TobiasNYSE

Für wie sicher haltet Ihr folgendes Szenario für ein kleines Unternehmen mit wenig VPN Datenverkehr (hauptsächlich Fernadministration): W2000 RAS Server hinter Netgear Firewall (alles geblockt bis auf PPTP/GRE(L2TP/IKE) (kein Ping response)) VPN Verbindung zu den Client´s über PPTP Protokoll mit mindestens MS-CHAPv2 Auth., min. 35-45 stelliges recht komplexes Passwort (im Stil einer MS Seriennummer MKL5-KL54-TZ8I, usw. . . ) Wie groß ist das Risiko durch die offenen PPTP/GRE0 Ports sich auf den RAS Server irgendwie Zugriff zu verschaffen?

Also, per VPN habe ich mich mit einem Benutzerkonto, mit adminrechten eingewählt (verwende keine Gastkonten). Der lokale Benutzer mit dem ich bspw. am Notebook angemeldet bin ist ein anderer und ist nicht mitglied der domäne (sollte eigentlich auch so bleiben, ist mein Privates book) Die Freigaben über VPN sehe ich alle, in der Domäne. . . . . . . so, habe das ganze nochmal von zuhause über das Notebook probiert, klappt alles einwandfrei. Das lag sicherlich daran, das ich lokal im netz über wlan verbunden war und die VPN verbindung zum server hergestellt habe. Somit war ich einerseits authentifizierter benutzer auf dem RAS server, allerdings geschah der netzwerkzugriff auf die restlichen recourcen wohl direkt durch´s LAN (nicht über die VPN verbindung) deshalb wurde mir auch der zugriff verweigert (da nicht authent.). So, aber warum es über MS-CHAP geht, und über EAP nicht (VPN zugriff auf domäne recourcen), kann ich mir nocht nicht so richtig erklären.

Hm, na ja so eindeutig ist es leider nicht, denn wenn ich mich mit Benutzernam und Kennwort einwähle, habe ich zumindest auf dem Einwahlserver zugriffsrechte auf recourcen?! (vgl. mit EAP ging das nicht) Aber wie kann ich mich nun zusätzlich authentifizieren um auf die gesamte Domäne zuzugreifen? Nach einem Benutzernamen werden ich ja nicht gefragt. Es gibt doch eine Möglichkeit im UNC Pfad die anmeldedaten mitzugeben, oder? Danke

Hm, das mit den Sitzungen war nen ganz guter Tipp @IThome, Danke Wenn ich mich über EAP Authentifiziere bzw. über VPN Einwähle wird keine Sitzung mit meinem Benutzernamen eröffnet :shock: Jetzt kommts, wenn ich mich mit Benutzernamen und PW einwähle MS-CHAP wird eine Sitzung geöffnet, und ich kann auch auf die Besagten Ordner zugreifen. Für die EAP Auth. verwende ich ein Benutzerzertifikat, reicht das nicht aus???

Hallo, folgendes Szenario: Windows 2000 Server als RAS/VPN Server mit Zertifikatsgestützter (EAP) Einwahl über PPTP. Nun möchte ich mich als Admin zur Fernadministration auf dem Server per VPN einwählen, klappt alles vorbildlich (ping, Namensaüflösung). Kann mich auch per Remote Desktop von meinem heimischen Rechner einloggen. Das problem ist folgendes, ich kann auf keine Freigaben zugreifen (Sie haben keine Berechtigung diese Netzwerk. . . Zugriff verweigert). Ich sehe aber die Domäne mit den Computern/servern und die Freigegebenen Recourcen. Die Benutzerrechte sind soweit alle richtig gesetzt (Bin Domäne-Admin und Benutzer), jetzt kommts, wenn ich einen Ordner für JEDEN Freigebe kann ich diesen auch öffnen :shock: Gibt es da noch eine Richtlinie die da dazwischen Funkt??? Auf jedenfall bin ich dankbar für jegliche Hinweise :) MfG Tobi

