wicksupport

Also der externe Proxy ist eine Appliance mit einem eingebauten Content-Filter. Dieser soll den Internetzugang benutzerabhängig freigeben. Eine AD Anbindung ist bereits realisiert. Die Appliance gilt quasi als externe Firewall. Der TMG soll eine interne Firewall sein, der auch den Zugriff aus dem internen Netz auf die Appliance steuert (muss nicht benutzerbezogen sein). Außerdem regelt der TMG den eingehenden Verkehr ins interne Netz und realisiert eine OWA Seite.

Das Problem ist, das der externe Proxy einen Contentfilter enthält, den wir nutzen müssen. Ist es dann eine Möglichkeit, dass der TMG einfach an den externen Proxy routet und selbst nicht als Proxy fungiert?

Hallo zusammen! Folgende Situation: Ein TMG 2010 soll als interne Firewall dienen und auf einen externen Proxy verweisen. Der externe Proxy muss die User authentifizieren können, da hier verschiedenen Regeln für die AD User gelten sollen, ohne das die Benutzer noch einmal ein Passwort eingeben müssen. Wie kann das realisiert werden? Danke und liebe Grüße

Hallo zusammen! Wir nutzen den logparser, um die Events des Sicherheitsprotokolls verschiedener Server in eine Access Datenbank zu speichern. Auf dem Server ist bei der Systemüberwachungsrichtlinie das Dateisystem mit aktiviert, damit Änderungen in Netzlaufwerken nachvollzogen werden können. Das Problem ist nun, dass jeden Tag beim Backup einige tausend Einträge von \Device\Harddiskvolumeshadowcopy... protokolliert werden. Wie muss die Syntax genau heißen, um diese Einträge erst gar nicht mit in die Datenbank zu übertragen? Bei dem Feld handelt es sich um: Objekt "\\server\freigabe$\logparser" -i:evt -o:sql -server:"servername" -dsn:"Log-Infos" -createTable:on "SELECT timegenerated, EXTRACT_TOKEN(Strings,1,'|') AS Benutzer, EXTRACT_TOKEN(Strings,6,'|') AS Objekt, EXTRACT_TOKEN(Strings,8,'|') AS Zugriffstyp INTO Dateisystem FROM \\server\security WHERE EventCategory=12800" -q:on Gruß Karl

Für diejenigen, die ein ähnliches Problem haben: Die Berechtigung wird korrekt gesetzt, aber der Benutzer hat damit keine Rechte neue Einträge in der Registry des betroffenen Servers vorzunehmen. Dies wird benötigt, wenn eine neue Kategorie angelegt wird. Lässt man also zunächst einen Logeintrag mit einem Adminbenutzer ausführen, wird die neue Kategorie angelegt und danach kann ein Benutzer, dem die Rechte gegeben wurden auf dem Server die Logs erstellen.

Nachtrag: Der Eintrag in der Registry ist bei Windows 2008 nicht mehr gültig. Die Berechtigung auf das erstellte Eventlog haben wir jetzt mit wevtutil vergeben. Man kann auch überprüfen, dass die SID erfolgreich eingetragen wurde. Dennoch kommt beim Versuch mit eventcreate einen Eintrag zu erzeugen die Meldung "Zugriff vrweigert". Gruß Karl

Hallo zusammen! Wir haben ein eigenes Eventlog unter Windows 2008 angelegt und möchten jetzt einer bestimmten Benutzergruppe (die keine Adminrechte hat) auf dieses Log Schreibrechte geben. Dazu haben wir unter HKLM\System\CurrentControlSet\Services\Eventlog\test einen neuen Schlüssel angelegt "CustomSD". Darunter haben wir einen neuen Zeichenwert gesetzt "SDDLACL" mit dem Eintrag: O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-21-1299017427-xxxxxxx) Der letzte Eintrag ist die SID der gewünschten Gruppe. Nach einem Serverneustart haben wir mit eventcreate versucht, einen Eintrag im Log vorzunehmen, aber es kommt die Fehlermeldung "Zugriff verweigert". Wo liegt der Fehler? Gruß Karl

Hallo Steven2007! Die Struktur ist aus damaligen Windows 2000 Zeiten gewachsen... Wir haben inzwischen eine andere Lösung gefunden. Haben bei den Benutzern einen anderen Pfad für die Benutzerdateien eingetragen (dadurch werden die Ordner automatisch angelegt) und dann mit der Ordnerumleitung die Unterordner erstellen lassen. Leider gibt es für den Mischbetrieb von Windows XP und Windows 7 kein ideales Ergebnis. Gruß

Hallo zusammen! Folgendes Umfeld: Domäne mit Windows 2008 und 2003 Domänencontroller, Clients im Mischbetrieb (XP und Windows 7). Für die Benutzerdateien ist \\server\freigabe$\%username% angegeben. Für die Eigenen Dateien ist eine Ordnerumleitung auf \\server\freigabe$\%username% eingerichtet - nicht \\server\freigabe$\%username%\Eigene Dateien! Problem: Wenn Sich ein User an einem Windows 7 Client anmeldet, wird danach sein Ordner mit den Benutzerdateien auf dem Windows 2008 Server als "Dokumente" angezeigt. Der eigentliche Ordnername bleibt bestehen (z.B. eddischmidt). Diese "falsche Anzeige" soll verhindert werden. Wenn man sich den Freigabeordner auf dem Server betrachtet, sind nämlich nicht mehr die Benutzername ersichtlich, sondern es gibt mehrere Ordner "Dokumente". Kann man das verhindern? Gruß wicksupport

Die DNS Konfiguration ist korrekt. Ich werde vielleicht das Skript in zwei Teile zerlegen, damit die Drucker korrekt verbunden werden. Trotzdem danke für die Mühe.

