testosteron

Hallo!

wie ist das Profil auf den Server gekommen?

Der Client hat es erstellt.

Ist es tatsächlich, wirklich das Profil des Benutzers? Oder kommt das woanders her?

Ich nehms doch an, wo sollte es den herkommen sollen?

Hat das schon mal funktioniert mit dem Profil?

Mal gehts, mal gehts nicht :(

Ist User Profil Hive Cleanup auf dem, auf den Rechner(n) installiert?

Nein.

Grüße

Christian

Hallo!

An einem Client mit Vista Business wir mal das Benutzerprofil vom Server geladen, und mal kommt die Fehlermeldung "Ihr Benutzerprofil wurde nicht korrekt geladen! Sie wurden mit einem temporären Profil angemeldet. Lesen

Sie das Ereignisprotokoll, um sich Details anzeigen zu lassen, oder wenden Sie sich an Ihren Administrator."

Der Server ist ein 2008 Server. Dort gibt es eine Freigabe Profile$.

In der AD habe ich beim Benutzer als Profilpfad \\Server\Profile$\%USERNAME%\Profil angegeben.

Zusätzlich wird ein Basisordner \\Server\Profile$\%USERNAME%\Daten angegeben.

Auf die Freigabe bzw. den Ordner Profile hat jeder vollen Zugriff.

Der Ordner %USERNAME% wird auch angelegt.

Also kann er doch drauf Zugreifen?! Hab schon mal Google befragt. Leider sind alle Themen a) sehr alt b) hören irgendwann ohne Lösung auf.

Hoffe hier gibt es eine Lösung :)

Grüße!

Hallo!

ich hänge mich hier mal mit ran. Haben nämlich (denke ich zumindest) das gleiche Problem.

Exchange Server ist ein 2007er.

Clients sind sowohl XP als auch Windows 7 jeweils mit Outlook 2007.

Ich kann das Problem auch recht gut eingrenzen: Es wurden gestern Abend auf allen Clients die aktuellen Windows Updates installiert.

Unter anderem KB2412171 (Update für Microsoft Outlook 2007). Dieses wurde Mitte Dezember schon einmal raus gebracht, aber kurze zeit später wieder zurück gezogen da es zu viele Probleme verursacht.

So wie es scheint verursacht die neue Version nun dieses Problem...

Habe selbst noch keine Lust gehabt zu experimentieren, wollte erstmal abwarten und schauen wie viele Leute noch davon betroffen sind.

Viele Grüße

Christian

Also bis jetzt sind die Computer immer automatisch in die OU Computer gewandert. Diese ist ja standardmäßig vorhanden.

OK, dann werde ich mich mal mit redircmp beschäftigen. Danke bis hier hin!

So habe ich es im Moment gelöst.

Aber Nachteil wie ich finde: Die Clients müssen bekannt sein. Wenn der Client neu eingerichtet wird (von den Admins der Gruppe 2) habe ich ein Problem...

Grüße

Hallo!

Wir haben bei uns einen neue Struktur, die einige ehemalige Administratoren nicht akzeptieren.

Aus diesem Grund müsste ich folgendes hin bekommen, weiß nur nicht wie.

1) Es gibt eine Admin Gruppe die sich auf den Servern anmelden darf und außerdem auf allen Clients Admin Rechte hat

2) Es gibt eine Admin Gruppe die sich NUR auf den Clients anmelden darf und da auch Admin Rechte hat. Aber keine Möglichkeit sich am Server anzumelden.

Sämtliche PCs an denen sich Gruppe 2 anmelden darf zu erfassen (Anmeldung an) ist nicht möglich, da Gruppe 2 auch selbständig neue Rechner aufstellen darf usw.

Wie realisiere ich dies am besten?

Grundlagen: Windows 2008 Server, XP Clients, AD

Grüße!

Wo genau ist jetzt dein Problem?

Das ich auf dem Server in der IIS Konsole bei den Virtuellen Verzeichnissen (bzw. bei "Microsoft-Server-ActiveSync") unter Eigenschaften -> Verzeichnissicherheit -> Sichere Kommunikation -> Bearbeiten... -> "Zuordnung von Clientzertifikaten aktivieren" für JEDEN Benutzer eine Zuordnung machen muss, damit er sein PDA Syncen kann!

