heinzelrumpel

Hi, um eine gesicherte IPSEc Kommunikation zwischen XP Client (192.168.0.3) und einem W2k-Server (192.168.0.2 ) herzustellen, habe ich eine neue IP-Sicherhheitsrichtlinie erstellt. In den Filtereinstelllungen sind beliebige Protokolle und Ports ausgewählt, welches ausreichen sollte, die gesamte Kommunikation zwischen diesen beiden Rechnern abzusichern. Als Authentifizierungsmethode kommt ein Zertifikat einer Stammertifizierungsstelle zum Einsatz. Für diesen Tunnelmodus habe ich 2 Filterregeln erstellt, jeweils einmal als Quelle die eigene ip und als Ziel der Remoterechner. Die Spiegelung des Filters ist, wie im Tunnelmodus notwendig, deaktiviert. Zu guter letzt habe ich die neue Richtlinie zugewiesen. Beim Aufruf des ipsecmon zeigt dieser auch an, dass ip sicherheit aktiviert wurde, es werden aber keine Statistiken angezeigt. Ich bin mir nun nicht sicher, ob meine Einstellungen greifen. Eine Kommunikation zwischen beiden Rechner ist möglich, verbinde mich mit einer Remotedesktopverbindung von Xp zu W2k. Wie kann ich sicherstellen, dass die Kommunikation gesichert abläuft? Gruß Heinzelrumpel

das kann ich dir leider nicht sagen. es gibt einige backup programme, die diese rechte nicht brauchen. ich glaube die produkte von viritas gehören dazu. wie es sich mit deinem programm verhält, musst du mal im handbuch oder auf deren homepage erfragen, oder einfach ausprobieren :) gruß heinzelrumpel

Hi, füre das Backup mit einem Benutzer aus, der Mitglied der Grupppe Sicherungsoperatoren ist. Unter W2K ist der Admin standardmäßig in dieser Gruppe. So kannst du das Backup machen, ohne Zugriffsrechte ändern zu müssen. Gruß Heinzelrumpel

Hi, mit fällt da spontan "Windowstaste+f" ein :D Gruß Heinzelrumpel

hallo, ich melde mich gerne für punkt 1, als das erstellen einer doku. habe leider zu spät erfahren, dass solch ein projekt schon besteht. @grizzzly999 habe leider ebenfalls ein vpn howto erstellt. vielleicht könnnen wir uns da ja irgendwie ergänzen :) gruß heinzelrumpel

Hallo, da ich mich derzeit verstärkt mit dem Thema VPN, IPSEC und Zertifikaten auseinandersetze und mir aufgefallen ist, dass dazu auch vermehrt Fragen zu dieser Thematik hier im Forum erscheinen, habe ich ein Step by Step Tutorial erstellt. Mit dessen Hilfe sollte es gelingen, eine L2TP-IPSEC-Vpn-Verbindung mit Hilfe eines Zertifikates erfolgreich aufzubauen. Anzuschauen gibt es das ganze unter: L2TP-IPSEC-VPN Tutorial Für Anregungen und Kritik bin ich jederzeit gerne offen. Viel Erfolg beim Ausprobieren. Gruß Heinzelrumpel

hi nochmal, versuchst du net use mit servernamen oder ip-adresse? gruß heinzelrumpel

hi, dies müsste über die erweiterte funktion der sicherheitseinstellung möglich sein. dort kann man für "ersteller/besitzer" den status "dateiberechtigung ändern" auf verweigern stellen. so sollte der benutzer nicht mehr in der lage sein, die dateiberechigung seiner erstellten dateien zu ändern. habe es selbst noch nicht angewendet. probiere es mal aus. gruß heinzelrumpel

Hi, die genau syntax müsste eigentlich so aussehen net use z: \\server\freigabe /USER:domäne\benutzer passwort /persistent:no oder alternative net use z: \\server\freigabe /user:user@domäne.xxx (passwort] /persistent:no versuche es mal so. gruß heinzelrumpel

Hi Tick Raw, sofern Du die Möglichkeit hast, den DHCP zu konfigurieren, dann könntest du für jeden Klassenraum einen eigenen Ip Bereich definieren. Die machst Du über eine Bereichsgrupppierung . Danach konnfigurierst Du für jeden Bereich eine class ID, siehe http://support.microsoft.com/Default.aspx?kbid=235272 , und implementierts auf den jeweiligen clients die dazugehörige class id per GPO, bzw. über ein Skript. Müsste eigentlich so hinauen. Gruß Heinzelrumpel

wegen deiner ip adresse brauchst du dir absolut keine sorgen machen. bei deiner sicherheit sieht s aber schon ganz anders aus. um alles so halbwegs abzusichern, besorge dir mal ne firewall, wie outpost, dann noch antivir und zu guter letzt noch pestpatrol. sollte dies alles nicht zu installieren sein, da, wie du schriebst, du in der registry herumgepfuscht hast, wird wohl eine neuinstallation des bs unumgänglich sein. gruß heinzelrumpel

mein kind schielt nicht, das soll so kucken :D da hat dein provider jetzt ne andere range. gehst du immer mit dem selben rein? gruß heinzelrumpel

