dkemper

klar. hier die config. ich habe die ip-adressen, passwörter und hostnamen abgeändert. ich denke aber das mit der config auf jeden fall noch was anzufangen sein müsste. pix515e# sh ru : Saved : PIX Version 6.3(3) interface ethernet0 auto interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password xxxxxxxxxxxxxx encrypted passwd xxxxxxxxxxxx encrypted hostname pixfirewall domain-name local.lan fixup protocol dns maximum-length 1500 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list outside-acl permit tcp any any eq www access-list outside-acl permit tcp any any eq 3389 access-list outside-acl permit tcp any any eq 47 access-list outside-acl permit tcp any any eq 464 access-list outside-acl permit tcp any any eq ldap access-list outside-acl permit tcp any any eq pptp access-list outside-acl permit tcp any any eq https access-list outside-acl permit tcp any any eq 8333 access-list outside-acl permit tcp any any eq 902 access-list outside-acl permit tcp any any eq 500 access-list outside-acl permit tcp any any eq 50 access-list inside-acl permit tcp any any eq www access-list inside-acl permit tcp any any eq 3389 access-list inside-acl permit tcp any any eq 47 access-list inside-acl permit tcp any any eq 464 access-list inside-acl permit tcp any any eq ldap access-list inside-acl permit tcp any any eq pptp access-list inside-acl permit tcp any any eq https access-list inside-acl permit tcp any any eq 8333 access-list inside-acl permit tcp any any eq 902 access-list inside-acl permit tcp any any eq 50 access-list inside-acl permit tcp any any eq 500 pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 192.203.62.238 255.255.255.240 ip address inside 10.1.50.254 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm location 10.1.50.1 255.255.255.255 inside pdm location 10.1.50.4 255.255.255.255 inside pdm location 10.1.50.8 255.255.255.255 inside pdm location 10.1.50.10 255.255.255.255 inside pdm location 10.1.50.12 255.255.255.255 inside pdm location 10.1.50.23 255.255.255.255 inside pdm history enable arp timeout 14400 static (inside,outside) 192.203.62.237 10.1.50.1 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.226 10.1.50.4 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.227 10.1.50.23 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.231 10.1.50.8 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.232 10.1.50.10 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.228 10.1.50.12 netmask 255.255.255.255 0 0 access-group outside-acl in interface outside access-group inside-acl in interface inside conduit permit icmp any any route outside 0.0.0.0 0.0.0.0 192.203.62.225 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local http server enable http 10.1.50.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec sysopt connection permit-pptp sysopt connection permit-l2tp sysopt ipsec pl-compatible telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:0037cc7f0ef0d537d34a9c18fe90e001 : end schon mal vielen dank und gruss...

danke für den tip. ich werd direkt mal austesten ob ich irgendwelche einstellungen davon übernehmen kann. ich verstehe nur nicht warum 88 als kerberos port nummer angegeben ist...