Dass kann doch nicht richtig sein, da:

1) Was fürn Aufwand ist es wenn ich das für 800 Mittarbeiter machen muss?

2) Was ist wenn einer der Mittarbeiter sein Domain Kennwort ändert? Dann kann er nicht mehr Syncen!

Hoffe nun sind meine Zweifel klar geworden.

Gruß!

Weiß ich halt nicht ob es so richtig ist, weil:

Bei einer per Zertifikat abgesicherten Webseite benötige ich diese Zuordnung nicht, bekomme die Webseite aber trotzdem nur angezeigt wenn ich ein gültiges Zertifikat habe.

Außerdem kann ich mir nicht so richtig vorstellen das es so richtig ist, da ich ja jedem Zertifikat einen Nutzer zuordnen muss bzw. anders rum.

Dabei gebe ich auch das Passwort des Nutzers an. Welcher Admin weiß schon alle Passwörter? Und außerdem wäre der Verwaltungsaufwand ja dann mega groß.

Gruß!

Du willst mich nicht verstehen, oder?

Doch, aber ich habe mal irgendwie aufgeschnappt dass ein Reverse Proxy das kann???

Also wäre jetzt die Frage ob du mit Clientzertifikaten auf den Mobiles arbeitest.

Ja, mache ich! Ich habe eine Webseite so eingestellt dass man ein Zertifikat benötigt um sie aufzurufen. Wenn auf einem Mobil Teil das User Zertifikat installiert ist geht es, ansonsten nicht! Also scheint das zu funktionieren.

Nur bei dem virtuellen Verzeichnis "Microsoft-Server-ActiveSync" geht es halt nur wenn ich die "Zuordnung von Clientzertifikaten aktiviere".

Gruß!

Nur wenn du jetzt mit Infos aus diversen Foren "irgendeinen" Reverseproxy nutzt ohne das Ding zu kennen geschweige denn Aussagen über die Produktsicherheit treffen zu können, sind solche Aktionen eher "sinnfrei", da du hinterher auch nicht behaupten kannst, sicherer zu sein als vorher. ;)

Stimmt schon, aber ich will mich ja drüber schlau machen. Muss nur halt erst einmal einen Ansatz haben nach dem ich vorgehen kann.

Hab schon den Ansatz URL Filter mal gelesen... Wobei ich das ja nun mehr oder weniger anders umgesetzt habe ;)

Nutzt du denn Zertifikate auf den Handys?

Ja, eine per Zertifikat geschützte Webseite (kein Virtuelles Verzeichnis) kann ich aufrufen wenn das Zertifikat installiert ist.

Gruß

Christian

Na ich hab halt immer etwas Bedenken, da ich ja einen Server im Grünen Netz erreichbar mache.

Aber wie ist das denn nun mit den Zertifikaten? Hab ich da was falsch gemacht, oder muss man die einzelnen Zertifikate manuell den Benutzern zuordnen?

Grüße!

Nun bin ich einen Schritt weiter!

Hab nun folgendes gemacht:

1. Neue Webseite mit dem Name "WebMailer" eingerichtet, die unter Port 443 erreichbar ist.
   (Somit sind die Testwebseiten von mir nicht übers Internet erreichbar)
   
2. Microsoft-Server-ActiveSync auf der Standardwebsite gelöscht.
   (Remove-ActiveSyncVirtualDirectory Microsoft-Server-ActiveSync (Standardwebsite))
   
3. Microsoft-Server-ActiveSync auf der neuen Webseite "WebMailer" installiert.
   New-ActiveSyncVirtualDirectory -WebSiteName "WebMailer"
   

Warum das ganze? Nun, ich wollte auf jeden Fall verhindern dass irgendwelche anderen Dienste im Internet erreichbar sind. Ich hoffe so habe ich es geschafft!????? :confused:

Bei dem Zustand klappt Sync bzw. PushMail. Aber nun gehts ja weiter:

In der Exchange Verwaltungskonsole unter Serverkonfiguration -> Clientzugriff -> Exchange ActiveSync -> Eigenschafften -> Authentifizierung habe ich nur die Option "Zertifikat anfordern" aktiviert.

