Jump to content

Xheon

Members
  • Posts

    712
  • Joined

  • Last visited

Everything posted by Xheon

  1. Hallo Zusammen, Ich bin gerade am versuchen SSO für eine Apache Server auf dem ISA Server einzurichten. Das klappt soweit und mit Integrated Authentication werden die Anmeldedaten auch dem ISA Server übergeben, gecheckt und gegen das AD verifiziert und "in behalf" weitergegeben und die Seite erscheit. So weit so gut. Für Clients die kein Kerberos unterstützen habe ich Basic Authentication zusätzlich aktiviert. Klappt mit dem Firefox, von einen Non-Domain PC, mit der Basic Authentication perfekt und die Webseite erscheint.(in der Domäne auch SSO over Kerberos TGT) Eigentlich ein grosser Erfolg zum SSO over Integrated Authentication, wenn da nicht der IE wäre auf Non-Domain PC's bzw auf PC wo kein Domänen Benutzer angemeldet ist. hier erscheint auch die LogOn Maske (leider nicht die von Basic, sondern von NTLM) und wenn ich dort den nur den Username & Passwort (ohne Domain) angebe, klappt die Anmeldung nicht (bei Basic durch den Realm den ich setzen kann klappts, wie oben geschrieben) er wandelt meine LogOn Daten um und zwar so: myserver.mydomain.local\Username gibt es eine Möglichkeit dieses zu übersteuern, dass der Username als mydomain\Username oder mydomain.local\Username interpretiert wird? Die User möchten sich nur mit dem Usernamen anmelden können, wenn sie kein SSO durch Kerb hätten (die Version gefällt auch meinen Cheffe viel besser). Kann ich wie bei Basic, beim Integrated Authentication auch einen Realm vorschreiben? Oder eine Liste mitgeben die er checken soll bevor er es mit dem eigenen Systemnamen versucht? Grüsse Xheon
  2. Sorry wo hatte ich meine Gedanken, natürlich ISA 2004 (wie kam ich nun auf ISA 2006 :rolleyes: ). Die ist ja standardmässig mit dabei bei einen Windows SBS 2003 R2 Premium.
  3. werds mal auf dem Server direkt testen. Leider ist es eine Anforderung das Problem via ein Script zu lösen und da hab ich nur WMI gefunden aber mal schauen ob man das auch via SC.exe lösen kann (morgen gleich mal testen).
  4. mhhh, hab leider keine solche Funktion gefunden. Sonst noch ne Idee?
  5. Danke für deine Antwort. Habe auch dem Namespace root\cimv2 für meine Gruppe die Berechtigung gesetzt (zu Testzwecke jedes Recht erlaubt). Danach habe ich den Dienst neu gestartet und das Script gestartet. Leider ohne Erfolg immer noch die gleiche Errormeldung.
  6. Hallo zusammen, Ich versuche mich gerade mit WMI Scripting und habe folgendes Script gefunden um auf einen Remotesystem den Dienst zu starten: Dim objWMIService, objItem, objService Dim colListOfServices, strComputer, strService, intSleep strComputer = "Server" strService = " 'Service' " Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colListOfServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name ="& strService & " ") For Each objService in colListOfServices objService.StartService() Next Habe das Script als Admin ausgeführt und es funktioniert. Nun habe ich eine GPO erstellt und einer Usergruppe die Berechtigung erteilt, den Dienst zu starten und zu beenden. Diese GPO habe ich dem Server angwendet und ein GPOUpdate /force gefahren. Nun sollte mein Benutzer die Rechte haben den Dienst zu starten, leider kriege ich eine Zugriff verweigert Meldung wenn ich das Script starte. (6, 1) Laufzeitfehler in Microsoft vbscript: Erlaubnis verweigert.: 'GetObject' So wie es aussieht, fehlt dem Benutzer noch die Rechte das WMI Objekt anzusprechen. Welche Berechtigung wird benötigt WMI anzusprechen, bzw. wo kann ich dem User die entsprechende Berechtigung zuweisen? Danke im Voraus Gruss Xheon
