Jump to content

Dienstbier

Members
  • Gesamte Inhalte

    173
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von Dienstbier

  1. Guten Morgen!

     

    die 2x 2 Dienste laufen (die sind auch bei 2013 auf manuell gestellt)?

     

    Sind Computer-Einschränkungen für die User-Accounts gesetzt?

     

    Login mit UPN sollte eigentlich gehen (Achtung: UPN sieht nur aus wie eine E-Mail-Adresse, entspricht aber bei den meisten Installationen NICHT der E-Mail-Adresse). 

     

    Aber eventuell spielst Du mal ein wenig mit den Login-Methoden rum:

    http://technet.microsoft.com/de-de/library/aa997154(v=exchg.150).aspx

     

    Parameter LoginType.

     

    Ja, die Dienste laufen und es sind keine PC-Einschränkungen gesetzt.

    Über den Link haben wir aber direkt mal das Logging aktiviert, (s.u.).

     

    Die UPN geht leider nicht - wir haben ganz gezielt sicherheitshalber nochmal via

     

    Get-MailBox "user" | fl 

    geprüft, ob sie stimmt.

     

    Versuchs mal mit [Domain]\[username]\[alias]

    Ist zwar unwahrscheinlich, da es ab Exch2007 oder 2010(?) geändert wurde, aber vielleicht hilft's.

     

    Das habe ich soeben getan, leider ohne erfolg.

     

    Bei dem Versuch der Anmeldung mit dem UPN wird das hier im IMAP-FE geloggt:

    2013-04-22T07:44:32.380Z,000000000000001B,2,xxx.xxx.82.62:993,xxx.xxx.247.7:35969,,52,32,31,authenticate,PLAIN,"R=""A1 NO AUTHENTICATE failed."";Msg=NoUserInAD"

    Die "Msg" ist doch etwas seltsam.... Den User gibt es definitiv im AD. Sieht fast nach einem Auflösungsproblem für IMAP und POP aus.

     

    Wenn wir den Login mit ausschließlich dem Username tätigen, klappt zumindest der POP-Zugriff. Das reicht aber nicht, da es Dienste gibt, die eine vollwertige eMail-Adresse verlangen (der UPN ist ja quasi eine)...

     

    Irgendeine Idee? Wir forschen weiter!

  2. Hallo Forum!

     

    Es gibt mal wieder ein kurioses Problem, bei dem wir nicht weiterkommen:

     

    Wir haben eine Exchange 2013 CU1 Installation mit aktiviertem POP3 und IMAP, inklusive Backend-Diensten. Die Ports sind für die Client-Dienste nach außen offen, der Zugriff klappt auch.

    Alle user können normal und problemlos in Outlook oder OWA arbeiten.

    Versucht man sich aber am POP3 oder IMAP anzumelden, egal mit welchem der folgenden Benutzernamen, scheitert die Anmeldung:

    <Domain>\<UserName>

    <NT-DOmain>\<UserName>

    <UserName>@<Domain> (also UPN)

    <Username>

     

    Ein Test-PopConnectivity ergibt:

    [PS] C:\Users\administrator>Test-PopConnectivity -ClientAccessServer:srv -MailboxCredential:(Get-Credential domain\testuser) | fl
    
    
    RunspaceId                  : 298cd8fc-b951-40d2-b6d4-xxxx64b3fa45
    LocalSite                   : Local
    SecureAccess                : False
    VirtualDirectoryName        :
    Url                         :
    UrlType                     : Unknown
    Port                        : 995
    ConnectionType              : Ssl
    ClientAccessServerShortName : srv
    LocalSiteShortName          : Local
    ClientAccessServer          : srv.local
    Scenario                    : POP3-Verbindung testen
    ScenarioDescription         : Stellen Sie mit dem Server eine Verbindung mithilfe des POP3-Protokolls her, suchen Sie
                                  nach der Testnachricht, und löschen Sie diese zusammen mit allen Nachrichten, die älter
                                  als 24 Stunden sind.
    PerformanceCounterName      : POPConnectivity-Latency
    Result                      : Fehler
    Error                       : POP Fehler: -ERR Logon failure: unknown user name or bad password.
    
