “Universal-Drucker ”,die im NDPS ein- gepflegt sind,da
auch nur diese als Generic NPD-Files (Novell Printer Definition)vorliegen;Dies
ist auch im Broker zu ersehen, wenn Sie anstatt den betriebssystemspezifischen
Treibern die NPD-Files einsehen.Eventuell klappt die Verteilung der Treiber
über einen dieser Generic-Treiber.
(Computer 2000 Deutschland GmbH/mw)NT-SERVICE-PACK
6A BRICHT INSTALLATION AB
“Sie möchten eine Service-Pack-Version mit Standardver-schlüsselung auf einem
System mit 128-Bit-Verschlüsselung (High Encryption) installieren. Diese Konstellation
wird nicht unterstützt. Um das Service-Pack erfolgreich zu installieren, müssen
Sie die Version mit 128-Bit-Verschlüsselung verwen-den. Weitere Informationen
zum Beziehen der Service-Pack-Version mit 128-Bit-Verschlüsselung erhalten Sie
in der Hil-fe. Die Installation wird jetzt abgebrochen.” Wie lässt sich das
Service-Pack 6a in Deutsch trotzdem auf dem System installieren?
Im Verzeichnis Ihres Service-Packs 6a existiert ein Unterver- zeichnis “UPDATE
”und darin die Datei UPDATE.INF,die Sie folgendermaßen editieren:
Bild 1. Die letzten zwei Zeilen der Sektion [Check.For.128.Security] der Datei
UPDATE.INF werden auskommentiert, damit das Service-Pack 6a in Deutsch funktioniert
NT-SERVICE-PACK
6A BRICHT INSTALLATION AB
BILD
Bild 1. Die letzten zwei Zeilen der Sektion [Check.For.128.Security] der Datei
UPDATE.INF werden auskommentiert, damit das Service-Pack 6a in Deutsch funktioniert
(Computer 2000 Deutschland GmbH/mw)NDPS-DRUCKERTREIBER
UNTER NETWARE 5.1 EINPFLEGEN
Kann man beispielsweise auch einen Universal-Druckertreiber für einen alten
Druckertypen distribuieren?
Um weitere/neuere Druckertreiber der RMS-Datenbank hinzuzufügen,geht man normalerweise
wie folgt vor:
Im NWAdmin gehen Sie in die Details des NDPS-Brokers auf die “RMS ”und hier
auf die Schaltfläche “Add Resources ”.Hier können Sie dann für die verschiedenen
Betriebssysteme getrennt über “ADD ”weitere Treiber in die RMS-Datenbanken einpflegen,
wobei der Pfad auf das INF-File des Druckertreibers zeigen muss. In der RMS-Datenbank
unterhalb von SYS:NDPS \RESDIR wird dann ein neues Unterverzeichnis für den
jeweiligen Druckertyp erzeugt:Unterhalb von RESDIR sehen Sie das Verzeichnis
PRNDRV mit den drei weiteren Unterverzeichnissen,aufge- schlüsselt nach Client-Betriebssystem
(NT4/WIN31/WIN95).In diesen Unterverzeichnissen liegen nun die verschiedenen
Druckertreiberverzeichnisse mit allen notwendigen Files.Hier würde beim automatischen
Hinzufügen in die RMS-Datenbank eben auch ein neues Druckerverzeichnis angelegt
werden.
Hin und wieder funktioniert das automatische Einpflegen aber nicht (etwa bei
HP-Druckern wie dem DJ2000).Dann müssen Sie in dem genannten Pfad ein eigenes
Verzeichnis manuell erstellen und dort hinein die entpackten Treiber-Files kopieren.
Sobald die Treiber samt INF-File in einem der Verzeichnisse vorliegen,sind diese
Treiber auch für die Distribution der Treiber auf die Workstations verfügbar.
Das selbst erstellte Verzeichnis darf übrigens nicht mehr als acht Zeichen besitzen.Ein
Einpflegen von Druckertreibern funktioniert nur,wenn der Treiber auch ein entsprechendes
INF-File mitbringt.
Verfügt der Drucker über eine eigene SETUP-Routine (also kein selbstentpackendes
Treiberarchiv),so muss er zunächst auf einer Workstation manuell installiert
werden.Über das entsprechende INF-File kann man dann ersehen,welche Dateien
auf die Workstation installiert wurden.Diese Files müssen dann wiederum manuell
in das eigens erstellte Unterverzeichnis kopiert werden. Generic-Drucker:
Wenn Sie einen neuen Printer (Agent)über den NDPS-Manager anlegen,so können
Sie hier vier verschiedene Generic-Drucker auswählen:GENERIC PCL,GENERIC PCL
(PJL),GENE- RIC PS und GENERIC PS (PJL).