  7. Hallo Zusammen, Ich hab einen SBS Server 2003 (ich weiss) und auf diesem zeigt der ISA Server ein komisches Problem. Seit ein paar Tagen können sich die Weblistener auf dem Server nicht mehr aktivieren. Es kommt eine Veröffentlichfehlermeldung. Das der Weblistener xy nicht aktiviert werden kann, da möglicher weise auf Port z ein Dienst läuft und man sollte den ISA Server Dienst neu starten. (Dienst und Server restart beheben das Problem nicht) Es geht um folgendes: Ich habe ein paar veröffentlichte Dienst. Alle bis auf die Weblistener laufen ohne Probleme (SMTP etc) - nur die SSL-Weblistener für die OWA Verbindung will nicht mehr starten und es kommt ein Veröffentlichungsfehler. Per netstat -a hab ich mal geschaut ob auf Port 443 eine Anwendung abhört, was negativ war. Desweitern habe ich einen neuen Weblistener erstellt und ihm mal Port 8443 zu geordnet, was auch wieder nicht klappte. System meldet auf den gleichen Veröffentlichungsfehler wie auf Port 443. Was mich wundert ist, dass alle nicht Webveröffentlichungen funktionieren. Noch ein paar Detail zum ISA. Es ist ein PPPoE Wählverbindung eingerichtet der über eine Netzwerkkarte (ADSL Router ist in Bridging Mode) die Inet Verbindung herstellt. Sonst nichts spezielles. Im der Erreignisanzeige ist leider nichts zu finden. Habe mal alle Listener gelöscht (waren ja nur der produktive (443) und der Test (8443)) und neu angelegt, was auch keinen Erfolg brachte. Hat jemand eine Idee, wo das Problem sein könnte? Danke im Voraus
  8. Also der Webserver wird von Internetuser verwendet. Ausserdem habe ich die Page bei einem nameserver eingetragen und löse somit dns nicht lokal auf. Ich möcht eine art ausfall sicherheit auf dem Ding fahren lassen, wenn eine Inet Verbindung weg ist, dass die Internetuser noch zugriff haben auf die Page
  9. im internen Netzwerk wie das Schema im ersten Posting zeigt :) Haben uns glaubs einbisschen missverstanden - kein Problem - vielleicht hast du trotzdem ne Lösung
  10. muss aber die IT Struktur von meine ADSL Provider nicht diese zweit IP kennen ?? Es muss doch im WAN geroutet werden, oder? Mein Netz sagst Du, dass brauch ich ja nicht - die Internet User sollen jetzt die andere IP sehen bzw die andere IP verwenden. Mein Netz spielt keine Rolle, da der Server ja dort drin ist.
  11. mmmh, ist auch ne Lösung - ich werds mal anschauen .. Wegen DNS Update - ich kann die Zone auf lifetime 5 minuten fahren, dann hab ich dieses Zeitloch von 5 minuten maximal. Weil das ist mir auch schon durch den Kopf geschossen Aber es sollte doch irgendwie möglichsein ein Art Wan-Load-Balancing einzurichten, oder?
  12. mmmh, da kommich nicht ganz mit - hat somit das ADSL interface die gleiche IP in anführungszeichen wie das Cable ??
  13. Also momentan sprechen ich ihn via der Ip der Cable Provider an also 217.x.x.x. Leider kann es vorkommen das diese Interface 10 min bis 2h nicht da ist ... Wenn es down ist soll die ADSL Leitung übernehmen also 212.x.x.x Jezt muss ich ja das es klappt den A-Record ändern vom eintrag http://www.mydom.com die IP 217.x.x.x auf 212.x.x.x ändern, da das Cableinterface vom Inet nicht erreichbar ist. Da es ja auf dem Router genattet wird,muss er ja diese Aktion durchführen - er weiss ja ob das Interface da ist oder nicht - was richtung DDNS habe ich mir gedacht - das er auf dem DNS Server den Eintrag umstellt Wie schon gesagt so hab ich mir überlegt - kann natürlich auch ein Denkfehler drin sein Bin anderen Lösungen aufgeschlossen
  14. nein, der hat eine private IP-Adresse (192.168.1.10 z.b) und es gibt zwei Adressen wo er drüber erreichbar ist Cable 217.x.x.x ADSL 212.x.x.x auf dem Router wird genattet ...
  15. doch !! hab ja vom Cable Provider ne andere statische IP Adresse als die vom ADSL Provider. Es sind jeweils zwei unterschiedliche statsiche IP-Adressen - das ist ja mein problem, wenn ein Interface taucht ist die IP nicht mehr erreichbar und es muss was passieren. Vielleicht kann man das auch anderst lösen - bin für Vorschläge offen. Hab pro Interface ne statische IP.
  16. Habe mich vielleicht flasch Ausgedruckt :( Der Weg vom LAN ins Wan ist kein Problem, hab ich via std. Gateway gelöst ;) Mir geht es um die Verfügbarkeit des Webservers im Internet also etwa so .. http://www.mydom.com'>http://www.mydom.com IP vom Inet Cable Cable taucht Cisco ändert A Record http://www.mydom.com IP vm Inet ADSL
