heinzelrumpel

hi,

wenn du dir die lizenz vom isa server sparen willst, dann schau mal auf http://www.astaro.com . für den privaten einsatz kostenlos. die bieten sogar gleich den passenden vpn client für deine w-lan verbindung.

gruß

heinzelrumpel

also ich habe bereits mehrfach festgestellt, dass ein beiitritt zur domöäne nur über den netbios namen, in deinem fall partiehandel, möglich ist. probier das doch einfach mal aus. wenn möglich, nehme dann den admin acoount, um den computer in die domäne zu integrieren. standardmäßig sollte das auch mit normalen benutzeraccounts gehen, aber sicher ist sicher. ansonsten weiss ich auch nicht mehr weiter. vielleicht vorher schonmal ein computerkonto im ad erstelllen.

ping nutzt ja auch die ip adresse, es sei denn du pingst mit dem hostnamen. benutzt du denn den netbios namen ( partiehandel, nicht partiehandel.lokal), um der domäne beizutreten? welchen vpn client benutzt du ( windows integrierten oder 3rd party) ?

mache mal ne genaue liste deiner client konfig, also tcp/ip eigenschaften der internetverbindung und der vpn-verbindung. kann doch nicht sein, dass das nicht hinzubiegen wäre :mad:

du könntest mal versuchen, sofern noch nicht geschehen, dem client die dns adresse des w3k servers manuell einzutragen und ihn in der verwendungsreihenfolge an erster stelle zu setzen.

Hi,

evtl. ist auf PC1 in der lokalen Sicherheitsrichtliniene "Zugriff über das Netzwerk verweigern" aktiviert, bzw. die Gruppe Jeder eingetragen. Schau dir dort mal alle konfigurierten Optionen an, vielleicht liegt dort der Fehler. Mit den Standard Einstellungen sollte es auch über die Netzwerkumgebeung gehen.

Gruß

Heinzelrumpel

Hi,

welche Art von VPN benutzt Du? Bezieht der VPN Client pper DHCP seine Einstellungen oder hast Du manuell konfiguriert. Wie ist im ersteren Fall der DHCP-Relay Agent konfiguriert?

Gruß

Heinzelrumpel

EAp brauchst du nicht, nur unter erweitert chap und ms chap ver.2. wenn dann die zertifikate im xp client an der richtigen stelle liegen und der jeweilige benutzer einwahlrecht am ras server hat sollte es klappen.

Hi,

wenn ping in eine richting geht, dann kann es nicht am kabel liegen. standardgateway braucht man bei der vernetzung von 2 rechner nicht. wie lautet denn die ip konfiguration inkl. der netmask der beiden rechner ? firewall auf den rechnern?

gruß

heinzelrumpel

Hallo,

 

Nur, bei den externen PCs/Notebooks habe ich keinerlei Computer-Zertifikate. Wenn ich mich mit einem solchen externen Gerät nun per Browser auf unsere CA schalte und ein neues Zertifikat anfordern will, erhalte ich nur Benutzerzertifikate...

 

:/

ein bebutzerzertifikat ist aber auch genau das was du brauchst. schau mal im mmc auf zertifikate und dann auf computerkonto. dort sollte in "vertrauenswürdige stammzertifizierung -->Stammzertifikate" das von http://dein_server/certsrv angefordertes zertifikat liegen. ggf. auch noch eins in "eigene zertifikate" wie hast du denn die client einstellung bewerkstelligt?

gruß

heinzelrumpel

hier wird dir geholfen

http://www.gruppenrichtlinien.de/index.html?/HowTo/VPN_Remote_Einwahl.htm

aja, so ähnlich hatte ich mir das auch gedacht, danke, sind scopes und super scopes bereiche und bereichsgruppierungen?

gruß

heinzelrumpel

Hallo,

wenn ich auf dem DHCP-Server 3 Bereiche konfiguriere, die 3 Subnetze, jeweils durch einen Router getrennt, bedienen sollen, woher weiß dann eigentlich der Client bzw. der DHCP-relay Agent /Bootp fähige Router, dass er für dieses Subnet auch nur den einen Bereich nehmen soll? Liegt es an der Konfuguation der Schnitstelle?.

Beispiel:

DHCP-Server 192.168.1.10

Bereich 192.168.1.0/24

Bereich 192.168.2.0/24

Bereich 192.168.3.0/24

|

|

|

|

192.168.1.1

Router

192.168.2.1**

|

|---------Client 192.168.2.45

|

|

192.168.2.10

Router

192.168.3.1 **

|

|

|------Client 192.168.3.45

an den mit ** gekennzeichneten Schnittstellen is ja der Relay Agent zu erstellen. Bedeutet diese Konfiguration, dass er aufgrund der tatsache mit einen Bein im Subnetz zu stehen, daher auch nur solche IP für die die Clienst zulässt?