Dann im IIS unter Eigenschaften -> Verzeichnissicherheit -> Authentifizierung alles deaktiviert.

Nun kommt beim Sync "Anmeldeinformationen für Exchange Server berichtigen".

Erst wenn ich unter Verzeichnissicherheit -> Sichere Kommunikation -> Bearbeiten -> Zuordnung von Clientzertifikaten aktiviere und richtig einstelle geht es.

Ich dachte es reicht wenn ich ein Zertifikat habe bzw. benötige diese Option nicht???? :confused:

Gruß!

Dieser Post ist überholt! Bitte eins unten drunter weiterlesen!

OK, ich mach hier bei dem Thema mal weiter :)

Ich habe nun mal im IPCop Forum gelesen. Da hatte einer schon einmal dieses "Problem" (ich hoffe ich darf den Link hier posten).

Es Endete im Nichts. Nur so viel weiß ich aus dem Post:

Es können nicht alle Clients die ActiveSync machen über einen Reverse Proxy arbeiten, und es sei außerdem nicht gut einen solchen auf die Firewall (also in dem Fall IPCop) zu installieren. :rolleyes:

Meine Idee war nun: Alles über SSL, Identifizierung über Zertifikate und nur OWA erreichbar (also nicht meine Testwebseiten usw.)

Soweit so gut. Ich habe nun heute den halben Tag damit verbracht mich mit dem Thema IIS + Client Zertifikate zu beschäftigen, bekomme es aber nicht hin.

EDIT: Folgendes gilt NUR für virtuelle Verzeichnisse. Wenn ich das in der Root Webseite mache geht es!

Als erstes habe ich eine neue Webseite (Kopie der "Standardwebseite") angelegt und es so abgeändert dass auf dieser nur OWA läuft (By the way: Kann man OWA nicht einfach auch als normale Webseite (webmailer.domain.local) installieren, ohne noch ein extra virtuelles Verzeichnis zu haben?)

Dann habe ich ein Zertifikat für die Webseite angelegt und sie über https://webmailer.domain aufgerufen. Es kam der Hinweis dass es sich um kein gültiges Zertifikat handelt.

Hab dann das Zertifikat des Servers bzw. der Zertifikatstelle auf meinem PC unter Vertrauenswürdige Zertifikatstellen eingefügt und es kam keine Warnung mehr! :D

Im nächsten Schritt habe ich dann gesagt "Clientzertifikat voraussetzen". Nun konnte ich die Webseite nicht mehr aufrufen, da ich ja kein Zertifikat habe. Soweit OK! :D

Nun wieder auf http://server/CertServ und ein "Benutzer Zertifikat" erstellt und installiert. Trotzdem kann ich die Webseite nicht aufrufen. :confused:

Was mach ich falsch? :(

Gruß!

OK, danke für die Info. Ich werde mich mal schlau machen!

Gruß!

Von daher ist die richtige Lösung ein Reverse-Proxy.

Steht das in einer Relation, oder ist es übertrieben viel Aufwand für ein geringes Risiko?

Gruß!

Wie wärs mit einer belibigen Firewall (z.B. ISA) davor?

Eine Firewall (IPCop) ist ja davor. Aber der Port 443 ist ja auf den Server weitergeleitet....

Gruß!

Hallo!

Ich habe auf dem Exchange den Push Mail bzw. OWA Service zur Verfügung gestellt. Funktioniert soweit auch.

Jedoch muss ich in der Firewall ja Port 443 öffnen.

Es ist also nun möglich von extern auf den IIS zuzugreifen bzw. die darauf laufenden Webseiten zu öffnen.

Meine Idee war es nun eine zweite Netzwerkkarte in den Server zu bauen mit einer eigenständigen IP und NUR die OWA Webseite dieser IP Zuzuordnen. Die Portweiterleitung im Router würde ich dann auch auf diese IP einrichten.

