heinzelrumpel

sofern die gnatbox dies unterstützt, mal den betreffenden port outgoing sperren und dann nochmal einen scan durchführen. benutze evtl. mal das program nmap http://insecure.org und scanne mit der option "nmap -sF -v -v -O deine_ip_adresse" zusätlich empfehle ich dir dringend, auf den clients mal einen virenscanner durchlaufen zu lassen, da dort irgendwo sich der wurm/virus eingenistet hat, z.b http://www.antivir.de und zusätzlich http://www.pestpatrol.com .

wenn dieser alte rechner wirklich nur den zweck hat, ftp zur verfügung zu stellen, dann würde ich mal den bescheidenen vorschlag machen, linux zu installieren und vsftp zu verwenden, ggf auf proftp. zum einen hast du die xp lizenz gespart und zum anderen ist das wesentlich sicherer. nur so ein vorschlag. als distri empfiehlt sich fedora core3/4. m.e bracht man nur die ports 20/21 für ftp. gruß heinzelrumpel

hi, in der regel sind firwalls so konfiguriert, dass sie zugriffe von aussen abblocken, es sei denn, man hat die eigenen regeln geändert. ausgehende verbindungen sind bei den meisten linux distributionen ohne einschränkungen möglich. in deinem fall könnte das bedeuten, dass mydoom von sich aus eine verbindung von innen nach aussen aufgebaut hat und der port dementsprechend als offen geführt wird. welche art von clients stehen denn hinter der linux firewalll? gruß heinzelrumpel

es gibt ein tool, welches sich explorefs nennt. http://www.soft-ware.net/system/hardware/festplatte/tools/p04510.asp damit kannst du auf ext2/ext3 zugreifen. gruß heinzelrumpel

lies die mal foldenden artikel durch. http://support.microsoft.com/default.aspx?scid=kb;de;818043 darin wird genau auf die nat probleme von l2tp und ipsec eingegangen und eine lösung gleich mit angeboten.

habe mal nachgeschaut. lt. ms verwendet l2tp udp port 1701 und ipsec GRE 50 u. 51. quelle: MS Press 70-215 S. 494 ps. wieso nutzt du nicht das im ipcop integrierte vpn? eine gute anleitung, wie du das installierts, findest du auf http://vpn.ebootis.de . mit dieser variante hast du vollen zugriff auf dein green netzwerk.

welch zufall. den ipcop hab ich auch :D dann leitetst du unter "port weiterleitung" das GRE protokoll an die entsprechende ip des w2k server weiter. evtl. noch unter "externer zugang" das gleiche und die ports 4500 u. 500 udp. schreib mal, ob es geklapppt hat.

so spontan fällt mir da nur eine firewall als ursache ein. hängt da eine vor dem server und/oder dem client?

hat keiner eine idee?

wir sind ja in deutschland, daher net stop "zertifikatsdienste" :D

Moin, laut MS reicht eine *.bat aus mit dem Inhalt 'net stop "certificate services"' Leider bleibt der dienst nach Ausführung der Batchdatei gestartet. Muss ich diesen Dienst vorher von "automatisch" auf "manuell" stellen ? Gruß Heinzelrumpel

Hallo, nutze ein Linux VPN Gateway/Firewall (IPCOP). Eine Einwahl ist derzeit ohne Probleme möglich. Ist es denn möglich dass die VPN-Clients sich über das Internet, durch den VPN-Gateway hindurch, an meinem W2k DC anmelden? Problem ist momentan noch, dass eine VPN Einwahl mit dem Marcus Müller Tool ( http://vpn.ebootis.de/ ) erfolgt und am Anmeldebildschirm ja nür eine DFÜ-Anmeldung vorgesehen ist. Könnte mir vorstellen, dies evtl. mit einem Script auf den Clients zu integrieren, dazu müsste aber vor der Anmeldung schon die Internetverbindung bestehen und das Script ausgeführt werden. Keine Ahnung, ob soetwas überhaupt möglich ist. Naja, vielleicht hat ja jemand schon Ähnliches ausprobiert. Gruß Heinzelrumpel

dann mal unter eigenschaften der vpn verbindung "standard gateway des remotenetzes verwenden" deaktivieren. vielleicht hilft das weiter. gruß heinzelrumpel

Moini Moin, jetzt klappt es. Musste mich nur mal als Benutzer anmelden und dort die Anforderung senden. Da bin ich jetzt aber mal erleichtert, hatte schon die Befürchtung, dass mich das jetzt das ganze Wochenende beschäftigen würde. :cool: Schönes WE gruß heinzelrumpel

suche mal im forum nach hidecalc. damit kannst du ganz genau einstellen, welche laufwerke ausgeblendet werden. es kann dir dann eine adm erstellen, die du dann in der gpo importieren kannnst. damit geht es m.E. am besten. gruß heinzelrumpel

