hevtig

Hallo,

ich bastle momentan an einer etwas wilden Konfiguration und bräuchte evtl. ein bisschen Hilfe ;)

Ich habe eine Fritzbox WLAN 4050 und einen D-Link DI614+. (1 Antenne FW 3.20 [lief bislang am stabilsten imho)

Ich möchte nun per VPN (PPTP) ins Firmennetz.

Also

Firma<==========Fritzbox<==DI614<==Notebook

Mache ich das alles per Software klappt es alles ganz gut.

Also ich habe das Notebook an den D-Link verbunden. Der ist mit der Fritzbox verbunden und das hat den Connect zum INet.

Nun kann der D-Link ja neben static IP und pppoe auch PPTP.

Jetzt habe ich mir erhofft, dass ich die Software gar nicht mehr nutzen brauche, sondern das der DLink direkt die VPN Verbindung aufnehmen kann. (VPN Passthru ist AN)

geht aber nicht. Sad

Anhand der Logs läßt sich aber nicht erkennen, wo der Fehler ist.

Woran kann es liegen, das es nicht funktioniert?

Ist das PPTP im Router evtl etwas ganz anderes, als das MS VPN?

Oder kann es an der Passwortauth liegen? Obwohl ich das ja in den Logs sehen sollte, oder?

Ideas?

Vielen Dank für Lösungsvorschläge.

hmm, weiß da keiner was?

Sollte die Lösung deines Problems nicht lautet diesen Notfällen präventiv vorzubeugen?

Dann erübrigt sich die Herausgabe von Admin-Kennwörtern.

So richtig sicher wirst Du das mit Offline-Notebooks nämlich nicht hinbekommen.

 

Wie sieht denn so ein Notfall aus?

 

Gruß

Andre

Ich denke, man wird es kaum hinbekommen, diese Situation vorzubeugen.

Das Problem sieht folgendermaßen aus, daß ein Kollege von mir (der User) ab und an innerhalb Deutschlands unterwegs ist und in vielen Fällen keine Remoteunterstützung etc möglich ist. Wenn er jetzt beim Kunden 200 km entfernt ist und z.B. sein Drucker versagt, dann kann er evtl einen anderen installieren, was er so halt erstmal nicht darf. Oder es liegt irgendein Defekt vor, den man nur als Admin lösen kann. Und 200km hin und zurück will sich keiner ans Bein binden...

Irgendwie liegt da ein Missverständnis vor. AD ist das eine und eine SAM das andere, beide haben nicht das geringste miteinander zu tun.

Wenn man sich als Domänenmitglied an einem Rechner anmeldet, werden die "cached credentials" (zwischengespeicherten Anmeldeinformationen) in der Registry abgelegt, so dass man sich bei Fehlen des DC nach wie vor anmelden kann, aber keinen autorisierten Zugriff aufs Netzwerk hat. Wenn ich mich das nächste mal bei wieder erreichbarem DC anmelde, werden nach der Authentifizierung am DC die cached credentials auf dem Rechner aktualisiert.

Ich sehe jetzt das Problem noch nicht so genau

Ja, wir reden beide von derselben Sache, ich habe mich nur unverständlich ausgedrückt ;)

Aber darum geht es ja. Es wird gecached und der Cache sollte aktualisiert werden.

Ich versuche es noch einmal zu veranschaulichen.

Also wir haben unzählige Notebooks im Einsatz. Die Benutzer sind Hauptbenutzer. OS =W2K + XP

Die Benutzer können online, sowie offline arbeiten.

Für den Fall eines "Notfalls" haben wir einen separaten Admin, dessen Kennwort wir rausgeben können, wenn Hand an ein Notebook angelegt werden muss, Notebook aber außer Reichweite ist.

Geben wir das Kennwort raus kann sich der Benutzer als Admin offline auf seinem Notebook authentifizieren.

Wir, die in der Domäne sind ändern sofort das Kennwort des "Notfalladmins", da wir ja verhindern wollen, dass irgendjemand mehr im Netz macht, als er soll.

Das heißt also

vorher

"Notfalladmin" => Passwort = 123456

dann wird das Kennwort herausgegeben und es wird geändert

"Notfalladmin" => Kennwort = 234567

Gut, in der Domäne ist alles klar. Es kann sich keiner mehr online als "Notfalladmin" mit dem alten Kennwort anmelden. Dafür kann es jeder offline.

Denn damit man sich offline als Notfalladmin anmelden kann mußten wir ja uns zuvor als eben dieser an dem Laptop anmelden und an allen anderen auch.

