dippas
-
Gesamte Inhalte
1.674 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von dippas
-
-
hallo stupsnose,
wilkommen an Board!
Ausgehend davon, dass Du W2k/W2k3 als DNS/DHCP-Server einsetzt, würde ich mir mal den Punkt "Zonenübertragung" anschauen ;)
grüße
dippas
-
Naja, im Grunde ist es ja nicht ganz so schwer:
Du willst/darfst die Netze nicht trennen -> vielleicht müssen die ja zusammenarbeiten
Bleibt als Lösung:
Jede Firma hat nen eigenen Switch wie porschinho es bemerkte (zus. Netzwerkkomponenten). Dann packst Du dazwischen nen Router (z.B. Windows Routing mit 2. Netzwerkkarte im Server) der jeweils an den Switchen von Firma X und Y angeschlossen ist, damit die Netze zusammenarbeiten können. Das war´s. OK, muss natürlich das Routing entsprechend konfiguriert sein ;)
DHCP-Anfragen sind Broadcasts und diese werden bekanntlich nicht geroutet, bleiben also im eigenen Subnetz. Damit ist ausgeschlossen, dass Netz Firma x eine IP aus Netz Firma Y bekommt.
grüße
dippas
-
Hallo Velius,
danke für Deine Antwort.
Ich bin sicherlich wie Du und viele hier daran interessiert, zu wissen, was denn nun richtig ist. Insofern möchte ich auch niemanden belehren.
Aber wenn doch in diverser Literatur (MS-Press, MOC-Ordner etc.) drin steht, dass ohne GC ein User nicht gegenüber dem Netzwerk authentifiziert werden kann, aus anderen Quellen aber auch der Hinweis kommt, dass ein "einfacher" DC das ebenso kann, dann stellt sich doch berechtigterweise die Frage, was denn nun richtig ist. Ich will es ja auch wissen.
Die Thematik universelle Gruppen und Teilreplikate etc. beim GC ist schon klar. Für mich besteht diesbezüglich kein weiterer Aufklärungsbedarf.
Allerdings muss ich eingestehen, dass ich nur einen Punkt in meinen Unterlagen fand (MOC-Zitat, mein Post#25), wo explizit der Hinweis steht "native Mode". Steht das vielleicht auch in Deinen Unterlagen so, oder in anderer Literatur von Dir?
Die Frage: "Wer authentifiziert einen normalen User?" stellt sich im Moment für mich folgendermaßen beantwortet dar:
mixed Mode = DC und/oder GC
native Mode = ausschließlich GC
Verstehst Du was ich meine? Mit der Bestätigung, dass diese Aussage richtig ist, lassen sich vielleicht viele Fehler/Merkwürdigkeiten etc. bei der Authentifizierung schnell beantworten.
Die Einführungsfrage zu diesem Threat würde dann unter Umständen mit wenigen Posts beantwortet werden können, also beispielsweise der Hinweis/die Gegenfrage "läuft die Domain im native Mode? Falls ja, dann bitte GC in den Standort" So oder so ähnlich könnte es ja dann aussehen, oder?
grüße
dippas
-
hallo Velius,
bezüglich des ursprünglich aufgeworfenen Problems gings es irgendwann darum, wer denn überhaupt generell User (egal welcher Gruppenzugehörigkeit) authentifiziert:
Der vor-Ort stehende DC, oder ausschließlich ein GC?
Und genau an dieser Stelle gehen die Meinungen auseinander.
Dabei ist unerheblich, ob der User aus einer universellen Gruppe kommt oder nicht. Universelle Gruppen gibt´s ja eh nur im native Mode und die sind z.B. ja für eine Domänen-Gesamtstruktur-übergreifende Arbeit sinnvoll. Dafür ist aber unzweifelthaft ein GC notwendig.
Vor diesem Hintergrund verstehe ich nun aber Deine Aussage nicht:
Da sind genau zwei Bedingungen:
1. Der User muss in einer Universellen Gruppe sein
2. Die Domäne im native Mode
hilf mir zu verstehen, was Du meinst.
grüße
dippas
-
Ich hatte in meiner letzten Firma auch solche PC's (Verkaufstheke) an denen sich morgens jemand angemeldet hat und abends wieder abgemeldet hat.
