Xheon
-
Gesamte Inhalte
712 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Xheon
-
-
Auf einem SBS?
Das ist nicht supportet und ich rate davon auch ab!
Viele Grüße
Dieter
Sorry wo hatte ich meine Gedanken, natürlich ISA 2004 (wie kam ich nun auf ISA 2006 :rolleyes: ). Die ist ja standardmässig mit dabei bei einen Windows SBS 2003 R2 Premium.
-
Welche ISA-Version ist denn im Einsatz?
ISA 2006 inkl neustes SP
-
Hi Xheon,
hast Du einmal versucht das Script direkt auf einem Client auszuführen, den Du damit abfragen wolltest? Ist der Zugriff dann möglich? Können die Benutzer den Dienst direkt z.B. über die Services.msc starten / stoppen oder liegt es unter Umständen gar nicht am Namespace-Recht?
Nebenbei die Frage warum Du dafür ein Script einsetzen möchtest - mittels SC.EXE kannst Du auch remote Dienste steuern. Oder ist dieses Script Teil von einem größeren Script / Vorhaben?
Viele Grüße
olc
werds mal auf dem Server direkt testen. Leider ist es eine Anforderung das Problem via ein Script zu lösen und da hab ich nur WMI gefunden aber mal schauen ob man das auch via SC.exe lösen kann (morgen gleich mal testen).
-
Beim ISA2000 konnte man in der ISA-Verwaltung -> Eigenschaften des Servers unter 'Eingehende Webanfragen' die IPs und Ports konfigurieren. Ist dort evtl. SSL aktiviert?
mhhh, hab leider keine solche Funktion gefunden. Sonst noch ne Idee?
-
Danke für deine Antwort. Habe auch dem Namespace root\cimv2 für meine Gruppe die Berechtigung gesetzt (zu Testzwecke jedes Recht erlaubt). Danach habe ich den Dienst neu gestartet und das Script gestartet. Leider ohne Erfolg immer noch die gleiche Errormeldung.
-
Hallo zusammen,
Ich versuche mich gerade mit WMI Scripting und habe folgendes Script gefunden um auf einen Remotesystem den Dienst zu starten:
Dim objWMIService, objItem, objService
Dim colListOfServices, strComputer, strService, intSleep
strComputer = "Server"
strService = " 'Service' "
Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colListOfServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name ="& strService & " ")
For Each objService in colListOfServices
objService.StartService()
Next
Habe das Script als Admin ausgeführt und es funktioniert.
Nun habe ich eine GPO erstellt und einer Usergruppe die Berechtigung erteilt, den Dienst zu starten und zu beenden. Diese GPO habe ich dem Server angwendet und ein GPOUpdate /force gefahren.
Nun sollte mein Benutzer die Rechte haben den Dienst zu starten, leider kriege ich eine Zugriff verweigert Meldung wenn ich das Script starte.
(6, 1) Laufzeitfehler in Microsoft vbscript: Erlaubnis verweigert.: 'GetObject'
So wie es aussieht, fehlt dem Benutzer noch die Rechte das WMI Objekt anzusprechen. Welche Berechtigung wird benötigt WMI anzusprechen, bzw. wo kann ich dem User die entsprechende Berechtigung zuweisen?
Danke im Voraus
Gruss
Xheon
-
Hallo Zusammen,
Ich hab einen SBS Server 2003 (ich weiss) und auf diesem zeigt der ISA Server ein komisches Problem.
Seit ein paar Tagen können sich die Weblistener auf dem Server nicht mehr aktivieren. Es kommt eine Veröffentlichfehlermeldung. Das der Weblistener xy nicht aktiviert werden kann, da möglicher weise auf Port z ein Dienst läuft und man sollte den ISA Server Dienst neu starten. (Dienst und Server restart beheben das Problem nicht)
Es geht um folgendes: Ich habe ein paar veröffentlichte Dienst. Alle bis auf die Weblistener laufen ohne Probleme (SMTP etc) - nur die SSL-Weblistener für die OWA Verbindung will nicht mehr starten und es kommt ein Veröffentlichungsfehler.
Per netstat -a hab ich mal geschaut ob auf Port 443 eine Anwendung abhört, was negativ war. Desweitern habe ich einen neuen Weblistener erstellt und ihm mal Port 8443 zu geordnet, was auch wieder nicht klappte. System meldet auf den gleichen Veröffentlichungsfehler wie auf Port 443.
Was mich wundert ist, dass alle nicht Webveröffentlichungen funktionieren. Noch ein paar Detail zum ISA. Es ist ein PPPoE Wählverbindung eingerichtet der über eine Netzwerkkarte (ADSL Router ist in Bridging Mode) die Inet Verbindung herstellt. Sonst nichts spezielles.
Im der Erreignisanzeige ist leider nichts zu finden. Habe mal alle Listener gelöscht (waren ja nur der produktive (443) und der Test (8443)) und neu angelegt, was auch keinen Erfolg brachte.