Hallo zusammen! Ich habe da so ein kleines Problem mit unsere CISCO PIX 515E Firewall: Hinter dieser Firewall befinden sich mehrere Windows 2003 VPN Server mit denen sich unsere Clients und Notebooks der Aussendienstler für eine SQL Datenbankreplikation verbinden sollen. Die Verbindung zu den Servern wird auch bis zu dem Zeitpunkt einwandfrei hergestellt, bis das Kennwort und der Benutzername verifiziert werden soll. Dabei meldet der Client dann, den Fehler 721: 721 Die Verbindung konnte nicht hergestellt werden, weil der Remotecomputer die Verbindungsanforderung nicht beantwortet hat. Versuchen Sie Folgendes: Überprüfen Sie, ob das Modem funktionsbereit ist. Weitere Informationen finden Sie unter Problembehandlung bei Modems. Vergewissern Sie sich, dass TCP/IP installiert und für diese Verbindung ordnungsgemäß konfiguriert ist. Weitere Informationen finden Sie unter Verwenden von PPP für Internetverbindungen. Für diese Verbindung ist möglicherweise ein Terminalfenster erforderlich. Weitere Informationen zum Aktivieren eines Terminalfensters finden Sie unter So verwenden Sie das Terminalfenster zum Anmelden an einem Remotecomputer. Vergewissern Sie sich beim Versuch, eine Verbindung zu einem virtuellen privaten Netzwerk (VPN) herzustellen, dass der Hostname oder die IP-Adresse des Zielservers stimmen; versuchen Sie erneut, die Verbindung herzustellen. Zum Überprüfen dieser Informationen klicken Sie mit der rechten Maustaste auf die Verbindung, klicken Sie auf Eigenschaften, und gehen Sie die Informationen auf der Registerkarte Allgemein durch. Diese ganzen Einstellungen habe ich geprüft und konnte keine Fehler feststellen. Ausserdem funktioniert ja auch die Verbindung zu den Server über das interne Netz was ja die korrekte Funktion der Server darstellt. Das einzige was ich mir vorstellen könnte ist, daß der Server die Verbindung annimmt und auch auf die Authentifizierungsanforderung antworten möchte, diese Antwort aber von der Firewall aufgrund von irgendwelchen geblockten Ports verhindert. Ich habe bisher folgende Ports freigeschaltet (es soll PPTP verwendet werden): - 47 GRE - 1723 PPTP - 464 LDAP (für die Active Directory anfrage) - 389 Kerberos (für die Authentifierung mit AD) Eigentlich sind die Ports 464 und 389 ja überflüssig da ja MS CHAP v2 verwendet wird. Allerdings weiss ich auch nicht welche Ports von MS CHAP (v2) verwendet werden. Hat vielleicht von euch noch jemand Ahnung woran der Fehler liegen könnte??? Danke und Gruss

das sind alles eigenständige firmen. um genau zu sein, geht es dabei um einen asp-dienstleister der seinen kunden office anwendungen usw. auf asp basis per terminalserver über das internet zur verfügung stellt. jeder kunde (also jede organisation/unternehmen) bekommt einen eigenen server mit eigener von allen anderen unabhängiger domäne.

es ist ja nicht NUR der Lizenzserver in einer anderen Domäne. In dieser Domäne befinden sich natürlich auch Terminalserver die diesen Lizenzserver nutzen. Nun gibt es halt auch weitere Domänen mit neuen Terminalservern die diesen Lizenzserver verwenden sollen.

Hallo zusammen! Ich hab da 'nen kleines Problem: Und zwar haben wir 15 Terminalserver in einer Domäne. Der Lizenzserver befindet sich allerdings in einer anderen Domäne und auch in einer völlig anderen Gesamtstruktur. Kurz gesagt: die Domänen haben nichts miteinander zu tun. Nun ist die Frage wie ich die Terminalserver anweise genau diesen einen Lizenzserver zu verwenden um Lizenzen anzufordern. Ich habe mittlerweile eine bidirektionale, externe Vertrauensstellung zwischen den beiden Domänen hergestellt. Dann habe ich versucht unter "Active Directory Standorte und Dienste" im Punkt "TS-Enterprise-License-Server" einen anderen Lizenzserver zu wählen. Allerdings wird mir die externe Domäne in der sich der Lizenzserver befindet überhaupt nicht angezeigt so daß ich sie durchsuchen kann. Mit Angabe des Netbios Namens funktioniert es leider auch nicht. Wenn ich allerdings ein ganz normales Verzeichnis auf dem Server freigebe und dort die Berechtigungen setzen möchte, wird mir die Domäne angezeigt und kann auch durchsucht werden. Also DNS kann's nicht sein. Die Vertrauensstellung kann's auch nicht sein. Der Lizenzserver ist als organisationsweiter Lizenzserver installiert worden. Nun weiss ich überhaupt nicht mehr woran das liegen kann. Hat vielleicht noch jemand ne Idee? Danke + Gruss

hallo! sagt mal, funktioniert das auch wenn sich der lizenzserver in einer anderen domäne befindet als einige der terminalserver? oder funktioniert das sowieso??? greetz & thanks

danke! hab's auch schon gefunden. hatte unter ansicht die erweiterten funktionen nicht eingeschaltet... *gnäh* welche ou's/container werden denn eigentlich zum anmelden benötigt? und in welcher ou/container werden die drucker standardmässig angelegt?

hi blub! genau das soll auch hier integriert werden. Wir haben einen Terminalserver mit den verschiedensten Firmen. Und die sollen natürlich nicht die ganze AD Struktur (OU's etc.) zu Gesicht bekommen. Woraus soll ich die authenticated user denn entfernen? Das versteh ich net so ganz...

ich möchte nicht, daß das active directory für jeden sichtbar ist. um genau zu sein, soll der zugriff darauf komplett verweigert werden und nur auf anfrage beim sys-admin zugriff bekommen...