Hallo, habe mal wieder ein paar Fragen an euch ;) Es geht im allgemeinen um die Zertifikatsgestützte Authentifizierung für VPN, IPSec. (Windows 2000 Server) Habe nun ein bisschen mit den verschiedenen Stammzertifizierungsstelle experimentiert (Organisation, Eigenständig) dazu habe ich mehrfach die Zertifizierungsdienste installiert bzw. deinstalliert. Nun haben sich im lokalen Zertifikatsspeicher so einige überflüssige Zertifikate angesammelt die ich allesamt gelöscht habe, um den Zertifizierungsdienst neu aufzusetzen. 1. Allerdings werden die alten Zertifikate trotzdem noch an die Clients repliziert, und unter den vertrauenswürdigen stammzertifizierungsstellen abgelegt. Wie kann ich das beeinflussen, wird wahrscheinlich über das Active Directory geschehen, oder? 2. Anscheinend hatte der Zertifizierungsdienst bei der ersten Installation automatisch Zertifikate für die Serverauthentifizierungs für die beiden DC´s ausgestellt (diese habe ich ****erweise auch gelöscht, leider werden diese nun nicht mehr automatisch bei der erneuten installation ausgestellt)(komischerweise sind diese Zertifikate auch nicht in der Zertifizierungsstelle als ausgestellte Zertifikate aufgeführt gewesen) diese werden natürlich auch nicht an die clients übermitteltübermittelt (als vertrauenswürdige Stammzertifizierungsstellen usw. die neu erstellte Stammzertifizierungstelle wird aber an die Client´s übermittelt. 3. Das resultat ist nun folgendes, der test Clients kann sich per VPN nicht mehr einwählen fehler 801 (Diese Verbindung ist für die Bestätigung der Identität des Zugriffservers konfiguriert. Es können jedoch keine vom Server gesendeten digitalen Zertifikate verifiziert werden.) 4. Habe mal testweise ein Serverauthentifizierungszertifikat ausgestellt, dieses konnte ich auch in der RAS Richtlinie auch als Zertifikat angeben (vorher kam immer die Meldung "kein EAP Zertifikat für Authentifizierung vorhanden, o.ä." logisch) Dieses war auch, wie zu erwarten, in der Zertifizierungsstelle unter ausgestellte Zertifikate angegeben. Anscheined ist das irgendwie nicht ausreichend, der Client kann sich trotzdem nicht einwählen (Fehler 801) obwohl ich dieses Zertifikat als vertrauenswürdig im lokalen zertifikatsspeicher des Client´s aufgenommen habe. Das ganze ist ganz schön kompliziert :shock: Ich stehe nun am folgenden Punkt: Habe alle alten Zertifikate (die von der alten zertifizierungstellen, zu test zwecken, ausgestellt wurden) lokal vom server und dem Client gelöscht (allerdings waren die ganzen alten überflüssigen Zertifikate nach dem Client Neustart wieder vorhanden, daher meine annahme mit der replikation über das AD. Anschließend den Zertifikatsdienst neu installiert als Organisation: Stammzertifizierungsstelle. Welcher schritt sollte als nächstes folgen, ??? Danke schon mal für eure mühe

Unter Windows Server 2003 gibt es die Möglichkeit einen Preshared Key für IPSec Verbindungen (bei RAS/VPN) anzugeben. Kennt jemand von euch eine Möglichkeit diese Funktion unter Windows 2000 Server zu nutzen bzw. diese zu implementieren? Schonmal Danke

Hallo, folgendes Problem: Es gibt einige Client-PC auf denen eine RIB Datenbankanwendung läuft (Serverinstallation, NT SERVER) Das Problem ist leider, dass das Programm nur von NT 4.0 Clients startet wenn der Benutzer Adminrechte hat. Das ganze hat seinerzeit ein IT-Firma eingerichtet. Nun möchte ich ganz gerne diese potenzielle Sicherheitslücke schließen. Unter W2k/XP wäre das ganze ja kein Problem aber bei NT 4.0 sieht das anders aus Kennt von euch jemand ein Tool bzw. eine Möglichkeit unter NT einzelne Programme mit Adminrechten zu starten? . . . schonmal Danke.

Tja, sieht wohl schlecht aus. . .

Hey, folgendes Problem, in einem unserer Server arbeitet ein Adaptec SATA II RAID 2820SA, diesen möchte ich nun endlich mit den Active LED´s auf der Backplane verbinden. Bei den Backplane anschlüssen handelt es sich um ganz einfache Doppelpin-Stecker. Allerdings verfügt der RAID Controller über zwei spezielle Anschlüsse mit je 4 Pins (kann leider nicht sagen wie die Anschlüsse sich nennen) - für die Active LED´s. Laut Adaptec sind die zum Anschluss des Hot-swap enclosure Kits. Es werden wohl von Adaptec auch keine speziellen Adapterkabel bereitgestellt um ein anderes Backplane zu verwenden. Aber vielleicht kann mir jemand von euch ´nen Tipp geben, um welchen Anschlusstyp es sich hierbei auf dem RAID Controller handeln könnte, oder ob irgendwelche drittanbieter solche Adapterkabel bereitstellen.

Ja, nicht viel los heute. . . . . . stimmt, in Berlin iss übers Wochenende mal wieder der Winter eingekehrt. Angenehm mal wieder hier zu sein, bin Momentan viel auf Administrator.de, die haben da ja Ihre Aktion laufen "Die Besten, der besten, na ja", mit den Ambitionen "das beste Admin Board" zu werden. :D Auf jedenfall ist die Qualität der Beiträge und das Userniveau hier um einiges besser, natürlich die fachliche Kompetenz mit eingeschlossen. Na dann ein schönes Restwochenende. . . war das Licht heute überhaupt an, oder was :)

Danke, schon ganz vielversprechend würdet Ihr RepliStore oder DoubleTake empfehlen (sind wohl die Platzhirsche in diesem Bereich)?