Dies sind die einzigen “Universal-Drucker ”,die im NDPS eingepflegt sind,da
auch nur diese als Generic NPD-Files (Novell Printer Definition)vorliegen;Dies
ist auch im Broker zu ersehen, wenn Sie anstatt den betriebssystemspezifischen
Treibern die NPD-Files einsehen.Eventuell klappt die Verteilung der Treiber
über einen dieser Generic-Treiber.
(Computer 2000 Deutschland GmbH/mw)AVM
ISDN-MPR 3.1 FÜR NETWARE: WAN-INTERFACE IM STATUS “OUT-QUEUED”
1.Die Thresholds sind erreicht:Diese sind einzusehen beziehungsweise zu verändern
in der INETCFG im jeweiligen Interface unter “EXPERT CONFIGURATION ”.Standardmäßig
sind die Thresholds auf 40 Minuten eingestellt beziehungsweise auf 200 Calls/Gebühreneinheiten.Der
kleinste erreichte Wert greift dann auch;dies bedeutet beispielsweise,dass sich
der Out-queued- Status einstellt,selbst wenn die Zeit auf mehrere tausend Stunden
hochgedreht wurde,aber einfach schon 200 Gebühreneinheiten aufgelaufen sind.Ein
Zurücksetzen der Thresholds geschieht durch ein ISDNU (ncf)und ein REINITIALIZE
SYSTEM.Ansonsten kann man die Thresholds natürlich erhöhen oder sogar ganz ausschalten
(auf 0 stellen).
2.Ressourcenvergabe des B1-ISDN-Controllers:Der Fehler kann auch auftreten,wenn
die B1-Karte entweder IRQ 9/2 oder IRQ15 belegt,beziehungsweise einen schon
durch ein anderes Device belegten IRQ (Sharing)
3.Die Minimum Packet Receive Buffers sind vollgelaufen. AVM empfiehlt das Setzen
des Minimums auf 400 beziehungsweise des Maximums auf 1000.Dies muss natürlich
eventuell noch weiter angepasst werden,sollten noch weitere Services auf dem
Server laufen oder mehrere Netzwerkkarten integriert sein.
4.Die ODI-Spezifikation stimmt nicht:Im Falle des MPRs interessieren zunächst
nur das MSM.NLM und die ISDN-LAN- Treiber ISDN-BRI.LAN und ISDNWAYS.LAN.Diese
dürfen nur einer einzigen Spezifikation entsprechen (3.30 oder 3.31). Dies gilt
für das gesamte System:Support-Module MSM,NBI, ETHERTSM-LAN-Treiber,ISDN-LAN-Treiber.
5.Der MPR ist nicht genügend gepatcht.Auf einem AVM-Multiprotokoll-Router der
Version 3.1 sollte mindestens das Release 7 installiert sein.
(Computer 2000 Deutschland GmbH/mw)GROUPWISE-5.5-DATENRÜCKSICHERUNG
Folgende Vorgehensweise wird empfohlen:
Sie deinstallieren den Client,stellen auf C/S Only um und testen erneut.Anschließend
starten Sie “Analyze and Fix ”und versuchen ein “Re-create User DB ”.Wenn das
nicht geht,müssen Sie die entsprechende USERxxx.DB zurückspielen.
(Computer 2000 Deutschland GmbH/mw)KEIN
ZUGRIFF EINES “NORMALEN” BENUTZERS VIA RAS MÖGLICH
(Computer 2000 Deutschland GmbH/mw)VIREN:
VBS_REQ.A ALIASE: REQ.A, I_WORM.REQ
Betreff: requested info
Text: Thank for your order and your confidence in us.
