j.c.v.

Hmmm, welche "alte" Regel? Ich habe in der Firewallrichtlinie keine andere eingehende http-Regel. Eine extra Netzwerkregel muss ich doch nicht erstellen, oder? Wie gesagt, folgender Weg geht: Neue Firewallregel ->Nicht-Webserver-Protokolle veröffentlichen ->Server-IP eingeben ->Neues Protokoll (z.B. "Test"), Port80, TCP, eingehend ->Fertig. Dann ist der Server veröffentlicht. Aber ich möchte ja nun den Assistenten benutzen, damit ich auch mit der Authentifizierung arbeiten kann. Hier aber nach wie vor kein Erfolg. Eine Regel mit dem Assistenten wird quasi gar nicht berücksichtigt. In der Protokollierung wird der Zugriff immer nach Standardregel (s.o.) verweigert... Hat noch jemand eine Idee? Das muss doch gehen... Schöne Grüße, Jan

Hallo zusammen, ich habe ein kleines Problem mit der Veröffentlichung einer Website mit dem ISA-Server. Ausgangssituation: Internes Netzwerk mit einem IIS-Server (6.0), Internetzugang über einen ISA-Server (2006), der über ein eigenes Interface zu einer H/W-Firewall routet. Internes Netzwerk 172.16.X.X, externe IP dynamisch, "meinefirma.dyndns.org". Nun möchte ich den Server "server.meinefirma.dyndns.org" veröffentlichen, und nach Möglichkeit den Zugang auch nach ADS-Benutzern filtern. Eins vorweg: Die "manuelle" Freigabe auf Port 80 mit IP des Servers funktioniert (via "Freigabe eines nicht-Web Servers" im ISA, mit manueller Angabe von Port 80), der Server ist also dann extern erreichbar. Die "Rahmenbedingungen" stimmen also. Nun möchte ich aber den Server mit dem Assistenten für Websites benutzen, u.a. um eine Benutzerauthentifizierung gegen die ADS durchzuführen. Ich habe den Assistenten nunmehr mindestens 20x getestet, ich habe aber nicht einmal eine externe Erreichbarkeit möglich machen können (auch nicht mit Herabsetzung aller Sicherheitsfunktionen). Konkretes Szenario: Interner Server "server.meinefirma.local" soll via "meinefirma.dyndns.org" erreichbar sein, aber (vorzugsweise) nur für Benutzer der Gruppe "XXX" innerhalb der ADS "meinefirma.local". Selbst wenn ich alle Autehntifizierung im Assistenten weg lasse, funktioniert es nicht, die Protokollierung liefert ein "Verweigert" entsprechend der Standardregel (externe IP -> localhost des ISAs), wie gesagt, manuell funktioniert es, nur ohne die Möglichkeit der Benutzerauthentifizierung. Mein Ziel ist es also, den Server "server.meinefirma.local" als "meinefirma.dyndns.org" auf Port 80 zu veröffentlichen, wobei zuvor Benutzerdaten (aus einer Gruppe "XXX" der ADS der internen Domämne) abgefragt werden. Leider habe ich es bisher nicht einmal geschafft, dies mit dem Assistenten OHNE Authentifizierung zu realisieren, manuell (s.o.) aber sehr wohl. Ich hoffe auf eure Tipps und bedanke mich im Vorraus. Schöne Grüße, Jan

Alles klar! Werde ich mal testen, was man da machen kann. Danke erstmal und schöne Grüße, Jan

Ahja, der ISA macht tatsächlich "nur" NAT, Proxy wollten wir nicht wegen evtl. Einschränkungen bei Direktverbindungen usw. . . Hmm, das ist ja sehr dumm, ist das absolut sicher, dass man da nicht mit Gruppen arbeiten kann? Workaround vielleicht? Mich wunderts, dass wenn eine Gruppen-FW-Richtlinie definiert ist, einfach nix mehr geht. Anstatt Fehlermeldung, Regel auslassen oder so...

Global habe ich schon getestet.... ohne Erfolg. Universal.... hmm, das geht ja nun nicht immer.... werde ich aber morgen nochmal versuchen...

