dippas

Sofern die Ereignisprotokolle keine Fehler auswerfen und alles andere auch richtig konfiguriert ist, sei die Frage erlaubt, was für Clients du benutzt. Versuch doch mal im DHCP einzustellen, dass der DHCP auch DNS-Einträge vornimmt für Clients, die eine automatische Aktualisierung nicht unterstützen. Ich würde auch die Option "DNS-A und -PRT-Einträge immer dynamisch aktualisieren" auswählen, anstatt "DNA-A und -PRT-Einträge nur nach Aufforderung von DHCP-Client dynamisch aktualisieren". Beides unter den Eigenschaften des DHCP-Servers, Lasche "DNS" zu finden. Wenn Du nur rechner2 anpingst, dann pingst Du auf den NetBios-Namen. Dieses Protokoll wird nicht geroutet, weshalb Du mit diesem Ping auf den reinen Hostnamen (also nicht FQDN aus dem DNS) im anderen Netz nicht über den Router kommst. Abhilfe würde hier ein WINS-Server in jedem Netz bieten, der ebenfalls die Adressen des anderen Netzes kennt. Das wiederum würde sich realisieren lassen, wenn die WINS-Server in beiden Netzen sich auch als Replikationspartner kennen. grüße dippas

hallo stupsnose, wilkommen an Board! Ausgehend davon, dass Du W2k/W2k3 als DNS/DHCP-Server einsetzt, würde ich mir mal den Punkt "Zonenübertragung" anschauen ;) grüße dippas

Naja, im Grunde ist es ja nicht ganz so schwer: Du willst/darfst die Netze nicht trennen -> vielleicht müssen die ja zusammenarbeiten Bleibt als Lösung: Jede Firma hat nen eigenen Switch wie porschinho es bemerkte (zus. Netzwerkkomponenten). Dann packst Du dazwischen nen Router (z.B. Windows Routing mit 2. Netzwerkkarte im Server) der jeweils an den Switchen von Firma X und Y angeschlossen ist, damit die Netze zusammenarbeiten können. Das war´s. OK, muss natürlich das Routing entsprechend konfiguriert sein ;) DHCP-Anfragen sind Broadcasts und diese werden bekanntlich nicht geroutet, bleiben also im eigenen Subnetz. Damit ist ausgeschlossen, dass Netz Firma x eine IP aus Netz Firma Y bekommt. grüße dippas

Hallo Velius, danke für Deine Antwort. Ich bin sicherlich wie Du und viele hier daran interessiert, zu wissen, was denn nun richtig ist. Insofern möchte ich auch niemanden belehren. Aber wenn doch in diverser Literatur (MS-Press, MOC-Ordner etc.) drin steht, dass ohne GC ein User nicht gegenüber dem Netzwerk authentifiziert werden kann, aus anderen Quellen aber auch der Hinweis kommt, dass ein "einfacher" DC das ebenso kann, dann stellt sich doch berechtigterweise die Frage, was denn nun richtig ist. Ich will es ja auch wissen. Die Thematik universelle Gruppen und Teilreplikate etc. beim GC ist schon klar. Für mich besteht diesbezüglich kein weiterer Aufklärungsbedarf. Allerdings muss ich eingestehen, dass ich nur einen Punkt in meinen Unterlagen fand (MOC-Zitat, mein Post#25), wo explizit der Hinweis steht "native Mode". Steht das vielleicht auch in Deinen Unterlagen so, oder in anderer Literatur von Dir? Die Frage: "Wer authentifiziert einen normalen User?" stellt sich im Moment für mich folgendermaßen beantwortet dar: mixed Mode = DC und/oder GC native Mode = ausschließlich GC Verstehst Du was ich meine? Mit der Bestätigung, dass diese Aussage richtig ist, lassen sich vielleicht viele Fehler/Merkwürdigkeiten etc. bei der Authentifizierung schnell beantworten. Die Einführungsfrage zu diesem Threat würde dann unter Umständen mit wenigen Posts beantwortet werden können, also beispielsweise der Hinweis/die Gegenfrage "läuft die Domain im native Mode? Falls ja, dann bitte GC in den Standort" So oder so ähnlich könnte es ja dann aussehen, oder? grüße dippas

