Drillsergeant

Sicher ist das der Holzweg, aber wie gesagt: man kann nicht immer walten und schalten wie man will ¯\_(ツ)_/¯

Das mag ja alles sein, aber der Schalter "häng den Domainnamen an" oder such die Datei in %userprofile%\.... wäre mal richtig sinnvoll! Die meisten von uns werden mit Variablen arbeiten und es tunlichst vermeiden hard coded einen Pfad zu hinterlegen ;)

@Dukel hat es erfasst, aber scheinbar gibt es keine einfache Lösung @NilsK man kann nicht immer walten und schalten wie man will. Seitens MS sind viele Dinge nicht supportet und trotzdem kann man sie verbiegen. Den Domainnamen an den lokalen Userprofilpfad zu hängen wäre die schmerzfreiste Lösung. Die durchschnittliche Profilgröße beträgt bei uns 100 MB, die bei Gigabit Verbindungen und SSD´s schnell zu laden sind.

Die OST liegt im local Teil des Profils und wird somit nicht synchronisiert. Da Outlook sie ggf. im nicht vorhandenen Ordner erwartet, wird sie eben nicht neu angelegt.

Sorry für die späte Antwort, ich war ein paar Tage bescheiden angebunden. Den Cachemode zu deaktivieren hilft den mobilen Usern leider nicht, die haben nicht immer eine Verbindung zur Verfügung. Die lokal zwischengespeicherten Profile zu löschen kam mir auch schon in den Sinn, so fällt es dem User schneller auf, wenn es unnötig groß ist. In den Jahren der Roaming Profiles lernt man aber auch, das lokale Kopie und Serverkopie weit auseinander laufen können und man ggf. die richtigen Daten löscht. Dann wird es wohl über die Jahre rauseitern...

Den Satz habe ich gestern überlesen, möchte dennoch auf meine Ausgangsfrage zurückkommen: kann man den Domainnamen an die Profilverzeichnisse anhängen? Von den Roaming Profiles komme ich so schnell nicht weg und will es auch nicht so wirklich. Auch wenn es hier und da Kopfschmerzen bereitet.

Die OST Datei liegt auch im Local Teil, aber es ist in der Registry hinterlegt das die Datei in einem gewissen Ordner liegt, den es an einem neuen PC nicht gibt. Profil alte Domain: c:\users\%username% Profil neue Domain (gleicher Rechner): c:\users\%username%.domainname Profil am neuen Rechner oder nach Erstanmeldung an einem Gerät:c:\users\%username% --> und die OST aus Profil neue Domain (gleicher Rechner) wird nicht gefunden

Aber im Servergespeicherten Profil steht, das die Datei unter c:\users\%username.domainname. An einem neuen PC wird das Userverzeichnis unter c:\users\%username abgelegt. Nun erstelle ich am Meetingraum PC oder wo auch immer, eine neue OST und der User kehrt an seinen eigentlichen PC zurück, dann steht wieder der falsche Pfad drin. Deshalb fände ich es eleganter den Domainnamen an das lokal Profilverzeichnis zu hängen.

Hallo zusammen, ich stecke gerade in einer Domainmigration und stolpere über den ein oder anderen Stein. Wir setzen Servergespeicherte Profile ein, die lokal unter c:\users\%username% abgelegt werden. Die Profile aus der neuen Domain werden demnach unter c:\users\%username%.domainname abgelegt. Meldet sich der User an einem neuen PC an, findet Outlook die OST Datei nicht mehr. Gibt es eine Möglichkeit den Domainnamen immer anhängen zu lassen? In den GPO Einstellungen für Benutzerprofile bin ich leider nicht fündig geworden und Google stelle ich scheinbar die falsche Frage. Beste Grüße, Stephan

Entschuldigt die späte Antwort. Es gab ein Problem mit der vorgelagerten ASA, welche den Traffic nicht durchgelassen hat. Danke für die Hilfe. Beste Grüße, Stephan

