Nick22

Hallo zusammen,

ich habe jetzt schon mehrere Berichte gehört, das viele durch die 70-294 gerasselt sind, obwohl ein gutes Gefühl bestand. Die Leute, die die Prüfung geschafft haben, haben keine hohe Punktzahl erreicht.

Gestern haben zwei Kollegen die Prüfung auf DEUTSCH gemacht, einer ist knapp durchgefallen, der andere hat eine Punktlandung hingelegt. Mit diversen Hilfsmittel, konnten wir die gestellten Fragen wiederfinden und haben die Antworten diskutiert. Von den 35 gestellten Fragen haben wir 33 wieder gefunden, und davon sind 32 richtig beantwortet (Bestätigt von einem MCT). Aufgrund dessen hat unser zweiter Trupp die Prüfung auf ENGLISCH gemacht und auch mit ein paar Verständnisproblemen über 900 Punkte erziehlt. Auch der Kollege, der die deutsche Prüfung nicht bestanden hatte, konnte 950 Punkte erziehlen.

Kann es sein, das irgendwas mit der deutschen Prüfung nicht stimmt?

Also, mein Tipp: NEHMT DIE ENGLISCHE PÜFUNG!!!

Es hat funktioniert.

Es waren aber noch mehrere Dinge zu tun (evtl. hab ich auch zu viel getan).

- Der Haken "Domäne mit einbeziehen" war aktiv

- 3268 tcp/udp

- 3269 tcp

Die Ports müssten etwas mit der Verbindung zum Globalen Katalog zu tun haben.

Danke für eure Hilfe.

Guten Morgen,

danke für die Antworten. Das mit der Windows-Anmeldung in der DFÜ Konfiguration werde ich prüfen. An den Haken habe ich gar nicht mehr dran gedacht, danke.

Ich hatte mit dem Watchguard VPN Client Probleme vor einiger Zeit. Allerdings ging es da noch um die Version 6.x. Seid dem hatten wir nur noch PPTP Verbindungen eingerichtet. Habe mir aber seit der neuen FW (vorher FB 1000) vorgenommen, die neue Version mal zu testen. Aber bislang noch keine Zeit dazu gehabt.

Werde mir gleich mal die Releaseinfo von WFS 7.4.1 + WSM 8.3 durchlesen.

Hm, das ist komisch, es scheint als würde er versuchen die VPN Verbindung über das Windows Kennwort herzustellen. Obwohl in der VPN Verbindung ein anderer Benutzername drin steht. Bei einer manuellen Verbindung, also nach der Anmeldung, funktioniert das ja auch. Nimmt Windows automatisch bei dem herstellen einer Verbindung bei der Anmeldung, also bei "Verbinden über DFÜ", die Anmeldedaten von Windows?

06/22/06 10:54 pptpd[18624]: Watchguard pptpd 2.2.0 started

06/22/06 10:54 pptpd[18624]: Using interface pptp2

06/22/06 10:54 kernel: pptp2: daemon attached.

06/22/06 10:54 pptpd[18624]: Connect: pptp2 [2] <--> x.x.x.x

06/22/06 10:54 pptpd[18624]: Connect: pptp2 [2] <--> x.x.x.x

06/22/06 10:54 kernel: GRE: out of order: as:7 seq:6 from:0xe6a145de

06/22/06 10:54 pptpd[18624]: Can't find property users.username.groups

06/22/06 10:54 pptpd[18624]: CHAP user (username) not in `pptp_users' group. Unable to authenticate.

06/22/06 10:54 pptpd[18624]: CHAP peer authentication failed

06/22/06 10:54 pptpd[18624]: CHAP allowing peer to retry authentication

06/22/06 10:54 pptpd[18624]: LCP terminated at peer's request

06/22/06 10:54 tunneld[149]: process_clear_request: x.x.x.x requested clear of non-existant call

06/22/06 10:54 tunneld[149]: process_rfds: unable to process packet from x.x.x.x

06/22/06 10:54 pptpd[18624]: Terminating on signal 2.