hallo Velius, bezüglich des ursprünglich aufgeworfenen Problems gings es irgendwann darum, wer denn überhaupt generell User (egal welcher Gruppenzugehörigkeit) authentifiziert: Der vor-Ort stehende DC, oder ausschließlich ein GC? Und genau an dieser Stelle gehen die Meinungen auseinander. Dabei ist unerheblich, ob der User aus einer universellen Gruppe kommt oder nicht. Universelle Gruppen gibt´s ja eh nur im native Mode und die sind z.B. ja für eine Domänen-Gesamtstruktur-übergreifende Arbeit sinnvoll. Dafür ist aber unzweifelthaft ein GC notwendig. Vor diesem Hintergrund verstehe ich nun aber Deine Aussage nicht: hilf mir zu verstehen, was Du meinst. grüße dippas

Hey, vielleicht ist es das ja: Eine Kasse wird mit einem Schlüssel benutzt, der unterschiedlichen Kassierern gehört. Wäre eine Smart-Card nicht ne Möglichkeit. So: Karte raus = Bildschirm gesperrt, Karte rein = Zugriff erlaubt. Wenn die Karte nun an der Hose befestigt ist, kann der User auch nicht weg ohne die Karte zu vergessen ;) Vielleicht ist "Karte" etwas unhandlich aber vielleicht gibt es ja soetwas in dieser Art? @master-obi-wan: Es ging nicht darum sich bei Windows oder einer WWS auszuloggen, sondern simpel den Bildschirm zu sperren (Strg-Alt-Entf). das kann doch nicht unkomfortabel sein. grüße dippas

ja, aber über eine zweite Outlook-Konfiguration (nämlich Exchange und weitere POP-Konfiguration) mit daraus resultierenden 2 Mailspeichern im Outlook. Alternativ wäre es ja denkbar, dass der Provider Backup-MX/Backup-Mailserver ist, so dass alle Mails solange beim Provider liegen bleiben, bis Exchange die abholt. Das machen Sie aber sowieso, sofern Du keinen eigenen MX-Eintrag auf den Exchange hast, weil Exchange statt Outlokk ja die POP-Konten abfragt. Und damit die Mails - die von Exchange mal abgeholt wurden - auch bei heruntergefahrenem Server noch Verfügbar sind, gibt es Offline-Odner/Exchange-Cache-Modus im Outlook ;) grüße dippas

Ein neuer Tag @work und ich bin "urlaubsreif" hehe ;) Also, ich habe mir noch einmal die Sache mit Anmedung an DC und/oder GC angeschaut. Folgendes Zitat möchte ich aus der MOC-Schulungsunterlage mit dem Titel "Entwerfen einer MS Windows 2000 Verzeichnisdienst-Infrastruktur" (Material-Nr. 1664BCP) zum Besten geben: Seite 24 der Unterrichtseinheit 8: Entwerfen einer AD-Standorttopologie: "In einer idealen Umgebung wäre an jedem Standort ein globaler Katalogserver vorhanden, der Abfagreanforderungen für das gesamte Verzeichnis über ein LAN bedienen würde" und weiter: "Nachdem eine Domäne in den einheitlichen Modus konvertiert wurde, kann sich kein Benutzer mehr ohne einen globalen Katalogserver am Netzwerk anmelden, es sei denn, es wurde die Option zur Benutzeranmeldung mit Hilfe zwischengespeicherter Anmeldeinformationen aktiviert" @grizzly999: Wenn´s nicht nur in den Schulungsunterlagen so steht, scheint die Sache ja nicht ganz so falsch zu sein, oder? Allerdings: Vermutlich ist dass ganz entscheidende bei dieser Sache folgender Passus "einheitlicher Modus". Das bedeutet für mich: Domäne im mixed-Mode: grizzly hat Recht und DC nimmt auch Auth. entgegen Domäne im native-Mode: ich habe Recht und nur der GC kann auth. Das wäre dann aber bei einer entsprechenden Aussage auch immer zu erwähnen (also mixed-mode oder native-mode) @blub: Vielleicht ist die fehlerhafte Anmeldung an Deiner Domäne wegen nicht vorhandenem GC auch damit erklärt, weil die Domäne im einheitlichen Modus läuft? Da ich für meinen Teil die Domänen immer in den native-mode schalte, habe ich auch in jedem Standort GCs stehen. Bei einer Erstinstallation mit Backup-DC am ersten Standort verpasse ich auch 2 DCs den GC (rein profilaktisch ;) ) grüße dippas PS: @data: Du hast schon Recht, eigentlich sollte zum ursprüngliche Problem zurückgerudert werden. Aber ich hatte diesen Punkt noch offen und wollte das für mich und andere geklärt wissen.