Hey, vielleicht ist es das ja:
Eine Kasse wird mit einem Schlüssel benutzt, der unterschiedlichen Kassierern gehört.
Wäre eine Smart-Card nicht ne Möglichkeit. So: Karte raus = Bildschirm gesperrt, Karte rein = Zugriff erlaubt. Wenn die Karte nun an der Hose befestigt ist, kann der User auch nicht weg ohne die Karte zu vergessen ;)
Vielleicht ist "Karte" etwas unhandlich aber vielleicht gibt es ja soetwas in dieser Art?
@master-obi-wan:
Es ging nicht darum sich bei Windows oder einer WWS auszuloggen, sondern simpel den Bildschirm zu sperren (Strg-Alt-Entf). das kann doch nicht unkomfortabel sein.
grüße
dippas
-
aber wenn der server jetzt angenommen ausgeschaltet ist ! und noch meine ein normales smtp konto im outlook eingerichtet habe müsste er sie doch auch noch abholen oder?
ja, aber über eine zweite Outlook-Konfiguration (nämlich Exchange und weitere POP-Konfiguration) mit daraus resultierenden 2 Mailspeichern im Outlook.
Alternativ wäre es ja denkbar, dass der Provider Backup-MX/Backup-Mailserver ist, so dass alle Mails solange beim Provider liegen bleiben, bis Exchange die abholt.
Das machen Sie aber sowieso, sofern Du keinen eigenen MX-Eintrag auf den Exchange hast, weil Exchange statt Outlokk ja die POP-Konten abfragt. Und damit die Mails - die von Exchange mal abgeholt wurden - auch bei heruntergefahrenem Server noch Verfügbar sind, gibt es Offline-Odner/Exchange-Cache-Modus im Outlook ;)
grüße
dippas
-
Ein neuer Tag @work und ich bin "urlaubsreif" hehe ;)
Also, ich habe mir noch einmal die Sache mit Anmedung an DC und/oder GC angeschaut.
Folgendes Zitat möchte ich aus der MOC-Schulungsunterlage mit dem Titel "Entwerfen einer MS Windows 2000 Verzeichnisdienst-Infrastruktur" (Material-Nr. 1664BCP) zum Besten geben:
Seite 24 der Unterrichtseinheit 8: Entwerfen einer AD-Standorttopologie:
"In einer idealen Umgebung wäre an jedem Standort ein globaler Katalogserver vorhanden, der Abfagreanforderungen für das gesamte Verzeichnis über ein LAN bedienen würde"
und weiter:
"Nachdem eine Domäne in den einheitlichen Modus konvertiert wurde, kann sich kein Benutzer mehr ohne einen globalen Katalogserver am Netzwerk anmelden, es sei denn, es wurde die Option zur Benutzeranmeldung mit Hilfe zwischengespeicherter Anmeldeinformationen aktiviert"
@grizzly999:
Wenn´s nicht nur in den Schulungsunterlagen so steht, scheint die Sache ja nicht ganz so falsch zu sein, oder?
Allerdings:
Vermutlich ist dass ganz entscheidende bei dieser Sache folgender Passus "einheitlicher Modus".
Das bedeutet für mich:
Domäne im mixed-Mode: grizzly hat Recht und DC nimmt auch Auth. entgegen
Domäne im native-Mode: ich habe Recht und nur der GC kann auth.
Das wäre dann aber bei einer entsprechenden Aussage auch immer zu erwähnen (also mixed-mode oder native-mode)
@blub:
Vielleicht ist die fehlerhafte Anmeldung an Deiner Domäne wegen nicht vorhandenem GC auch damit erklärt, weil die Domäne im einheitlichen Modus läuft?