Hey, ich suche ein sehr zuverlässiges Programm zu Dateireplikation zweier getrennter Serverlaufwerke (200 bis max 500 GB, Replikation über GBit Network) Es sollen die geänderten Dateien und Verzeichnisse vom primären Laufwerk auf das sekundäre Laufwerk gespiegelt werden (nur eine Richtung), geändertes tägliches Datenvolumen übersteigt nicht mehr als max. 5-10 GB. Die Replikation soll auch nur einmal täglich abens ressourcen-schonend durchgeführt werden. Es sollen auch nur die geänderten Daten bzw. Ordnerstrukturen übertragen werden, die Prüfung der geänderten Dateien/Verzeichnisse soll auch unabhängig vom Archivbit erfolgen, z.B. wenn nur Dateien und Ordner verschoben wurden und dadurch kein Bit gesetzt wurde. Da muss es doch was vernünftiges auf dem Markt geben, oder? PS: Robocopy und FRS kann ich im vorraus schon mal ausschließen. Momentan nutze ich die Kopierfunktion "spiegeln" von ArcServe, allerdings funktioniert das nicht fehlerfrei und zuverlässig. Wie schon angemerkt, bei verschobenen Dateien und Ordnern gibts Probleme somit sind die Verzeichnisse nicht mehr synchron. Danke für eure Hilfe im vorraus

Ich möchte ein DFS Replikat auf einer W2k Workstation anlegen, dafür muss dieser Dienst gestartet sein. Ganz sicher, dass das nur mit der Serverversion möglich ist, erklärt aber warum ich im INet schon so lange suche bis ich schwarz bin.

Wie kann ich unter Windows 2000 Professional den Dateireplikationsdienst Starten bzw. Installieren? Geht das überhaupt, ntfrs.exe ist unter w2k einfach nicht auffindbar! Danke im vorraus :)

Hallo, ich möchte den Internetzugriff über den IExplorer in einer Domäne mittels GP´s auf Benutzerebene verbieten. Kennt da jemand von den Expert´s ein ADM Template? PS: Es soll nicht die Benutzung des IE verhindert werden nur der Internetzugriff soll untersagt werden! Theoretisch könnte man zu Lösung ein Proxy als localhost eintragen und die Regestrierkarte Verbindung ausblenden, ist aber keine saubere Lösung, oder?

das meine ich nicht, löschen ist gestattet, aber bitte nur inhaltsleere ordner, so wie auf einem FTP server.

Also, es hat sich was getan ;) ein Teil der Daten wurde Archivert, d.h. das zu replizierende Datenvolumen liegt jetzt nur noch bei der hälfte, bei ca. 0,1TB. Auf beiden Servern läuft jetzt W2K AS. Die Sache mit Robocopy ist mir nicht so geheuer, favorisiere momentan eher die Methode mittels DFS/FRS. Ist die Grenze von 64 GB seitens MS ernstzunehmen oder einfach nur ein optimum Wert? Ob nun in beide Richtungen Synchronisiert wird ist eigentlich eh egal, da auf dem Backup Verzeichnis normalerweise nicht gearbeitet wird.

Hi Profs., gibt es eine Möglichkeit Odnerberechtigungen so zu vergeben, dass bei freigegebenen Verzeichnissen nur leere Odner gelöscht werden dürfen. Es soll vermieden werden das jemand absichtlich bzw. unabsichtlich den ganzen Ordnerpfad samt Unterordner mit einem Befehl löschen kann. THX im vorraus

Hört sich schon mal gut an :) @grizzly Dieser KB Artikel hört sich vielversprechend an, Weihnachten wird nicht langweilig :D @kohn Habe vor auf dem zukünftigen Hauptserver w2k3 (mit SP1) zu installieren (Denke du meinst mit R2 die Revision 2, oder?) Auf dem Backup server würde aber nur W2K Adv. Server laufen, trotzdem möglich? Any ideas, THX

Hallo, folgendes Szenario: 1. Ein einzelner freigegebener Ordner (öffentlich, auf Hauptserver) mit ca. 200 GB, soll mit mit einem zweiten Ordner (nicht öffentlich freigegeben, Backup) auf dem BackUp Server synchronisiert werden (ca. einmal Täglich in nur eine Richtung synchronisieren) 2. Das ganze sollte unabhängig von dem Archivbit erfolgen, am besten Prüfung des Änderungsdatums. 3. OS W2k Server/W2k3, lässt sich dies mit DFS absolut zuverlässig realisieren, bzw. ist es empfehlenswert? 4. Was würdet Ihr ausserdem empfehlen ;-) ??? Vielen Dank für eure Unterstützung

So, dann schalte ich mal das Licht (AUS)

Ok, alles klar

Achso, der Befehl, alles Klar

S.....e, hatte ich voll vergessen. Ja ja die Home Edition, das leidige Thema