    UserName                    : testuser
    StartTime                   : 18.04.2013 12:42:09
    Latency                     : 00:00:00.0913584
    EventType                   : Error
    LatencyInMillisecondsString :
    Identity                    :
    IsValid                     : True
    ObjectState                 : New

     

    Die User sind alle IMAP/POP-Aktiviert.

     

    Kann sich irgendjemand vorstellen, wo die Ursache dafür liegt?

     

    Danke schonmal vorab!


  3. Hi Jan!

    ein DC mit mehreren NICs in unterschiedlichen Netzen ist nie eine gute Idee. Ein DC mit einer NIC direkt im WAN ist ebenfalls keine gute Idee!

     

    Was ist der Sinn hinter diesem Konstrukt / Was möchtest du erreichen?

     

    Das ist richtig, geht aber leider nicht anders :/.

    Der Server liegt in einer DMZ und kommuniziert über die TAP-NIC (ist ein VPN-Interface) mit dem Intranet. Der TAP-Adapter darf und soll "Privat" sein, das WAN-Interface aber nicht.

     

    Danke schonmal!

  4. Hallo zusammen!

     

    Wir haben einen DC, der eine NIC mit mehreren öffentlichen IPs und eine NIC mit einer privaten IP hat.

    Hier die Konfig:

     

    Ethernet-Adapter local:
    
       Verbindungsspezifisches DNS-Suffix: ourdomain.NET
       Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
       Physische Adresse . . . . . . . . : xx-xx-xx-C9-5C-DE
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja
       IPv4-Adresse  . . . . . . . . . . : 10.3.0.1(Bevorzugt) 
       Subnetzmaske  . . . . . . . . . . : 255.255.0.0
       IPv4-Adresse  . . . . . . . . . . : 10.3.0.2(Bevorzugt) 
       Subnetzmaske  . . . . . . . . . . : 255.255.0.0
       IPv4-Adresse  . . . . . . . . . . : 10.3.15.1(Bevorzugt) 
       Subnetzmaske  . . . . . . . . . . : 255.0.0.0
       Standardgateway . . . . . . . . . : 0.0.0.0
       DNS-Server  . . . . . . . . . . . : 127.0.0.1
       NetBIOS ber TCP/IP . . . . . . . : Aktiviert
    
    Ethernet-Adapter WAN:
    
       Verbindungsspezifisches DNS-Suffix: 
       Beschreibung. . . . . . . . . . . : Parallels Ethernet Adapter
       Physische Adresse . . . . . . . . : xx-xx-xx-71-D4-14
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja
       IPv6-Adresse. . . . . . . . . . . : xxxx:xxx:xx:xxxx:xxxx:523e:0:1(Bevorzugt) 
       Verbindungslokale IPv6-Adresse  . : fe80::xxxx:xxxx:xxxx:cf7c%12(Bevorzugt) 
       IPv4-Adresse  . . . . . . . . . . : xxx.xxx.82.62(Bevorzugt) 
       Subnetzmaske  . . . . . . . . . . : 255.255.255.255
       IPv4-Adresse  . . . . . . . . . . : xxx.xxx.93.180(Bevorzugt) 
       Subnetzmaske  . . . . . . . . . . : 255.255.255.255
       IPv4-Adresse  . . . . . . . . . . : xxx.xxx.93.181(Bevorzugt) 
       Subnetzmaske  . . . . . . . . . . : 255.255.255.255
       IPv4-Adresse  . . . . . . . . . . : xxx.xxx.93.182(Bevorzugt) 
       Subnetzmaske  . . . . . . . . . . : 255.255.255.255
       IPv4-Adresse  . . . . . . . . . . : xxx.xxx.93.183(Bevorzugt) 
       Subnetzmaske  . . . . . . . . . . : 255.255.255.255
       Standardgateway . . . . . . . . . : fe80::ffff:1:1%12
                                           169.255.30.1
       DHCPv6-IAID . . . . . . . . . . . : xxxxxx
       DHCPv6-Client-DUID. . . . . . . . : xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-71-D4-14
       DNS-Server  . . . . . . . . . . . : ::1
                                           127.0.0.1
       NetBIOS ber TCP/IP . . . . . . . : Deaktiviert

    Ärgerlicherweise erkennt der NLA beide NICs als dem Domänennetzwerk zugehörig und öffnet damit Tor und Tür. Wir haben als Workaround alle Firewallregeln im Quellbereich auf die lokalen Netze beschränkt - was aber ein Krampf ist!

