de.le

Diesmal habe ich mich unverständlich ausgedrückt. Du meinst sicherlich das WebUI des NetApp-Servers, das im VLAN 1 steckt. Zu Zwei: Verbinde doch den iSCSI-Swich mit dem Hausswicht per Tagged-VLAN, mit nur einem Kabel!

Hi. Meine erster Tipp währe SP3 zu installieren, es ist zwar kein Allheilmittel, aber schaden wird es nicht. Mit etwas Glück bekommst du eine Fehlermeldung, die uns weiter bringt. Tipp zwei: Namen der Anwendung und die Zieladresse posten...

Hallo Philipp, Von NetApp oder (iSCSI)-Switch? Wieso? Du hast es doch schon zwischen den beiden Hausswichten richtig gemacht? Über mehrere NIC's? Jede NIC eine eigene IP? NetApp unterstüzt auch Tagged VLAN. Ich weiß nicht, was dein JPEG so zeigt, da noch nicht freigeschaltet, aber ich benötige MORE INPUT!

Hallo. Wenn es um ein "wild gewordene" Anwendung geht, benutze ich gerne ProcessExplorer von Mark Russinovich (gehört inzwischen zu Microsoft). Dabei blende ich mir die Spalten "CPU, CPU History, Username, Command Line, Working Set (RAM-Verbrauch)" ein und beobachte das Geschehen... Ach ja, fast habe ich das Wichtigste vergessen: Process Explorer

Hast Du die Rechte vererbt? XCACLS.vbs C:\Privat\* /I ENABLE /F /S /T Hast Du dem Benutzer "Authenticated Users" die Änderungsrechte gegeben?

Ahh, Vista. Diese Information ist uns neu. Das Script, mit dem wir (lokale) Drucker inkl. Treiber auf XP-Clients installieren ist folgendes: rundll32 printui.dll,PrintUIEntry /r "LPT1:" /if /f "c:\Ordner\Treiber.inf" /m "Druckername" /b "Treibername" Ich muss aber vollständigkeitshabler sagen, dass die Treiberinstallation alleiner mit dem Schalter /ia nicht immer funktioniert... PS: Den Drucker kannst du ja anschließend löschen. Nicht der goldene Weg, aber nahe dran :)

Hmm, ... dann hat der Benutzer "Privat" auf dem Ordner einmal eine Berechtigung (Ändern) die sich vererbt und einmal eine Berechtigung (Ändern) die sich nicht vererbt. Das siehst Du am Besten unter "Sicherheit -> Erweitert" und im Feld "Übernehmen für"

Die Meldung kommt daher, dass jetzt auf dem Ordner "C:\privat" die Berechtigung "Ändern" zwei Mal greift: ein Mal ist das eine vererbte Berechtigung vom Ordner, wo sich "privat" befindet (in deinem Fall Laufwerk C:) und Du hast zusätzlich dem Benutzer "Privat" Änderungsberchtigung auf den Ordner "C:\privat" gegeben. Entweder Du behälst die Änderungsberechtigung für den "Privat"-Benutzer auf Laufwerk C: bei und der Ordner "privat" erbt die Berechtigung von C: (cscript XCACLS.vbs C:\Privat /I ENABLE) oder Du entfernst die Verbung für den Ordner "privat" (cscript XCACLS.vbs C:\Privat /I COPY) und gibst dem Benutzer "Privat" (cscript XCACLS.vbs C:\privat /G privat:F) exklusiv die Änderungsrechte auf diesen Ordner. Über die Rechte zu Vererben benutzer folgende Syntax: Nur für Dateien innerhalb des Ordner: cscript XCACLS.vbs C:\Privat\* /I ENABLE /F Für Dateien in allen Unterordnern: cscript XCACLS.vbs C:\Privat\* /I ENABLE /F /S Für Dateien und Ordner in allen Unterordnern: cscript XCACLS.vbs C:\Privat\* /I ENABLE /F /S /T

Nicht eindeutig. Wie ich bereits in meinem letzten Beitrag geschrieben habe, brauchst du bei der Installation von Netzwerkdruckern keine Admin-Rechte. Windows installiert die Treiber, die dem Drucker auf dem Server zugewiesen sind, im Hintergrund auf dem Client. Keine separate Installation von Treibern nötig!