Hallo zusammen, ich habe hier einen ISA 2004. voll funktionsfähig und alles bestens am laufen. Der grundsätzliche Aufbau: ISA hat 3 Interfaces, 1 zum Router, 1 zum Netz "KSN" und 1 zum Netz "WGE". In "KSN" ist der root-DC ksn.local, in "WGE" der dc für wge.ksn.local. Der ISA ist Mitglied in wge.ksn.local, beide "internen" Netze werden durch den ISA verbunden, läuft soweit alles gut. So, nun zum Problem: Ich verwende einige Regeln zur Steuerung des Internetzugriff. Dafür sind Computersätze definiert die dann über entsprechende Regeln Zugriff auf "Extern" bekommen oder nicht. Geht auch alles. Nun will ich einige Benutzer von der Filterung ausnehmen. Daher habe ich eine Regel VOR den anderen Regeln definiert: ZULASSEN VON (WGE, KSN) NACH (Extern) FÜR (FREIE BENUTZER). In "Freie Benutzer" ist eine lokale Sicherheitsgruppe "InternetGruppe" der Domäne wge.ksn.local drin. Die habe ich auch einfach selektieren können. Nun, wenn diese Regel aktiv ist, geht GAR kein Internetverkehr mehr aus den internen Netzen raus, egal mit welchem Benutzer. Es kommt aber auch keine Fehlermeldung, im Browser kommt nur nach einige Zeit "Website kann nicht angezeigt werden".... Dabei ist es auch egal, wer oder was in diesem Benutzersatz "Freie Benutzer" drin ist. Sobald ein solcher Satz in der Richtlinie drin ist, geht nix mehr. In der ISA-Überwachung kommt manchmal ein "Zugriff verweigert" mit dem Regelnamen, obwohl dass ja eine ZULASSEN-Regel ist ?! Interessant ist, das unter Details hier als "ursprüngliche Adresse" 0.0.0.0 steht und nicht die IP des Clients (die aber sehr wohl über "Details" steht). Ich habe das Gefühl, dass da irgendwas mit der Abfrage der Benutzer aus der ADS nicht klappt. Im Ereignisprotokoll ist nix zu finden, das Browsen der ADS im ISA geht auch, sieht man ja beim hinzufügen der ADS-Gruppe zum Benutzersatz. Hat jemand eine Idee? Ich hoffe es innständig, ich verzweifle hier bald. Danke im Vorraus und Schöne Grüße, Jan P.S.: wird die Regel deaktiviert funktioniert natürlich wieder alles einwandfei

Hm ja, SurfControl ist so das Optimum.... Für die Schule aber viel,viel, zu teuer (genau wie ISS). Da es eine Software in diesem Umfang sicher nicht umsonst gibt, suche ich halt eher nach einem ISA-Plugin, welches automatisch Blacklists lädt... Schöne Grüße, JCV

Hallo, von der ML habe ich schon gehört. Der Webfilter soll aber mit ISA 2004 gar nicht laufen.... Das mit dem Squid wäre die letzte Notlösung, vielleicht hat ja noch jemand eine Idee für den ISA???

Hallo Zusammen, ich bin ein bissel am Planen und habe eine theoretische Frage an euch (testen kann ich im Moment noch nicht): Ich habe eine Domäne mit >1000 Benutzern. Diese Benutzer sind alle unterhalb der OU "BENUTZER" organisiert. Nun möchte ich in einer anderen OU "GRUPPEN" definieren, denen jeweils Benutzer aus der OU "BENUTZER" hinzugefügt werden. Soweit ja kein Problem, nun möchte ich aber auf die verschiedenen Gruppen einzelne GPO's (Benutzereinstellungen) anwenden. Die kann ich ja nun nicht an die OU "GRUPPEN" binden, da die jeweiligen Benutzer ja gar nicht in dieser OU sind. Meine Frage nun: Ich möchte also Gruppen-GPO's definieren. Wenn ich die OU "GRUPPEN" unterhalb der OU "BENUTZER" anordne, die GPO's alle an "BENUTZER" binde und nur der jeweiligen Gruppe die Berechtigung zur Übernahme der GPO gestatte, wird das dann klappen??? (Also die Benutzer sind direkt in der OU, die Gruppen in der Unter-OU "Gruppen", Berechtigung wird der Gruppe gegeben. Also ist sowohl die Gruppe als auch der Benutzer in bzw. unterhalb der OU, an die das GPO gebunden ist). Oder hat noch jemand eine andere Idee? Vielen Dank und schöne Grüße, JCV