Da ich für meinen Teil die Domänen immer in den native-mode schalte, habe ich auch in jedem Standort GCs stehen. Bei einer Erstinstallation mit Backup-DC am ersten Standort verpasse ich auch 2 DCs den GC (rein profilaktisch ;) )
grüße
dippas
PS: @data: Du hast schon Recht, eigentlich sollte zum ursprüngliche Problem zurückgerudert werden. Aber ich hatte diesen Punkt noch offen und wollte das für mich und andere geklärt wissen.
-
der letzte punkt der jetzt noch offen ist, ist einzustellen, dass kopien von ausnahmslos allen ein/ausgehenden emails im lan an eine emailadresse weiterversendet werden. und zwar so, dass der user das nicht mitbekommt bzw. beachten muss (wenn er zb auf urlaub ist).
ACHTUNG:
Die Lösung hierzu ist relativ simpel. Postfachspeicher des Servers/Eigenschaften/Lasche "Allgemein"/Haken setzten bei "Alle von Postfächern in diesem ...."/Empfänger auswählen.
ABER:
Damit bewegst Du dich möglicherweise in einem Bereich, der rechtlich belangt werden kann. Beispielsweise ist das Mitlesen von privaten Mails so ne Sache. Also unbedingt VORHER abklären!!
(dann stör ich nicht weiter mit meinen newbie-fragen, versprochen :) )
Quatsch, stör ruhig weiter :)
p.s.: kann man nicht öfter als alle 15 minuten mails abfragen?Da gab es vor kurzem noch einen Threat zu diesem Thema, allerdings habe ich den gerade nicht gefunden :( War aber so, dass die verantwortliche Datei für´s POP-Abholen via geplantem Task halt in einem kürzeren Intervall ausgeführt wurde.
Halte ich aber nichts von, denn wenn man Mails schneller haben möchte, gibt es 2 Möglichkeiten:
1. Ich rufe manuell ab, wenn ich beispielsweise ne zeitkritische Mail erwarte.
2. Ich benutze eine feste IP, MX-Eintrag und bin selbst mit dem Exchange der Mailserver für die Domäne (24/7 Online)
grüße
dippas
-
Laut Microsoft Press:
...führt dazu, dass das Kennwort von Benutzern mit einer umkehrbaren Verschlüsselung gespeichert und von Administratoren wieder gelesen werden kann.
Also, ich habe noch einmal ein wenig geblättert und es bleibt dabei: Für MAC-User. Steht auch so in der Windowshilfe.
Hat das denn nur Vorteile, oder auch Nachteile. Wie wirkt sich das aus, wenn ich die Option aktiviere?
Tja, das ist sicherlich eine berechtigte Frage .... Ich denke, wenn man sich den Unterscheid DES vs. Kerberos anschaut, werden technische Unterschiede ersichtlich. Vielleicht gibt es auch Clients, die kein Kerberos können?
Press: Laut dem Kerberos-Standard ist die TGT-Anforderung des Clients ein unverschlüsseltes Paket, da es keine sicherheitssensiblen Daten enthält. Bei Verwendung der Kerberos-Präauthentifizierung wird dieses Paket bereits mit dem privaten Schlüssel des Benutzers/Anforderers verschlüsselt.hmmm.... ich lese zu TGT bei MS-Press folgendes (sinngemäß):
Da der User jedesmal vom Kerberos Authentication Server (AS) ein Kennwort eingeben müsste, um Netzwerkdienste zu nutzen, wird auf den TGS (Ticket Granting Server) zurückgegriffen, der ein TGT (Ticket Granting Ticket) ausstellt. der TGS steht "zwischen" Benutzer und AS. Er vergibt ein TGT an den User um die Passwortabfrage zu ersparen.
Das erfolgt soweit alles automatisch und NICHT unverschlüsselt. Im Übrigen wird sich darüber ausgelassen, dass der private Schlüssel (=Passwort) nicht benutzt wird, sondern ein Sitzungsschlüssel für die Netzwerkdienste, der wiederum vom TGT stammt.