Gruß

Heinzelrumpel

Hi, ich benutze nicht die Standard-VPN von W2k, sondern Netgear ProSafe VPN Client.

 

Gruß

Wilhelm

daran kann es eigentlich nicht liegen, denn, wie du sagst, geht eine normale ras einwahl auch nicht richtig. hast du die möglichkeit, direkt am server die as400 mal anzpingen? wie lauten den die genauen netzkonfigurationen, also server ip, as400 ip, deine ip etc.

ok. ich habe also die schiene der rfc 1878 gefahren und nicht rfc950. :rolleyes:

naja, in england fährt man auch auf der falschen seite. aber jetzt hab ich es wohl kapiert, dass ms 950 will. kein problem. können sie von mir haben. vielen dank, für die mühen, die ich gemacht habe und natürlich für eure geduld.

einen schönen restsonntag wünsche ich dann noch.

gruß

heinzelrumpel

(1/64) 172.28.0.0 - 172.28.3.255 (ungültig)

(2/64) 172.28.4.0 - 172.28.7.255

(3/64) 172.28.8.0 - 172.28.11.255

(4/64) 172.28.12.0 - 172.28.15.255

(5/64) 172.28.16.0 - 172.28.19.255

(6/64) 172.28.20.0 - 172.28.23.255

(7/64) 172.28.24.0 - 172.28.27.255

das spuckt mir der rechner aus. der erste block benutzt doch auch die gleich netzmaske (255.255.252.0) d.h die ersten 22 bits sind für die net-id und die letzten 10 für die host-id.

wo ist denn da mein gedankenfehler, oder hab ich am ende wohlmöglich doch recht? :p

ich habe doch bei den ersten 16 bit überhaupt nichts geändert.

Du brauchst die letzten 10 bit für die Hosts (2^10-2 = 1022 ), d.h. das erste Subnetz ist 172.28.4.0 ( 000001 xx.xxxxxxxx)

 

also irgendwie hakt es da bei mir richtig.

172.28.0.1 mit Subnet 255.255.252.0 wie oben, geht doch auch.

würde doch so aussehen

10101100.00011100.000000(*) 00.00000001 IP_adresse

11111111.11111111.111111(*) 00.00000000 netzmaske

* hier definiert die subnetmask doch die trennung zwischen netz- und host-id

nee,nee, das mit der netzadresse und dem broadcast ist mir schon klar. aber ausgangslage ist auf seite 57 im ms press buch 70-216 die frage 4:

"Ihnen wurde eine einzelne Klasse-B Netzwerkadresse, 192.28.0.0/16 zugewiesen,mit der Sie ein großes TCP/IP Netzwerk mit 50 Subnetzen aund jeweils bis zu 1000 Benutzern unterstützen sollen. Unterteilen Sie die Adresse in Subnetze und beantworten Sie folgende Fragen:

4:Nennen Sie den Adressbereich, den Sie für das erste Subnetz verwenden können.

Die Antwort im Anhang lautet: 172.28.4.1 bis 172.28.7.254

Der erste nutzbare Bereich müsste doch 172.28.0.1 bis 172.28.3.254 sein.

Vielleicht ist das ja auch wieder so ein MS Ding. Das OSi Modell haben die ja auch neu erfunden :rolleyes:

Gruß

Heinzelrumpel

Hi,

bin gerade dabei Klasse B Subnetze zu errechen. An und für sich ja auch nicht so das große Problem ;) , aber was ich nicht verstehe ist, dass bei einem 1 Bit Subnetting der erste und letzte Block gültig ist und ansonsten halt nicht. Also mal angenommen Netz=172.8.0.0. Ich möchte dort min. 44 Subnetze, dann wäre die Berechnung ja 2^6 -2 =62 . Die ersten 6 Bits des dritten Oktetts sind also fürs subnetting. Verbleiben also 10 Bits für die Hosts, also max 1022 Hosts pro Subnet. Lt. MS wäre der erste und letzte Block ungültig(172.8.0.0-172.8.3.255). Warum nur? Habe mal nen Subnet Rechner (der von netwusel) zum Testen benutzt. Mache ich das Häckchen bei 1-Bit Subnetze erlaubt, dann sind alle Blöcke erlaubt. In dem 70-216 Buch muss man bei den Aufgaben aber davon ausgehen, dass dem nicht so ist. Kann mich da mal jemand aufklären, bitte?

Gruß

Heinzelrumpel

Hi Wilhelm,

verstehe ich das richtig, dass du von einem entfernten Standort aus über das Internet eine VPN Verbindung zu einem LAN erstelllst? Dort läuft rras, oder hast du auf dem w2k eine eingehende verbindung konfiguriert? Welche Ip hast du mit der VPN Verbindung bekommen und wie lautet die Ip, die Du anpingen möchtest. Evtl vorab mal den Punkt "Standartgateway des Remote Netzwerkes nutzen" aktivieren.

