sebastian.f

Hallo, Danke für die aufschlussreiche Antwort grizzly. Die DNS Auflösung funktioniert hunderprozentig. Ich werde mal noch etwas ins Detail gehen vielleicht fällt einem noch was auf. Wir haben eine Webapplikation programmiert die auf einem Webserver läuft und per dotnet Klasse auf den Exchange Server zugreift und Kalender Informationen abholt. Diese werden in einer neuen Maske dargestellt und können vom User bearbeitet werden und wieder auf den Exchangeserver zurückgeschrieben werden. Gleichzeitig werden gewisse Daten aus der selben Maske in eine SQL Datenbank geschrieben die auf einem anderen Server läuft auf dem auschließlich die Windows Authentifizierung aktiviert ist. Die User authentifizieren sich am SQL Server per Impersonation und Delegation über den Webserver was nur von Kerberos unterstützt wird, und von NTLM nicht! Soviel zur grundsätzlichen Umgebung. Manchmal bekommt der User im Broswser folgende Fehlermeldung, der Fehler ist aber nicht reproduzierbar und tritt zufällig auf: "System.Data.SqlClient.SqlException: Fehler bei der Anmeldung für den Benutzer '(null)'. Ursache: Keiner vertrauten SQL Server-Verbindung zugeordnet." Ich konnte festellen das dies irgendwie mit der Authentifizierung und dem Impersonation/Delegation Prozess zusammenhängt. Wenn der User die Kalendermaske aufruft, authentifiziert er sich normal am Webserver per Kerberos wie es sein soll, dies funktioniert in 70% der Fälle. Aufeinmal sehe ich dann im Security Log vom Webserver wie ein NTLM anmeldeversuch vom selben User kommt weil er was im SQL Server speichern will, und paff kommt die obige Fehlermeldung weil NTLM natürlich nicht an den SQL Server delegiert werden kann. Das ganze passiert aber nur wenn der User vorher die Exchange Webapplikation genutzt hat, andere Applikationen auf dem Webserver die auch in die SQL DB schreiben funktionieren einwandfrei, es funktioniert auch das schreiben von der Exchange Applikation aus nur wie gesagt in 30% der fälle klappt es nicht und ich weiss nicht warum, das größte Problem ist das ich den Fehler nicht reproduzieren kann. Ich habe die Vermutung das das irgendwie mit der Anmeldung an Exchange zusammenhängt wenn der User sich die Kalenderinfos holt. Und jetzt wollte ich eben alle Systeme dazu zwingen Kerberos zu benutzen dammit der Fehler weg geht und Imersonation/Delegation funktioniert. Die Infos das NTLM zur Authentifizierung benutzt wird habe aus dem Securitylog. Im übrigen wird mir auch vom SQL Server bestätigt das jemand sich auf anonymen Weg versucht hat anzumelden da ich folgende Fehlermeldung vom SQL Server bekomme wenn ein User die obige Fehlermeldung hat: Eine anonyme Sitzung mit hergestellter Verbindung von SQLServer hat versucht, einen LSA-Richtlinienhandle auf diesem Computer zu öffnen. Der Versuch wurde mit STATUS_ACCESS_DENIED zurückgewiesen, um die Verbreitung von sicherheitssensitiven Informationen nan einen anonymen Anrufer zu verhindern. Der Anwendungsfehler, der diesen Versuch verursacht hat, sollte behoben werden. Wenden Sie sich an den Hersteller der Anwendung. Als temporären Workaround kann diese Sicherheitserkennung durch Setzen des DWORD Werts HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock auf 1 aufgehoben werden. Diese Meldung wird höchstens einmal pro Tag protokolliert. Und ein anonymer Versuch kommt nur dann zustande wenn der User aufgrund von NTLM AUthentifizierung nicht delegiert werden konnte. So ich hoffe ich konnte euch irgendwie begreiflich machen wo das Problem herrürt. Ich bin mir inzwischen sicher das das Problem von der Authentifizierung herürt. Und die Standard Lösungsvorschläge zu dem Nullfehler bin ich schon durchgegangen. Ich hoffe jemand weis noch eine Antwort ich bin jedenfalls mit meinem Latein am Ende. Gruß Sebastian

