bastian.will

Moin,

ist zwar schon ein paar Tage als das Thema. Aber vielleicht hilft es ja doch noch:

Die entsprechenden Ports denen Du 802.1x zugeordnet hast kannst Du mit

aaa port-access authenticator A1-A24 auth-vid X
aaa port-access authenticator A1-A24 unauth-vid X

Die VLANs zuordnen in denen sie je nach 802.1x Ergebnis landen sollen.

Edit: Alternativ kannst Du zusätzlich mac-based Authentifizierung einrichten, damit gehts ganz sicher.

Gruß

b.w

Moin,

bin ich der Einzige, der die Anforderungen ein bisschen - naja - merkwürdig findet?

14 Mitarbeiter, > 2 TB Daten, Backup, Raid - und dann ein einfaches NAS?

Klar wird es teurer, aber ein kleines SAN ist da doch schon angebracht.

Gruß

b.w

Hallo *,

schade, dass mich hier niemand unterstützen konnte oder wollte. Damit zumindest der "Nachwelt" geholfen ist, möchte ich die von mir umgesetzte Lösung zum Thema hier präsentieren.

Zusätzlich zum DEFAULT_VLAN habe ich 2 weitere ('unauth' VID 2, 'auth' VID 3) eingerichtet, dem VLAN unauth erstmal alle Ports untagged zugeordnet und für beide VLANs dem Switch eine IP gegeben und den Standard Gateway eingerichtet:

config term
vlan 2
name "unauth"
untag all
ip addr 192.168.3.2/24
vlan 3
name "auth"
ip addr 192.168.2.2/24
ip default-gateway 192.168.2.1
exit
write mem

Weiter gehts mit dem Radius Server samt Key:

config term
radius-server host 192.168.2.4 key secretkey
show radius <-- zur Kontrolle
exit
write mem

Da am Switch auch Server hängen habe ich die Ports A1 bis B20 fest mit dem VLAN 3 "auth" verbunden. Die Ports B21 und B22 kommen ins VLAN 2 "unauth":

config term
vlan 3
untag A1-A22
vlan 2
untag B21-B22
exit
write mem

Um die Authentifizierung zu sichern benötigt der Switch ein Manager User und ein Passwort. Weiterhin ist ein RSA Key zu generieren, damit der Zugriff auf den Radius Server klappt:

config term
passwort manager user-name admin 
New password for manager: bla
Retype: bla
krypto key gen cert 1024
exit
write mem

Nun ist die MAC basierte Authentifizierung für die Ports einzurichten und dem Ports mitzugeben, welche VLAN ID sie haben sollen, je nachdem wie die Authentifizierung ausfällt:

config term
aaa port-access mac-based C1-H24
aaa port-access mac-based C1-H24 auth-vid 3
aaa port-access mac-based C1-H24 unauth-vid 2
exit
mem write

Soweit die Konfiguration am Switch. Im Radius Server nun noch den Switch mit dem angegeben key als Client einrichten und MD5-Challenge zuordnen.

HP authentifiziert den Rechner über die MAC Adresse (Username und Passwort) gegen das ADs. Hierbei ist zu beachten, dass das Konto mit umgekehrtem Passwort zur Entschlüsselung gespeichert werden und die Einwahl für den Benutzer erlaubt ist.

Da MAC Adresse als Benutzer und(!) Passwort dient ist darauf zu achten, dass die Benutzer keine Rechte im ADs bekommen, also nicht Mitglied der Gruppe "Domänen-Benutzer" ist. Hier bietet es sich an, eine separate Sicherheitsgruppe ohne Rechte anzulegen.

In der Hoffnung, dass ich hiermit mal jemandem helfen kann möchte ich mich noch bei denen bedanken, die mir hätten helfen können und es nicht getan haben. DANKE! So hab ich bei einfachem RTFM vieles über meinen Switch lernen können. :cool:

Gruß

b.w

Hallo *,

ich habe bisher wenig Erfahrungen mit dem oben genannten Thema. Da wir gerade unser Netz in der Zentrale auf den oben genannten Switch umstellen, wollte ich die Chance nutzen und das Netz ein wenig sicherer machen.

Das Thema Mac Authentifizierug über Radius scheint mir hier die richtige Wahl zu sein. Unser Netz ist nicht so groß, dass wir komplexe VLAN Strukturen benötigen. Es gibt nur eine lockere Abteilungsstruktur und die Daten mit denen gearbeitet wird liegen zum größten Teil auf einem Fileserver. VLAN ist also nur ein Thema, wenn es für die Mac Authentifizierung benötigt wird.

Die Authentifizierung bei HP läuft ja über die Mac Adresse des Rechners mit der Mac Adresse als Kennwort gegen einen Radius Server. Da wir einen solchen unter Win2k3 bereits für die WLAN Authentifizierung nutzen, bietet sich das bei uns an. Allerdings haben wir auch viel Besucher die mal einen Internetzugang mit dem eigenen Gerät benötigen, daher möchte ich diese nicht komplett ausschliessen. Meine Vorstellung ist folgende:

- Bekannte Mac Adressen bekommen uneingeschränkten Zugriff

- Unbekannte Mac Adressen bekommen Zugriff auf ein seperates VLAN mit Zugriff auf seperate Schnittstelle am Proxy

Kann mir jemand von Euch ggf. helfen, bzw. mich auf den richtigen Weg bringen?