Hallo Zusammen! Ich suche gerade verzweifelt die Gruppenrichtlinie in der ich angeben kann, daß User das Active Directory nicht durchsuchen dürfen. Oder zumindest die Option das die Schaltfläche "Drucker suchen" im Druckerfenster von Word/Excel etc. deaktiviert bzw. ausgegraut ist. Ich habe bisher folgende Einstellungen versucht: Computerkonfig. ==> Administrative Vorl. ==> Drucker ==> Nach Druckern suchen Benutzerkonfig. ==> Administrative Vorl. ==> Systemsteuerung ==> Drucker ==> Netzwerk nach Drucker durchsuchen Benutzerkonfig. ==> Administrative Vorl. ==> Desktop ==> Active Directory ==> Active Directory ==> Ordner Active Directory ausblenden. Leider hat nix davon funktioniert. Hat von euch vielleicht einer eine Idee? danke + gruss

er pda kann sowohl über USB als auch über den COM-Port angeschlossen werden. sehe ich das dann richtig, daß beim verbinden zum terminalserver lediglich die COM-Schnittstellenzuordnung aktiviert sein muss und auf dem terminalserver die Palm-Desktop-Software installiert sein muss, oder gibt es noch andere Dinge zu beachten? danke+gruss

Hallo Zusammen! Ich hab da ein Problem: und zwar haben wir verschiedene PDA-Handhelds (Palm m500, m505, Tungsten T3 etc) die über eine Terminalsitzung mit Outlook bzw. verschiedenen CRM-Tools synchronisiert werden sollen. Die CRM-Software-Lösungen haben zwar eine integrierte Schnittstelle zum PDA Abgleich, allerdings nutzt diese Schnittstelle auch nur die Palm Desktop Software. Einige Handhelds sind per USB und andere wiederum per COM-Anschluss mit dem Desktop PC verbunden. Nun ist die Frage, ob es irgendwie möglich ist, diese Synchronisierung über eine Terminalsitzung zu realisieren, da im ganzen Unternehmen in Zukunft nur noch Thin Clients mit Windows Server 2003 und Citrix Metaframe XP eingesetzt werden. Gruss Dominik

hallo leutz! das hat leider alles net geholfen. hat vielleicht sonst noch jemand einen tip?

ich glaub ich hab gerade selber was gefunden. http://support.microsoft.com/default.aspx?scid=kb;de;279561 mal sehen ob's klappt...

aaaaah! dank dir! :)

wie "verschiebt" man denn lizenzen? einfach auf dem neuen neu eingeben und auf dem alten löschen???

Hallo Zusammen! Wir haben einen neuen Terminalserver basierend auf Win2003 der einen leistungsschwächeren Terminalserver (aber auch Win2003) ablösen/ersetzen soll. Auf dem neuen sind die Terminaldienste im Anwendungsmodus installiert und konfiguriert. Da der alte Server vom Netz genommen werden soll habe ich auch die Lizenzdienste eingerichtet, den Server aktiviert und die TS-User-Cals aktiviert. In der Terminaldienste Konfiguration ist ausserdem die Lizenzierung auf "Pro User" eingestellt. Nun zum Problem: Wenn ich den alten TSRV vom Netz nehme dauert der Verbindungsaufbau zum neuen Terminalserver unglaublich lang (ca. 1-2 Minuten bis der Anmeldebildschirm angezeigt wird). Wenn ich den alten Terminalserver aber online lasse hab ich innerhalb von 3 Sekunden den Anmeldebildschirm vor Augen. So langsam kann ich mir das alles nicht mehr erklären. Die Firewallsettings sind auf die korrekte IP gesetzt worden, die IP Konfiguration wie DNS, WINS etc. ist auch richtig eingestellt. Wenn ich mich mit dem Terminalserver verbinde wird auch nur noch der neue TSRV verwendet, egal ob der alte ein- oder ausgeschaltet ist. An den TCP/IP Einstellungen kann es auch eigentlich nicht liegen da es ja keine Probleme gibt wenn der alte Terminalserver läuft. Ich kann echt nicht sagen in welchem Zusammenhang der neue mit dem alten Terminalserver steht, ausser daß sie sich im selben Subnet befinden. Vielleicht weiss von euch ja jemand rat...