Hallo Urmel Ich verstehe jetzt nicht ganz, was soll ich in den Sicherheitseinstellungen ändern? Die Benutzerrechte stimmen ja wie sie sind mir geht es eher um das Authentifizierungsprotokoll. Falls du Prä Windows Authentifizierung meinst da ist nichts aktiviert. Gruß Sebastian

Hallo, Ich habe ein ziemliches Problem mit Windows 2000 und Authentication. Ich habe eine gemischte W2k und W2k3 Server Umgebung, die DCLs wurden gerade von 2000 auf 2003 upgedated. Es sind auschließlich 2000er Clients mit allen aktuellen Patches im Einsatz. Das Problem ist das sich Server untereinander und auch Clients am Sever immer noch mit NTLM authentifizieren obwohl das doch unter 2000 schon lange durch kerberos ersetzt worden sein sollte. Ich kann nur kerberos benutzen da wir einiges Systeme haben die Impersonation und Delegation benutzen, und das wird ja nur von kerberos unterstützt. Meine Frage lautet daher wie schalte ich NTLM Domänenweit ab ? Vielen Danke für die Hife Sebastian

Oder 20% je Land, aber sind natürlich Netto Preise, da hast du Recht hab ich vergessen. Gruß Sebastian

Die CCNA 640-801 kostet bei Prometric Testcentern 126.- EUR Gruß Sebastian

Hallo, Den gesamten Traffic zu monitoren ist meines Wissens nicht möglich da auf einem Cat 2924XL meines Wissens nur eine oder waren es zwei? gleichzeitige SPAN Sessions laufen dürfen. Zu SPAN Sessions siehe folgenden Thread: Thread

Hi, sind leider beides keine CatOS Kommandos, mal sehen ob ich bei Cisco was finde. Danke Sebastian

Hmm sowas ähnliches habe ich mir auch schon gedacht... Kennt jemand ein CatOS Kommando mit dem man sich die offenen TCP Verbindungen anzeigen lassen kann ? Der Switch benutzt eigenlich keine L3 Techniken, das einzige was er macht ist das er sich alle paar Minuten das aktuelle VMPS File von einem TFTP Server zieht. Der Switch dient als Backup VMPS Server. Gruß Sebastian

Hallo Hab heute Nacht eine ziemlich komische Fehlermeldung bekommen: %TCP-2-TCP_MAXESTABLISHED:Possible TCP ACK attack. Maximum established connection limit 64 reached. Will drop unused connection Kann damit jemand was anfangen? Die Meldung ist von einem Catalyst 2948G L3 Switch mit CatOS 8.3(2)GLX. Hab ehrlich gesagt keine Ahnung was ich dammit anfangen soll. Sebastian

Das geht mit no logging console im config mode. Hast du evtl. noch debugging von irgendwas an? dann währe ein no debug all angebracht. Gruß Sebastian

Hallo, Zu der Thematik hilft dir evtl. auch dieser Artikel weiter: http://www.linuxsecurity.com/content/view/117384/49/ Gruß Sebastian

Öhm ja das erklärt wohl einiges ... :) MIt DMZ und NAT zum Beispiel aber wie schon erwähnt müsste man mehr über den Aufbau erfahren ... Gruß Sebastian

Hallo, Was passiert wenn du vor "switchport trunk encapsulation dot1q" "switchport mode trunk" eingibst ? Das du "switchport trunk encapsulation dot1q" im Interface Conf Mode eingeben musst ist dir aber klar oder ? Gruß Sebastian

Hallo, Zuerst musst du am Syslogserver das Logging von anderen Maschinen aktivieren. Das geht mit der Option "-r" RedHat und auch Suse IMHO: in /etc/sysconfig/syslog SYSLOGD_OPTIONS="-m 0 -r" allerdings kann dann jeder auf dem Syslogserver der ja bei dir im Inet steht mitloggen, wie man das sichert weis ich nicht genau. Auf dem Switch bzw Router: im global Config Mode:logging Server IP Gruß Sebastian

