benno

Hallo Philipp, so wie ich das verstanden habe, werden MAC Adresse zur VPN Einwahl über einen Switch, dann über den Radius zur AD und im AD gibt es eine OU mit einer Liste von erlaubten MAC Adressen. Ziel ist es die MAC Adressen gelegentlich zu prüfen, ob diese noch Aktiv ist. Wenn diese länger als 90 Tage kein logon durchgeführt hat, soll diese gelöscht werden. Die Information ist nicht im "LastLogon" zu finden. Ich habe gerade gelesen, dass ein Attribut "AccessRequest" auch geschrieben wird. Wie und wo kann ich die Auslesen? Danke schon mal für Eure Unterstützung. GvB

Hallo Philipp, erst mal vielen Dank für dein Feedback. Ich vermute der Rdius Server ist nicht der AD-Server. Ich werde versuchen Morgen mehr Informatioenen heraus zu bekommen, da das Netz recht gross ist hier und ich nur ein externer bin. Es sollen Informationen der Benutzeranmeldung herausgefunden werden. Danke noch mal & viele Grüße, Benno

...schon jemand eine Idee? GvB

Hallo Leute, ich bin gerade dabei herauszufinden in wie weit man Anmeldeinformationen aus einem 2003 Active Directory Server herausbekommen, wenn ein Benutzer sich über einen "Radius Server" Authentifiziert? geht das überhaupt, wenn ja, welches Attribut ist hier verantwortlich? Danke schon mal für einen Tipp von Euch. Gv, Benno

Ja, die DC Systeme sind alles 2003 Server mit SP2. zur Info, es befinden sich auch Client Rechner im Netz mit dem Betriebsystem Windows 2000. Bei denen kann man gut erkennen, dass durch eine cmd Abfrage "w32tm /test /v /once" das die Pakete vom Server abgeschnitten wird um genau 16 byte. Ich habe mir die Mühe gemacht und das UDP Protokoll Port 123 geloggt. Ergebnis bestätigt sich, dass die Zeitstempel vom Server um 16 byte, wie schon erwähnt, abgeschnitten werden. Anbei mal ein Ausschnitt von der w32tm Abfrage eines W2k Systems. W32Time: Time source failed to produce usable timestamp. W32Time: BEGIN:NTPTry -- fail W32Time: END Line 1683 W32Time: Time Out occured in sockets W32Time: BEGIN:NTPTry -- try W32Time: BEGIN:ComputeInterval W32Time: END Line 2479 W32Time: Sending to server 68 bytes... W32Time: Recv'ed from server 52 Bytes... W32Time: NTP: didn't receive complete datagram! - 52 of 68 bytes exp ected W32Time: Rejecting logging event 0x8000000B. 882 sec until this even t is allowed. W32Time: NTP: didn't receive datagram W32Time: Rejecting logging event 0x8000000B. 877 sec until this even t is allowed. W32Time: END Line 1949

Hallo Board, ich habe folgendes Problem,vieleicht kann mir hier jemand auf die Sprünge helfen. Ich versuche seit tagen einen Fehler der Zeitsynchronisation in unserem Netzwerk zu lokalisieren. Die Rechner, die sich in der Domäne befinden, versuchen vergeblich sich gegenüber dem Domäncontroller die Zeit zu holen. Die Parameter sind so gestellt in der Registry, dass die Zeitsynchronisation über Domänenhierarchie (NT5DS) Synchronisiert werden soll. Im Ereignis finde ich nur die Information, dass sich die Zeit nicht synchronisieren lässt und es wieder in 15...s erneut versucht wird. Ich habe mir die mühe gemacht und auf dem Domäncontroller und dem Cleint Rechner ein UDP sniffer zu installieren. Anhand des UDP Transportprotokolls mit dem Port 123, kann ich nun erkennen, dass die Pakete die von dem DC zurückgeschickt werden, genau um 16 Byte gegenüber des ankommenden Paketes abgeschnitten werden. Jetzt meine Frage: wie kann ich vorgehen um herauszufinden, was der Grund für das abschneiden der Pakete ist. Für mich ist das ein rätselhaftes Phänomen. Danke schon mal für ein Feedback von Euch. Gruß, Benno

Hallo zusammen, vielen Dank für Eure Info´s. wir haben drei verschiedene Internetzugänge und drei separate FW Server, bei der Zeichnung habe ich als Beispiel einfach mal zwei nur eingezeichenet um die Verständlichkeit darzustellen. Wenn ich jetzt dem Backupserver die Gateway vom .250 Netz geben würde, hätte ich die schwierigkeiten das netzt mit der .251 Gateway zu erreichen, oder irre ich mich da? aus diesem Grund arbeite ich mit den routen. Meiner Meinung wäre die einfachste Lösung nur einen Internetzugang zu konfigurieren über eine FW, da wir aber eine Leitung nur zum Hosten von Systemen verwenden, wurde das vor meiner Zeit so konfiguriert. Folgende Farge ist immer noch offen, warum stellt sich die DG einfach um? kann das wirklich mit einem script bei einer RDP session in verbindung stehen? und wie kann ich sowas herausfinden? Benno – @grizzly999: das Public Netz ist dazu da um in die andere Richtung zu zeigen (anderes Netz) ohne das von diesem Server ein Zugrif in das grüne Netz möglich ist. Benno