     

    Neben den üblichen verdächtigen Lösungen im Netz, haben wir auch schon eine BLOCK-OUT-Regel für den NLASVC auf alle öffentlichen IPs angelegt - geholfen hat es trotzdem nicht...

     

    Hat jemand noch eine gute Idee, wie das gelöst werden kann?

     

    Vielen Dank vorab!

     

     

  5. Hallo zusammen!

     

    Meine Literatur gab mir leider keine Auskunft - gidf punkt de ebenfalls nicht - zu der Frage: Kann W7 als DFS-Target fungieren?

     

    Darüber hinaus: Ist es ein Problem, ein DFS-Target auf einer mit TrueCrypt erstellten Platte zu lagern, die - natürlich - beim Systemstart nicht verfügbar ist?

     

    Ich freue mich, wenn jemand mit entsprechenden Erfahrungen etwas berichten kann...

     

    Danke!

  6. Problem gelöst.

     

    ntbackup scheint einen integritätsscan zu haben, der die App sofort beendet, wenn an ntbackup.exe manipuliert wurde.

     

    Wir hatten einen Virenbefall, der EXEs befallen hat. Nach der Reparatur scheint jedoch nicht 100%ig der Ausgangszustand der ntbackup.exe wiederhergestellt worden zu sein.

    Ein restore aus den Service-Pack files (ntbackup.ex_) hat das Problem behoben.

     

    Bei dem Integritätscheck gibt es keine Warnung/Fehler etc.

     

    Hoffe einigen damit zu helfen...

     

    Beste Grüße

     

    dIbI

     

    PS: *schweiß von der stirn wisch und dem systemstate backup zuguck*

  7. Guten Abend zusammen!

     

    Um es gelinde zu sagen: Ich werd wahnsinnig!

     

    ntbackup startet nicht mehr! Weder GUI noch Script läuft an! Beim ersten Start erscheint noch "Suche nach Sicherungslaufwerken" und dann war's das...

    Man sieht noch mal ganz kurz den eigentlichen GUI aufblitzen und weg ist er.

     

    %windir%\system32\ntmsdata löschen habe ich schon probiert, bewirkt nichts.

    Es gibt keine Ereignisse. Kein Log.

    Im Taskplaner erscheint nur als letztes Ergebnis 0x80.

    Virenscanner ist auch schon deinstalliert worden - no way.

     

    Weiß irgendwer einen Rat, woran das liegt und wie man das behebt?

     

    Freue mich sehr über jede Idee, denn so altert nach und nach das Systemstate davon.....

     

    Dank vorab!

     

    dIbI

  8. Hallo zusammen!

     

    Folgendes Szenario:

    Site A 10.1.x.y: srv01 DC mit AD-DNS und RRAS

    Site B 10.2.x.y: srv02 DC mit AD-DNS

    Beide Server sind DC der Domäne "test.local"

     

    srv02 wählt sich per VPN zu srv01 ein und erhält eine feste dial-in-ip der 10.1.10.1.

    Er kann auf srv01 pingen, und srv01 kann über die dialiin-ip auf srv02 pingen.

     

    Nun ist der RRAS so konfiguriert, dass er eingehende Verbindungen automatisch im DNS registriert. Somit wird der A-record von srv02 auf 10.1.10.1 gesetzt

    Replikation läuft :-)

     

    Nach einiger Zeit (kA wie lang, scheint bei 15min zu liegen?) wird nun der A-Record von srv02 wieder auf seine eigentliche IP 10.2.0.1 gesetzt.

    Replikation läuft nicht mehr :-(

     

    Wie ist der beste Weg um trotzdem synchonisieren zu können? Es ist ziemlich "nervig" ständig den a-record händisch zu ändern um replizieren zu lassen (mal abgesehen von dem eigentlichen NO-GO dieses Szenarios)...

     

    Wäre eine Route gut?

     

    Vielen Dank schonmal!

     

    Grüße

     

    dIbI

  9. Hoi!

     

    Danke für die Inputs!

     

    Habe mit einer Kombination aus dig (gooooooooogle sei dank) und der for-find-Kombi eine funktionierende Lösung gestrickt.