ACHTUNG: Die Lösung hierzu ist relativ simpel. Postfachspeicher des Servers/Eigenschaften/Lasche "Allgemein"/Haken setzten bei "Alle von Postfächern in diesem ...."/Empfänger auswählen. ABER: Damit bewegst Du dich möglicherweise in einem Bereich, der rechtlich belangt werden kann. Beispielsweise ist das Mitlesen von privaten Mails so ne Sache. Also unbedingt VORHER abklären!! Quatsch, stör ruhig weiter :) Da gab es vor kurzem noch einen Threat zu diesem Thema, allerdings habe ich den gerade nicht gefunden :( War aber so, dass die verantwortliche Datei für´s POP-Abholen via geplantem Task halt in einem kürzeren Intervall ausgeführt wurde. Halte ich aber nichts von, denn wenn man Mails schneller haben möchte, gibt es 2 Möglichkeiten: 1. Ich rufe manuell ab, wenn ich beispielsweise ne zeitkritische Mail erwarte. 2. Ich benutze eine feste IP, MX-Eintrag und bin selbst mit dem Exchange der Mailserver für die Domäne (24/7 Online) grüße dippas

Also, ich habe noch einmal ein wenig geblättert und es bleibt dabei: Für MAC-User. Steht auch so in der Windowshilfe. Tja, das ist sicherlich eine berechtigte Frage .... Ich denke, wenn man sich den Unterscheid DES vs. Kerberos anschaut, werden technische Unterschiede ersichtlich. Vielleicht gibt es auch Clients, die kein Kerberos können? hmmm.... ich lese zu TGT bei MS-Press folgendes (sinngemäß): Da der User jedesmal vom Kerberos Authentication Server (AS) ein Kennwort eingeben müsste, um Netzwerkdienste zu nutzen, wird auf den TGS (Ticket Granting Server) zurückgegriffen, der ein TGT (Ticket Granting Ticket) ausstellt. der TGS steht "zwischen" Benutzer und AS. Er vergibt ein TGT an den User um die Passwortabfrage zu ersparen. Das erfolgt soweit alles automatisch und NICHT unverschlüsselt. Im Übrigen wird sich darüber ausgelassen, dass der private Schlüssel (=Passwort) nicht benutzt wird, sondern ein Sitzungsschlüssel für die Netzwerkdienste, der wiederum vom TGT stammt. Insofern sehe ich eher Kompatibilitätsgründe für Punkt 3), zumal ich auch aus anderer Quelle gelesen habe: "Die Option, sich ohne sie anmelden zu können, ist verfügbar, um die Authentifizierung von Clients zu ermöglichen, die eine frühere oder nicht standartmäßige Implementierung verwenden". Wir haben jetzt 2 Möglichkeiten: 1. Wir "hauen" uns weiter Zitate um die Ohren, was uns beide aber nicht weiterbringt ;) 2. Wir warten auf eine dritte Meinung weiterer Boarduser. Ich würde aber schon gerne wissen, welche Mehrheitsmeinung sich herauskristalisiert, denn interessiert bin ich ebenfalls, wobei ich sagen muss, dass ich alle 3 Optionen deaktiviert habe. grüße dippas