Disk Wipe – Portable Disk Wiper | Portable USB Pen Drive Applications Auf dass ihr keine servergespeicherten Profile habt...

Hi. ;) Ist auch eine Möglichkeit den TS als Applicationserver zu nutzen. Versuche es mal damit: 1. Deaktiviere erstmal deine GPO, die das Programm auf dem Server startet 2. Erstelle eine RDP, die nach der Anmeldung ein Programm ausführt (siehe Anhang) 3. Die Benutzer lässt Du über diese RDP am Server anmelden und die Anwendung startet im Kios-Modus 4. Damit die Anwender sich nicht "zufällig" an diesem Server, ohne deine RDP, anmelden können und dort unfug treiben, verweigerst Du der Gruppe "Benutzer" das Leserecht auf die Explorer.exe. So können Sie Admins über MSTSC am Server anmelden und haben ihren Desktop und Benutzer fliegen im Zweifelsfall raus, es seidem die Benutzern die RDP-Datei.

Das findest du schon selbst heraus, wenn du dich mit dem Taskplaner beschäftigt hast... ;)

Hast du vollkommen recht und dennoch wollen wir den von MS vorgesehenen Weg nicht verschweigen. Um jetzt mal endlich deine Frage zu beantworten... ... müsste ich den Nilsk zitieren: Richtes auf dem Client einen Task ein (C:\windows\tasks), welches beim Start des Computers gestartet werden soll. Dieser Task startet eben dein Script, dass die VPN-Verbindung voll automatisch aufbaut.

Das was du da vorhast kann gehen. Windows unterstützt eine Anmeldung per DFÜ, was genau in die Richtung geht, die Du brauchst, benutz aber hierfür eine Einwahlverbindung. Der Trick dabei ist, dass das Windows-VPN (PPTP oder L2TP-IPSec) über eine Einwahlverbindung funktioniert. Dazu muss die Gegenseite eben dieses Protokoll sprechen können und Benutzer am Besten gegen dein AD authentifizieren.

Eigenschaften vom Arbeitsplatz -> Systemwiederherstellung: Häkchen bei "Systemwiederherstellung auf allen Laufwerken deaktiveren" setzten. Computer neustarten und glücklich sein! Auf Laufwerk C: gibt es einen verstecken Ordner Names "System Volume Information", auf das außschließlich das SYSTEM lese- und schreibrechte hat, daher kann Treesize (das mit Deiner Berechtigung läuft) die Ordergröße diesen Ordners nicht ermitteln. Quelle: Windows XP - Die Systemwiederherstellung komplett abschalten

Hmm, mir ist nicht ganz klar, warum Du Treiber verteilst. Die letzten zwei Zeilen deines Codes sagen mir, dass die Client über eine Druckserver drucken. Treiber auf dem Client müssen aber bei lokalen Druckern installiert. Falls das Erste zutrifft, schmeiß einfach die erste Zeile raus. Die Treiber werden im Hintergrund von Windows automatisch installiert (sonst machen ja Druckfreigaben nicht wirklich Sinn!).

rundll32 printui.dll,PrintUIEntry /y /n "Druckername" Ausführliche hilfe: rundll32 printui.dll,PrintUIEntry /? ;)

So, hab jetzt nach langer exisivier Suche die Lösung für unser Problem gefunden. In den Eigenschaften der Default Policy (Empfängerrichtlinien) unter "E-Email-Adressen (Richtlinie)" sind alle Domainen aufgelistet, für die sich Exchange zuständig fühlt. Nach einem Doppelklickt auf eine Domäne, kann man im nächten Fenster einen Haken bei "Diese Exchange-Organisation ist für die gesamte E-Mail-Übermittlung an diese Adresse verantwortlich" setzen und genau diese hat eben gefehlt. Schöne Grüße

