Jump to content

Xheon

Expert Member
  • Content Count

    712
  • Joined

  • Last visited

Community Reputation

10 Neutral

4 Followers

About Xheon

  • Rank
    Expert Member

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Hallo Zusammen, Ich bin gerade am versuchen SSO für eine Apache Server auf dem ISA Server einzurichten. Das klappt soweit und mit Integrated Authentication werden die Anmeldedaten auch dem ISA Server übergeben, gecheckt und gegen das AD verifiziert und "in behalf" weitergegeben und die Seite erscheit. So weit so gut. Für Clients die kein Kerberos unterstützen habe ich Basic Authentication zusätzlich aktiviert. Klappt mit dem Firefox, von einen Non-Domain PC, mit der Basic Authentication perfekt und die Webseite erscheint.(in der Domäne auch SSO over Kerberos TGT) Eigentlich ein grosser Erfolg zum SSO over Integrated Authentication, wenn da nicht der IE wäre auf Non-Domain PC's bzw auf PC wo kein Domänen Benutzer angemeldet ist. hier erscheint auch die LogOn Maske (leider nicht die von Basic, sondern von NTLM) und wenn ich dort den nur den Username & Passwort (ohne Domain) angebe, klappt die Anmeldung nicht (bei Basic durch den Realm den ich setzen kann klappts, wie oben geschrieben) er wandelt meine LogOn Daten um und zwar so: myserver.mydomain.local\Username gibt es eine Möglichkeit dieses zu übersteuern, dass der Username als mydomain\Username oder mydomain.local\Username interpretiert wird? Die User möchten sich nur mit dem Usernamen anmelden können, wenn sie kein SSO durch Kerb hätten (die Version gefällt auch meinen Cheffe viel besser). Kann ich wie bei Basic, beim Integrated Authentication auch einen Realm vorschreiben? Oder eine Liste mitgeben die er checken soll bevor er es mit dem eigenen Systemnamen versucht? Grüsse Xheon
  2. Sorry wo hatte ich meine Gedanken, natürlich ISA 2004 (wie kam ich nun auf ISA 2006 :rolleyes: ). Die ist ja standardmässig mit dabei bei einen Windows SBS 2003 R2 Premium.
  3. werds mal auf dem Server direkt testen. Leider ist es eine Anforderung das Problem via ein Script zu lösen und da hab ich nur WMI gefunden aber mal schauen ob man das auch via SC.exe lösen kann (morgen gleich mal testen).
  4. mhhh, hab leider keine solche Funktion gefunden. Sonst noch ne Idee?
  5. Danke für deine Antwort. Habe auch dem Namespace root\cimv2 für meine Gruppe die Berechtigung gesetzt (zu Testzwecke jedes Recht erlaubt). Danach habe ich den Dienst neu gestartet und das Script gestartet. Leider ohne Erfolg immer noch die gleiche Errormeldung.
  6. Hallo zusammen, Ich versuche mich gerade mit WMI Scripting und habe folgendes Script gefunden um auf einen Remotesystem den Dienst zu starten: Dim objWMIService, objItem, objService Dim colListOfServices, strComputer, strService, intSleep strComputer = "Server" strService = " 'Service' " Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colListOfServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name ="& strService & " ") For Each objService in colListOfServices objService.StartService() Next Habe das Script als Admin ausgeführt und es funktioniert. Nun habe ich eine GPO erstellt und einer Usergruppe die Berechtigung erteilt, den Dienst zu starten und zu beenden. Diese GPO habe ich dem Server angwendet und ein GPOUpdate /force gefahren. Nun sollte mein Benutzer die Rechte haben den Dienst zu starten, leider kriege ich eine Zugriff verweigert Meldung wenn ich das Script starte. (6, 1) Laufzeitfehler in Microsoft vbscript: Erlaubnis verweigert.: 'GetObject' So wie es aussieht, fehlt dem Benutzer noch die Rechte das WMI Objekt anzusprechen. Welche Berechtigung wird benötigt WMI anzusprechen, bzw. wo kann ich dem User die entsprechende Berechtigung zuweisen? Danke im Voraus Gruss Xheon