06/22/06 10:54 pptpd[18624]: Connection terminated.

06/22/06 10:54 pptpd[18624]: Persist flag not set, so we are exiting.

06/22/06 10:54 kernel: pptp2: pptp_sock_close

06/22/06 10:54 pptpd[18624]: Exit.

Danke für die Antworten,

wie IThome schon sagte, macht der Port 1723 auf zu machen keinen Sinn, da die Firewall selbst der VPN Server ist. Wenn der VPN Server hinter der Firewall steht, muss natürlich der Port weitergeleitet/durchgelassen werden.

Hatte mir eigentlich schon die Log angeschaut, aber nichts finden können was da geblockt wird, werde es aber nochmal in Echtzeit mit dem Anwender durchgehen. Vielleicht habe ich noch was übersehen. Aber deine Frage hab ich nicht ganz verstanden, was meinst du mit WFS und Fireware Pro? Sind das Firebox Versionen? SW Version 7.3.

Hallo zusammen,

ein Laptopbenutzer, der gerade im ausland unterwegs ist, kann sich nicht mehr anmelden. Es scheint so, als hätte Windows das gecachte Domänenkennwort vergessen. Da natürlich alle Konfigurationen auf dem Profil des Domänenbenutzers eingestellt sind, muss er sich halt auch damit anmelden können.

Wir nutzen zur Einwahl ins Netz VPN (PPTP direkt an der Firewall (Watchguard X700)). Bei der Anmeldung gibt es ja die Möglichkeit "Anmelden über DFÜ" zu aktivieren, allerdings erscheint dann die Fehlermeldung: Kann Domäne nicht finden. Folgende FW-Konfiguration sind zur Zeit aktiv.

53 tcp/udp

137 udp

138 tcp/udp

139 tcp/udp

445 tcp

389 tcp/udp

3268 tcp

Diese Konfiguration hatte ich mir schon aus verschiedenen Foren und FAQs zusammengesucht. Laufwerksmapping und DNS funktioniert.

Fehlen mir noch Ports?

Geht wohl nur eine Verbindung mit XP VPN Server: http://www.wintotal.de/Artikel/vpnxp/vpnxp.php

Außerdem habe ich noch das gefunden. Lesen musst du aber selbst ;) http://openvpn.net. Gibts halt auch als Windows Version.

Router mit VPN-Server scheinen wohl erst ab ca. 200Euro anzufangen. Für kommerzielle Nutzung würde ich aber dabei schon ein paar Euro in einen vernünftigen VPN-Server/Router investieren. Wir haben bei einem Homearbeitsplatz diesen im Einsatz: http://www.watchguard.com/products/soho.asp

Schreib dann aber mal, wie du es gemacht hast. Danke

Auf dem Server soll ein Lexware Financial Office Pro laufen, das Teil ist Netzwerkfähig.

Laut Lexware geht das Programm aber nur in einem internen Netz, und kann von aussen nicht angesprochen werden.

Ich habe mir nun überlegt das ganze über VPN zu machen. Dann müsste ja das Lexware Programm "denken" das der Rechner der von außen kommt ein Client im interen Netz ist. (RICHTIG?) Ja.

Jetzt sind das aber wie gesagt 5 Heimarbeitsplätze.

Wie schaffe ich es das alle 5 HAs gleichzeitig auf den Server zugreifen können. Win XP kann ja nur eine VPN Verbindung gleichzeitig Verwalten (RICHTIG?) Das weiß ich leider nicht, nutze auch nur eine VPN Verbundung.

Geht das mit einem Router der VPN kann? Ja, aber dafür brauchst du einen Router, der auch als VPN Server benutzt werden kann, und nicht einen, der nur eine VPN Kopplung zwischen Firewalls oder als Home-VPN-Router als VPN Client arbeitet.