Das heißt also für mich

=> in der Domäne

"Notfalladmin" => Kennwort = 234567

=> in den Caches der Rechner

"Notfalladmin" => Passwort = 123456

Da wir aber nicht wollen, dass irgendwer als Admin (außer halt in den sog. Notfällen) rumläuft müssen wir das verhindern und den Cache aktualisieren. Das machen wir, indem wir uns jeweils an jedem Rechner als "Notfalladmin" anmelden um die cached Credentials zu überschreiben.

Danach kann man sich also erst wieder mit dem aktuellen Kennwort offline als Notfalladmin anmelden.

Aber gerade diesen umständlichen Schritt (an allen PCs anmelden als Notfalladmin) möchet ich gerne vereinfachen.

(*puh*)

Ich hoffe, dass es jetzt verständlicher war.

Ideas?

Danke

Hallo,

gibt es eine Lösung für folgendes Szenario?

- Domänenbetrieb

- Mehrere Benutzer sind auf einem Rechner angelegt

- Es handelt sich hauptsächlich um mobile Nutzer (sprich Laptop)

Nun werden die Anmeldedaten erst bei der Anmeldung mit dem AD verglichen und dann in die SAM geschrieben, damit man sich offline anmelden kann.

Wenn ich nun zwischenzeitig im AD eine Änderung für einen Benutzer vorgenommen habe und er sich noch nicht am Laptop angemeldet hat, dann befinden sich noch die alten Daten in der SAM.

Gibt es eine Möglichkeit, beim Hochfahren im Netzbetrieb die SAMdaten zu aktualisieren?

Konkret geht es darum, dass wir einen weiteren Adminaccount haben, dessen Passwort wir im Notfall herausgeben. Nachdem wir das Passwort weitergegeben haben, damit der Benutzer lokal Änderungen vornehmen kann, wird es im AD geändert.

Zusätzlich müssen wir uns dann auf allen anderen Rechner und Notebooks anmelden, damit er die SAM abgleicht...

Ideas?

;)

Vielen dank für Lösungsvorschläge...

*Thema wieder vorhol*

Ich habe ein Problem mir der Installation / Implementierung von RSA.

Im Echtsystem will ich das Ganze per RAS realisieren, im Testsystem über vpn.

Aufgesetzt habe ich einen MS Server 2003 Small Business

- VPN ist dort aktiviert und funktioniert auch

Jetzt will ich den Login it RSA SecurID realisieren.

Bin jetzt schon mehrere Tage am Basteln, aber komme irgendwie nicht weiter und die Doku is mE nicht so toll.

Nicht nur, das sie englisch ist, sie ist auch riiiesig und unübersichtlich

- um einen User anzulegen schaue in Kapitel 2 im AdminRSA.pdf

- AdminRSA.pdf Kap.2 Mach sie bla, bla und schauen sie in Windows_install.pdf Kapitel 7

Naja,

ich möchte keine Software auf dem Client einsetzen. Also fällt EAP flach, soweit ich das verstanden habe.

Ich habe installiert

- RSA Manager 6.0

- RSA Agent 6.0

- Seed Records sind importiert.

Ich habe einen User angelegt, der auch im AD angelegt ist.

Habe ihm einen Token hinzugefügt.

Was ich nicht verstehe, bzw wo ich nicht weiterkomme

- Wenn ich den Authentification Test mache bekomme ich "Zugriff verweigert"

- Ich habe den Token abgeglichen im Server *erfolgreich*

- Ich habe beim Server mittlerweile bei jedem Punkt etwas angelegt

- Wie bekomme ich die Authentifizierung für das VPN hin?

Bislang nimmt er nur die win auth.

Aufgefallen ist mir, daß der Server (RSA Server unter System) eine andere Zeit als der w2k3 Server aht. der RSA läuft anscheinend unter UMT und der Server unter GMT+1, aber das sollte man doch irgendwie hinbekommen?

Ich würde mich über Hilfe wirklcih freuen

Gruß,

Gerrit

Da hast du Recht.

Ich habe vor kurzem die 70-270 bestanden und war überrascht, wie wenig doch wirklich mit dem Betriebsystem zu tun hatte. Statt dessen hat man viele Punkte, die eigentlich Probleme vom Server sind, z.B. RIS- Installations Probleme.

Das Buch hätte ich mir auch sparen können ;)

*grml*

die Datei und Druckerfreigabe muss installiert sein.

Gruß

Hallo,

ich bin gerade recht verzweifelt.

Ich habe schon mehrere Testdurchläufe mit dem RIS gemacht, und jetzt, wo ich es ins Echtsystem spielen möchte möchte der Server nicht?

Und zwar scheitert es schon an der Imageerstellung.

Ich habe auf dem SBS2003 Prem RIS Installiert. Nun habe ich die Workstation fertiggemacht (XP SP2) und wollte nun riprep ausführen.