  7. Hallo Zusammen, Ich hab einen SBS Server 2003 (ich weiss) und auf diesem zeigt der ISA Server ein komisches Problem. Seit ein paar Tagen können sich die Weblistener auf dem Server nicht mehr aktivieren. Es kommt eine Veröffentlichfehlermeldung. Das der Weblistener xy nicht aktiviert werden kann, da möglicher weise auf Port z ein Dienst läuft und man sollte den ISA Server Dienst neu starten. (Dienst und Server restart beheben das Problem nicht) Es geht um folgendes: Ich habe ein paar veröffentlichte Dienst. Alle bis auf die Weblistener laufen ohne Probleme (SMTP etc) - nur die SSL-Weblistener für die OWA Verbindung will nicht mehr starten und es kommt ein Veröffentlichungsfehler. Per netstat -a hab ich mal geschaut ob auf Port 443 eine Anwendung abhört, was negativ war. Desweitern habe ich einen neuen Weblistener erstellt und ihm mal Port 8443 zu geordnet, was auch wieder nicht klappte. System meldet auf den gleichen Veröffentlichungsfehler wie auf Port 443. Was mich wundert ist, dass alle nicht Webveröffentlichungen funktionieren. Noch ein paar Detail zum ISA. Es ist ein PPPoE Wählverbindung eingerichtet der über eine Netzwerkkarte (ADSL Router ist in Bridging Mode) die Inet Verbindung herstellt. Sonst nichts spezielles. Im der Erreignisanzeige ist leider nichts zu finden. Habe mal alle Listener gelöscht (waren ja nur der produktive (443) und der Test (8443)) und neu angelegt, was auch keinen Erfolg brachte. Hat jemand eine Idee, wo das Problem sein könnte? Danke im Voraus
  8. Also der Webserver wird von Internetuser verwendet. Ausserdem habe ich die Page bei einem nameserver eingetragen und löse somit dns nicht lokal auf. Ich möcht eine art ausfall sicherheit auf dem Ding fahren lassen, wenn eine Inet Verbindung weg ist, dass die Internetuser noch zugriff haben auf die Page
  9. im internen Netzwerk wie das Schema im ersten Posting zeigt :) Haben uns glaubs einbisschen missverstanden - kein Problem - vielleicht hast du trotzdem ne Lösung
  10. muss aber die IT Struktur von meine ADSL Provider nicht diese zweit IP kennen ?? Es muss doch im WAN geroutet werden, oder? Mein Netz sagst Du, dass brauch ich ja nicht - die Internet User sollen jetzt die andere IP sehen bzw die andere IP verwenden. Mein Netz spielt keine Rolle, da der Server ja dort drin ist.
  11. mmmh, ist auch ne Lösung - ich werds mal anschauen .. Wegen DNS Update - ich kann die Zone auf lifetime 5 minuten fahren, dann hab ich dieses Zeitloch von 5 minuten maximal. Weil das ist mir auch schon durch den Kopf geschossen Aber es sollte doch irgendwie möglichsein ein Art Wan-Load-Balancing einzurichten, oder?
  12. mmmh, da kommich nicht ganz mit - hat somit das ADSL interface die gleiche IP in anführungszeichen wie das Cable ??
  13. Also momentan sprechen ich ihn via der Ip der Cable Provider an also 217.x.x.x. Leider kann es vorkommen das diese Interface 10 min bis 2h nicht da ist ... Wenn es down ist soll die ADSL Leitung übernehmen also 212.x.x.x Jezt muss ich ja das es klappt den A-Record ändern vom eintrag http://www.mydom.com die IP 217.x.x.x auf 212.x.x.x ändern, da das Cableinterface vom Inet nicht erreichbar ist. Da es ja auf dem Router genattet wird,muss er ja diese Aktion durchführen - er weiss ja ob das Interface da ist oder nicht - was richtung DDNS habe ich mir gedacht - das er auf dem DNS Server den Eintrag umstellt Wie schon gesagt so hab ich mir überlegt - kann natürlich auch ein Denkfehler drin sein Bin anderen Lösungen aufgeschlossen
×
×
  • Create New...