Hallo zusammen, habe ein wenig Schwierigkeiten bei der Erstellung einer L2tp-VPN Verbindungmit ipsec und Zertifikaten. Bin bisher so vorgegangen: Installieren des Stammzertifikatservers(AD intigriert)auf dem DC W2k-Server. Habe dabei die Standardeinstellung von MS beibehalten. Darüberhinaus habe ich den IIS so konfiguriert, dass er den Sitzungsschlüssel für 20 Min akzeptiert. Auf dem Server existiert jetzt unter "Eigene Zertifikate" auf dem Lokalen Computerkonto mein erstelltes Zertifikat. Ausserdem ist es noch in "Zwischenzertifizierungsstellen-->Zertifikate" vorhanden. Zusätlich erscheint das Zertifikat unter "Zertifikate aktueller Benutzer" bei "Vertrauenswürdige Stammzertifizierungsstelle-->Zertifikate" (Bin als admin angemeldet am Server) Als nächsten Schritt habe ich mich als Administrator am XP-Client, der Mitglied der Domäne ist, angemeldet. Dort dann über http://server/certsrv ein Zertifikat angefordert. Beim Aufruf der Seite im explorer musste ich dann einen Benutzernamen eingeben. Habe dort den Benutzer genommen, der sich später über VPN einwählen soll. Mit Administrator ging es ohnehin nicht. Die Anforderung und Installation des Zertifikates hat auch anstandslos geklappt. Auf dem XP Client ist das Benutzerzertifikat an den folgenden Stellen vorhanden. "Zertifikate - Aktueller Benutzer-->Zertifikate". Wie muss ich denn jetzt weiterverfahren, damit ich als Benutzer(bzw. Domänenuser) eine VPN-Verbindung herstellen kann. Aus meinem Verständnis heraus müsste ich jetzt das Zertifikat noch in "Vertrauenswürdige Stammzertifizierungsstelle-->Zertifikate" auf Lokaler Computer kopieren. Danach ein VPN-Verbindung konfigurieren, dei L2tp-VPN nutzt und im Sicherheitsreiter der Verbindung die erweiterten Einstellungen auswählen, ohne jedoch EAP zu aktivieren ( habe ich im Board so gelesen, da EAP nur eine Benutzerauthentifizierung darstellt). Ist das denn so korrekt, wie ich es dargestellt habe, oder fehlt noch eine weitergehende Konfiguration, sprich IP-Sicherheitsrichtlinien etc.? Bevor ich jetzt irgendetwas konfiguriere, warte ich erstmal die Resonanz ab :D gruß heinzelrumpel

werde das mit der domäne mal ausprobieren. hoffe es klappt. werde zu dem thema dann auch mal einen neuen thread aufmachen, sofern sich das problem dadurch nicht löst. du darfst dich da natürlich dann auch gerne rege beteiligen ;) soweit erstmal besten dank. gruß heinzelrumpel

hi mike, die vpn-verbindung habe ich nur mal zum testen eingerichtet, d.h ich benutze eine normale lan verbindung zum surfen, d.h. standard gateway zum router etc. geht ja auch alles. die vpn-verbindung funktioniert auch. habe auf dem w2k server rras eingerichet. er ist dc, der xp rechner ist nicht in der domäne. sinn und zweck des ganzen ist nur, dass ich mal die zertifikats authentifizierung ausprobieren will, also von pptp zu l2tp wechseln möchte. dazu hatte ich halt auf dem w2k server eine stammzertifzierungsstelle eingerichtet. der xp rechner sollte danach ein gültiges benutzerzertifikat erhalten und dieses als authentifizierung der vpn verbindung nutzen. hat aber bisher noch nicht geklappt. irgendetwas hakt da. aber davon jetzt mal abgesehen, scheint das problem behoben zu sein, habe den zertifizierungsdienst auf dem server deinstalliert und die importierten zertifikate auf xp gelöscht. du kennst nicht zufällig eine gute seite im netz, die die zertifikatdienste für w2k gut erklärt. das ms-pressbuch 70-215 ist da nicht besonders hilfreich. gruß heinzelrumpel