Hallo Zusammen, ich baue gerade an einer AD-Struktur mit mehreren Domänen. Die Struktur hat eine übergeordnete Domäne firma.local und mehrere untergeordnete Domänen nl1.firma.local, nl2.firma.local usw. Im Moment frage ich mich, wie die DNS-Struktur am geschicktesten aufzubauen ist. Das ganze läuft komplett auf Windows 2003 DC's. In firma.local ist eine neue Gesamtstruktur erstellt worden, DNS AD-integriert. Nun sollen die untergeordneten Domänen aufgesetzt werden. Hierzu brauchen die ja erstmal eine Verbindung zum DNS von firma.local. Dann sollen in den untergeordneten Domänen aber eigene DNS-Server eingesetzt werden. Es soll folgendes möglich sein: - Alle Abfragen und Registrierungen in den untergeordneten Domänen (nl...) sollen auf den jeweils lokalen DNS-Servern erfolgen. - nur Anfragen für firma.local und andere nlX.firma.local sollen auf den firma.local DNS weitergeleitet werden. - Internetanfragen sollen von den NL-DNS-Servern direkt an einen externen DNS weitergeleitet werden (also nicht erst "hoch" zum firma.local DNS) Meine Frage ist nun, welche Zonen (und -Typen) ich auf den NL-DNS-Servern einrichten muss, welche Delegationen notwendig sind usw... Vielen Dank im Voraus und schöne Grüße, JCV

Hallo zusammen, ich plane gerade ein Netzwerk für eine Schule. In dem Zusammenhang stellt sich natürlich auch die Frage der Inhaltsfilterung. Aufgrund der begrenzten Mittel ist ein kommerzieller Webfilter leider zu teuer. Da es aber ja einige frei verfügbare Filterlisten gibt, möchte ich damit so einer Art "Grundfilterung" realisieren. Es wird ein ISA Server 2004 zum Einsatz kommen. Hat jemand einen Tip dazu oder kennt jemand ein frei verfügbares Plugin für den ISA 2004, welches öffentliche Filterlisten integriert? Vielen Dank und schöne Grüße, JCV

Tja, ich denke ich habe jetzt so ziemlich alles mit der alten Installation versucht, aber es wird einfach nix... Dann kommt jetzt eine neue Überlegung ins Spiel: Wenn ich den DC neu aufsetze (also "frisch" von CD auf eine NEUE Festplatte installiere), kann ich dann die ActiveDirectory, also komplett mit der Domäne, Benutzerkonten und Sicherheitskonten etc. aus der alten Installation kopieren? Schwerer Fall - ich weiss mir aber nicht mehr anders zu helfen - die Verzeichnisse sind ja noch alle da.... Weiss jemand Rat? Danke und schöne Grüße, Jan

Hallo Schotti, hat nix gebracht ausser dass das CD-ROM jetzt auch weg ist, es kommt daher gar nicht mehr zur H/W Erkennung, er fragt vorher nach der Windows-CD und beendet sich dann, weil er sie nicht findet. Ich verzweifle!!!!

Hallo, wie beschrieben ist das Problem das folgende: Nachdem die Reparaturinstallation die Daten kopiert hat, startet der Rechner neu und beginnt sein Mini-Setup. Das erste ist hier die HW-Erkennung, dabei hängt er sich auf. Das System startet also gar nicht - da das Mini-Setup nicht fertig ist, gibt es auch keinen abgesicherten Modus. MAn kann den zwar wählen, dann kommt aber trotzdem das Setup und hängt sich sofort weg..... :-( Gruß, Jan

Hallo Schotti, danke - aber das System kommt ja wie gesagt gar nicht mehr hoch. geht das auch wenn ich mit nem anderen System boote? Habe ich jetzt so nix gefunden... MfG, Jan

So, leider werden die Probleme immer grösser.... Ich habe mal einen neuen Thread gemacht und das Problem zusammengefasst. Hoffentlich kann einer von euch helfen?! Danke, Jan

Hallo zusammen, ich habe ein GROSSES Problem und hoffe, Ihr könnt mir helfen: Ich war gezwungen, auf einem Windows 2000 DC eine Reparaturinstallation durchzuführen (siehe anderer Post). Leider funktioniert nach dem Neustart die Hardwareerkennung nicht, bei ca. 60% hängt er sich weg. Ich habe schon alle unnötigen Geräte entfernt und alles was geht abgeschaltet. Testweise habe ich das System auf einer leeren Platte neu installiert (mit der gleichen CD wie die Rep.-Installation). Das funktioniert - also kann mein ein Hardwareproblem an sich ausschließen. Dann habe ich die Original-Platte auf eben diese leere Platte geklont (Dyn. Datenträger - gespiegelt) und es damit versucht. Resultat: er hängt sich wieder weg. Das Problem muss also an irgendwelchen dateien liegen, die auf der Originalen Installation drauf sind und die zum Absturz bei der Hardwareerkennung der Reparaturinstallation führen. Meine Frage nun: Wer kann mir da helfen? Es leigt ja wahrscheinlich an Treiberdateien von Drittanbietern auf der "alten" Installation. Wie kann man diese entfernen bzw. verhindern, dass Sie bei der Hardwareerkennung genutzt werden? Ein anderes Problem ist, dass der Rechner alleiniger Domaincontroller einer Domäne ist und daher die ADS hält. Selbst wenn ich das Gerät auf neuen Platten neu installieren würde - wie komme ich dann an die ADS und die Einstellungen ran? Vielen Dank im Vorraus und schöne Grüße, Jan

