CUDiLLA

Hi Leute, ich habe mir folgende Testumgebung erstellt.. - 2 Domänen (dom01.privat, dom02.privat) - das TMG ist als 3-Abschnitt-Umkreisnetzwerk installiert Ich habe die Grundkonfiguration sauber abgeschlossen und im Anschluss eine Firewallrichtlinie für "Ping" und für "DNS" erstellt. Da es nur eine Testumgebung ist habe ich auf beiden TMGs der jeweiligen Domänen sekundäre Zonen für die Forwardlookupzone sowie die Reverselookupzonen eingerichtet und anschließend eine Weiterleitung von TMG1 zu TMG2 und umgekehrt, damit entsprechende Namensauflösung für die andere Domäne möglich ist. Damit eine Vertrauensstellung überhaupt möglich ist, brauche ich eine Firewallrichtlinie mit den entsprechenden Protokollen. Diese habe ich erstellt und folgende Protokolle habe ich zugelassen: - Kerberos-Sec (TCP) - Kerberos-Sec (UDP) - LDAP - LDAP (UDP) - LDAP GC (Global Catalog) - LDAPS - LDAPS GC (Global Catalog) - Microsoft CIFS (TCP) - Microsoft CIFS (UDP) - NetBIOS-Datagramm - RPC (alle Schnittstellen) - RPC-Server (alle Schnittstellen) Strikte-RPC-Einhaltung ist deaktiviert! Nachdem ich diese Regel erstellt hatte habe ich die Vertrauensstellung konfiguriert (Bidirektional, Gesamtstrukturweite Vertrauensstellung). Im letzten Konfigurationsschritt wo Erfolg oder Mißerfolg bestätigt wird, kommt die Fehlermeldung das die Anmeldeserver nicht verfügbar sind. Die Vertrauensstellung wird aber dennoch erstellt, wenn ich nun die Vertrauensstellung auswähle und auf Eigenschaften klicke und anschließend auf Überprüfen, kommt die Fehlermeldung aus dem Anhang (im Prinzip die gleiche Meldung: Anmeldeserver nicht verfügbar). Ich habe das ganze auch schon mit einer "Alles Auf"-Regel probiert mit dem gleichen Ergebnis. Hat jemand eine Idee? Habe ich vielleicht etwas übersehen? Gruß & vielen Dank schonmal. CUDiLLA

Ja, das ist eine Testumgebung. Ich hatte heute noch zusätzlich das Problem das meine GPO für Servergespeicherte Profile ebenfalls nicht "greifen" wollte. Ich denke ich werde also die Woche das ganze System mal wegschmeißen und neu machen, da scheint ja doch irgendwas nicht mehr ganz in Ordnung zu sein - und dann mache ich alle GPOs noch einmal Schritt für Schritt und eine nach der anderen. Aber würdet Ihr mir bitte eins noch beantworten, NorbertFe und Sunny61? Warum ist es übertrieben bzw. warum macht man das nicht das man dies direkt mit der Domäne verknüpft? (Wie man meinen Fragen anmerkt bin ich noch recht neu in der Materie, ich beschäftige mich erst seit einigen Wochen mit Windows Server 2012 da ich derzeit einen Kurs zum MCSA und MCSE mache, daher bin ich um jeden Tipp und Rat dankbar.) :)

Ich hab das einfach mal in etwa so gemacht wie du geschrieben hast Sunny61. Und zwar habe ich einfach eine neue VM gemacht, neuen Benutzer, neue OU, den neuen Rechner da hineingepackt und dann einfach meine "IE Autostart"-GPO damit verknüpft, den neuen Benutzer noch dem Sicherheitsfilter hinzugefügt und siehe da es ging. Ich habe also dann die Richtlinie direkt mit der Domäne verknüpft und seitdem funktioniert es. Aber, wenn ich ehrlich bin, habe ich nicht wirklich eine Ahnung wieso das so ist - also das es plötzlich geht. Naja, wie auch immer, vielen Dank für eure Geduld mit mir und für eure Hilfe. :)

Okay, danke Sunny61 und NorbertFe! Ich werde das heute im Laufe des Tages noch einmal angehen und mich dann entsprechend zurückmelden. :) Edit: Also wenn mit "per GPP in den Autostart ablegen" gemeint war das ich z.b. unter: Benutzerkonfiguration > Einstellungen > Windows-Einstellungen > Registrierung einen neuen Registry-Eintrag erstelle (HKCU\Software\Microsoft\Windows\CurrentVersion\Run) für die "iexplore.exe" dann habe ich das denke ich mal richtig verstanden. Wenn nicht dann weiß ich echt nicht was für eine andere Option da noch wäre. :nene: Wie auch immer. Ich bin jedenfalls schon mal einen Schritt weiter als gestern, denn mittlerweile wird mir wenigstens auch die Gruppenrichtlinie in meinem Bericht den ich mir über gpresult /h erstellen lasse angezeigt. Da steht allerdings unter "Grund: abgelehnt" - "Deaktiviert (GPO)". Kann mir das bitte jemand erklären wieso diese als deaktiviert erachtet wird?