Wie mache ich die Ordnerfreigaben? Wenn du mit einem VPN Router arbeiten solltest, dann musst du die Ports dafür öfnnen (tcp 139). Bei dem VPN-Server unter WinXP brauchst du das nicht, allerdings muss hierbei Portforwarding vom Router zum XP-Rechner gemacht werden (tcp 1723)

Ich habe das mal in einer Testumgebung getestet. Der VPN User wird nicht in den Gruppen- oder Benutzerangabendialog nicht angezeigt. (Über rechte Maustaste, Freigabe, dann Sicherheit)

Welchen Weg muss ich da gehen? Dabei hängt es wieder von der Verbindung ab: Bei VPN Router würde ich dir eine kleine Batch vorschlagen, mit der du ein Laufwerk unter einem anderen Benutzernamen mappst (net use k: \\server\freigabe /user:USERNAME /passwort:PASS). Diesen Benutzer musst du natürlich vorher anlegen und für die Verzeichnisse berechtigen. Wenn du den VPN Dienst von XP nutzt, kannst du bei der Einrichtung des Tunnels ein Benutzer/Passwort für die Verbindung vergeben. Den müsstest du auch auf den Ordner berechtigen können.

Jeder Benutzer soll einen eigenen Ordner haben, in dem er seinen Kram speichern kann, und auf den auch nur er Lese- und Schreibrechte hat.

 

Ich weiss,

 

Fragen über Fragen, aber ihr seid doch Topfit in so Sachen.

Es werden bestimmt noch fragen kommen, also frag ruhig ;)

Nick

Eine weitere Möglichkeit dies mit Skripten zu machen ist über das Skrptprogramm Kixtart. Dort gibt es Befehle wie:

AddPrinterConnection( )

 

Action: Adds a connection to the specified printer for the current user.

 

Syntax: ADDPRINTERCONNECTION ("printer name")

 

Parameters: Printer name

 

The (share)name of the printer to which to connect.

 

Remarks: This function is available only on Windows NT family, and can be used only to connect to printers on a server running the Windows NT/2000/XP operating system.

When Windows NT connects to the printer, it may copy printer driver files to the local computer. If the user does not have permission to copy files to the appropriate location, ADDPRINTERCONNECTION fails, and @ERROR returns ERROR_ACCESS_DENIED.

 

 

Returns: 0 Printer connection established

Error code Function failed

 

 

See Also: DelPrinterConnection( ), SetDefaultPrinter( )

 

Example: If ADDPRINTERCONNECTION ("\\vleerbeer\hp laserjet 4") = 0

? "Added printer connection...."

Endif

Anders als mit OU´s kannst du da auch mit normalen Gruppen arbeiten. Somit wäre eine Abteilungsgruppe schnell angelegt.

Gruß Nick

Dabei war ich immer der Meinung, Novell Server sind die besseren Printserver ;) .. Aber OK.

Um Ressourcen nutzen zu können, und das am besten ohne viel trickserei, ist in einer Windowslandschaft die ADS genau dafür zuständig. Aber deine Problematik verstehe ich auch, dass du als "Testsystem" ungern eine paralelle Domäne zu deinem Novell Netz aufbauen willst. Ich würde dir den genau gegensätzlichen Weg vorschlagen. Warum interierst du den Server nicht in deinem Novelldirectory und stellst darüber die Berechtigung ein? Treiber für den Drucker kannst du dann ja immernoch hinterlegen.

gets $PW

USE U: \\server\freigabe /USER:$Variable_Kurzname /PASSWORD:$PW

In der Theroie würde das ja auch funktionieren, allerdings wird die Eingabe des Kennwortes nicht verdeckt. Daher mein Problem.

Können denn Variablen aus Kix in eine Dos-Shell übergeben werden? In etwa so:

shell NET USE U: \\server\freigabe /USER:$Variable_Kurzname

Danach wird man ja nach dem Kennwort für die Netzwerkressource gefragt. Und der Username ist auch sofort richtig.