Moin Moin, habe unter XP eine VPN-Verbindung zum W2K Server im Lan erstsellt. Merkwürdigerweise ist es seit heute so, dass beim ansurfen bestimmer Seiten im Internet das Laden der Seite einfriert und die VPN-Verbindung aufpopt. Nach klicken auf "Abrechen" lädt die Seite ganz normal. Habe gestern mal ein bischen mit Zertifikaten herumexperimentiert, d.h auf dem Server eine Zertifizierungsstelle eingerichtet und versucht über http//server/certsrv ein Zertifikat anzufordern. Ist aber mehrmals fehlgeschlagen. Hier auf dem MCSE-Board kann ich ganz normal surfen, aber auf http://www.comunio.de z.B nicht. Habe schon mein manuell importiertes Zertifikat gelöscht. Hat da jemand eine Idee, woran es liegen kann? Gruß Heinzelrumpel

das recht sollte er standard domain policy haben. habe das gerade mal in meinem system abgechecked. user erzeugt, recht vergeben, in die domäne eingestiegen. schwups. ganz simpel :D probiere mal das deaktieren aller gpo's, ausser der default domai policy, am besten eine nach dem anderen. evtl. findest du den fehler so. is ja eine testumgebeung, daher sollte das ja machbar sein. welche genaue fehlermeldung erhälst du eigentlich?

nur mal eben so durchzappen reicht auch nicht ;) hier mal ein zitat aus der windows-hilfe Hinzufügen von Arbeitsstationen zur DomäneComputerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Benutzerrechtezuweisung Beschreibung Legt fest, welche Gruppen oder Benutzer Arbeitsstationen zu einer Domäne hinzufügen können. Diese Richtlinie ist nur auf Domänencontrollern gültig. Standardmäßig verfügt jeder authentifizierte Benutzer über dieses Recht und kann in der Domäne bis zu 10 Computerkonten erstellen. Das Hinzufügen eines Computerkontos zur Domäne ermöglicht es dem Computer, Teil des Active Directory-basierten Netzwerkes zu werden. So kann z. B. eine Arbeitsstation nach Hinzufügen zu einer Domäne Konten und Gruppen in Active Directory erkennen. Voreinstellung: Authentifizierte Benutzer. Anmerkung Benutzer, die Computerobjekte im Active Directory-Container erstellen dürfen, können auch Computerkonten in der Domäne erstellen. Der Unterschied besteht darin, dass Benutzer mit Berechtigungen für den Container, nicht auf die Erstellung von nur 10 Computerkonten beschränkt sind. Darüber hinaus weisen Computerkonten, die mithilfe der Einstellung Hinzufügen von Arbeitsstationen zur Domäne erstellt wurden, die Gruppe Domänenadministratoren als Besitzer auf. Im Gegensatz dazu weisen Computerkonten, die mithilfe von Berechtigungen für die Computercontainer erstellt wurden, den Ersteller als Besitzer des Computerkontos auf. Verfügt ein Benutzer über Berechtigungen für den Container und zudem über das Benutzerrecht Hinzufügen von Arbeitsstationen zur Domäne, wird der Computer basierend auf den Computercontainerberechtigungen (nicht auf dem Benutzerrecht) hinzugefügt.

skizziere doch mal kurz deine domänen hirarchie, insbesondere die versch. gpo's, die du alle implementiert hast. zum testen, ob der user sich zur domäne hinzufügen kann, würde ich ihn mal aus der ou rausnehmen und in den container users verschieben. evtl. hast du durch verschachtelung gpo konflikte. evtl. mal gpo's, die auf standorte und ou's gesetzt sind zum testen deaktievieren. hast du irgendwo "kein vorrang" auf übergeortneter ebene, die deine user beschränken?

Verwaltung-->Sicherheitsrichtlinie für Domäne-->Lokale Richtlinien-->Zuweisen von Benutzerrechten-->Anmelden als Stapelverarbeitungsauftrag dort mal den user eintragen, der die arbeitsstation zu der domäne hinzufügen soll. alternativ könntest du auch vorher das computerkonto im AD erstellen, dann brauchst du nur die einstellung "Arbeitsstation zur Domäne hinzufügen" gruß heinzelrumpel

Hi, lt. MS braucht der User das Recht, sich als Stapelverarbeitungsauftrag anzumelden und das Recht, Arbeitsstationen der Domäne hinzuzufügen. Hab das mal im 70-210 MS Press Buch gelesen. Solltest Du das Buch haben, dann schau da nochmal nach. Bin mir jetzt nämlich auch nicht zu 100% sicher. Gruß Heinzelrumpel

Moin zurück, genauso sehe ich das ja auch, aber was bedeutet denn dann die "Primäre Gruppe" genau? Gruß Heinzelrumpel