Danke schon mal

Gruß

b.w

Was hälst Du von perfmon?

Damit kannst Du die angegebenen Indikatoren über einen zeitraum von X aufzeichnen. Allerdings wird die Auswertung ein bisschen aufwendiger.

Soviel ich weiss, werden die VM Workstation NICs (AMD) nicht vom ESX unterstüzt, daher wird das wohl nix.

Moin,

vielleicht nicht ganz genau zum Thema, aber schau Dir mal con2prt.exe an, die haben wir hier im Einsatz und sie funktioniert problemlos.

Moin,

bin auf der Suche nach einem Tool, welches bei der Anmeldung an einen Win2k3 Server ein Formular / Eingabefeld öffnet in das der User den Grund der Anmeldung eintragen MUSS. Sonst also keinen Zugriff auf den Server bekommt.

Hintergrund:

Unsere DBA brauchen RDP Zugriff auf einen Server und wir sind ein bischen skeptisch was den Umgang mit dem System angeht.

Danke

Gruß

bw

wieviele User das veröffentlichte Office Pro nutzen dürfen?

Pauschal würde ich sagen: Es dürfen soviele User Office nutzen, wie ihr Lizenzen habt.

Hy,

 

schonmal im WINS geschaut falls aktiv , ansonten fällt mir spontan nur noch DNS und das

Tool ADSIEDIT ein

 

Gruß

 

CoolAce

Danke für die schnelle Antwort, WINS ist nicht aktiv.

In ADSIEdit habe ich nichts gefunden.

Hallo Experten:

Ich bekomme folgende Fehlermeldung von unserem MOM:

While running 'AD Op Master Response' 3 consecutive errors were encountered.
A message will be generated when the script succeeds. Look for a 'success' event from 'AD Op Master Response' with ID = 20015.

The events that triggered this alert were:

1/9/2007 8:00:20 PM : Failed to ping RID Op Master xxx (192.168.2.123).
The default gateway (192.168.2.1) is pingable.
1/9/2007 8:05:15 PM : Failed to ping RID Op Master xxx (192.168.2.123).
The default gateway (192.168.2.1) is pingable.
1/9/2007 8:10:17 PM : Failed to ping RID Op Master xxx (192.168.2.123).
The default gateway (192.168.2.1) is pingable.


To see all events generated by this script, look in the public view: 'AD Op Master Response Events'.

Der Rechner ist Rollen Inhaber und hatte diese IP auch mal (+ eine Weitere). Seit der Installation einer IBM Software (vielen Dank an IBM) darf auf dem Server nur ein NIC aktiv sein, sonst läuft die IBM Software nicht. Daher fiel diese IP weg. Im DNS ist sie nicht mehr zu finden bzw. entfernt.

Wo versteckt sich dieser Eintrag, bzw. wie bekomme ich die Zuordnung IP - > Rolleninhaber so hin, daß sie nur auf die andere Adresse zeigt?

Danke für die Hilfe

Mfg

bw

Wie ist es mit dem "Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten" mit dem Anmelden ausserhalb eines Netzwerks?

Moin Moin,

Folgendes Szenario:

Wir haben hier ein WLAN welches beim verbinden die lokalen Benutzerdaten über einen Radius gegen das ADS abgleicht. Nun kam der Einwand, daß ohne Netzverbindung beim Anmelden kein Login Skript läuft. Ist ja auch soweit logisch. Nun meine Frage:

Gibt es eine Möglichkeit den Verbindungsaufbau beim Login zu "erzwingen"?

Zu bedenken ist, daß die Gerät auch ausserhalb genutzt werden und dann keine Verbindung zum ADS haben.

Danke für die Antworten.

Moin Moin,

wir sind auf der Suche nach einem Tool was für uns die Änderungen im ADs nachvollziehbar macht, möglichst mit GPO und Exchange (alles auf 2k3).

Es würde eine Lösung reichen, welche die Boardmittel (Ereignisanzeige - Security) auswerten kann.

Kennt jemand da eine zuverlässige Lösung?

Vielen Dank schonmal.

Gruß

bw

Moin Moin,

habe ein Problem mit OMA (Outlook Mobile Access)!

Die Seite lässt sich nicht aufrufen: 404 - Die Seite wurde nicht gefunden.

Die Konfiguration im IIS scheint korrekt. DotNET ist auch alles korrekt installiert.

Gibt es die Möglichkeit, die OMA Installation zu reparieren?

Danke

bw

Hi.