Hat jemand eine Idee, wo das Problem sein könnte?
Danke im Voraus
-
Also der Webserver wird von Internetuser verwendet.
Ausserdem habe ich die Page bei einem nameserver eingetragen und löse somit dns nicht lokal auf.
Ich möcht eine art ausfall sicherheit auf dem Ding fahren lassen, wenn eine Inet Verbindung weg ist, dass die Internetuser noch zugriff haben auf die Page
-
im internen Netzwerk wie das Schema im ersten Posting zeigt :)
Haben uns glaubs einbisschen missverstanden - kein Problem - vielleicht hast du
trotzdem ne Lösung
-
muss aber die IT Struktur von meine ADSL Provider nicht diese zweit IP kennen ??
Es muss doch im WAN geroutet werden, oder?
Mein Netz sagst Du, dass brauch ich ja nicht - die Internet User sollen jetzt die andere IP sehen bzw die andere IP verwenden. Mein Netz spielt keine Rolle, da der Server ja dort drin ist.
-
Also den A-Record ändern ist eine sehr schlechte Lösung.
Das kann bis zu 4 Stunden dauern, bis der DNS-Eintrag überall verteilt wurde und dann hast Du ja vieleicht schon wieder zurückgestellt.
Wie wäre es mit einem Rechner der fest im Internet steht (Virtueller Server reicht) und auf den der A-Record zeigt.
Dieser Rechner pingt deinen Server alle 5 Sekunden an und je nach Erreichbarkeit leitet er den Traffik weiter.
Alex
mmmh, ist auch ne Lösung - ich werds mal anschauen ..
Wegen DNS Update - ich kann die Zone auf lifetime 5 minuten fahren, dann hab ich dieses Zeitloch von 5 minuten maximal. Weil das ist mir auch schon durch den Kopf geschossen
Aber es sollte doch irgendwie möglichsein ein Art Wan-Load-Balancing einzurichten, oder?
-
mmmh, da kommich nicht ganz mit - hat somit das ADSL interface die gleiche IP in anführungszeichen wie das Cable ??
-
Also momentan sprechen ich ihn via der Ip der Cable Provider an also 217.x.x.x.
Leider kann es vorkommen das diese Interface 10 min bis 2h nicht da ist ...
Wenn es down ist soll die ADSL Leitung übernehmen also 212.x.x.x
Jezt muss ich ja das es klappt den A-Record ändern
vom eintrag http://www.mydom.com die IP 217.x.x.x auf 212.x.x.x ändern, da das Cableinterface vom Inet nicht erreichbar ist. Da es ja auf dem Router genattet wird,muss er ja diese Aktion durchführen - er weiss ja ob das Interface da ist oder nicht - was richtung DDNS habe ich mir gedacht - das er auf dem DNS Server den Eintrag umstellt
Wie schon gesagt so hab ich mir überlegt - kann natürlich auch ein Denkfehler drin sein
Bin anderen Lösungen aufgeschlossen
-
oder wie meinst Du das ???
-
nein, der hat eine private IP-Adresse (192.168.1.10 z.b)
und es gibt zwei Adressen wo er drüber erreichbar ist
Cable 217.x.x.x
ADSL 212.x.x.x
auf dem Router wird genattet ...
-
doch !! hab ja vom Cable Provider ne andere statische IP Adresse als die vom ADSL Provider.
Es sind jeweils zwei unterschiedliche statsiche IP-Adressen - das ist ja mein problem, wenn ein
Interface taucht ist die IP nicht mehr erreichbar und es muss was passieren.
Vielleicht kann man das auch anderst lösen - bin für Vorschläge offen. Hab pro Interface ne statische IP.
-
Habe mich vielleicht flasch Ausgedruckt :(
Der Weg vom LAN ins Wan ist kein Problem, hab ich via std. Gateway gelöst ;)
Mir geht es um die Verfügbarkeit des Webservers im Internet
also etwa so ..
http://www.mydom.com'>http://www.mydom.com IP vom Inet Cable
Cable taucht
Cisco ändert A Record
http://www.mydom.com IP vm Inet ADSL
-
Also Ausgangslage
Ich habe ein Cisco Router 1721 mit 2 Ethernetschnittstelle und einem ADSLoISDN Interface.
Das ganze ist etwa so aufgebaut:
Webserver ------------- Eth (1721) Eth ------------- Internet (via Cablemodem)
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxADSL-------------- Internet (via ADSL)
Meine Frage ist: kann man den Cisco Router so einstellen, dass wen ein Interface taucht er automatisch den DNS A-Record für den Webserver auf das andere Interface verlagert?
Als Beispiel, die Verbindung über das Cablemodem sollte die Anfragen für den Webserver vom Internet entgegen nehmen, wenn das Interface taucht sollte die ADSL Leitung die Arbeitübernehmen ... geht das? Oder hab ich einen Denkfehler drin und man realisiert solche Projekte anderst...
