-
Gesamte Inhalte
17.751 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von IThome
-
-
Noch was zum Thema NAT-T und Windows ...
http://www.windowsecurity.com/articles/NAT-Traversal-Security.html
http://support.microsoft.com/default.aspx?scid=kb;en-us;818043
-
L2TP=UDP 1701
PPTP=TCP 1723
GRE=IP-Protokoll 47
IKE=UDP 500
NAT-Traversal=UDP 4500
IPSec ESP=IP-Protokoll 50
-
Es werden .spl und .shd Dateien im Spool-Ordner erzeugt, ich glaube, die werden nicht durch einfaches Beenden und Starten des Spoolers gelöscht, aber das könnte man ja zwischen net start und net stop einbauen ...
@Weasel
Was ist B.A.f.H. ?
-
Wenn man das auch alles lesen würde, ich hab ja bald mehr an Bookmarks zu lesen, als ich Bücher im Schrank habe ... :D
-
Falls Du Buchstaben für den Zugriff benutzt, sind diese Buchstaben nach den 10 Minuten mit einem roten Kreuz versehen und wenn Du mehrmals drauf doppelklickst (es kommen Fehlermeldungen) dann schliesslich doch drauf kommst (nach 3 oder 4 Versuchen) ?
-
Ja, bei fast allen Installationen, die ich mache, unter anderem auch mit Vigor-Watchguard Kombinationen ...
-
Kann man das nicht auch mit Hilfe von Anmeldezeiten der Benutzer in Verbindung mit der Richtlinie "Abmeldung nach Ablauf der Anmeldezeit erzwingen" machen ?
edit: Die Richtlinie ist falsch, ich meine "Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird"
-
NAT-Traversal (UDP 4500) benötigst Du immer dann, wenn zwischen den beiden Parteien einer IPSec-Verbindung ein NAT-Gerät steht, egal auf welcher Seite. Würdest Du Dich mit Deinem Client direkt ins Internet einwählen, bräuchtest Du kein NAT-T, da keiner der beiden Parteien seine IKE-Pakete (UDP 500) durch ein NAT-Gerät schicken muss.
Diese Beschreibung ist nicht so laienhaft :D
http://www.microsoft.com/technet/community/columns/cableguy/cg0802.mspx
-
Hier steht alles, was Du wissen musst
-
Schön, dass es geklappt hat :)
-
Den 2003 konfigurierst Du als zusätzlichen Domänencontroller für eine bestehende Domäne (aber erst, nachdem Du die bestehende Domäne mit adprep vorbereitet hast). Wenn er dann nach dem Durchlaufen von dcpromo und dem anschliessenden Neustart wieder einsatzbereit ist, änderst Du den Lizenzserver und den GC wie oben beschrieben. Wenn Du dann via dcpromo den W2K runterstufst (Vorsicht, er ist NICHT der letzte Domänencontroller der Domäne), werden auch die 5 FSMOs an den 2.DC (W2K3) übertragen und der W2K ist fortan ein Memberserver, den Du natürlich auch aus dem Verzeichnis entfernen kannst.
Das Übertragen des GC ist einfach einen Haken setzen und einen löschen, das Übertragen des Lizenservers besteht eigentlich nur aus dem Auswählen des zukünftigen Servers.
edit: mit GC meine ich den Globalen Catalog
-
Ja, er muss als 2. DC in die Domäne gebracht werden.
Den Standortlizenzserver und den GC kannst Du mit dem Tool Active Directory Standorte und Dienste konfigurieren (unter Sites auf Deinen Standort klicken, auf der rechten Seite siehst Du dann den Lizenzserver, den GC findest Du unter dem Servernamen - NTDS-Settings - Eigenschaften)
-
@Grizzly
Stimmt, ich mag nur diese Automatik nicht :D
-
1. OU anlegen
2. TS in die OU verschieben
3. Gruppenrichtlinienobjekt in dieser OU erzeugen
4. Computer- UND Benutzereinstellungen konfigurieren (wichtig ist, dass der Loopbackverarbeitungsmodus konfiguriert wird)
5. Die Sicherheit des GPOs konfigurieren (dem Verwalter die Berechtigung "Gruppenrichtlinie übernehmen" verweigern, da sonst auch der Verwalter eingeschränkt ist und unter Umständen nicht mehr verwalten kann)
Jeder Benutzer, ausser dem Verwalter, wird jetzt je nach Konfiguration von Deinen Einstellungen eingeschränkt, wenn er sich via Remote Desktop am TS anmeldet (und nur dann), und das, obwohl sich der Benutzer nicht in der OU befindet, auf die Du die Richtlinie anwendest. Meldet der Benutzer sich nur an seinem Rechner an, bekommt er von diesen Einschränkungen gar nichts mit ...