Noch besser wäre es natürlich so:

shell NET USE U: \\server\freigabe /USER:$Variable_Kurzname

if not @error=0 ? "Kennwort war falsch" endif

Allerdings müsste dazu ein Returncode an Kix übergeben werden. Geht das?

Ich werde es einfach mal testen, gebe dann bescheid, wie ich es hinbekommen habe. Oder auch nicht ;)

Hallo Noteuser3,

KiXtart ist eine Skriptsprache die zur Ergänzung der Batch-Dateien unter Windows entwickelt wurde. Damit lassen sich simpele Abfragen machen wie beispielsweise: Wenn Benutzer in der Domänengruppe "Abteilung_Fibu" dann mache Mapping usw.

Hier der Link: KiXtart

Das Mapping auf dem Server wird auch nur mit dem Skript aufgebaut, also besteht nicht die Gefahr mit dem schon exestierenden Mapping. Außerdem werden am Anfang des Skrpits alle offenen Verbindungen getrennt.

Danke für die Antwort Hirgelzwift,

vielleicht sollte ich etwas mehr ausholen, um auch unsere Namensvergabe erklären zu können.

Die iSeries gibt es nunmal schon länger hier im Haus, somit wurde die Namensvergabe zuerst nur auf der iSeries gepflegt. Als nun auch noch PC´s + ADS dazu kamen, wurde nunmal auch die Namensvergabe fortgeführt. Wenn es nach mir ginge, würden die Namen entweder EDV01 - EDV0x oder Petlus oder Petlus231 (Peter Lustig + Personalnummer) heißen. Desweiteren ist die iSeries mit der jetztigen Policy ansich ein Sicherheitsrisiko, da ich beispielsweise ein leichtes Kennwort haben muss um mit der iSeries kommunizieren zu können. Wenn es nach Windows und nach mir ginge, würde mindestens ein Sonderzeichen und eine Zahl im Kennwort vorkommen müssen. Die iSeries selber kann aber keine Sonderzeichen. Somit bin ich in diesem Bereich schon eingeschränkt.

Du hast ja Recht, einfach den Benutzernamen zu kürzen wäre am leichtesten, aber ich möchte meine Möglichkeiten und auch Policywünsche nicht immer weiter runterschrauben. Vielleicht ist mein Gedankenansatz auch falsch. Meinetwegen können sich die Personen an zwei Systemen mit verschiedenen Kennwörtern anmelden, aber auch dann sollte es noch komfortabel für die Personen sein.

Mein erster Gedanke den ich hatte, und auch versucht habe mit Kix umzusetzten, war eine abfrage des derzeitigen Benutzername. Bei Nichtübereinstimmung wird ein Mapping mit einem anderen Benutzernamen gemacht. An der stelle wollte ich das gecachte Kennwort einsetzen. Aber auch mit einer Möglichkeit das Kennwort verdeckt nochmal vom Benutzer eintragen zu können, wäre auch OK. Allerdings bietet Kix nicht die Möglichkeit einen Text verdeckt in eine Variable zu schreiben.

So war mein Gedanke:

:Sprungpunkt

; global $vollname, $kurzname, $fehler, $nameungleich, $nameungleich2

; dim $array2[2]

; if open (3, "@lserver\NETLOGON\kurznamen.txt") = 0 ; Hier werden die bekannten Problemnamen eingetragen

; while $fehler = 0

; $x = ReadLine(3)

; if $x

; $array2 = split("$x",";")

; $vollname=$array2[0]

; $kurzname=$array2[1]

; else $fehler=1

; endif

; $userid=lcase(@userid)

; $vollname=lcase($vollname)

; if $userid==$vollname gosub mapping_Laufwerk

; loop

; close (3)