Der Assisten zur vorbereitung der Remoteinstallation meckert 2 Punkte an:

- Mehrere Profile gefunden [gelb-ok]

- Domänencontroller gefunden [rot]

Beim Klicken auf Details bei der Domänencontrollermeldung erscheint ein Popup

"Inkompatibilität

Dieses Programm kann nicht auf einem Windows Domänencontroller ausgeführt werden"

Ich verstehe die Meldung gerade nicht ganz. Kennt jemand diese MEldung?

Vielen Dank für die Antworten.

Versteht mich nicht falsch. Ich bin bereit mir die ganzen Manuals anzutun etc, aber ich hatte gehofft, daß es einen kleinen testworkthru gibt, indem man das Leistungspotenzial erkennen kann.

Die meisten der Windows Produkte lassen sich ja meist per Trial & Error ein wenig kennenlernen, später kann man dann ran feilen.

Ich werd dann mal die Manuals lesen und hoffe, daß es sich für mich lohnt und das wir MOM dann vllt einsetzen werden ;)

Hallo,

ich habe hier schon ein wenig gesucht und auch ein wenig gegoogelt, aber irgendwie noch nichts wirkliches gefunden..

Ich habe hier ein Netzwerk mit W2k und W2k3 Servers. Auf einem habe ich jetzt testweise den Mom2005 installiert. auf einem w2k Server den Agent.

Und was nun?

Irgendwie finde ich die Konsole unaufgeräumt. Weiß gar nicht, was ich da einstellen soll. So richtig zeigt er mir auch keine Fehlermeldungen bzw Statusreports an.

Habe schon mal nach einem Tutorial/ HowTo gegoogelt, aber das scheint es wohl irgendwie nicht zu geben.

Hat vielleicht jemand hier etwas, was mit helfen würde den MOM richtig einzurichten?

Ich will, daß der MOM das Netzwerk kontrolliert, Festplattenplatz kontrolliert / Auslastung etc.

Bei Ausnahmefällen ne Email oder SMS schickt...

Danke für eure Hilfe schonmal im vorraus

C:\Dokumente und Einstellungen\Anwenderg>gpresult

Betriebssystem Microsoft (R) Windows (R) XP Gruppenrichtlinienergebnis-Tool v2.0

Copyright (C) Microsoft Corp. 1981-2001

Am 26.04.2005 um 22:24:28 erstellt


RSOP-Ergebnisse für Anwender2200\Anwender auf Anwender2200 : Protokollierungsmodus
-----------------------------------------------------------------------------

Betriebssystemtyp:                     Microsoft Windows XP Professional
Betriebssystemkonfiguration:            Eigenständige Arbeitsstation
Betriebssystemversion:                  5.1.2600
Domänenname:                 Anwender2200
Domänentyp:                 Nicht zutreffend<Lokaler Computer>
Standortname:                   Nicht zutreffend
Zwischengespeichertes Profil:
Lokales Profil:               C:\Dokumente und Einstellungen\Anwender
Langsame Verbindung? Ja


COMPUTEREINSTELLUNGEN
----------------------

   Zeit der letzten Gruppenrichtlinienanwendung: 26.04.2005 at 21:46:59
   Gruppenrichtlinie wurde angewendet von: Nicht zutreffend
   Gruppenrichtlinienschwellenwert für langsame Verbindung:   500 kbps

   Angewendete Gruppenrichtlinienobjekte
   --------------------------------------
       Nicht zutreffend

   Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
   ----------------------------------------------------------------------------
------------
       Richtlinien der lokalen Gruppe
           Filterung:  Nicht angewendet (Leer)

   Der Computer ist Mitglied der folgenden Sicherheitsgruppen:
   -----------------------------------------------------------
       Administratoren
       Jeder
       Authentifizierte Benutzer


BENUTZEREINSTELLUNGEN
----------------------

   Zeit der letzten Gruppenrichtlinienanwendung: 26.04.2005 at 21:46:59
   Gruppenrichtlinie wurde angewendet von: Nicht zutreffend
   Gruppenrichtlinienschwellenwert für langsame Verbindung:   500 kbps

   Angewendete Gruppenrichtlinienobjekte
   --------------------------------------
       Nicht zutreffend

   Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
   ----------------------------------------------------------------------------
------------
       Richtlinien der lokalen Gruppe
           Filterung:  Nicht angewendet (Leer)

   Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
   -----------------------------------------------------------
       Kein
       Jeder
       Administratoren
       Benutzer
       LOKAL
       INTERAKTIV
       Authentifizierte Benutzer

C:\Dokumente und Einstellungen\Anwender>

Also an sich nichts besonderes. Ich versteh nicht, warum das nicht funktioniert....

Will ich eine Office Anwendung starten bekomme ich nur die o.g. Fehlermeldung.

