dkemper

klar. hier die config. ich habe die ip-adressen, passwörter und hostnamen abgeändert. ich denke aber das mit der config auf jeden fall noch was anzufangen sein müsste. pix515e# sh ru : Saved : PIX Version 6.3(3) interface ethernet0 auto interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password xxxxxxxxxxxxxx encrypted passwd xxxxxxxxxxxx encrypted hostname pixfirewall domain-name local.lan fixup protocol dns maximum-length 1500 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list outside-acl permit tcp any any eq www access-list outside-acl permit tcp any any eq 3389 access-list outside-acl permit tcp any any eq 47 access-list outside-acl permit tcp any any eq 464 access-list outside-acl permit tcp any any eq ldap access-list outside-acl permit tcp any any eq pptp access-list outside-acl permit tcp any any eq https access-list outside-acl permit tcp any any eq 8333 access-list outside-acl permit tcp any any eq 902 access-list outside-acl permit tcp any any eq 500 access-list outside-acl permit tcp any any eq 50 access-list inside-acl permit tcp any any eq www access-list inside-acl permit tcp any any eq 3389 access-list inside-acl permit tcp any any eq 47 access-list inside-acl permit tcp any any eq 464 access-list inside-acl permit tcp any any eq ldap access-list inside-acl permit tcp any any eq pptp access-list inside-acl permit tcp any any eq https access-list inside-acl permit tcp any any eq 8333 access-list inside-acl permit tcp any any eq 902 access-list inside-acl permit tcp any any eq 50 access-list inside-acl permit tcp any any eq 500 pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 192.203.62.238 255.255.255.240 ip address inside 10.1.50.254 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm location 10.1.50.1 255.255.255.255 inside pdm location 10.1.50.4 255.255.255.255 inside pdm location 10.1.50.8 255.255.255.255 inside pdm location 10.1.50.10 255.255.255.255 inside pdm location 10.1.50.12 255.255.255.255 inside pdm location 10.1.50.23 255.255.255.255 inside pdm history enable arp timeout 14400 static (inside,outside) 192.203.62.237 10.1.50.1 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.226 10.1.50.4 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.227 10.1.50.23 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.231 10.1.50.8 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.232 10.1.50.10 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.228 10.1.50.12 netmask 255.255.255.255 0 0 access-group outside-acl in interface outside access-group inside-acl in interface inside conduit permit icmp any any route outside 0.0.0.0 0.0.0.0 192.203.62.225 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local http server enable http 10.1.50.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec sysopt connection permit-pptp sysopt connection permit-l2tp sysopt ipsec pl-compatible telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:0037cc7f0ef0d537d34a9c18fe90e001 : end schon mal vielen dank und gruss...

danke für den tip. ich werd direkt mal austesten ob ich irgendwelche einstellungen davon übernehmen kann. ich verstehe nur nicht warum 88 als kerberos port nummer angegeben ist...

Hallo zusammen! Ich habe da so ein kleines Problem mit unsere CISCO PIX 515E Firewall: Hinter dieser Firewall befinden sich mehrere Windows 2003 VPN Server mit denen sich unsere Clients und Notebooks der Aussendienstler für eine SQL Datenbankreplikation verbinden sollen. Die Verbindung zu den Servern wird auch bis zu dem Zeitpunkt einwandfrei hergestellt, bis das Kennwort und der Benutzername verifiziert werden soll. Dabei meldet der Client dann, den Fehler 721: 721 Die Verbindung konnte nicht hergestellt werden, weil der Remotecomputer die Verbindungsanforderung nicht beantwortet hat. Versuchen Sie Folgendes: Überprüfen Sie, ob das Modem funktionsbereit ist. Weitere Informationen finden Sie unter Problembehandlung bei Modems. Vergewissern Sie sich, dass TCP/IP installiert und für diese Verbindung ordnungsgemäß konfiguriert ist. Weitere Informationen finden Sie unter Verwenden von PPP für Internetverbindungen. Für diese Verbindung ist möglicherweise ein Terminalfenster erforderlich. Weitere Informationen zum Aktivieren eines Terminalfensters finden Sie unter So verwenden Sie das Terminalfenster zum Anmelden an einem Remotecomputer. Vergewissern Sie sich beim Versuch, eine Verbindung zu einem virtuellen privaten Netzwerk (VPN) herzustellen, dass der Hostname oder die IP-Adresse des Zielservers stimmen; versuchen Sie erneut, die Verbindung herzustellen. Zum Überprüfen dieser Informationen klicken Sie mit der rechten Maustaste auf die Verbindung, klicken Sie auf Eigenschaften, und gehen Sie die Informationen auf der Registerkarte Allgemein durch. Diese ganzen Einstellungen habe ich geprüft und konnte keine Fehler feststellen. Ausserdem funktioniert ja auch die Verbindung zu den Server über das interne Netz was ja die korrekte Funktion der Server darstellt. Das einzige was ich mir vorstellen könnte ist, daß der Server die Verbindung annimmt und auch auf die Authentifizierungsanforderung antworten möchte, diese Antwort aber von der Firewall aufgrund von irgendwelchen geblockten Ports verhindert. Ich habe bisher folgende Ports freigeschaltet (es soll PPTP verwendet werden): - 47 GRE - 1723 PPTP - 464 LDAP (für die Active Directory anfrage) - 389 Kerberos (für die Authentifierung mit AD) Eigentlich sind die Ports 464 und 389 ja überflüssig da ja MS CHAP v2 verwendet wird. Allerdings weiss ich auch nicht welche Ports von MS CHAP (v2) verwendet werden. Hat vielleicht von euch noch jemand Ahnung woran der Fehler liegen könnte??? Danke und Gruss

das sind alles eigenständige firmen. um genau zu sein, geht es dabei um einen asp-dienstleister der seinen kunden office anwendungen usw. auf asp basis per terminalserver über das internet zur verfügung stellt. jeder kunde (also jede organisation/unternehmen) bekommt einen eigenen server mit eigener von allen anderen unabhängiger domäne.

es ist ja nicht NUR der Lizenzserver in einer anderen Domäne. In dieser Domäne befinden sich natürlich auch Terminalserver die diesen Lizenzserver nutzen. Nun gibt es halt auch weitere Domänen mit neuen Terminalservern die diesen Lizenzserver verwenden sollen.