 

Versuche einmal folgende Vorgangsweise:

 

- Informationsspeicher beenden

- eventuell vorhandene DB's inkl aller LOG Files (wichtig) wegsichern und wegkopieren

- Informationsspeicher starten

- DB's aus dem Restore mit eseutil /p mit aktueller Kennung versehen

- Datenbanken starten

 

Über eseutil findest du auch eine Menge über die Boardsuche.

 

LG Günther

Hallo Günther,

danke für die schnelle Antwort. Klingt ja um einiges einfacher als mein Weg.

Allerdings habe ich da noch eine Frage zu:

- eventuell vorhandene DB's inkl aller LOG Files (wichtig) wegsichern und wegkopieren

In welchen Verzeichnissen finde ich die DBs? Nur in MDBDATA??

Hallo Forum,

ich habe ziemlich arge Schwierigkeiten mit dem Umzug meines 2k3 Exchnage Servers auf neue Hardware.

Und zwar bekomme ich die Infospeicher-Datenbank auf dem neuen Server nicht zum laufen. Ich kann die Informationsspeicher nicht zur Verfügung stellen.

Folgende Schritte habe ich im Zusammenhang mit dem Umzug durchgeführt:

1. Online Sicherung Informationspeichers auf dem alten Server mit NT Backup. Hat ohne Fehler geklappt. Größe des Backupfiles stimmt auch mit den edb Files überein.

2. Alten Exchange Server vom Netz genommen.

3. Neuem Exchange Server den Namen von dem alten gegeben und in die Domain gehoben (Mitgliedsserver). Ebenfalls ohne Probleme. Anmeldung nach Neustart mit Domain-Admin ohne Probleme.

4. Exchange Installation mit "setup /disasterrecovery" gestartet und durchgeführt. Anschliessend Service Pack 2 und die auf dem alten Exchange Server installierten Updates eingespielt.

5. Infospeicher-Datenbank zurückgesichert.

6. Neuen Exchange neugestartet.....

Ergebnis:

Die Dienste werden alle gestartet, aber ich kann den Informationsspeicher nicht bereitstellen.

Datenbank State ist auf dem neuen Server: Dirty Shutdown <-- Hier wird mein Problem liegen, aber ich habe keine Sicherung hinbekommen, die ein anderes Ergebnis hatte.

Was mache ich falsch???

Gibt es ein brauchbares Tutorial? Oder gar einen einfacheren Weg?

Das Umbennen und "langsame" Migrieren kommt nicht in Frage, da die alte Hardware bald den Geist aufgibt.

Ich danke Euch recht herzlich für die Hilfe.

Gruß

BW

Das Anlegen der Aliase war schon mal richtig.

Die Verteilung per Regel wird wohl nicht funktionieren, da der eigentliche Empfänger ja immer der selbe ist, denn Du hast ja Aliase eingerichtet und keine weiteren Mail Adressen/Konten.

MSI Paket schnüren und durch Studenden mitinstallieren lassen!

Da haste nicht viel weiter weiter weiter!

Hallo,

wir sind gerade dabei uns eine Java-Web-Anwendung zu schreiben, mit der wir unsere Zeiten erfassen wollen.

Nun stellt sich folgende Anforderung:

Die User Daten sollen aus dem AD ausgelesen werden und mit der Applikation verwendet werden.

Ich weiß, daß das AD wie ein LDAP funktioniert, also auf Anfragen am Port 389 reagiert. Allerdings weiß ich die Daten nicht, die ich benötige um die Daten auszulesen.

Kennt jemand von Euch eine Lösung oder kann mit Tipps geben?

Danke!

Gruß

b.w.

ok

 

heir hab ich etwas gefunden, einen hotfix den du aber nur von MS erhältst ...

 

http://support.microsoft.com/kb/833817/de

 

 

lg

Vielen Dank! Werde mich dann mal direkt an MS wenden!

Mit was für Software sicherst du?

 

Veritas Backup Exec 10d?

Ja, mit Veritas Backup Exec 10(d?)

hi

 

macaffe enterprise 8 blockt standardmäsig ausgehenden smtp verkehr sprich blockt port 25 ...

 

http://www.msexchangefaq.de/admin/mcafee8.htm

 

sollte nur als info gedacht sein, hat aber IMHO nichts mit dem beenden des stores zu tun..

 

 

lg

Danke für den Tipp, ist aber berücksichtigt sonst würde der Exchange ja gar nicht laufen!

Ich halte es so, daß ich Updates automatisch runterladen lasse, der Installationszeitpunkt wird vom User bestimmt. 3 Tage nach erscheinen des Updates wird die Installation erzwungen!

Fahre ich eigentlich ganz gut mit.

Hi

aufpassen !

 

Wenn du keine Umlaufprotokollierung am laufen hast, dann ist es möglich vorausgestezt du machst keine Sicherung der Database, das die log files den rest machen und du so auf 18GB kommst.

 

Hab ich alles schon erlebt........

 

 

lg

Natürlich wird der Server gesichert....

Die Logfiles in der Freigabe HOSTNAME.LOG sind zusammen etwa 20 MB groß!