Insofern sehe ich eher Kompatibilitätsgründe für Punkt 3), zumal ich auch aus anderer Quelle gelesen habe: "Die Option, sich ohne sie anmelden zu können, ist verfügbar, um die Authentifizierung von Clients zu ermöglichen, die eine frühere oder nicht standartmäßige Implementierung verwenden".
Wir haben jetzt 2 Möglichkeiten:
1. Wir "hauen" uns weiter Zitate um die Ohren, was uns beide aber nicht weiterbringt ;)
2. Wir warten auf eine dritte Meinung weiterer Boarduser.
Ich würde aber schon gerne wissen, welche Mehrheitsmeinung sich herauskristalisiert, denn interessiert bin ich ebenfalls, wobei ich sagen muss, dass ich alle 3 Optionen deaktiviert habe.
grüße
dippas
-
- Kennwort mit umkehrbarer Verschlüsselung speichern
- DES-Verschlüsselungstypen für dieses Konto verwenden
- Keine Kerberos-Präauthentifizierung erforderlich
Hallo xtra,
die Einstelloptionen bedeuten folgendes:
zu1)
Diese Option ermöglicht es MAC-Benutzern sich zu authentifizieren, da MACs nur diese Art nutzen.
zu2)
Ist eigentlich logisch, oder? Hier wird DES zum verschlüssen des Kontos genutzt
zu3)
Da zitiere ich lieber aus "MS Windows 2000 Active Directory Services" (S. 240, MS-Press, Trainigsbuch zu 70-217)
"Entfernt die Kerberos-Präauthentifizierung für Konten mit einer anderen Implementierung von Kerberos. Nicht alle Implementierungen oder Bereitstellungen von Kerberos verwenden die Präauthentifizierungsfunktion" hmmm.... klar soweit? ;)
Sicherheitstechnisch dürfte lediglich DES interessant sein. Die anderen Optionen dienen ja nicht der Sicherheit, sondern der Funktionalität.
Hoffe ein klein wenig geholfen zu haben ;)
grüße
dippas
- Kennwort mit umkehrbarer Verschlüsselung speichern
-
- vergiss nicht, den Datei-Manager wieder zu schliessen, wenn du die Workstation verlässt ... :D
Womit wir wieder an der Stelle wären, dass der User aktiv bei Verlassen des Arbeitsplatzes etwas machen MUSS! Da glaube ich ist Bildschirmsperre doch ein wenig komfortabler.
Ich befürchte, der Kunde wird seine Lösung - so wie er sie sich vorstellt - nicht bekommen können.
grüße
dippas
-
Hallo siry und FunTigger,
wir setzten ebenfalls PC Duo (V8) ein, haben aber nicht das geschilderte Problem.
Möglicherweise ist eine bestimmte Art der Konfiguration von Rem-Con verantwortlich?
Habe zwar in dem Sinne keine Lösung, bzw. ihr habt ja eine gefunden (client32-Dienst abschalten), wollte nur einwerfen, dass es vielleicht nicht das Programm an sich ist..
grüße
dippas
-
ich hab leider noch ein problem mit dem pop3-connector. hab server angegeben, benutzername, konto und exchange-postfächer der user, aber der pop3-connector bekommt vom mailserver irgendwie keine emails geliefert (wenn ich nicht über exchange email abfrage kommen die mails an) wenn ich ihn abrufen lasse.
möglicherweise liegt es an der Authentifizierung gegenüber dem POP3-Server.
- Ereignisprotokolle/Fehlermeldungen beobachtet?
- Einstellungen für die Authentifizierung richtig? Gerade hier gibt es Häkchen, die man vielleicht nicht setzten soll/darf/muß (je nachdem).
grüße
dippas
-
Hallo Toby,
um die Mails drüben abholen zu können, wirst Du sicherlich einen POP3-Connector benötigen. Dieser sollte auch in der Lagen sein über den Smarthost (=Mailserver des Providers) Mails rauszuschicken.
Die Einbindung des Exchange ins bisherige Postfach ist vom POP3-Connector abhängig.