-
Ich schätze, dieser Link hilft Dir weiter :)
http://support.microsoft.com/default.aspx?scid=kb;en-us;270836
-
Hast Du eine OU erstellt, den TS und nur den TS in diese OU verschoben, dann eine GPO erstellt (mit Loopbackverarbeitungsmodus auf ersetzen) mit allen Einstellungen, die im Computer- und Benutzerbereich wichtig sind, dieses GPO in die Gruppenrichtlinie der OU gelinkt und dem Verwalter mit Hilfe der Sicherheitseinstellung "Gruppenrichtlinie übernehmen" den Zugriff verweigert ?
Oder wo hast Du welche Richtlinienobjekte gelinkt ?
-
1. mit Hilfe von adprep.exe die 2000 Domäne vorbereiten
2. den 2003 Server der 2000-Domäne als 2. DC zufügen
3. die FSMO-Rollen des 2000 DC auf den 2003 DC übertragen
4. den Standort-Lizenzserver übertragen
5. den 2003er zum GC machen, dem 2000er den GC entziehen
6. den 2000er herunterstufen
Dieses beruht auf der Annahme, dass du nur einen W2K-DC hast. Denke auch an die DNS-Konfiguration, am besten eine AD-integrierte Zone benutzen ...
-
Loopbackverarbeitungsmodus auf "Zusammenführen" stellen ?!
-
Bis auf den fehlenden Leerschritt korrekt ;)
-
Ich poste einfach mal ... :)
http://support.microsoft.com/kb/842804/de
http://www.eventid.net/display.asp?eventid=1058&eventno=1752&source=Userenv&phase=1
http://www.eventid.net/display.asp?eventid=1030&eventno=1542&source=Userenv&phase=1
Vielleicht ist da ja was bei, was Du noch nicht gefunden hast ... ;)
-
Ich habe zufällig einen, wie ich finde, sehr interessanten Artikel zum Thema Gruppenrichtlinien gefunden
http://www.microsoft.com/germany/technet/datenbank/articles/600865_1.mspx
-
Poste bitte noch mal die Fehlermeldungen vom SBS möglichst genau (Event Id, Quelle usw.), oder war das, was oben geschrieben steht, alles an Fehlermeldungen?
-
Ja, Feedback wäre klasse, generell :)
-
Danke für das Feedback :)
NAT-T Verständnis Frage
in Windows Forum — LAN & WAN
Geschrieben
Ich verbinde mich mit meiner Maschine von zu Hause auch mit externen Firmen. Die Verbindung ist entweder
PC --> Vigor 2900G --> Internet --> Watchguard Firebox --> Externe Firma
oder
PC --> Vigor 2900G --> Internet --> Vigor mit dyn. Adresse --> Firebox --> Externe Firma
Ich benutze allerdings kein L2TP/IPSec sondern nur IPSec. Ich verbinde mich mit Hilfe eines Safenet-Clients mit der VPN-Appliance.
Die Verbindung zu meinem Vigor von der Firma aus realisiere ich allerdings auch nur mit PPTP, da die L2TP-Verbindung auch nicht so recht klappen wollte. Eine Verbindung mit dem Safenet-Client zu Vigor wird zwar hergestellt, aber es fliessen keine Daten (weiss im Moment auch nicht, worauf ich dieses Verhalten zurückführen soll :suspect: )
edit: der 2200er beherrscht NAT-T, diese Geräte setzen wir als Zugangsrouter ein bei Firmen, die keine feste IP-Adresse bezahlen wollen.