Das wäre natürlich eine Lösung - ist aber nicht die feinste Art. Die Ursache wäre schon gut zu wissen.

Sorry, hatte vergessen zu erwähnen, dass es sich um Windows 2000 Clients handelt. Die Netzwerkkarte sollte also bereits initialisiert sein, wenn das Skript durchläuft. Außerdem ist in der Schleife jeweils eine Pause drin, so dass der PC sowieso ca. 2 min Zeit hat.

Hallo zusammen! Ich habe immer wieder Schwierigkeiten, im Loginskript Drucker zu verbinden. Die Drucker sind auf einem Windows 2003 Server freigegeben. Ich habe schon mit con2prt versucht und auch mit dem VB Befehl "addprinterconnection". Das Problem ist, dass es manchmal funktioniert und manchmal nicht. Ich habe eine Schleife programmiert, die den Befehl immer wieder ausführt (bis zu 10 mal). Manchmal werden die Drucker erst beim 2. Mal verbunden - manchmal aber auch gar nicht. Woran könnte das liegen? Danke im Voraus!

Folgende Ausgangssituation: - ISA Server 2004 SP1 - HTTP Proxy konfiguriert auf Port 8082 - Clients Win 2k SP4 - Webproxyclients! kein Standard-Gateway eingetragen Ich bekomme mit der FTP Clientsoftware (z.B. Filezilla) keine Verbindung. Wie müssen die Einstellungen bei Filezilla vorgenommen werden? Muss der ISA noch als FTP Gateway oder Proxy eingerichtet werden? Vielleicht hilft folgendes: Beim Aufruf einer FTP Seite (ftp.nai.com) über den Internet Explorer erscheint in der Protokollierung vom ISA: Benutzer Protokoll Zielport Ziel IP Aktion 1. anonymous ftp 21 IP vom ISA verw. Verbindung 2. anonymous ftp 21 IP vom ISA Fehlg. Verbindungsvers. 3. kor. AD Name ftp 21 IP des FTP Servers Zugel. Verbindung Warum kommen diese ersten beiden Protokollierungen? Die angewandte Regel erscheint auch erst bei der 3. Protokollierung. Für eine Antwort wäre ich sehr dankbar. Nachtrag: Eine Zugriffsregel ist entsprechend erstellt. Die integrierte Authentification wird verwendet.

Auch möglich wäre folgende Lösung, um den Namen in die Registry dynamisch zu bekommen: @echo off set REGFILE=%tmp%\test.reg echo Windows Registry Editor Version 5.00>%regfile% echo.>>%regfile% echo [HKEY_LOCAL_MACHINE\SOFTWARE\G DATA\AVKClient]>>%regfile% echo "ComputerName"="%Computername%">>%regfile% echo.>>%regfile% start /w regedit /s %regfile% Musst du eben nur auf die entsprechenden Pfade ändern, dann sollte es gehen. Du kannst diese Datei dann als Batch Datei speichern, oder Sie in ein Login.Skript mit einbinden. Gruß Florian

Nein, daran liegt es auch nicht. Ich habe mir das ganze mal mit Gpresults.exe angesehen und dort ist mir der Fehler aufgefallen - es lag an der Sommerzeit und das der Client eine andere Zeit hatte, als der Server. Danke für die Antworten!

Wenn ich ipconfig -all durchführe, zeigt er mir den korrekten DNS Server an. Es macht aber wie gesagt trotzdem einen Unterschied, ob man den DNS Server manuell einträgt oder per DHCP.

Folgendes Problem: Die Gruppenrichtlinien werden nicht richtig übernommen. Beim Computerstart erscheint nicht die Meldung "Startskripts werden ausgeführt" und auch nicht "Sicherheitseinstellungen werden übernommen". Die Clients (win2k SP4) bekommen ihre IP über DHCP. Als Serveroption und auch bei den Bereichsoptionen haben wir den DNS Server eingetragen. Sobald wir die Einstellungen so ändern, dass er die IP Adresse immer noch per DHCP bekommt, den DNS Server aber manuell angeben, dann funktionieren auch die Gruppenrichtlinien wieder. Kann es sein, dass der DHCP die Optionen nicht richtig übermittelt?

Sorry, hatte vergessen zu erwähnen, dass dies im Loginskript geschehen soll. Sowie ich weiß, ist das mit gpresult nicht möglich. Also ähnlich wie ifpcmember %computername% "Gruppenname" Gibt es sowas?

Ist es möglich, mit einem Tool die Gruppenmitgliedschaft eines Computers herauszufinden? Mit ifmember.exe kann man dies ja sehr schön mit Benutzern machen, aber wie kann ich feststellen, ob ein Computer in einer Gruppe ist oder nicht? Vielen Dank im Vorraus.