Hallo zusammen! Das Problem wird gravierender !!!! Da ich nicht mehr weiter was gefunden habe, habe ich eben eine Reparaturinstallation versucht. Mit folgendem Ergebnis: Nach dem Neustart beginnt die Hardwareerkennung. Die bleibt bei ca. 60% stehen (direkt nach abscannen der IDE- und Floppy Laufwerke)- nix geht mehr. Ich habe schon alle Hardware ausser dem SCSI-Controller entfernt - immer das Gleiche. Nochmal Reparaturinstallation - das Gleiche. SCSI-Controller getauscht - das Gleiche. Resultat: Ich komme jetzt gar nicht mehr ins System. Kann mir jemand helfen ?!?! Ich fange hier langsam echt an zu schwitzen :-( !!! Danke & Schöne Grüße, Jan P.S.: Sollte es nicht gehen und ich das Gerät (auf einer anderen Platte) komplett neu installieren muss - weiss jemand wie man die Konten, die ADS (wichtig - ist nen DC!) und die Pfadeinstellungen (Profile etc.) auf eine neue Installation rüber kriegt?

Hallo, danke für die Tips, habe ich beides gemacht - leider ohne Erfolg :( Gruß, Jan

Hallo zusammen, ich habe ein echt schweres Problem - vielliecht kann ja jemand helfen. Also: Aufgrund eines Hardwarefehlers musste ich die Hauptplatine in einem DC tauschen (Windows 2000 Server Standard). Alte Konfiguration: 2x AMD MP2000, AMD-Chipsatz Neue Konfiguration: 2x AM Opteron 246, AMD-8000-Chipsatz NAch dem Hochfahren habe ich erstmal alle alten Treiber deinstalliert, ein Regclean gemacht und dann die neuen Treiber installiert. Das klappte auch ganz gut bis auf ein Problem: Bei jedem Start kommt eine Meldung, dass er ein Eingabegerät <unbekannt> installieren will. Auch wenn ich das Gerät deaktiviere, kommt das bei jedem Start. Ausserdem, wird mir am CD-ROM ein (!) angezeigt mit dem Fehler: "CODE 28 - Die Treiber für dieses Gerät wurden nicht installiert." Entfernen, neusuchen, etc. bringen auch nichts. Jetzt habe ich neue Grafiktreiber installiert, nachdem wird jetzt ein Monitor, mit Ausrufezeichen und Code 28 angezeigt. Eim Reinstecken eines USB-Sticks oder einer USB-Tastatur passiert übrigens das gleiche. Geht nicht, Code 28. Also Zusammenfassung: Es können keine neuen Geräte installiert werden, es bricht immer mit Code 28 ab. Es scheint sich jedoch nur um die Geräte zu handeln, die W2K so installiert (also onboard-Treiber hat) (CD, Tastatur, P&P Monitor, USB-Stick etc.). Einen Raidcontroller und eine 1000SX-Netzwerkkarte konnte ich von Hand mit CD installieren. (Das CD-ROM geht übrigens, USB-Geräte nicht) Ausserdem habe ich noch ein Problem: Systemsteuerung->Software->Windows Komponenten geht nicht auf mit dem Fehler "Die Hauptinformationsdatei konnte nicht geladen werden" Bis auf ein paar Kleinigkeiten (Perflib, W32Time...) keine relevanten Einträge im Ereignisprotokoll. Ich habe bereits SP4 neu installiert, alle Treiber aktualisiert etc. Könnte es sein, dass irgendetwas vom System "weg" ist (Out-of-the-box-Treiber, Windows-Software-Einstellungen) Kann mir da wer helfen?? Danke im Vorraus und schöne Grüße, Jan

Ich sehe grade, das Image ist ja verschindend klein, also müssen alle relevanten Dateien wohl in der Ramdisk.dat sein, die müsste dann ja erst "gemountet" werden, aber wie?