Alternativ kannst Du über einen MX-Eintrag nachdenken, sofern dieser beim Provider einrichtbar ist. Will meinen, Dein Exchange ist der Mailserver für die Domain und nicht mehr der Provider. Dazu sollte der Exchange aber 24/7 laufen, es sei denn, Du kannst bei nichterreichen Mails beim Provider zwischenlagern.
grüße
dippas
-
Ich möchte das Ganze gerne mit den Standardbordmitteln von Windows Lösen um Kosten zu sparen.
Hallo Wolf84
willkommen an Board!
Die Einfachste Möglichkeit an Ziel zu kommen, ist dem Bintec zu erzählen, dass er das von dir verwendete VPN-Protokoll einfach zu deinem (vielleicht noch nicht?) installierten RAS-Server (W2k/W2k3-Server-Bestandteil) durchreicht.
Dann kannst Du von jedem PC aus ne simple Standart-VPN-Verbindung zu Deinem Server aufbauen und alle Dienste, also auch Filesystem, des Netzwerks nutzen.
Welche Möglichkeiten der Bintec bietet und welche Clients unter welchen Voraussetzungen Zugriff bekommen, ist - wie die Konfiguration des Bintec selbst ;) - sicherlich der Anleitung zu entnehmen.
grüße
dippas
-
Ist die PDF-Datei in der weitergeleiteten E-Mail für Benutzer 2 sichtbar als Anhang vorhanden? Wenn ja: Wie lautet die exakte Fehlermeldung beim versuchten Zugriff?
@dmetzger
es verhält sich, dass im OWA zwar angezeigt wird, dass da ein Anhang dabei ist (Klammer), beim Öffnen der Mail, dieser aber nicht im Zugriff ist. Eine Fehlermeldung gibt es nicht.
Via Outlook habe ich Zugriff auf diese Datei.
Es ist auch nur bei weitegeleiteten Mails so. Speichere ich beispielsweise die PDF-Datei vorher ab, generiere eine neue Mail mit diesem Anhang, wird dieser Anhang dann wiederum im OWA angezeigt und es kann auch drauf zugegriffen werden.
Berechtigungen können es nicht sein, denn (wie jeder ;) ) habe ich auch diverse Testuser. Einer davon darf so ziemlich alles ;) Aber auch der scheitert :(
Es ist wirklich nur bei weitergeleiteten Mails mit PDF-Anhang so, nicht bei neu geschriebenen Mails mit PDF-Anhang. Komisch, was?
grüße
dippas
PS: @tritanium: Witzbold ;) tu ma Telefon ;)
-
Es gibt keine Software die auf T: läuft, da liegen nur Daten
ja ne is klar ;)
Was hälst Du denn davon, wenn Du dir vorstellst, Excel speichert eine von T: geöffnete Datei automatisch im Hintergrund? Nur so als Beispiel.
lange Rede, kurzer Unsinn:
Ich stehe auf Edgars Seite und allen, die diese Meinug vertreten:
Am sichersten/einfachsten ist es tatsächlich, wenn der User seinen Bildschirm sperrt!
Alles andere ist meines Erachtens viel zu aufwendig oder unhandlich auf seinten des Users, das dadurch "Ärger" vorprogrammiert ist. Besser den User einnorden, er solle doch (wirklich mal eben!) "Strg-Alt-Entf und Return" drücken. Kann doch nicht so schwer sein.
Kappieren meines Erachtens auch Chefs ;)
grüße
dippas
-
Es gibt doch bestimmt die Möglichkeit das sobald auf T: geklickt wird ein Password eingegeben werden muss, oder?
Tja, welches Bordmittel soetwas erledigen kann ist mir nicht bekannt. Das klingt aber nicht nach einer unlösbaren Sache. Die Frage ist halt, ob es 3rd-Party-Software gibt, die das erledigt, oder ob Scripte bzw. Reg-Einträge helfen.