Ist dies eine übertriebene Sicherheitsmaßnahme, oder wäre es sinnig?

Gruß!

Wobei - nach wie vor - die in Yusufs Artikel genannte Technik mit dem Zugriff auf die Freigabe wesentlich einfacher ist.

Schon, lässt sich aber nicht bei uns umsetzen. Gibt einen Freigegebenen Ordner wo jeder User seinen Unterordner drin hat.

Außerdem hätte ich bei ner Datenbank auch noch ne Überwachungsmöglichkeit wann wer wodran war :)

Gruß!

Wenn man mal davon absieht, dass mir für die von dir genannten Anforderungen die Lösung "Anmeldung beschränken" eigentlich überhaupt nicht einleuchtet.

Naja, es geht halt auch um den pädagogischen Wert und Faktor.

Außerdem bin ich ein wenig von SUN Terminals inspiriert:

Du meldest dich an einem an und startest deine Programme usw.

Dann gehst du ans nächste Terminal und meldest dich da an. Zum einen hast du dann alle deine Programme wieder und zum anderen wirst du vom Terminal 1 automatisch abgemeldet.

Das wäre ein Traum :)

Naja, ich denke ich muss mal Windows Script File und Co beschäftigen :) Irgendwie wird es damit bestimmt möglich sein ne MySQL DB anzusprechen.

Grüße!

Und wie soll dieses Nachsehen wo geschehen?

Gute Frage!

Also muss schon irgendwo gespeichert werden das der User aktiv ist / war und an welchem PC.

Oder steht dies in den Weiten des AD?

keine dieser Bastellösungen kann verhindern, dass user ihre Anmeldedaten weitergeben

Stimmt schon, aber es währe immerhin eine Hürde ;)

Bin am überlegen sowas selber zu bauen:

Anmeldescript trägt in ner MySQL DB User, Anmeldezeit und PC ein. Wenn der PC runter gefahren wird, wird der Eintrag als erledigt markiert.

Stürzt der PC ab, kann man sich nur an dem PC wieder anmelden der abgestürzt ist, oder muss ne gewisse Zeit warten um sich an anderen PCs wieder anmelden zu können.

IIS und MySQL läuft eh :)

Gruß

Christian

Hallo Edgar,

schön wär's wenn das bei uns auch ginge.

Bei uns sehen das Schüler und vor allem auch meine Kollegen sehr locker. Deswegen wollte ich diesen Schritt machen.

Gruß!

Wessen Anforderung ist das und warum?

Meine. Einfach aus dem Grund das die Schüler lernen mit ihren Daten umzugehen. Und aus überwachungstechnischen Gründen.

Wenn es eine ernsthafte Securityanforderung ist...

Nein, ist es nicht. Will halt nur verhindern dass die Schüler ihre Anmeldedaten weitergeben.

Bei Yusufs.Directory.Blog habe ich drei Möglichkeiten gelesen:

1)

... „Prä-Windows 2000-Computernamen“ einzugeben, an denen sich der Benutzer anmelden darf.

Scheidet aus! Die Schüler sollen sich überall anmelden dürfen, aber nur einmal halt.

2)

Limitlogin

Geht leider unter 2008 nicht mehr :(

3)

Home-Laufwerk

Geht leider auch nicht... Gibt eine Freigabe in der alle Benutzer einen Ordner haben.

Andere Ideen?

Gruß

Christian

Hallo!

Ich wollte heute mein Glück mit Limitlogin auf einem 2008 Server versuchen.

Leider musste ich feststellen das dieses Programm nur auf einem 2003 Server läuft.

Gibt es unter einem 2008 Server die Möglichkeit zu verhindern dass sich ein Benutzer an mehreren PCs anmeldent?

Grüße!

Okey, an den Berechtigungen liegt es wohl nicht. Zumindest habe ich nichts komisches gefunden :)

Achso: Vllt sollte ich erwähnen das ich eine Woche im Urlaub war. Das und definitiv keiner mit dem Server gearbeitet hat :)

Gruß!