@Dr. Melzer: Natürlich nicht aus dem laufendem System, sondern mit einem Bootmanager im mbr aus. @varnik: Danke für den Tip, also ich habe mir mal die extrahierten Dateien angesehen, es sind die folgenden: Das Bootimage: 23.09.2005 09:38 <DIR> . 23.09.2005 09:38 <DIR> .. 01.01.1900 02:00 2.048 BootCatalog.cat 01.01.1900 02:00 2.048 BootImage.img Und der Rest im Filesystem: 13.03.2005 23:59 <DIR> . 13.03.2005 23:59 <DIR> .. 13.03.2005 23:59 1.464.296 bootmenu.exe 13.03.2005 23:59 22.528 bootwiz.sys 13.03.2005 23:59 198 f11.cfg 13.03.2005 23:59 633.327 kernel.dat 13.03.2005 23:59 4.850 mouse.com 13.03.2005 23:59 8.185.931 ramdisk.dat 13.03.2005 23:59 20.790 splash.run Wenn ich nun die ausgewählte Partition (ist nur ein logisches Laufwerk, FAT16, in einer erweiterten Partition - sollte der Bootmanager aber trotzdem gestartet kriegen...) mit Caldera per format /s oder sys formatiere bzw. Systemdaten übertrage, habe ich ja trotzdem noch nicht die Daten aus dem Bootimage, sprich ggf. Treiber, Konfigurationsdateien etc. drauf - ich muss ja irgendwie das Bootimage auf die Partition extrahiert kriegen.... Danach die Daten von der CD draufkopieren, ggf. Startdateien ändern, da ja jetzt nicht mehr von einer eingelegten CD gestartet wird und gut (so in etwa habe ich mir das gedacht) - aber irgendwie muss ich ja nun noch das Image extrahiert kriegen... Irgendwelche Tips??

Hallo zusammen, ich möchte gerne ein CD mit nützlichen Tools auf der Festplatte installieren. Die CD ist bootfähig (Caldera DR-DOS) und ich möchte gerne den Bootsector auf eine Partition auf der Festplatte speichern und mit einem Bootmanager von dort starten... Hat da jemand Erfahrungen oder Tips? Ich habe schon das Bootimage via Isobuster extrahiert, und jetzt ein BootImage.img und ein CootCatalog.cat ... Vielen Dank im Vorraus und schöne Grüße, J.C.V.

Hallo, ja ganz genau gleich: Neue Verbindung -> Verbindung zum Arbeitsplatz -> VPN-Verbindung usw... Schöne Grüße, J.C.V.

Hallo, sorry, wenn das nicht so ganz klar ist. Ich habe also ein kleines, eigenständiges LAN in der Firma, da steht der Server2003 drin, sonst nicht von Belang. Als Router steht da ein ALLNET 130DSL mit 1und1 Flat. Nun möchte ich zu folgenden Punkten von diesem Server aus (demendsprechend über den Router, kann VPN Pass-throuh) ein VPN aufbauen: 1.) VPN Router Draytek Vigor X2000 (stellt VPN selber her, PPTP, CHAP, and DSL-Leitung mit DynDNS) 2.) Windows2000 Server mit VPN über RRAS (PPTP, hängt in LAN mit Symantec VPN-Aplliance 2000, DSL-Leitung, DynDNS, weiterleitung der VPN-Ports auf den Server sind konfiguriert) 3.) Windows2000 Server mit VPN über RRAS (L2TP, DynDNS, hängt mit 2.LAN NIC direkt an DSL) Ich kann von meinem 2003-Server aus zu keinem der Geräte (1-3) ein Verbindung aufbauen, immer die o.g. Fehlermeldungen. Wenn ich aber nun in das oben beschriebene LAN (also das in der Firma) mein Notebook einhänge und versuche, die Verbidnung aufzubauen funtkioniert es (zumindest bei 1 und 2, bei 3 kann aber auch ein anderer Fehler vorliegen - also egal). Also aus dem gleichen LAN, wo auch der Server 2003 steht, auf die gleichen VPN-Server und über den gleichen Router! Daher schließe ich einen Fehler am Router oder den VPN-Servern aus und vermute das Problem eher am Server2003, wenn man diesen eben als VPN-Client nutzen will. Schöne Grüße, J.C.V.