Hallo grizzly999, zum Verständnis die Netzwerkgrafik.

mmmh, vieleicht mache ich ja auch was falsch, danke vorerst für den Hinweis. Mein Ziel ist es den server von Außen erreichbar zu machen (90er Netz). Und ich benötige aus dem 70re Netz den Zugriff, damit der Backupserver auf Ihn drauf zugreifen kann. Welche Möglichkeit habe ich um das zu realisieren? Ich habe dafür eine zweite LAN Karte (NIC2) in das System eingebaut und diesen in eine "Public" gestellt mit einem 80er Netz. Um jetzt die Kommunikation vom 70er Netz zu gewährleisten, habe ich die route gesetzt. Ich muss dazu sagen, dass wir drei verschiedenen Internetzugänge haben mit verschiedenen Gateways. Backupserver 70er Netz mit der Gateway 192.168.70.251 "Webserver" Public (NIC2) 80er Netz mit der Route 192.168.70.0/24 -> 192.168.80.250 "Webserver" DMZ (NIC1) 90er Netz mit der Route 0.0.0.0/0 -> 192.168.90.250 (bitte die oben beschriebene DG mal vergessen) Benno

Hallo grizzly999, eine DG für das ext. Netz "192.168.90.250" und eine Route in das grüne Netz nicht DG. Vieleicht habe ich mich falsch ausgedrückt?! Gruß, Benno

@grizzly999, ich habe nur eine default Gateway eingetragen, wenn ich mir die anschaue über route print. Die weitere Route ist nur um in dem anderem Netz den Backupserver zu erreichen. @Robert, vielen Dank für deinen Tipp. Im Startskript ist alles sauber. Ich hatte mal gelesen, dass wenn jemand sich über RDP einloggt und ein Startskript dort lokal auf dem System hinterlegt hat, sich die Standard route auch ändern könnte!? hierzu wäre interessant zu erfahren, wie man sowas loggen kann, vieleicht hat ja jemand in diesem Forum eine Idee?! Gruß, Benno

Hallo, ich hoffe jemand kann mir einen Tipp geben!? folgendes Problem zeitg sich: ich betreibe einen Win 2k3 Server (stichpunkt Webserver IIS)hinter einer Firewall (FW). Der Server befindet sich in der DMZ mit einer statischen IP, als Beispiel nehmen wir mal die 192.168.90.10 mask 255.255.255.0 an. Eine weitere LAN Karte in dem Server mit der IP 192.168.70.10 mask 255.255.255.0 Gateway 192.168.70.250 DNS 192.168.70.250 befindet sich im System. Diese Lankarte wird benötigt um sich mit dem Backupserver im anderen Netz zu unterhalten. Damit der Server im WEB erreichbar ist, habe ich nun Ihm eine Route über die Komandozeile hinzugefügt "route add 0.0.0.0 mask 0.0.0.0 192.168.90.250 -p" Alles funktioniert wunderbar. Jetzt das Problem: Sporadisch, ich würde mal behaupten einmal in zwei Monaten, kommt es vor, dass sich die Standard Route umstellt auf die Gatewayadresse "192.168.70.250" so dass von der Webseite das System nicht mehr erreichbar ist. Nur durch das manuelle Umstellen der Route oder durch einen Neustart des Systems ist alles wieder OK. Frage: kann sich die Route selbständig unter gewissen Umständen ändern auch wenn sie mit dem "-p" fest verankert wurde? Ich würde mich freuen wenn Ihr mir hierzu Informationen geben könnt. Vielen Dank im voraus. Gruß, Benno

Daaaanke! weist Du :-) astalavista Benno

Hi Olc, danke für deine Info. Kannst Du mir noch kurz erklären wie ich vorgehen muss im IIS um das Zertifikat zur verfügung zu stellen, besten Dank schon mal. Gruß, Benno

Hallo Board, was genau ist gemeint, wenn ich einen Webserver betreibe mit einem standard SSL Zertifikat und eine Firma, die auf dieser Seit zugreifen möchte, von mir ein Zertifikat für deren Active Directory policies haben muss. Was bekommt er von mir bzw. wie muss ich da vorgehen? Hoffe das ich mich verständlich ausgedrückt habe?! Danke für eine Info. Gruß, Benno