Anhang: REQUESTED_INFO.DOC.vbs
Das HOSTS-File enthält nach dem Befall folgende In-formationen:
194.200.44.88 telebankl.ubs.com
194.200.23.12 www.avp.ch
Der vom Wurm überprüfte Registry-Schlüssel lautet:
HKEY_CURRENT_USER\Software\UBS\UBSPIN\Options\Datapath
Dieser Eintrag verweist wahrscheinlich auf eine Software der Union Bank Schweiz
(UBS). Falls eine solcher Eintrag existiert, versendet der Wurm E-Mails an folgende
drei Adressen:
592ad5uc@mailandnews.com
tlvmqsj@netscape.net
afwv582f@excite.com
Quelle:http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_REQ.A
(Computer 2000 Deutschland GmbH/mw)WINDOWS
NT DEFAULT GATEWAY
(Computer 2000 Deutschland GmbH/mw)VERBINDUNGSINFORMATIONEN
BEI DAVID 6 EINSEHEN
(Computer 2000 Deutschland GmbH/mw)VERITAS
BACKUP EXEC 8.0
(Computer 2000 Deutschland GmbH/mw)ADMINISTRATIVE
FREIGABEN BEI WINDOWS 2000 ENTFERNEN
(Computer 2000 Deutschland GmbH/mw)WINDOWS
2000 MIT SP1:
SICHERHEITSLÜCKE IM DOMAIN-ACCOUNT
(R2R Research to Rise/mw)NETWARE
5.0 BROADCAST-MELDUNG:
“DS AUDIT FILE TRESHOLD REACHED”
(Computer 2000 Deutschland GmbH/mw)EXCHANGE
2000 SERVER:
HINTERTÜR DURCH BEKANNTEN USER-ACCOUNT
(R2R Research to Rise/mw)Zeitsynchronisation
im Netz
(Computer 2000 Deutschland GmbH/mw) Freigabe
auf entferntem Rechner einrichten
(Computer 2000 Deutschland GmbH/mw) SMC-Karte
bringt Fehler unter Netware 3.2
(Computer 2000 Deutschland GmbH/mw) MSN-Nummer
bei Cisco-Router konfigurieren
interface bri 0
isdn calling-number 5551212
(Computer 2000 Deutschland GmbH/mw) Freigegebenes
Laufwerk verbinden
(Computer 2000 Deutschland GmbH/mw) SQL
Server im Einzelbenutzermodus starten
(Computer 2000 Deutschland GmbH/mw) Benutzerprofile
unter Windows NT Workstation 4.0
(Computer 2000 Deutschland GmbH/mw) Tobit-Logo
gegen Firmen-Logo tauschen
(Computer 2000 Deutschland GmbH/mw) Profileinstellung
unter Windows 95b ändern
(Computer 2000 Deutschland GmbH/mw) FTP-Server-Konfiguration
bei Netware 5.1
(Computer 2000 Deutschland GmbH/mw) PDC lässt
sich nicht zum BDC umkonfigurieren
Mails
unter Exchange Server 5.5 automatisch ausdrucken
Keine
Synchronisation mit Tobit-Funkuhr
SBS 4.5
mit Exchange-Server-Problemen
Exchange
Server bricht Verbindung ab
Festplattenfreigabe
bei NT-Server
Bei Suse
Linux: Sicherheitsrisiko durch das Paket AAA_Base
Dieses Problem könnte auch auf anderen Unix-Systemen vorhanden sein. Installieren
Sie die entsprechenden Patches von Suses Webpage: http://www.suse.de/de/support/download/updates/index.html
(R2R Research to Rise Informations- und Kommunikations AG/mw) "VBS.Fireburn":
Neuer sprachunabhängiger Virus
Ein Update von Antivir steht über die Website www.antivir.de
registrierten Kunden zum Download zur Verfügung. Damit können infizierte E-Mails
identifiziert und vor einem Ausbruch unschädlich gemacht werden.
Im Rahmen der "Offensive gegen Viren" ist auch die Antivir Personal-Edition
aktualisiert worden. Sie steht privaten Anwendern zum nicht kommerziellen Einsatz
auf dem eigens eingerichteten Server www.free-av.de kostenfrei zur Verfügung.
Weitere und ausführliche technische Informationen finden Sie auf der Internet-Seite:
http://www.antivir.de/deutsch/news/2000/fireburn.htm
Probleme
mit der E-Mail-Weiterleitung unter Outlook
In Outlook wählen Sie aus dem Menü "Extras" den Befehl "Dienste, Microsoft Exchange
Server", klicken Sie auf die Schaltfläche "Eigenschaften, Weitere Optionen,
Hinzufügen", und geben sie das Postfach ein, das Sie zusätzlich öffnen möchten.
Um einem anderen Anwender die Möglichkeit zu gewähren einen Ihrer Ordner zu
öffnen, müssen Sie ihm für diesen Ordner eine Berechtigung erteilen.
Im Ordnerdialog "Eigenschaften", kann Personen auf der Registerkarte "Berechtigungen"
der Zugriff auf Ihre Ordner gewährt werden, ohne die Berechtigung zum Senden
"im Auftrag von" zu erhalten. Stellvertretungen können Elemente in Ihrem Auftrag
senden. Zusammensetzung
von IP-Fragmenten
http://download.microsoft.com/download/win95/update/8070/w95/EN-US/259728USA5.EXE
http://download.microsoft.com/download/win98/update
/8070/w98/EN-US/259728USA8.EXE
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20829
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20830
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20827
Windows
NT Server als BDC in Domäne einbinden
Patch
für schwere Sicherheitslücke der Gauntlet-Firewall von NAI
www.tis.com/support/cyberadvisory.html
Genua Security News Letter, www.genua.de
(mw) RAS Dial-in
mit 3Com ISDN-LAN-Modem
Wir haben das Dial-in mit der neuen Firmware (Version 6.2.1, englisch) nachgestellt.