     

    Für alle, die's haben wollen:

     

    AddRoute.cmd

    
    @echo off
    if "%1"=="" goto error
    
    echo Setting route for %1
    echo.
    for /f "tokens=1-5" %%i in ('"host %1 dd-wrt | find /i "has address""') do "AutoRouteIP.cmd" %%l >nul
    echo.
    
    goto end
    
    :error
    echo !!!No domain name given!!!
    :end
    

    addrouteip.cmd

    @echo off
    echo Adding route to %1
    route add %1 mask 255.255.255.255 10.205.5.1 metric 1 if 8
    

     

    Evtl sind individuelle Anpassungen nötig.

     

    Grüße

     

     

    EDIT sagt: Ja, es reicht auch einfach Token=4

  10. Weil der Client eine VPN eines Drittanbieters herstellt. Darüber geht dann der Internettraffic. Das soll aber für ein paar Domains nicht sein (zB PayPal* sperrt sonst unheimlich gerne Konten *grrr*), da sonst andere VPN-Verbindungen ebenfalls über den Weg wandern, was die Latenz weiter erhöht.

    Da nun die betroffenen Domains scheinbar häufig die IPs ändern, soll das Script das dynamisch machen.

     

     

    *) laut Aussage Kundendienst lässt sich dieser "Schutz" nicht deaktivieren

  11. Hi!

     

    In einem Startscript müssen mehrere hosts in DNS aufgelöst werden und eine route hinzugefügt werden.

     

    Wie bekomme ich die Ausgabe von

    nslookup hostname

    derart verarbeitet, dass für jede zurückgegebene IP-Adresse eine Route gesetzt werden kann?

     

    Oder gibt es dazu eine bessere Lösung?

     

    Dank vorab

     

    dIbI

     

     

    PS: Hab leider zu wenig Erfahrung mit cmd-scripten :-(

  12. Also mich wundert es vordergründig mehr, was für einen Ton so mancher Poster so an den Tag legt.

    Ich kann ja verstehen, dass die Meinungen einiger "nerven", aber wenn du, pz6j89, auf selbige keine Lust hast, dann wäre für dich eine Community wohl der falsche Informationspool.

     

    Und bezüglich der vermeintlich "sauberen" Sicherheitslage: Ihr habt sie. Noch.*

     

    dIbI

     

     

    *)Das ist keine Drohung, aber eine Prophezeigung - was schief gehen kann, WIRD schief gehen. Irgendwann.

  13. Guten Morgen zusammen!

     

    Folgende Kuriosität verfolgt mein Notebook (HP nx9420 mit ATI Mobility Radeon X1600 mit aktuellsten Treibern) seit über einem Jahr:

     

    Es ist ein zweiter Bildschirm via VGA angeschlossen, der erkannt und wunderbar konfiguriert werden kann. Selbiger Bildschirm steht links neben dem NB und ist so eingestellt, dass er nach links den Desktop erweitert.

     

    Alles läuft wunderbar. Bis der Computer gesperrt wird.

    Beim Entsperren verliert er die Positionierung und wird als rechts neben dem NB interpretiert. Bis es dazu kommt, bleiben beide Bildschirme eine unbestimmbar lange Zeit schwarz (mal kürzer mal länger).

     

    Treiber Neuinstallation löst das Problem zwar kurz, sobald ich den externen jedoch neu anschließe gleiches Problem.

     

     

    Habt ihr noch Ideen?

    ATI Catalyst Software deaktivieren?

     

    Danke schonma

  14. Hi!

     

    Ja, genau das ;-)

     

    Das Intranet soll ja für viele Benutzer erreichbar bleiben (sozusagen alle deutschen Adressräume). Und alleine die Tcom hat hunderte Räume...

     

    Witzig bei den Angriffen ist übrigens, dass immer mit dem Username "Administrator" der Zugriff versucht wird. Der heißt aber bei uns (natürlich) anders *fffg*

     

    Grüße

     

    dibi

  15. Guten Morgen!

     

    Die Firewall kann dazu leider nicht genutzt werden.

     

    Die Einstellung, die ich meine ist zu finden unter

    IIS | FTP-Sites / Websites | Standard-Site | Eigenschaften | Verzeichnissicherheit.

     

    Darin, so der Plan, sollen dann die Adressbereiche aus den betreffenden Ländern unter Verweigert stehen.

     

    Bloß, wie geht das per Script?

     

    Grüße

     

    dibi

×
×
  • Neu erstellen...