; endif

return

:mapping_Laufwerk

$nameungleich=1

$nameungleich2=$kurzname

use u: "\\server\freigabe" /user:$kurzname ; Hier wollte ich irgendwie das Kennwort cachen oder der Benutzer sollte bei nicht gleichem Kennwort ein anderes Kennwort eintragen können

else

use u: "\\server\freigabe"

endif

return

Was mir aber gerade noch beim schreiben dieses Textes auffiel, dass ich in diesem Fall auch auf das externe Mapping von Windows zurückgreifen kann. Dabei wird nämlich nach dem Kennwort gefragt. Ungefähr so:

shell net use u: \\server\freigabe /user:$kurzname

Das werde ich bei gelegenheit mal testen.

Gruß Nick

Mit Hashregeln hast du das Problem auch nicht, das "schlaue" User die exe einfach Umbenennen und weiter spielen ;)

Hallo zusammen,

hab lange hier nicht mehr geschrieben, aber irgendwann benötigt man doch mal wieder Hilfe ;)

Ich arbeite mit einem Kixstart Logonskript. Das Script ist schon ziemlich oft erweitert, verbessert und optimiert worden. Müssten jetzt ca. 6 Seiten im Notepad betragen. Eine Funktion bekomme ich nicht hin, da dies Kixstart so nunmal nicht bietet. Folgendes Problem habe ich:

Ich arbeite mit einer 2K3 Domäne mit Benutzername = Nachname der Personen. Neben den "normalen" Servern haben wir kaufmännische Anwendung auf einer iSeries laufen. Manche Anwendungen stellen csv-Dateien auf dem IFS der iSeries Bereit. Da manche Programme auf der iSeries nur maximal acht Stellen im Benutzernamen vertragen können, bekommen wir bei der Netzwerkanmeldung bei Personen mit mehr als acht Stellen im Nachnamen Probleme.

Teilweise habe ich den Windowsbenutzer auf acht Stellen gekürzt, aber ich halte es für unsinnig wegen einem "älterem" System meine eigene Benutzerpolicy zu ändern.

Die Benutzer, welche auf diese csv-Daten zugreifen müssen, benötigen zwangsweise in beiden Systemen das gleiche Kennwort. Meine Idee war, irgendwie das Windowskennwort zu cachen und einem Netlogonbefehl mitzugeben. Kix selber kann das nicht, aber hat einer von euch eine Idee, wie ich das bewerkstelligen könnte? Oder vielleicht einen anderen Ansatz für die Lösung?

PS: Mit Radius oä. werden wir nicht arbeiten können, da sich in diesem Fall die zuständigen Personen für die iSeries quer stellen würden. Auch Kerberos mit der iSeries ist nicht möglich, da in diesem OS Release nur ein Kerberor Client, aber kein Server integriert ist.

Vielen Dank schonmal

Das wusste ich nicht. Damit hat sich das schon erledigt.

Danke Dir.

Nick

Ok, dann erzähle ich mal die Situation.

Wir haben im Moment einen Externen Programmier im Haus, der EDI einrichtet. Das System baut zum einen auf das ERP-System (iSeries) und zum anderen auf ein PC-gestütztes System auf. Der PC arbeitet halt mit der MSDE.

Aus unserem Haus möchteh zwei Personen mit dem System Arbeiten (nicht gleichzeitig) und somit würd ich die Software auf beiden PCs installieren wollen. Jedoch sollen diese beiden PCs auf die gleichen Datenbanken zugreifen können. Und da dachte ich halt an zentrale Datenbankhaltung, jedoch clientseitige MSDE/SQL Server.

Mit etwas mehr vorlaufzeit, hätte ich mich vielleicht noch um einen SQL Server gekümmert, aber die Anforderung nach einem SQL Server kam während der Installation.