Verstehe ich nicht. Wie genau meinst du "abgeschaltet"? Die Benutzer bzw. die Gruppe für die diese Richtlinie gelten soll stehen doch drin in der Sicherheitsfilterung.

Nicht unbedingt. Ich hatte es erst bei der Benutzerkonfiguration definiert, und dann dachte ich mir ich probiere es auch mal über die Computerkonfiguration. Den Objektstatus hatte ich auch dann einmal von "Aktiviert" zu "Benutzerkonfigurationseinstellungen deaktiviert" geändert - alles mit dem selben Ergebnis das die Gruppenrichtlinie nicht geht.

Hallo Community, ich möchte für eine bestimmte Abteilung (z.B. Büro) sowie zwei weitere Mitarbeiter aus jeweils einer anderen Abteilung per Gruppenrichtlinie einstellen das nach dem Anmelden sofort der Internet Explorer gestartet wird. Ich habe die Einstellungen der Richtlinie wie in dem entsprechenden Screenshot zu sehen ist eingestellt. Da ich schon mehrere Alternativen der Schreibweise bei der Pfadangabe zu dem Programm welches gestartet werden soll probiert habe, was ich nach einer entsprechenden Suche mit Google gefunden hatte da die Gruppenrichtlinie einfach nicht greifen tut, denke ich mal ist das so wie auf dem Screenshot zu sehen ist im Prinzip "funktional". Da die Gruppenrichtlinie nur für entsprechende Gruppen bzw. Benutzer gelten soll habe ich eben diese unter Sicherheitsfilterung hinzugefügt. Den "Authentifizierter Benutzer" habe ich entfernt da die Gruppenrichtlinie ja sonst auf alle Benutzer angewendet wird. Wenn ich nun, nachdem ich gpupdate /force, neu anmelden etc., gemacht habe mir per "gpresult /h C:\report.htm" einen Bericht erstellen lasse dann steht meine "Internet Explorer Autostart" Gruppenrichtlinie nicht mit drin. Hat irgendjemand eine Idee dazu? Fehlen vielleicht doch irgendwelche Zugriffsrechte? Eigentlich ist das ja eine simple Sache, aber es will irgendwie nicht klappen. :( Ach ja, ich teste das ganze im Hyper-V, die angezeigten User im Screenshot sind ebenfalls fiktiv. Gruß CUDiLLA

@Dukel Das Problem waren tatsächlich meine manuell hinzugefügten Routen, du hattest also Recht mit deinem ersten Posting in dem du meintest das ich IP-Forwarding aktivieren muss (was ich zwar hatte, aber die Routen haben dann der Funktionalität einen Strich durch die Rechnung gemacht). Wie auch immer, ich habe alles noch mal neu aufgesetzt, diesmal die Routen weggelassen und nur IP-Forwarding aktiviert und siehe da ich konnte problemlos per IPv4 zwischen Clients und Router hin- und herpingen. :) Gruß & Danke für die Hilfe (dein "sieht eigentlich alles korrekt aus" hat mich dann doch dazu gebracht alles nochmal neu zu machen ohne die manuellen routen und siehe da > funktioniert!) :D

Ich habe das Problem eventuell identifiziert. Und zwar in den Eingehenden Regeln der Windows-Firewall bei den "Datei- und Druckerfreigabe (Echoanforderung - ICMPv4)" Regeln. Im Karteireiter "Bereich" steht die Einstellung Standardmäßig auf "Diese IP-Adressen" > "Lokales Subnetz". Ich denke mal ich muss diese Einstellung auf "Beliebige IP-Adressen" umändern und dann sollte es gehen. Ich hatte dies gegoogelt und da habe ich ziemlich häufig was von folgendem Befehl gelesen: netsh firewall set icmpsetting 8 Steht das irgendwie in Zusammenhang oder macht dieser Befehl was anderes?

Genau! Das geht ohne Probleme.

Die Firewall habe ich mit folgendem Befehl auf allen 3 Clients sowie dem Router konfiguriert: netsh advfirewall firewall set rule group="Datei- und Druckerfreigabe" new enable=yes Routingtabelle siehe Dateianhang!