Dabei treten keine Schwierigkeiten auf:
1. Die Netzwerkkarte wurde im PC für DHCP konfiguriert, damit das LAN-Modem
über den Browser zu erreichen ist.
2. Mit dem Dial-in-Wizard wurde ein Single User angelegt. Die zuvor eingerichtete
Verbindung zum Internet-Provider habe ich als Default Gateway (default forwarding
address) angegeben (wie vom Wizard auch vorgeschlagen).
3. Am Einwahl-PC wurde ein neuer Telefonbucheintrag im DFÜ-Netzwerk angelegt,
dabei abgesehen von Telefonnummer und Passwort alle Einstellungen auf Standardwerten
belassen. Der PC verwendet eine AVM-B1-Karte mit dem AVM-NDISWAN-Treiber. Die
von Ihnen verwendete Eicon-Diehl-ISDN-Karte stand leider nicht zur Verfügung.
Ein Ping auf die IP-Adresse, die dem LAN-PC vom dem mit ihm verbundenen LAN-Modem
zugewiesen wurde (192.168.200.4 mit Maske 255.255.255.240), funktionierte sofort.
Ebenso ein Ping auf die IP-Adresse des Lan-Modems selbst (192.168.200.1 mit
Maske 255.255.255.240). Traffic
von Cisco-Router 1603 aufzeichnen
Auf der nachfolgend genannten Website finden Sie das Tool mrtg (mit allen Anleitungen),
mit dem Sie die Auslastung einer Verbindung über die Zeit als Diagramme darstellen
können. http://ee-staff.ethz.ch/~oetiker/webtools/mrtg/mrtg.html Exchange-Server
mit Arcserve It sichern
Outlook
97 stürzt ab
Die Event-Dateien haben mehrere Probleme an den Tag gebracht:
1. ID:5719: Für die Domäne XYZ ist kein Windows-NT-Domänen-Controller verfügbar.
(Dieses Ereignis wird erwartet und kann ignoriert werden, wenn mit dem "No Net"-Hardware-Profil
gebootet wird.) Folgender Fehler ist aufgetreten: Es stehen momentan keine Anmelde-Server
zur Verfügung, um die Anmeldeanforderung zu verarbeiten.
2. ID:4319: Ein doppelter Name wurde im TCP-Netzwerk entdeckt. Die IP-Adresse
des Computers, der die Nachricht gesendet hat, steht in den Daten. Verwenden
Sie NBTSTAT -n an der Eingabeaufforderung, um den doppelten Namen zu bestimmen.
3. ID:7000: Der Start vom 3Com 3C90x Adapter BC Driver ist mit folgendem Fehler
fehlgeschlagen: Ein an das System angeschlossenes Gerät funktioniert nicht.
Exchange-Server
Adressbuch-Zugriff beschleunigen
1. Führen Sie zuerst Perfwiz.exe (die Leistungsoptimierung) auf diesem Server
aus, und tragen Sie einen entsprechenden Wert für die Anzahl der Exchange-Empfänger
auf diesem Server ein.
2. Eventuell können Sie auch eine Datenbank-Defragmentierung (Offline-Defragmentierung
mit Eseutil.exe) starten. Beachten Sie folgende Voraussetzungen für diesen Vorgang:
- ein komplettes Exchange-Server-Backup (Priv.edb, Pub.edb
und Dir.edb),
- freier Festplattenspeicher, mindestens 120 Prozent der gesamten
Datenbankgröße auf diesem Server. Sicherheit
in Exchange 5.5 und Outlook 2000
Zugriff
auf alle Postfächer in Exchange
Top Ten
Viren im Juni 2000
Mail-Weiterleitung
unter Outlook
Windows
NT Server als BDC in Domäne einbinden
Cisco-Router
kann Device-Flash nicht finden
Einspielen
von Detail-Templates
Laserjet-SchachtAnwahl
ist nicht möglich
Netware-SFT-III-Lizenzierung
Netware
4.1 zeigt stets das Jahr 1988 an
Der eingesetzte HP-LC-Server soll Jahr-2000-fähig sein. Darüber hinaus
wurde der Patch 410Y2KP2.EXE installiert. Was haben wir vergessen? Index-Server
indiziert nur einen Server
Neue Windows-9x-Sicherheitslücke