Hallo xtra, die Einstelloptionen bedeuten folgendes: zu1) Diese Option ermöglicht es MAC-Benutzern sich zu authentifizieren, da MACs nur diese Art nutzen. zu2) Ist eigentlich logisch, oder? Hier wird DES zum verschlüssen des Kontos genutzt zu3) Da zitiere ich lieber aus "MS Windows 2000 Active Directory Services" (S. 240, MS-Press, Trainigsbuch zu 70-217) "Entfernt die Kerberos-Präauthentifizierung für Konten mit einer anderen Implementierung von Kerberos. Nicht alle Implementierungen oder Bereitstellungen von Kerberos verwenden die Präauthentifizierungsfunktion" hmmm.... klar soweit? ;) Sicherheitstechnisch dürfte lediglich DES interessant sein. Die anderen Optionen dienen ja nicht der Sicherheit, sondern der Funktionalität. Hoffe ein klein wenig geholfen zu haben ;) grüße dippas

Womit wir wieder an der Stelle wären, dass der User aktiv bei Verlassen des Arbeitsplatzes etwas machen MUSS! Da glaube ich ist Bildschirmsperre doch ein wenig komfortabler. Ich befürchte, der Kunde wird seine Lösung - so wie er sie sich vorstellt - nicht bekommen können. grüße dippas

Hallo siry und FunTigger, wir setzten ebenfalls PC Duo (V8) ein, haben aber nicht das geschilderte Problem. Möglicherweise ist eine bestimmte Art der Konfiguration von Rem-Con verantwortlich? Habe zwar in dem Sinne keine Lösung, bzw. ihr habt ja eine gefunden (client32-Dienst abschalten), wollte nur einwerfen, dass es vielleicht nicht das Programm an sich ist.. grüße dippas

möglicherweise liegt es an der Authentifizierung gegenüber dem POP3-Server. - Ereignisprotokolle/Fehlermeldungen beobachtet? - Einstellungen für die Authentifizierung richtig? Gerade hier gibt es Häkchen, die man vielleicht nicht setzten soll/darf/muß (je nachdem). grüße dippas

Hallo Toby, um die Mails drüben abholen zu können, wirst Du sicherlich einen POP3-Connector benötigen. Dieser sollte auch in der Lagen sein über den Smarthost (=Mailserver des Providers) Mails rauszuschicken. Die Einbindung des Exchange ins bisherige Postfach ist vom POP3-Connector abhängig. Alternativ kannst Du über einen MX-Eintrag nachdenken, sofern dieser beim Provider einrichtbar ist. Will meinen, Dein Exchange ist der Mailserver für die Domain und nicht mehr der Provider. Dazu sollte der Exchange aber 24/7 laufen, es sei denn, Du kannst bei nichterreichen Mails beim Provider zwischenlagern. grüße dippas

Hallo Wolf84 willkommen an Board! Die Einfachste Möglichkeit an Ziel zu kommen, ist dem Bintec zu erzählen, dass er das von dir verwendete VPN-Protokoll einfach zu deinem (vielleicht noch nicht?) installierten RAS-Server (W2k/W2k3-Server-Bestandteil) durchreicht. Dann kannst Du von jedem PC aus ne simple Standart-VPN-Verbindung zu Deinem Server aufbauen und alle Dienste, also auch Filesystem, des Netzwerks nutzen. Welche Möglichkeiten der Bintec bietet und welche Clients unter welchen Voraussetzungen Zugriff bekommen, ist - wie die Konfiguration des Bintec selbst ;) - sicherlich der Anleitung zu entnehmen. grüße dippas