Gruß

Heinzelrumpel

läuft denn der dienst auf dem client, der port 22 nutzt? müsste doch ne linux maschine sein, die den ssh deamon laufen hat. oder equivalent ein windows dienst/programm, das auf port 22 lauscht.

gruß

heinzelrumpel

Hi,

am sichersten sollte es sein, wenn du auf deinem w2k server rras einrichtest und dort dementsprechen einwahlberechtigungen für die nutzer erstellst. somit ist es möglich, dass die clients sich per pptp in deein netz einwählen. eine nummer sicherer ist die verwendung von zertifikaten. dazu muss auf dem server die stammzertifizierungsstelle eingerichtet werden. die clienst könnnen dann ihre zertifikate bei diesem server beanntragen und dann mittels vpn l2tp-ipsec eine verbindung herstellen.

einen sehr guten einstieg zu diesem thema findest du unter

http://www.gruppenrichtlinien.de/index.html?/howto/VPN_Remote_Einwahl.htm

viel erfolg.

gruß

heinzelrumpel

mit welchen parametern hast du denn nmap gestartet? nimm mal " nmap -sF -v -v -O deine_ip_adresse" damit hab ich bei mir jeden offenen port gefunden.

gruß

heinzelrumpel

C:\WINDOWS\SoftwareDistribution\EventCache\{645A68DE-9971-4A8F-946A-03E8836E9030}.bin for reading.

2005-03-18 15:48:22+0100 2804 1d0 Trying to make out of proc datastore active

2005-03-18 15:48:22+0100 2804 1d0 Out of proc datastore is now active

2005-03-18 15:48:22+0100 1064 43c PT: Using serverID {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}

2005-03-18 15:48:22+0100 1064 43c Failed to obtain cached cookie with hr = 80072ee6.

2005-03-18 15:48:22+0100 1064 43c Failed to upload events with hr = 80072ee6.

2005-03-18 15:53:22+0100 2804 1d0 Out of proc datastore is shutting down

2005-03-18 15:53:23+0100 2804 1d0 Out of proc datastore is now inactive

2005-03-18 15:58:22+0100 1064 43c Successfully opened event cache file at C:\WINDOWS\SoftwareDistribution\EventCache\{645A68DE-9971-4A8F-946A-03E8836E9030}.bin for reading.

2005-03-18 15:58:22+0100 1332 804 Trying to make out of proc datastore active

2005-03-18 15:58:23+0100 1332 804 Out of proc datastore is now active

2005-03-18 15:58:23+0100 1064 43c PT: Using serverID {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}

2005-03-18 15:58:23+0100 1064 43c Failed to obtain cached cookie with hr = 80072ee6.

2005-03-18 15:58:23+0100 1064 43c Failed to upload events with hr = 80072ee6.

2005-03-18 16:03:23+0100 1332 804 Out of proc datastore is shutting down

2005-03-18 16:03:24+0100 1332 804 Out of proc datastore is now inactive

2005-03-18 16:08:23+0100 1064 780 Successfully opened event cache file at C:\WINDOWS\SoftwareDistribution\EventCache\{645A68DE-9971-4A8F-946A-03E8836E9030}.bin for reading.

2005-03-18 16:08:23+0100 1716 d20 Trying to make out of proc datastore active

2005-03-18 16:08:24+0100 1716 d20 Out of proc datastore is now active

2005-03-18 16:08:24+0100 1064 780 PT: Using serverID {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}

2005-03-18 16:08:24+0100 1064 780 Failed to obtain cached cookie with hr = 80072ee6.

2005-03-18 16:08:24+0100 1064 780 Failed to upload events with hr = 80072ee6.

um 16 uhr war eigentlich das automatische update eingetragen. kann mit den daten im logfile aber überhaupt nichts anfangen.

gruß

heinzelrumpel

Hallo, für alle die SUS nutzen mit Clients, die nicht in der Domäne sind und über Gruppenrichtlinien konfiguriert werden: einfach einen Client korrekt auf den SUS-Server konfigurieren und den Reg-Key exportieren

-> hklm\software\policies\windows\windowsupdate

 

Den dann auf Diskette oder auf ein public-Laufwerk legen und per Doppelklick in beliebigen Client einfügen.

 

Ab 2000 SP3 ohne weitere Konfiguration möglich. Geht so recht flott von der Hand.

wie sehe ich denn, ob der client richtig eingerichtet ist? habe bei mir auf w2k server den sus installiert und auf meiner xp maschine in der registry unter wusserver \\server02 und wusstatusserver http://server02 eingerichtet. trotzdem scheint es so zu sein, dass der client sich direkt mit ms verbindet.

gruß

heinzelrumpel