hat sich erledigt! habs gefunden... die datei excel10.xlb aus dem ordner c:\dokumente und einstellungen\%username%\Anwendungsdaten\Microsoft\Excel in den shared folder kopieren und dann klappts auch mit den symbolleisten. *muhahahahahaha* oh mann, das waren wohl zuviele gpos für heute...

Hallo Zusammen! ich brech mir gerade die Finger daran, die Symbolleisten in Excel 2002/XP anzupassen und diese dann per Gruppenrichtlinie auf alle Benutzer zu verteilen. Ich habe mir bisher das Office Ressource Kit runtergeladen und die Administrativen Vorlagen im Active Directory importiert. In diesen Vorlagen gibts dann einmal den Standard Startup Folder den man beliebig (fest gemacht an der Benutzerkonfiguration) auf ein anderes Laufwerk festlegen kann. So weit so gut. Dann hab ich Excel geöffnet, die Symbolleisten angepasst, dann per Datei ==> Speichern unter ==> Mustervorlage diese Mappe als mappe1.xlt gespeichert und in ein shared folder (vorher natürlich per login script gemappt) gespeichert. Dann hab ich in den GPO's den Startup Folder festgelegt, einen anderen, neuen Benutzer angemeldet und nachgeschaut... NIX!!! Keine angepassten Symbolleisten in Excel. Ich versteh das langsam nicht mehr... unter Word hat das genauso funktioniert. Symbolleisten angepasst, normal.dot in einen shared folder gelegt, shared folder gemappt und in den GPOs den Templates Ordner festgelegt, neu angemeldet und siehe da... es läuft. Nur warum will Excel net? Habe schon in der Microsoft Knowledge Base nachgeschaut und da steht auch daß die Vorlagen, Add-Ins etc. in Excel im Startup Ordner und nicht im Vorlagen Ordner wie bei Word liegen müssen. Kann mir jetzt nur noch vorstellen, daß ich bei der Speicherung der Vorlage was verbockt hab. Ich weiss aber auch net was... könnt ihr vielleicht helfen???

Guten Morgen zusammen! Kann mir vielleicht einer von euch sagen, wie ich in VBS eine Combobox/PullDown Menü erstelle? Ich habe es bisher nur hingekriegt eine ganz normale Inputbox zu erstellen, was auch nicht gerade schwer ist. Beim erstellen einer Combobox mit vordefinierten Einträgen bin ich aber leider kläglich gescheitert Ein Codebeispiel mit zwei bis drei vordefinierten Einträgen, das ich einfach nur in ein VBS-Script kopieren muss, wär echt toll! Danke schon mal im Voraus...

könntest du "irgendwas mit IIS-Hilfe aufrufen" genauer definieren. fakt ist, daß du auf den sus-admin kommen musst um neue updates freizugeben.

soweit mir bekannt ist, werden die updates zwar im hintergrund runtergeladen, aber nicht installiert. erst wenn sich nen user mit admin rechten anmeldet startet die installation. zumindest ist es bei mir im netz genauso.

nee! aber die ham auch keine ahnung... hab in der englischen ms knowledge base einen artikel gefunden, in dem beschrieben wird, daß tapi in terminal sessions nicht unterstützt wird... damit hat sich das thema erledigt... danke für deine hilfe, doc.

hab ich schon gemacht und laut aussage von elmeg sollte das funktionieren...