@dmetzger es verhält sich, dass im OWA zwar angezeigt wird, dass da ein Anhang dabei ist (Klammer), beim Öffnen der Mail, dieser aber nicht im Zugriff ist. Eine Fehlermeldung gibt es nicht. Via Outlook habe ich Zugriff auf diese Datei. Es ist auch nur bei weitegeleiteten Mails so. Speichere ich beispielsweise die PDF-Datei vorher ab, generiere eine neue Mail mit diesem Anhang, wird dieser Anhang dann wiederum im OWA angezeigt und es kann auch drauf zugegriffen werden. Berechtigungen können es nicht sein, denn (wie jeder ;) ) habe ich auch diverse Testuser. Einer davon darf so ziemlich alles ;) Aber auch der scheitert :( Es ist wirklich nur bei weitergeleiteten Mails mit PDF-Anhang so, nicht bei neu geschriebenen Mails mit PDF-Anhang. Komisch, was? grüße dippas PS: @tritanium: Witzbold ;) tu ma Telefon ;)

ja ne is klar ;) Was hälst Du denn davon, wenn Du dir vorstellst, Excel speichert eine von T: geöffnete Datei automatisch im Hintergrund? Nur so als Beispiel. lange Rede, kurzer Unsinn: Ich stehe auf Edgars Seite und allen, die diese Meinug vertreten: Am sichersten/einfachsten ist es tatsächlich, wenn der User seinen Bildschirm sperrt! Alles andere ist meines Erachtens viel zu aufwendig oder unhandlich auf seinten des Users, das dadurch "Ärger" vorprogrammiert ist. Besser den User einnorden, er solle doch (wirklich mal eben!) "Strg-Alt-Entf und Return" drücken. Kann doch nicht so schwer sein. Kappieren meines Erachtens auch Chefs ;) grüße dippas

Tja, welches Bordmittel soetwas erledigen kann ist mir nicht bekannt. Das klingt aber nicht nach einer unlösbaren Sache. Die Frage ist halt, ob es 3rd-Party-Software gibt, die das erledigt, oder ob Scripte bzw. Reg-Einträge helfen. <noch eingefallen:> Beachte aber, dass laufende Programme möglicherweise im Hintergrund auf T: zugreifen wollen/müssen. Dann jedesmal das Passwort? grüße dippas

hallo autowolf, Port 4125 erklär mal, warum. Unabhängig davon hier ein Lösungsansatz: VPN-Verbindung zu Firma aufmachen und entsprechend Outlook konfigurieren als wärest Du in der Firma. Mit eigenem/extra Outlook-Profil macht Sinn. Bei jedem Zugriff erst VPN, dann Outlook starten (mit dem gegebenenfalls eingerichteten Extra-Profil). Alles andere ist meines Erachtens eine zu große Sicherheitslücke, denn Du müsstest alle notwendigen Ports für Authentifizierung gegen AD und den Verkehr mit dem Exchange entsprechend zu den Servern forwarden. Dann kannste die gleich ungeschützt ins Web stellen ;) grüße dippas

wie bereits gesagt: grüße dippas

wobei dann der Sinn eines global zu nutzenden Laufwerks T: entfällt .... grüße dippas

hallo Mike zu Frage 1): tut er nicht zu Frage 2): geht technisch Allerdings ist lizenztechnisch der "Schlagabtausch" zu beobachten ;) grüße dippas

Also versuchst Du dich über ein Notebook auf einen simplen PC einzuwählen, ja? Vermutlich solltest Du dann erstmal in den Geräteeigenschaften des Modems/ISDN-Adapters des PC reinschauen, wie das denn da so konfiguriert ist. Gibt nämlich schöne AT-Befehle, die eine Reaktion des Gerätes nur bei Ortsgesprächen zulassen. grüße dippas

Ein bereits an der Domäne authentifizierter User soll sich bei einem bestimmten Odnerzugriff nochmal extra mit seinem Domänenpasswort authentifizieren Habe ich das so richtig verstanden?? W2k3-Domänen sind von Haus aus "single-Sign-on" ausgelegt. Passwort ist Passwort und gilt, wird auch normalerweise nicht nochmal abgefragt, denn der User hat ja bereits ein Ticket ;) Auf Ordnerebene habe ich übrigens bei den Berechtigungen nichts gefunden, was Deinem Wunsch nahekäme grüße dippas