Das ist in meinen Augen ziemlich Sinnfrei. Wenn Du die Berechtigung gleich richtig setzst und vererbst, brauchst Du auch keine Batchdatei... Öffne die Eigenschaften von deinem Dokumntenordner und klick auf den Tab Sicherheit. Dort klickst Du auf Erweitert und nimmst den Hacken bei "Berechtigung übergeordneter Objekte..." raus und klickst im nächsten Fenster auf Kopieren. Nun markiertst Du deinen Benutzer, mit dem Du täglich Arbeitest und klickst auf Bearbeiten. Im nächsten Fenster kannst Du nun einstellen, dass der Benutzer alles bis auf Löschen darf. Im Dropdown-Feld Übernehmen für gibst Du an, dass die Berechtigung für Diesen Ordner, Unterordner und Dateien gelten soll. Anschließend gibst Du deinem Lösch-Benutzer die volle Berechtigungung auf diesen Ordner. Abschließend setzt Du den Hacken bei Berechtigung für alle untergeordneten Objekte..." und fertig. Schon kannst Du mit deinem Benutzer Dateien lesen, erstellen und bearbeiten aber nicht löschen. Und mit dem Lösch-Benutzer kannst du eben alles.

Hallo hamster. Du benötigst ein Zertifikat, dann auf den Domainnamen der Seite ausgestellt ist, d. h. wenn der Rpc-Proxy unter der Adresse https://outlook.example.com/rpc'>https://outlook.example.com/rpc erreichbar sein soll, muss das Zertifikat auf outlooko.example.com ausgestellt werden. Ein Zertifikat für Testzwecke kannst du z. B. mit dem IIS 6.0 Resource Kit Tools erstellen. Der Befehl lautet dazu: selfssl.exe /N:CN=outlook.example.com /K:1024 /V:356 /S:1 /P:443 Anschließend schaust Du im IIS unter Eigenschaften der Standardwebsite, bei Verzeichnissicherheit und "Zertifikat anzeigen" nach, ob das Zertifikat installiert wurde. Du müsstes im Zertifikat folgende Zeile finden: "Ausgestellt für: outlook.example.com". Falls noch nicht geschehen, setzt Du nun bei der Seite "RCP" den Hacken bei "Sicheren Kanal voraussetzen". Jetzt legest du auf deinem DNS-Server den Eintrag "outlook.example.com" an und weist diesem die interne IP-Adresse des RpcProxy zu. Damit lässt sich die Konfiguration bequem von "Innen" testen. Nach dem du dich vergewissert hast, dass der Name "outlook.example.com" von deinem Rechner auch richtig aufgelöst wird und öffnest die Seite https://outlook.example.com/rpc im IE. Und dann berichtest Du mal, was du siehst... :)

Hallo hamster. Ist dein Exchange auch ein DC? Nein? Dann auf dem DC diesen Key setzen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\NSPI interface protocol sequences: Multi_SZ = ncacn_http:6004 Welche zwei Registry-Einträger hast du kontroliert? Diese? Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem] "Rpc/HTTP Port"=dword:00001771 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters] "HTTP Port"=dword:00001772 "Rpc/HTTP NSPI Port"=dword:00001774 und diese? HKLM\Software\Microsoft\Rpc\RPCproxy\ValidPorts:String = srv01:6001-6002;srv01.msxfaq.test:6001-6002;srv01:6004;srv01.msxfaq.test:6004 Welchen IE hast du installiert? Und das SSL-Zertifikat ist auf den gleichen FQDN ausgestellt wie die HTTPS-Adresse, die du im Internetexplorer lokal eingibst? Probiere mal lokal folgendes Adresse aus https://server/rpc/RpcProxy.dll