Besten Dank im Voraus
Greetz Xheon
-
Danke werde es ausprobieren und lösche alle nat einträge zum ftp ausser diesen hier ip nat service list 10 ftp tcp port 21
werd mich melden ob es ging ...
-
Ach, so was einfaches ... *grins* Und ich such wie ein wilder ...
Der Port 20 ist doch auch tcp, oder ???
wenn ich das ganze um dies erweiter müsste es gehn oder??
ip nat service list 10 ftp tcp port 21
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.2.11 80 Wanip 80 extendable
ip nat inside source static tcp 192.168.2.11 21 Wanip 21 extendable
ip nat inside source static tcp 192.168.2.11 20 Wanip 20 extendable
Wäre so korrekt oder ???
-
Hallo Zusammen,
Wie kann ich einen FTP Port auf einen Cisco 1700 natten.
Den Webservice also 80 Port ging problem los.
meine config:
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5snap
pppoe max-sessions 1
protocol ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
no fair-queue
!
interface Ethernet0
ip address 192.168.2.1 255.255.255.0
ip nat inside
half-duplex
!
interface FastEthernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
speed auto
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname myuser
ppp chap password 7 mypw
!
ip nat service list 10 ftp tcp port 21
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.2.11 80 Wanip 80 extendable
ip nat inside source static tcp 192.168.2.11 21 Wanip 21 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
!
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 10 permit 192.168.2.11
access-list 101 permit ip any any
!
Der www wird mir umgeleitet, aber mein FTP bzw. Port 21 hat er mühe. Leider kann ich nicht alle Ports vom WANIP zum Webserver umleiten, sondern will nur den Port 80 / 21. 80 Geht ja ohne Problem und zu den access-list ich weiss kann man schöner machen, dass aber später :) IOS v. 12.2(11).T9
Danke im voraus
-
Das habe ich mir gedacht, dass es nur ein L2 Switch ist!! :(
Gibt es eine andere Möglichkeit mit diesen Geräte das zu realisieren, damit ich je 4 Subnetze habe???
-
Das weiss ich das es mit der 3550er Serie von Cisco geht.
Genau von dort kenn ich das ganze ... aber irgendwie vermisse
ich den befehl ip routing :(
Und du hast mich richtig verstanden, genau das will ich machen
jetzt ist nur die Frage wie ???
C2924m-XL-EM ist noch auf dem Switch angegeben, wenns weiter
hilft.
-
Hallo zusammen ....
Ist es möglich auf einem Catalyst 2900 XL Serie genauer ein
2924m mehrere VLAN zu fahren (4 Vlans) in unterschiedlichen
Subnetz und diese auf dem Switch zu routen.
Wenn ich mehrere Vlans einrichte, werden mir immer von diesen
4 VLANS drei deaktiviert und als shutdown in der Config angeben.
Zum IOS welches ich verwende: c2900XL-c3h2s-mz.120-5.3.WC.1.bin
Kann mir jemand eine Antowort darauf geben und die entsprechende
Vlan Konfig posten - vielen Dank im Voraus ....
Gruss Xheon
ISA & Integrated Authentication
in Windows Forum — Security
Geschrieben
Hallo Zusammen,
Ich bin gerade am versuchen SSO für eine Apache Server auf dem ISA Server einzurichten. Das klappt soweit und mit Integrated Authentication werden die Anmeldedaten auch dem ISA Server übergeben, gecheckt und gegen das AD verifiziert und "in behalf" weitergegeben und die Seite erscheit. So weit so gut.
Für Clients die kein Kerberos unterstützen habe ich Basic Authentication zusätzlich aktiviert. Klappt mit dem Firefox, von einen Non-Domain PC, mit der Basic Authentication perfekt und die Webseite erscheint.(in der Domäne auch SSO over Kerberos TGT)
Eigentlich ein grosser Erfolg zum SSO over Integrated Authentication, wenn da nicht der IE wäre auf Non-Domain PC's bzw auf PC wo kein Domänen Benutzer angemeldet ist.
hier erscheint auch die LogOn Maske (leider nicht die von Basic, sondern von NTLM) und wenn ich dort den nur den Username & Passwort (ohne Domain) angebe, klappt die Anmeldung nicht (bei Basic durch den Realm den ich setzen kann klappts, wie oben geschrieben)
er wandelt meine LogOn Daten um und zwar so:
myserver.mydomain.local\Username
gibt es eine Möglichkeit dieses zu übersteuern, dass der Username als
mydomain\Username oder mydomain.local\Username interpretiert wird?
Die User möchten sich nur mit dem Usernamen anmelden können, wenn sie kein SSO durch Kerb hätten (die Version gefällt auch meinen Cheffe viel besser). Kann ich wie bei Basic, beim Integrated Authentication auch einen Realm vorschreiben? Oder eine Liste mitgeben die er checken soll bevor er es mit dem eigenen Systemnamen versucht?
Grüsse
Xheon