habe mal ein bischen rumexperimentiert. jetzt auf der xp kiste auf automatische aushandlung gestelllt und auf dem linux rechner mit mii-toool -F 100BaseTx-FD-eth0 die einstelllung vorgenommen. merwürdig alllerdings, dass mii-tool mir vorher auch schon 100BaseTx-FD angezeigt hattte. egal, jetzt giibt es folgende ergebisse TCP connection established. Packet size 1k bytes: 9244 KByte/s Tx, 11550 KByte/s Rx. Packet size 2k bytes: 11323 KByte/s Tx, 11552 KByte/s Rx. Packet size 4k bytes: 11301 KByte/s Tx, 11446 KByte/s Rx. Packet size 8k bytes: 10997 KByte/s Tx, 11555 KByte/s Rx. Packet size 16k bytes: 11291 KByte/s Tx, 11557 KByte/s Rx. Packet size 32k bytes: 11249 KByte/s Tx, 11552 KByte/s Rx. Done. das sieht doch sehr zufriedenstellend aus. gruß heinzelrumpel

tja, und ich habe wirklich keine idee....

Hi, was sagt denn "route print" auf deinem vpn client? gruß heinzelrumpel

hi, also mit grafik kennen ich jetzt keins, aber wenn es dir nur um die messung des datendurchsatzes geht, dann kann ich dir netio empfehlen. habe es selber gerade empfohlen bekommen. hat seine dienste voll und ganz erfüllt. glaube die aktuelle version ist 1.23. Gruß Heinzelrumpel

wie bitte ist in dem fall der freigabename, obwohl logisch gesehen ja nicht freigegeben, nicht einfach nur \\ip_adresse ? gruß heinzelrumpel

TCP connection established. Packet size 1k bytes: 24160 Byte/s Tx, 227 KByte/s Rx. Packet size 2k bytes: 61091 Byte/s Tx, 253 KByte/s Rx. Packet size 4k bytes: 91062 Byte/s Tx, 537 KByte/s Rx. Packet size 8k bytes: 129 KByte/s Tx, 390 KByte/s Rx. Packet size 16k bytes: 151 KByte/s Tx, 603 KByte/s Rx. Packet size 32k bytes: 124 KByte/s Tx, 344 KByte/s Rx. Done. also, das sieht doch wirklich mager aus, oder etwa nicht? UDP connection established. Packet size 1k bytes: 10312 KByte/s (9%) Tx, 11313 KByte/s (0%) Rx. Packet size 2k bytes: 8989 KByte/s (0%) Tx, 11510 KByte/s (0%) Rx. Packet size 4k bytes: 10114 KByte/s (0%) Tx, 11654 KByte/s (0%) Rx. Packet size 8k bytes: 10553 KByte/s (1%) Tx, 11699 KByte/s (0%) Rx. Packet size 16k bytes: 11120 KByte/s (0%) Tx, 11703 KByte/s (0%) Rx. Packet size 32k bytes: 11300 KByte/s (0%) Tx, 11726 KByte/s (0%) Rx. Done. und das kommt bei udp heraus. wirklich merkwürdig gruß heinzelrumpel

Hi, es bestehen keine Beschränkungen. Gruß Heinzelrumpel

ich glaube ehlich gesagt nicht das das so hinhauen kann. das problem sind die bintec kisten ;) so wie es mir erscheint, können diese halt nur mit dynds.org & Co kommunizieren, also mit unix maschinen. selbst wenn es ein skript gäbe, dass den iis unterstützt, wie willst du das der bintec beibringen? aber vielleicht ist ja noch der ein oder andere spezie hier im board, der dass schonmal gemacht hat. würde mich auch brennend interessieren. :D gruß heinzelrumpel

hmmm, wirklich sehr interessante fragestellung :wink2: aber mal anders gefragt. warum sollen die ip`s denn über deinen dns aufgelöst werden? nur wegen des (sub)domain namens? eigentlich benutzt man dyndns doch nur, wenn man hinter der wechslenden ip irgendeinen dienst laufen hat, der ständig erreicht werden muss. wer braucht denn aus welchem grund zugriff auf den vpn client namen? gruß heinzelrumpel

Hi Cloney, kannst du das evtl. etwas näher erläutern, insbesondere, wo die VPN clients ihre Ip beziehen. Möchtest Du, dass Ihre öffentliche Ip in deinem DNS registriert wird, oder die lokale? Gruß Heinzelrumpel

Hi, habe mal im Lan auf Linux ein vsftp Server aufgesetzt. Per cmd vom XP Client bekomme ich nicht mehr als 1Mb per/s rüber, meist weniger. Beide PC`s sind auf 100TX-FD gesetzt. Hat da jemand nen Tipp, woran es liegen kann? Gruß Heinzelrumpel

Hi, das ist normal. In der der Netzwerkumgebung werden nur Clients angezeigt, die per Netbios aufzulösen sind. Da du dich per VPN einwählst, wird Netbios nicht unterstützt. Du müsstest dann wohl oder übel eine Wins Server aufsetzen. Gruß Heinzelrumpel

hi, wenn du 2 verschieden sites im ad einrichtest und die clients darin aufteilst, dann sollten diese sich auch nur an dem dc ihrer site anmelden. zu diesem loginventory kann ich nichts sagen, kennn ich nämlich nicht gruß heinzelrumpel