Wenn du: netsh int ip set int LAN1 forwarding=enabled meinst, dann ja, muss man immer noch! :D Hab ich vergessen dazu zu schreiben das ich das auch schon aktiviert habe.

Hi, ich habe gerade irgendwie ein kleines Verständnis-Problem. :( Und zwar folgendes: Ich habe 3 Client-Rechner und einen Router, nennen wir sie Client1, Client2, Client3 und Router1. Auf dem Router ist DHCP und DNS installiert. Beides funktioniert soweit prima wie ich das sehen konnte. Mein Problem beginnt beim Einstellen der Routen mit "netsh int ipv4 add route" für die 3 Netze sodas ich imstande bin von Client1 nach Client2 zu pingen. Client1 ist z.b. in folgendem Netz: 192.168.1.x/24 Client2 ist in: 192.168.2.x/24 Client3 ist in: 192.168.3.x/24 Der Router ist im selben Netz wie Client1 und hat die IP 192.168.1.254 an der LAN1-Schnittstelle. An der LAN2-Schnittstelle hat er die 192.168.2.1 und an der LAN3-Schnittstelle hat er die 192.168.3.1. Es ist schon eine ganze Weile her als ich sowas zuletzt gemacht hatte. Ich habe es schon mit folgenden Routen getestet doch da kommt immer eine "Zeitüberschreitung der Anforderung" (Datei- und Druckerfreigabe ist aktiviert auf allen Rechnern): netsh int ipv4 add route 192.168.2.0/24 LAN2 192.168.3.1 netsh int ipv4 add route 192.168.2.0/24 LAN2 192.168.1.254 Zum System: Auf dem Router läuft ein Windows Server 2012 und auf den Clients jeweils Windows 8. Ich hoffe jemand kann mir bei diesem simplen Problem auf die Sprünge helfen. :) Gruß

Danke, aber wie du schon meintest habe ich das ganze dann über netsh noch selbst hinbekommen. Beispiel: netsh dhcp server 127.0.0.1 scope 192.168.211.0 set optionvalue 121 binary 19c0a8d380c0a8d37e Die Zahlenreihenfolge am Ende ist die Bitmaske+Ziel+Router. In meinem Falle sah das folgendermaßen aus: 25.192.168.211.128.192.168.211.126 <- und das umgerechnet (einzeln) in HEX ergibt die oben angegebene: 19c0a8d380c0a8d37e

Hallo, ich versuche zum ersten mal ein Netzwerk (Router sowie AD-Domänencontroller) komplett nur über die Konsole oder PowerShell zu installieren und zu konfigurieren, die zugrundeliegenden Betriebssysteme sind jeweils Windows Server 2012 Datacenter Core beim AD-Server sowie beim Router/DHCP-Server. Ich habe im Grunde alles soweit fertig.. nur jetzt muss ich eine Statische Route zu meinem LAN1 (ich habe zwei getrennte Netze, einmal LAN1 und LAN2) hinzufügen und dazu finde ich nicht mal ansatzweise irgendwas gescheites im Interweb. Naja, zumindest nichts was mir das ganze irgendwie in Bezug auf die Kommandozeile oder die PowerShell erläutert. Hat hier vielleicht jemand eine Idee wie die Syntax beim hinzufügen einer Statischen Route (121) per CMD oder PowerShell auszusehen hat? Vielen Dank schonmal. Gruß -CUDiLLA