<noch eingefallen:>
Beachte aber, dass laufende Programme möglicherweise im Hintergrund auf T: zugreifen wollen/müssen. Dann jedesmal das Passwort?
grüße
dippas
-
OWA läuft schon über 443 und 4125
hallo autowolf,
Port 4125
erklär mal, warum.Unabhängig davon hier ein Lösungsansatz:
VPN-Verbindung zu Firma aufmachen und entsprechend Outlook konfigurieren als wärest Du in der Firma. Mit eigenem/extra Outlook-Profil macht Sinn.
Bei jedem Zugriff erst VPN, dann Outlook starten (mit dem gegebenenfalls eingerichteten Extra-Profil).
Alles andere ist meines Erachtens eine zu große Sicherheitslücke, denn Du müsstest alle notwendigen Ports für Authentifizierung gegen AD und den Verkehr mit dem Exchange entsprechend zu den Servern forwarden. Dann kannste die gleich ungeschützt ins Web stellen ;)
grüße
dippas
-
Jetzt muss ich nur noch die Stelle finden, wo ich die Eingeben kann.... :)
wie bereits gesagt:
Vermutlich solltest Du dann erstmal in den Geräteeigenschaften des Modems/ISDN-Adapters des PC reinschauen
grüße
dippas
-
Mache doch eine Freigabe, wo nur er drauf kommt.
wobei dann der Sinn eines global zu nutzenden Laufwerks T: entfällt ....
grüße
dippas
-
hallo Mike
zu Frage 1): tut er nicht
zu Frage 2): geht technisch
Allerdings ist lizenztechnisch der "Schlagabtausch" zu beobachten ;)
grüße
dippas
-
Naja, wie mans nimmt. "Server" ist nicht Teil des Betriebssystem-Namens...
Also versuchst Du dich über ein Notebook auf einen simplen PC einzuwählen, ja?
Vermutlich solltest Du dann erstmal in den Geräteeigenschaften des Modems/ISDN-Adapters des PC reinschauen, wie das denn da so konfiguriert ist. Gibt nämlich schöne AT-Befehle, die eine Reaktion des Gerätes nur bei Ortsgesprächen zulassen.
grüße
dippas
-
seinem domänenpassowrt
Ein bereits an der Domäne authentifizierter User soll sich bei einem bestimmten Odnerzugriff nochmal extra mit seinem Domänenpasswort authentifizieren
Habe ich das so richtig verstanden??W2k3-Domänen sind von Haus aus "single-Sign-on" ausgelegt. Passwort ist Passwort und gilt, wird auch normalerweise nicht nochmal abgefragt, denn der User hat ja bereits ein Ticket ;) Auf Ordnerebene habe ich übrigens bei den Berechtigungen nichts gefunden, was Deinem Wunsch nahekäme
grüße
dippas
erklär mal, warum.
2 Netzwerke - DNS-Problem
in Windows Forum — LAN & WAN
Geschrieben
Sofern die Ereignisprotokolle keine Fehler auswerfen und alles andere auch richtig konfiguriert ist, sei die Frage erlaubt, was für Clients du benutzt.
Versuch doch mal im DHCP einzustellen, dass der DHCP auch DNS-Einträge vornimmt für Clients, die eine automatische Aktualisierung nicht unterstützen. Ich würde auch die Option "DNS-A und -PRT-Einträge immer dynamisch aktualisieren" auswählen, anstatt "DNA-A und -PRT-Einträge nur nach Aufforderung von DHCP-Client dynamisch aktualisieren". Beides unter den Eigenschaften des DHCP-Servers, Lasche "DNS" zu finden.
Wenn Du nur rechner2 anpingst, dann pingst Du auf den NetBios-Namen. Dieses Protokoll wird nicht geroutet, weshalb Du mit diesem Ping auf den reinen Hostnamen (also nicht FQDN aus dem DNS) im anderen Netz nicht über den Router kommst. Abhilfe würde hier ein WINS-Server in jedem Netz bieten, der ebenfalls die Adressen des anderen Netzes kennt. Das wiederum würde sich realisieren lassen, wenn die WINS-Server in beiden Netzen sich auch als Replikationspartner kennen.
grüße
dippas