Hallo Newbie, beide Seiten haben extern eine Cisco ASA und dahinter steht ein Microsoft TMG 2010, wobei die ASA eine VPN Verbindung bereitstellt und die TMG´s ein schlichtes Routing durchführen. Es betrifft alle Endgeräte in Russland :-( Einen Tracert kann ich auf beiden TMG´s laufen lassen, melde mich zurück sobald ich dazu gekommen bin. Gruß Stephan

Hallo zusammen, ich kann momentan meinen Kollegen am entfernten Standort nicht hören, er versteht mich wunderbar. Auf beiden Seiten gibt es einen SRST Router, auf meiner dazu einen Callmanger. Sobald er aus Russland auf meinem Handy anruft, erscheint eine Deutsche Nummer, wie es scheint wird die Nummer ersetzt. In der Regel richte ich nur die Telefone samt dazugehöriger Nummer im Callmanger ein und stehe momentan etwas auf dem Schlauch, kann mir bitte von euch jemand helfen? Beste Grüße, Stephan

Hallo zusammen, es funktioniert :) Ausschlaggebend war das benutzerdefinierte http, sodass der Traffic nicht durch den Webproxy gefiltert wird. Ich war bei "all outbound Traffic" davon ausgegangen, das der Proxy seine Finger nicht im Spiel hat. Danke für eure Unterstützung :thumb1: Schönes Wochenende Gruß Stephan

Wie im letzten Absatz beschrieben, müsste bei meiner Regel jeglicher Traffic durch einen Benutzer der Gruppe "Test VPN Users" authentifiziert werden?! So wie ich die Regel im Screenshot aufgebaut habe, würde ich sie im Normalfall definieren, ohne das DMZ3 zum VPN Client senden darf. Gehen wir davon aus, das die Kamera den Stream nach Aufforderung des Clients auf Port 1756 TCP als Stream über einen belibigen Port schicken möchte, hätte sie keine Chance, da sie sich am TMG authentifizieren muss. Verstehe ich das so richtig? Wenn ja, wie kann ich unterschiedlichen VPN Usern, Zugriff auf bestimmte IP Bereiche gewähren? Die Regel wurde als Access Regel angelegt. Eine Umstellung an der Kamera auf TCP, hat keine Änderung bewirkt. Gebe ich DMZ3 den Zugriff auf Internal nicht frei, bleibt es dunkel. Beste Grüße Stephan

Eine allow Any to Any Regel gibt es nicht, im Handbuch der Kamera ist die IP Kommunikation sehr allgemein gehalten. Im Logging des TMG baut der Client auf Port 1756 TCP eine Verbindung zur Kamera auf, um im Anschluss den Stream via UDP (Port nicht definierbar) zu erhalten. Diese Art der Kommunikation wurde vom Bosch Support so beschrieben, deshalb auch die Regel aus der DMZ in Richtung Internal. Entferne ich die Konfigurierte Testregel, fängt die Default rule (deny all) den Traffic ab. Meine Testregel habe ich nach den ersten Posts folgendermaßen aufgebaut. Allow, All outbound Traffic From: Internal, DMZ3 To: DMZ3, Internal; All Users Entferne ich From: DMZ3 To: Internal aus der Regel bleibt das Bild schwarz, Multicast kommt nicht zum Einsatz. @Daniel: Eine Option nur authentifizierten Traffic über die VPN Regel zu erlauben kann ich nicht finden. Gruß Stephan

Guten morgen, die Kamera schickt den Stream via UDP zum Client, deshalb brauche ich tatsächlich eine Regel aus DMZ3 nach Internal. Das klappt soweit ausgezeichnet, allerdings verweigert das TMG die Verbindung von DMZ3 zu den VPN Clients. Im Log sehe ich dazu folgenden Eintrag: Denied Connection TMG01 6/16/2014 10:01:48 AM Log type: Firewall service Status: The action cannot be performed because the session is not authenticated. Rule: Test VPN Access Source: DMZ 03 (192.168.100.39:2050) Destination: VPN Clients (10.1.2.107:64995) Protocol: Unidentified IP Traffic (UDP:64995) Number of bytes sent: 0 Number of bytes received: 0 Processing time: 0ms Original Client IP: 192.168.100.39 Additional information In der Regel ist der Zugriff von VPN Clients nach DMZ3 und umgekehrt erlaubt, muss noch mehr eingefügt werden? Gruß Stephan