Gibts dafür jetzt schon eine Lösung.

Habe das Problem auf einem WinXP Prof ohne Domain als lokaler Admin.

Ebenfalls bei der Installation von Office 2003 Prof.

Vielleicht hilft ein Office Update? WinXP ist komplett hochgepatcht.

Allerdings gab es denselben Fehler glaub ich auch bei der Office 2k Install, die ich vorher drauf hatte..

Hallo, danke für die schnelle Antwort.

Ich weiß aber nicht, ob ich dich richtig verstehen, bzw. ob du mich richtig verstanden hast.

Deine Lösung scheint zu verhindern, daß mein Rechner eine Freigabe für fremde User ermöglicht.

Ich meinte aber ein anderes Szenario. Vielleicht erklär ich es doch mal ein wenig genauer.

Also:

Ich habe einen Client, der gruppenlinientechnisch ziemlich dicht gemacht worden ist. => der User kann keine Freigaben setzen, noch kann er die Netzwerkumgebung sehen. Dieses System beinhaltet Nutzdaten aus unserem Unternehmen, mit evtl. Nutzdaten aus anderen Unternehmen muß evtl gearbeitet werden. Hierfür wird der Austausch der Daten per FSS oder per CD veranlaßt. USB-Stick und selber brennen ist nicht möglich.

Jetzt besteht doch aber die Möglichkeit, daß wenn ein "Kunden-PC" sich in dem selben IP Adressbereich bewegt und der Kunde administrative Rechte auf seinem Rechner hat er eine Freigabe erstellen kann, worauf auch das eigentlich ziemlich abgeschottete (also unser) PC zugreifen kann über \\kundenrechnerip\

Hier kann also wieder mit den Daten frei getauscht werden, oder nicht. (Auch wenn wir es verhindern wollten)

Gibt es dafür eine Lösung?

Z.B. das man nur Freigaben von Rechnern erlaubt, die in der selben Domain sind?

Ich weiß, das ist ziemlich abgefahren, aber wir haben halt kritische Nutzdaten und der User hat nicht zu entscheiden, wie damit umzugehen ist.

Hallo,

kennt ihr eine Möglichkeit einem Rechner in einem LAN zu verbieten zu "fremden" Hosts zu connecten?

Also angenommen ich habe IP:192.168.111.100

Kennt jemand meinen IP Kreis kann er ja seinen Rechner in den selben Kreis configgen und eine Freigabe machen. Damit kann ich ja nicht sicher sein, das meine Daten nicht verschwinden...

Kennt ihr da eine Möglichkeit den IP- Verkehr nur auf die Domain zu beschränken...??

Hmm, gebe ich dem WLAN Adapter dieselbe IP, wie der Netzwerkkarte, dann geht es...

Anscheinend gibt es da eine Routing Tabelle? Kein Plan wo... Seltsame Sache

192.168.0.10===VPN===192.168.0.100(HOST)==>192.168.0.201(VM_VPNSERVER) geht

192.168.0.10===VPN===192.168.0.111(HOST)==>192.168.0.201(VM_VPNSERVER) geht nicht

Egal, jetzt gehts ja.

Closed

Hi,

hmm ich habe das vpn auf die virtuelle IP geleitet.

Ich werd mal konkreter:

NIC im Host: 192.168.0.100

WLAN im HOST: 192.168.0.111

IP der VM: 192.168.0.201

Der virtuellen Machine schient es egal zu sein, welche "Netzwerkkarte" (NIC oder WLAN) er bridged.

=> Starte ich den Host und die vm per CAT5 hat die VM 192.168.0.201

=> Starte ich den Host und die vm per WLAN hat die VM 192.168.0.201

für surfen und WTS und die meisten anderen Dienst schient dieser Wechsel kein Problem gewesen zu sein...

Aber VPN Einwahl bringt ein TimeOut =>seltsam<=

Als Router verwende ich momentanden Netgear WGT624

Hi :D

Ich habe auf einer vmware einen w2k3 Server installiert.

dort habe ich vpn aktiviert.

Ist meine Hostmaschine über normales Netzwerkkabel verbunden funktioniert die Einwahl einwandfrei.

Da ich nicht tag ein tag aus ein kabel durch die wohnung liegen haben kann dachte ich mir, daß ich das ganze über wlan mache.

also wlan drangemacht (mit WEP da mein USB Stick nur WEP kann ), kabel weg.

host: internet geht

vm: internet geht. selbst wts funktioniert... ping geht (intern)

will ich mich aber über vpn einwählen (intern/extern) kriege ich einen timeout.

hat da jemand eine Idee, oder kann das nicht funktionieren, da 2 verschlüsselungen laufen und die gre pakete vom vpn verschlüsselt (durch wep?)nicht umgesetzt werden können?