  17. Also Ausgangslage Ich habe ein Cisco Router 1721 mit 2 Ethernetschnittstelle und einem ADSLoISDN Interface. Das ganze ist etwa so aufgebaut: Webserver ------------- Eth (1721) Eth ------------- Internet (via Cablemodem) xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxADSL-------------- Internet (via ADSL) Meine Frage ist: kann man den Cisco Router so einstellen, dass wen ein Interface taucht er automatisch den DNS A-Record für den Webserver auf das andere Interface verlagert? Als Beispiel, die Verbindung über das Cablemodem sollte die Anfragen für den Webserver vom Internet entgegen nehmen, wenn das Interface taucht sollte die ADSL Leitung die Arbeitübernehmen ... geht das? Oder hab ich einen Denkfehler drin und man realisiert solche Projekte anderst... Besten Dank im Voraus Greetz Xheon
  18. Danke werde es ausprobieren und lösche alle nat einträge zum ftp ausser diesen hier ip nat service list 10 ftp tcp port 21 werd mich melden ob es ging ...
  19. Ach, so was einfaches ... *grins* Und ich such wie ein wilder ... Der Port 20 ist doch auch tcp, oder ??? wenn ich das ganze um dies erweiter müsste es gehn oder?? ip nat service list 10 ftp tcp port 21 ip nat inside source list 1 interface Dialer0 overload ip nat inside source list 101 interface Dialer0 overload ip nat inside source static tcp 192.168.2.11 80 Wanip 80 extendable ip nat inside source static tcp 192.168.2.11 21 Wanip 21 extendable ip nat inside source static tcp 192.168.2.11 20 Wanip 20 extendable Wäre so korrekt oder ???
  20. Hallo Zusammen, Wie kann ich einen FTP Port auf einen Cisco 1700 natten. Den Webservice also 80 Port ging problem los. meine config: interface ATM0 no ip address no atm ilmi-keepalive pvc 8/35 encapsulation aal5snap pppoe max-sessions 1 protocol ppp dialer dialer pool-member 1 ! dsl operating-mode auto no fair-queue ! interface Ethernet0 ip address 192.168.2.1 255.255.255.0 ip nat inside half-duplex ! interface FastEthernet0 ip address 192.168.1.1 255.255.255.0 ip nat inside speed auto ! interface Dialer0 ip address negotiated ip nat outside encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname myuser ppp chap password 7 mypw ! ip nat service list 10 ftp tcp port 21 ip nat inside source list 1 interface Dialer0 overload ip nat inside source list 101 interface Dialer0 overload ip nat inside source static tcp 192.168.2.11 80 Wanip 80 extendable ip nat inside source static tcp 192.168.2.11 21 Wanip 21 extendable ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 no ip http server ! ! access-list 1 permit 192.168.2.0 0.0.0.255 access-list 10 permit 192.168.2.11 access-list 101 permit ip any any ! Der www wird mir umgeleitet, aber mein FTP bzw. Port 21 hat er mühe. Leider kann ich nicht alle Ports vom WANIP zum Webserver umleiten, sondern will nur den Port 80 / 21. 80 Geht ja ohne Problem und zu den access-list ich weiss kann man schöner machen, dass aber später :) IOS v. 12.2(11).T9 Danke im voraus
  21. Das habe ich mir gedacht, dass es nur ein L2 Switch ist!! :( Gibt es eine andere Möglichkeit mit diesen Geräte das zu realisieren, damit ich je 4 Subnetze habe???
  22. Das weiss ich das es mit der 3550er Serie von Cisco geht. Genau von dort kenn ich das ganze ... aber irgendwie vermisse ich den befehl ip routing :( Und du hast mich richtig verstanden, genau das will ich machen jetzt ist nur die Frage wie ??? C2924m-XL-EM ist noch auf dem Switch angegeben, wenns weiter hilft.
  23. Hallo zusammen .... Ist es möglich auf einem Catalyst 2900 XL Serie genauer ein 2924m mehrere VLAN zu fahren (4 Vlans) in unterschiedlichen Subnetz und diese auf dem Switch zu routen. Wenn ich mehrere Vlans einrichte, werden mir immer von diesen 4 VLANS drei deaktiviert und als shutdown in der Config angeben. Zum IOS welches ich verwende: c2900XL-c3h2s-mz.120-5.3.WC.1.bin Kann mir jemand eine Antowort darauf geben und die entsprechende Vlan Konfig posten - vielen Dank im Voraus .... Gruss Xheon
×
×
  • Create New...