Hallo zusammen! Ich hab da 'nen kleines Problem: Und zwar haben wir 15 Terminalserver in einer Domäne. Der Lizenzserver befindet sich allerdings in einer anderen Domäne und auch in einer völlig anderen Gesamtstruktur. Kurz gesagt: die Domänen haben nichts miteinander zu tun. Nun ist die Frage wie ich die Terminalserver anweise genau diesen einen Lizenzserver zu verwenden um Lizenzen anzufordern. Ich habe mittlerweile eine bidirektionale, externe Vertrauensstellung zwischen den beiden Domänen hergestellt. Dann habe ich versucht unter "Active Directory Standorte und Dienste" im Punkt "TS-Enterprise-License-Server" einen anderen Lizenzserver zu wählen. Allerdings wird mir die externe Domäne in der sich der Lizenzserver befindet überhaupt nicht angezeigt so daß ich sie durchsuchen kann. Mit Angabe des Netbios Namens funktioniert es leider auch nicht. Wenn ich allerdings ein ganz normales Verzeichnis auf dem Server freigebe und dort die Berechtigungen setzen möchte, wird mir die Domäne angezeigt und kann auch durchsucht werden. Also DNS kann's nicht sein. Die Vertrauensstellung kann's auch nicht sein. Der Lizenzserver ist als organisationsweiter Lizenzserver installiert worden. Nun weiss ich überhaupt nicht mehr woran das liegen kann. Hat vielleicht noch jemand ne Idee? Danke + Gruss

hallo! sagt mal, funktioniert das auch wenn sich der lizenzserver in einer anderen domäne befindet als einige der terminalserver? oder funktioniert das sowieso??? greetz & thanks

danke! hab's auch schon gefunden. hatte unter ansicht die erweiterten funktionen nicht eingeschaltet... *gnäh* welche ou's/container werden denn eigentlich zum anmelden benötigt? und in welcher ou/container werden die drucker standardmässig angelegt?

hi blub! genau das soll auch hier integriert werden. Wir haben einen Terminalserver mit den verschiedensten Firmen. Und die sollen natürlich nicht die ganze AD Struktur (OU's etc.) zu Gesicht bekommen. Woraus soll ich die authenticated user denn entfernen? Das versteh ich net so ganz...

ich möchte nicht, daß das active directory für jeden sichtbar ist. um genau zu sein, soll der zugriff darauf komplett verweigert werden und nur auf anfrage beim sys-admin zugriff bekommen...

Hallo Zusammen! Ich suche gerade verzweifelt die Gruppenrichtlinie in der ich angeben kann, daß User das Active Directory nicht durchsuchen dürfen. Oder zumindest die Option das die Schaltfläche "Drucker suchen" im Druckerfenster von Word/Excel etc. deaktiviert bzw. ausgegraut ist. Ich habe bisher folgende Einstellungen versucht: Computerkonfig. ==> Administrative Vorl. ==> Drucker ==> Nach Druckern suchen Benutzerkonfig. ==> Administrative Vorl. ==> Systemsteuerung ==> Drucker ==> Netzwerk nach Drucker durchsuchen Benutzerkonfig. ==> Administrative Vorl. ==> Desktop ==> Active Directory ==> Active Directory ==> Ordner Active Directory ausblenden. Leider hat nix davon funktioniert. Hat von euch vielleicht einer eine Idee? danke + gruss

er pda kann sowohl über USB als auch über den COM-Port angeschlossen werden. sehe ich das dann richtig, daß beim verbinden zum terminalserver lediglich die COM-Schnittstellenzuordnung aktiviert sein muss und auf dem terminalserver die Palm-Desktop-Software installiert sein muss, oder gibt es noch andere Dinge zu beachten? danke+gruss

Hallo Zusammen! Ich hab da ein Problem: und zwar haben wir verschiedene PDA-Handhelds (Palm m500, m505, Tungsten T3 etc) die über eine Terminalsitzung mit Outlook bzw. verschiedenen CRM-Tools synchronisiert werden sollen. Die CRM-Software-Lösungen haben zwar eine integrierte Schnittstelle zum PDA Abgleich, allerdings nutzt diese Schnittstelle auch nur die Palm Desktop Software. Einige Handhelds sind per USB und andere wiederum per COM-Anschluss mit dem Desktop PC verbunden. Nun ist die Frage, ob es irgendwie möglich ist, diese Synchronisierung über eine Terminalsitzung zu realisieren, da im ganzen Unternehmen in Zukunft nur noch Thin Clients mit Windows Server 2003 und Citrix Metaframe XP eingesetzt werden. Gruss Dominik

hallo leutz! das hat leider alles net geholfen. hat vielleicht sonst noch jemand einen tip?

ich glaub ich hab gerade selber was gefunden. http://support.microsoft.com/default.aspx?scid=kb;de;279561 mal sehen ob's klappt...