Naja ich weis jetzt nicht genau wieviele Server du wirklich hast aber du kannst theoretisch! über 16 Millionen Server in einem Subnetz betreiben, von daher weis ich jetzt nicht genau warum du Subnettest, aber wird schon einen Grund haben. Aber du könntest das in Zukunft wie gesagt mit VLANs und interVLAN Routing lösen. Ich würde dir auf jeden Fall den Cisco INTRO Kurs empfehlen. Gruß Sebastian

Die Einrichtung dauert abhänging von den Features nicht lange ist normalerweise innerhalb von ein oder 2 Stunden erledigt, inklusive Planung. Das die Karte am Linux Router stark ausgelastet ist ist klar weil alle Verbdindungen über das Routing laufen, aber warum hast du da verschiedene Subnetze ? Das Problem könnte sich abhängig von deinem System mit VLANs lösen, aber das ist für ungeübte nicht ganz trivial. Gruß Sebastian

Hallo, Ich muss zuschauer leider Recht geben man kann nicht mal einfach so einen Catalyst konfigurieren ohne sich vorher etwas einzulesen. Wenn du einige Grundkenntnisse über VLAN,STP und Trunking mitbringst kann ich dir das Buch: Cisco Field Manual: Catalyst Switch Configuration von Hucaby und McQuerry empfehlen. (ISBN: 1-58705-043-9) Ansonsten führt wohl kein Weg an einem Kurs vorbei. Gruß Sebastian

http://search.ebay.de/cisco-console-kabel_W0QQfkrZ1QQfromZR8

Das Feature nennt sich SPAN (Switched Port Analyzer) um die Config machen zu können müsste man allerdings den switch typ kennen Im Cat4506 geht das so (IOS): im global config mode: monitor session Session Number source port destination port Im Cat2950 (IOS): In das Ziel Interface wechseln (also das auf dem der Traffic landen soll) und dann: port monitor source Interface Gruß Sebastian

Klassischer Anfänger Fehler und ich bin drauf reingefallen, naja wieder den Wald vor lauter Bäumen nicht gesehen. Danke daking Gruß Sebastian

Joa wie oben schon geschrieben speichert der die Konfig nicht ab. Das heisst nach einem wr oder copy run startup und einem folgenden reload lande ich wieder am initial config dialog und die konfiguration ist weg. Any Ideas ? Cisco 1600 mit IOS 12.0(8) 4MB PCMCIA Flash Card Danke Sebastian

VMPS wird dafür nicht benötigt :) Könnte aber theoretisch das gleiche allerdings ohne Zertifikate sondern auf basis von MAC Adressen. Gruß Sebastian

Hallo, Für die Inventarisierung kann ich Trackit von blue ocean software (http://www.trackit.com) empfehlen. Macht die komplette Inventarisierung automatisch und hat auch ein Call-Ticketsystem integriert. Whatsup Gold ist nichtmehr aktuell, Ipswitch ist inzwischen bei Whatsup Professional 2005 SP1 angelangt. Ist zwar noch ein bisschen buggy aber sehr umfangreich, ist aber nicht mehr zu cisco works kompatibel! Zum Netzwerkplan haben die anderen ja schon alles gesagt, selber zeichnen ist immer noch das a und o. Die ganzen generierten Pläne sind nichts Wert. Einfach mal nen Tag Zeit nehmen und fertig :) Gruß Sebastian

Hallo, Kabel gecheckt? Glasfaserbuchsen dreckig oder sowas ? Was sagt show interface gig/fast X/X count err ? bzw. show controllers ether fast/gig x/x ?

Hi, Ja so wie du das beschrieben hast läuft das, der OpenVMPSD versteht das reverse engineerde VQP Protokoll und lauscht dementsprechend auf Port 1589. Am Switch trägst du einfach den Linux Server als VMPS ein und schon funktioniert das :) Tolle Sache und mit der OracleDB + Weboberfläche super einfach zu administrieren. Das tolle ist das gerade bei vielen VLANs die Administration enorm erleichtert wird. Wir überprüfen zum Beispiel in einem bestimmten Zyklus alle im Netz befindlichen MACs und werfen die raus die sich lange nichtmehr gemeldet haben. So können wir die Anzahl der "Leichen" im Systen sehr gering halten. Gruß Sebastian