Hallo viragomann. Das Konstrukt steht aus sicherheitstechnischer Sicht auf sehr wackeligen Füssen, wobei uns aber nicht alle Hintergründe bekannt sind. Ob es sich bei dem Benutzer, welcher dieses Script bedient, um einen "normalen" Benutzer handelt oder um einen Administrator, der lediglich keine administrative Berechtigung auf dem entsprechenden Server besitzt, ist hier nicht ersichtlich. Daher muss Du dir die Sicherheitsfrage für deine Umgebung selbst beantworten. Wie ich sehen kommst du um eine Privilegienerhöhung nicht drumherum, wobei der Ort (Server/Client) und der Zeitpunkt gut gewählt werden wollen. Eine Lösung könnte wie folgt aussehen: 1. Erstellst für den Benutzer eine einfache Seite mit einem Button wie "jetzt aktualisieren" auf dem Server, wo die spätere Aktualisierung laufen soll. Die Seite dürfen natürlich nur berechtigte Personen benutzen. Dies ist mit relativ wenig Auffwand in ASP oder ASP.NET realisierbar. Die Seite läuft natürlich mit unpriviligierter Berechtigung, so wie es sich gehört. 2. Auf dem Server erstellt Du einen Job-Datei (siehe CPAU /?) für CPAU.exe (falls mit Windows Server 2008 noch kompatibel. Alternativ: PowerShell, was mit etwas mehr Aufwand verbunden ist), der ein Script mit erhöher Berechtigung startet. Diese Job-Datei sollte natürlich außerhalb des wwwroot-Verzeichnises liegen, damit es keiner einfach Downloaden kann. 3. Der Benutzer geht auf die Seite und klickt auf den "jetzt aktualisieren"-Button und die Seite führt auf dem Server die Job-Datei von CPAU aus. CPAU startet dein Script mit erhöhter Berechtigung und führt entsprechende Aktionen aus (Webseite stopen, ...). Wobei die Authentifizerung für das CollabNet über die Webseite abgefragt werden kann. Die Rückmeldungen werden dann entweder in eine Datei umgeleitet, die von deiner Seite wiederum Ausgewertet und dem Benutzer auf der Seite dargestellt werden oder es sendet dem Benutzer einen Email. Den Benutzernamen kennst Du ja bereits, da die Webseite dies bereits beim Aufruf dies auswerten muss. Mit diesem Konzept würdest du ganz klar die Bedienoberfläche (in deinem jetztigen Konzept das Script, welches der Benutzer ausführt) vom Programmcode (Script auf dem Server), der mit erhöhter Berechtigung läuft, trennen. Es ist definitv ein Sicherheitsgewinn.

Hallo. Dem NilsK gebe ich grundsätzlich Recht. Aber schaue dir das Tool CPAU.exe an, vielleicht hilfts...

Wobei ich von einem Bug oder einem verhalftem Patch ausgehen. Die im MS-Artikel beschriebene Konfiguration habe ich in mehreren Internetquellen gefunden und keine hatte einen Querverweis oder einen Hinweis auf andere Konfigurationspukte, die die Filterfunktion quasi ausser Kraft setzten. Eventlog: Nein, im Eventlog finden sich dazu keine Meldungen. Das SMTP-Log protokoliert lediglich den Ablauf der sitzung und dementsprechend auch die Rückmeldung "250" nach dem Befehl "rcpt to:<unbekannterbuntzer@domain.tld". Konfiguration: Die Installation und Konfiguration entspricht im Großen und Ganzen den Microsoft-Empfehlungen. Es sind keine Drittanbieterprodukte oder PlugIns auf dem Exchange installiert. Die DMZ ist als ein sicherer Teil des internen Netzwerks zu betrachten, auf die nur wenige Server zugriff haben (Mailserver, AD). Auf dem Front-End-Server sind nur die internen Back-End-Server als Relay-Server berechtigt.

ISA. Innerhalb der DMZ steht ein DC und ein Exchange.