Hi@ALL! Ich habe ein kleines Problem mit meinem ISA Server! Meine Rechner-Daten (Hardware, Software, Verwendungszweck des Rechners usw.) habe ich bei diesem Posting schon einmal zusammengefasst: -> http://www.mcseboard.de/showthread.php?s=&threadid=49924 Im ISA Server bekomme ich immer folgende Fehlermeldungen angezeigt: 1. Konfigurationsfehler Beschreibung: ISA Server hat Routen über Adapter "LAN-Verbindung 2" (Anm. von CUDiLLA: da ist mein DSL-Modem angeschlossen) ermittelt, die mit dem Netzwerkelement, dem dieser Adapter angehört, nicht übereinstimmen. Folgende Adressbereiche stehen in Konflikt: 0.0.0.1-126.255.255.255;128.0.0.0-192.168.0.255;192.168.2.0-217.5.98.76;217.5.98.78-217.226.50.31;217.226.50.33-217.226.50.254;217.226.51.0-223.255.255.255;240.0.0.0-255.255.255.254;. Reparieren Sie das Netzwerkelement und/oder die Routingtabelle, damit diese Bereiche konsistent sind - sie sollten beiden oder keinem angehören. Überprüfen Sie, ob dieses Ereignis erneut auftritt, wenn Sie kürzlich ein Remotestandortnetzwerk erstellt haben. Sie können diese Meldung ignorieren, wenn das Ereignis nicht wieder auftritt. Quelle: Microsoft-Firewall Ereignis-ID: 14147 2. Ressourcenzuweisungsfehler Beschreibung: Der Webproxyfilter konnte das Socket nicht an 217.226.50.32, Port 80 binden. Möglicherweise verwendet ein anderer Dienst bereits diesen Port, oder der Netzwerkadapter funktioniert nicht. Starten Sie den Microsoft-Firewalldienst neu, um diesen Fehler zu beheben. Der Fehlercode im Datenbereich der Ereigniseigenschaften zeigt die Ursache des Fehlers an. Der Fehler wurde durch folgenden Fehler verursacht: 0x8007271d Quelle: Microsoft ISA Server WebProxy Ereignis-ID: 14148 Tja, und in beiden Fällen habe ich keine Ahnung was ich tun muss damit diese Fehler NiCHT mehr kommen! :( Oder kann ich dieses Problem vielleicht garnicht so ohne weiteres beheben? Gruß & schonmal BiGTHX, CUDiLLA! :)

Hi@ALL! Ich habe ein kleines Problem mit meinem MS Windows Server 2003 - und ich hoffe Ihr könnt mir damit weiterhelfen. Da ich nicht genau weiß was für Informationen relevant für euch (zur Eingrenzung des Problems) sind, zähle ich einfach mal alles auf was ich für notwendig erachte: Die Hardware: -> AMD AthlonXP 2100+ -> 1GB GEIL DDR-RAM 400MHz CL2 -> Promise FastTrak SX4000 ATA-RAID-Controller (2x 80GB Samsung HDDs) Die Software: -> MS Windows Server 2003 SE -> ISA Server 2004 SE -> Apache v2.0.x -> PHP v4.3.8 & v5.0.1 -> MySQL v4.x Verwendungszweck des Rechners: -> Router -> DNS -> Firewall -> Webserver ..ja ich weiß, einige werden jetzt ganz schön schlucken, aber ich habe noch eine SPARC 4 die dann eine der 4 Funktionen übernehmen soll - bin mir halt noch unschlüssig WAS!? Also prinzipiell ist der Server dazu da damit wir hier über ihn ins I-Net können! Um zusätzliche Sicherheit zu haben habe ich mich entschieden noch den ISA Server zu installieren, welcher ja den DNS-Dienst vorraussetzt! Und zu guter letzt habe ich dann noch den Apachen installiert, da ein kleines Forum (phpBB2) online gestellt werden soll! Soweit so gut! :) Oberflächlich gesehen läuft der Server ziemlich stabil und sicher! Die Erreichbarkeit liegt bisher bei 99.8%! Wenn ich mir allerdings in der Ereignisanzeige unter System die ganzen Einträge mit einem Roten X davor angucke, dann braucht man kein Profi sein um zu wissen das da was nicht stimmt! Folgender Fehler ist immer und immer wieder aufgeführt: Quelle: Dhcp Kategorie: Keine Ereignis: 1001 Benutzer: Nicht zutreffend Beschreibung: "Diesem Computer konnte keine Netzwerkadresse durch den DHCP-Server für die Netzwerkkarte 0050FcF94488 zugeteilt werden. Der folgende Fehler ist aufgetreten: Das Zeitlimit für die Semaphore wurde erreicht. Es wird weiterhin im Hintergrund versucht, eine Adresse vom Netzwerkadressserver (DHCP) zugeteilt zu bekommen." Ach ja, ich habe 2 Netzwerkkarten, eine für Intern (mit der hängt der Server am LAN) und die andere fürs DSL-Modem! Die für Intern hat eine statische IP (192.168.1.2) und die für Extern (DSL-Modem) hat eine dynamische IP - da mir diese ja bei jeder Einwahl von meinem Provider übermittelt wird! Bei den TCP/IP-Einstellungen der Netzwerkkarte für Intern habe ich als DNS die Adresse vom Server selbst eingetragen, also 192.168.1.2, und beim Gateway genauso! Nun meine eigentliche Frage, durch was wird dieser Fehler hervorgerufen? Durch eine Fehlkonfiguration im DNS, oder woran? Ich kann es mir nicht erklären, bitte helft mir... Gruß & schonmal BiGTHX, CUDiLLA! :)