Gibt es bessere Möglichkeiten? Sag an ;)

Danke Nick

Hallo zusammen,

wisst ihr eine Möglichkeit, den MSDE-Server auf dem Client laufen zu lassen, obwohl sich die Datenbanken in Netz befinden, statt in dem Lokalen "DATA" Verzeichnis? Der Fileserver, wo die Datenbanken drauf sein sollen, darf kein SQL/MSDE Server sein. Also soll sich eigentlich nur das Datenbankverzeichnis ändern.

In der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\Setup konnte ich den Pfad ändern, und auch der MSDE/SQL-Server statrete, jedoch beim Aufruf der DB gab es Probleme.

Was muss ich beachten? Oder bin ich mit dem Ändern der Registry auf einem ganz falschem Weg?

Danke schonmal

Nick

leicht aber unsicher:

"Gast"-Konto freischalten

Noch eine Zwischenfrage:

Welche Berechtigungen müssen auf dem Sysvol Verzeichnis liegen? Muss "Jeder" Lesezugriff haben??

hallo fusselkopp,

es erscheint ein verzeichnis das folgende Unterverzechnisse beinhaltet: "Domain" + "UnsereDomain.lan"

Hallo zusammen,

wir haben am Freitag eine neue Domäne (ADS)aufgesetzt und die alte NT Struktur sterben lassen.

Seit Sonntag Mittag erscheinen in kurzen Abständen folgende Fehler in der Ereignisanzeige des DC:

------------------------------------------------------------

Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.

------------------------------------------------------------

Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=haensel-verbund,DC=lan kann nicht zugegriffen werden. Die Datei muss im Pfad <\\DOMAIN.LAN\sysvol\DOMAIN.LAN\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\gpt.ini> vorhanden sein. (Das System kann den angegebenen Pfad nicht finden. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.

------------------------------------------------------------

Ein Client hat folgende Fehler:

------------------------------------------------------------

Die clientseitige Erweiterung "Security" der Gruppenrichtlinie empfing Flags (17) und hat einen Fehlerstatuscode (3) zurückgegeben.

------------------------------------------------------------

Die Sicherheitsrichtlinie kann nicht übermittelt werden. Auf die Vorlage kann nicht zugegriffen werden. Fehlercode = 3.

\\DOMAIN.LAN\sysvol\DOMAIN.LAN\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.

------------------------------------------------------------

Am Montag, nachdem die Fehler auftaten liefen auch die Anmeldescripte nicht mehr. Grund dafür war, das das Verzeichnis "scripts" unter Sysvol nicht mehr vorhanden war. Auch das "Policies" Verzeichnis war verschwunden. Das Scripts Verzeichnis konnte ich wieder anlegen und die Anmeldescripte funktionierten wieder.

Probleme sind erst aufgefallen, als ein User versuchte sein eigenes Kennwort zu ändern. Dies wurde mit der Fehlermeldung "Zugriff Verweigert" (Windows 98) zurückgewiesen. Vereinzelte User konnten jedoch ihr Kennwort ändern.

Was kann ich tun??

Danke schonmal

Nick

Sie haben mindestens 5 Jahre Berufserfahrung in folgenden Bereichen:

Active Directory Service (ADS)

?? Wurde die ADS nicht erst im Jahr 2000 eingeführt?? Ist doch erst vier Jahre Alt ;)

nur ne anmerkung:

wenn dieser fehler kommt, erst mal überprüfen, ob eine diskette im laufwerk ist ;)

(hatte auch schon mal ne halbe stunde damit verbracht, mit der widerherstellungskonsole fixboot auszuführen, bis ich gemerkt habe, das da eine diskette drin ist)

wenn ich das richtig sehe hast du das problem, dass du keine "tagesabfrage" hast. sonst kannstz du das skript doch gut verwenden.

if DIENSTAG goto skriptdienstag

hier ist ein freewaretool, das ich mir gezogen hatte, vielleicht bringt dich das weiter.

every day (täglich)

every monday (jeden montag)

every ...

nick

every.zip