Hallo ihr zwei, leider schaffe ich es heute nicht mehr die Log´s zu ziehen, ich melde mich Anfang nächster Woche nochmal. Beste Grüße und schönes Wochenende, Stephan

Hallo zusammen, ich möchte den Videostream einer Bosch Dinion IP NWC-0495 über mein TMG übertragen, was mir bisher nicht gelingen will. Die Bosch Software meldet die Kamera als verfügbar, aber der Stream kommt nicht an. Die Kamera befindet sich in DMZ3 192.168.100.x und ich möchte den Stream im Internal LAN 172.16.20.x empfangen, später soll der Stream via VPN übertragen werden. Zum Test habe ich eine Firewall Regel von Internal auf DMZ3 mit "All Outbound Traffic" und All Users angelgt. Dazu unter Networking --> Networkrules eine Route von Internal zur DMZ3. Aus meiner Sicht sollte das Regelwerk so passen, allerdings hatte ich mit TMG bisher wenig zu tun, da bei meinen alten Arbeitgebern StoneGate oder Watchguard eingesetzt wurde. Hat jemand eine ähnliche Konfiguration bereits erfolgreich zum laufen bekommen und kann mir beim TMG weiterhelfen? Beste Grüße Stephan

Hallo Lars, ich nehme an das die Clients ein Computerzertifikat besitzen welches noch gültig ist? Gruß Stephan

Servus, sorry für die späte Antwort, ich hatte in den letzten Tagen wenig Zeit zum Testen :-( Ich habe bei meiner internen CA folgende Anfrage eingereicht: [NewRequest] Subject = "CN=vpn1.firma.de" Exportable=TRUE KeyLength=2048 KeySpec=1 MachineKeySet=TRUE [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; Server Authentication OID=1.3.6.1.5.5.7.3.2 ; Client Authentication [RequestAttributes] CertificateTemplate = WebServer SAN="dns=vpn2.firma.de" Leider taucht der SAN im ausgestellten Zertifikat nicht auf. Soweit ich das beurteilen kann, sollte die Anfrage passen. Oder liegt hier schon der Fehler? Gruß Stephan

Verwende ein MS TMG2010, wenn ich die Anfrage mit certutil passend erstelle sollte es aus einer Sicht keine Probleme geben. Oder kannst Du mich eines Besseren belehren?

Hallo zusammen, ich möchte unseren VPN Zugang auf SSTP umstellen und dazu ein Zertifikat erwerben. Ich würde ungern für Standort A und Standort B ein eingenes Zertifikat kaufen, sondern das Zertifikat mit alternativen Namen füttern. Wird das Zertifikat am Standort B auch akzeptiert, wenn StandortB.Firma.de nur als alternativer Name drin steht? Gruß Stephan

Mahlzeit, ich suche den Punkt, an dem ich meinen Benutzernamen ändern kann. Ist das überhaupt möglich oder muss ich einen neuen Account anlegen? Gruß Stephan

Hallo zusammen, ich möchte die Authentifizierung bei unseren W-LAN Accesspoint gern via Radius mit Computerzertifikaten realisieren. In der Testumgebung klappt soweit auch ganz gut, allerdings bin ich beim Ausstellen der Clientzertifikate und den damit verbundenen Anpassungen der Zertifizierungsstelle nicht ganz sicher, ob das so passt. In der Anleitung wird beschrieben, das man die Originalvorlage "Computer" in der Unternehmens PKI Zertifikatvorlagen löschen soll. Hat das eventuell Nebenwirkungen auf andere Bereiche? Gruß Stephan

Moin, nach gefühlten 48 Stunden ist die Replikation erfolgreich abgeschlossen. Ich habe in ...\System Volume Information\DFSR den Private und DB Ordner gelöscht. Danke und Gruß, Stephan