RalphT

PC1 und 2 liegen im Netzwerk 192.168.2.0, ihre Broadcastadresse ist 192.168.2.255. D.h. Wenn PC1/2 nach PC3/4 sucht, vermutet er doch diese Adresse im eigenen Subnetz. PC1 oder 2 würden doch nie das Standardgateway befragen, oder? Ich fragte deshalb, weil diese Kombination funktionierte. Also PC1 oder 2 hatten Vollzugriff auf die PCs 3+4. Allerdings konnten PC3+4 nicht den PCs 1+2 sehen oder anpingen (was für mich auch logisch ist). Jetzt musste ich den Switch wegen eines Defektes tauschen. Mit dem neuen Switch ist von PC1/2 kein Ping nach PC3/4 möglich.

Hallo, ich habe mal zwei Fragen zum Subnetting: Die Konfiguration ist aus der Zeichnung ersichtlich. Können PC1 und PC2 auf PC3 und PC4 zugreifen? Und können PC3+4 auf PC1+2 zugreifen? Alle Rechner sind über einen normalen Switch verbunden.

* Nochmal hochhol * Vielleicht hatten ja viele über Ostern Urlaub und/oder hatten bei dem schönen Wetter keine Lust in irgendwelchen Foren rumzustöbern.

Hallo olc, ich habe nun etwas Zeit gehabt und wollte eigentlich 2 Dinge realisieren: 1.) Einem Domänenmitglied über eine VPN-Einwahl auf einem RAS-Server einen Zugang mit einem Zertifikat zu ermöglichen. 2.) Das Ganz auch mit einem Nicht-Domänenmitglied (soweit bin ich aber nicht) Zum ersten Punkt haben sich ein paar Fragen aufgetan. Ich bin nach der Anleitung von Gruppenrichtlinien - Übersicht, FAQ und Tutorials vorgegangen. Ich habe von einer Workstation ein Benutzerzertifikat agefordert und auch auf der WS gleich im lokalen Zertikatspeicher installieren lassen. Meine Fragen: Die Einwahl klappt natürlich nicht. Muss der RAS-Server auch ein Zertifikat besitzen? Ich denke ja, nur welches muss ich wie installieren? Denn im Ereignisprotokoll des RAS-Servers steht: "Das Zertifikat des RAS-Servers konnte aufgrund des folgenden Fehlers nicht abgerufen werden. Das Objekt oder die Eigenschaft wurde nicht gefunden." Die Umstellung auf dem RAs-Server und auf dem Client für die Einwahl auf Zertikatbasis habe ich nach der Anleitung vorgenommen. Wenn ich mich einwähle, fragt er mich nicht mehr nach dem Namen und Passwort. Ist das richtig? Ich dachte, hier wird Name + Passwort + Zertifikat benötigt. Bei dem jetzigen Zustand sieht es so aus, dass nur das Zertifikat im lokalen Speicher benötigt wird.

Ich habe mir in VM je Betriebssystem einen Rechner fertiggestellt. Dort sind nur die Windows-Updates drauf, sonst nichts. Alles andere, wie IIS installieren, in eine Domäne bringen oder andere Feinheiten werden später durchgeführt. Das kostet kaum Zeit. Allerdings hatte ich erst vor kurzem ein Problem, dass ich mit einem Windows 2003 Server mich einer Domäne anschließen wollte. Das ging noch, aber ein Anmelden nach dem Neustart wurde mir wegen doppelter SIDs verweigert. Ok mit einem Tool eine neue SID vergeben, danach gings aber auch. Allerdings weiß ich nicht mehr genau, was ich dort wie dupliziert hatte. Ich mache mir immer gerne viele Sicherheitskopien. Bloß manchmal notiere ich mir nicht immer den genauen Stand.

Erstmal Danke für die Antwort, ich fange schon mal an das alles hier abzuarbeiten. Du hattest Recht, der Fehler ist jetzt weg. Das andere werde ich erst wohl am Wochenende testen können. Ein Backup ist hier kein Problem, da ich mit VMware arbeite. Allerdings hatte ich vorher Probleme, die aufgrund von VMware erst entstanden sind: Man macht sich ja eine Vorlage, kopiert immer fleißig die virtuellen Rechner und ändert sie nur bei Bedarf um. Leider hatte ich dabei übersehen, dass zwei virtuelle Rechner die gleichen MAC-Adressen hatten. Dadurch gab es Fehlermeldung im Active Directory und im DNS. Daher lag bei einem Problem die Vermutung nahe, dass es ein DNS-Problem sein könnte. Nachdem ich aber diesen Fehler behoben hatte, war zwar das Ereignisprotokoll rein, das Problem mit den Vorlagen bestand aber noch. Ich habe jetzt diese Seite in dem IE unter "Vertrauenswürde Sites" eingetragen und seit dem geht es auch. Zu den anderen Vorschlägen melde ich mich nochmal.

So, hat etwas länger gedauert, da anderes wichtiger war. Ich habe hier erst einmal die ACLs: Access list: Effective Permissions on this object are: Allow NT-AUTORITÄT\Authentifizierte Benutzer SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow MEINE-FIRMA\Organisations-Admins SPECIAL ACCESS READ PERMISSONS WRITE PERMISSIONS CHANGE OWNERSHIP CREATE CHILD LIST CONTENTS WRITE SELF WRITE PROPERTY READ PROPERTY LIST OBJECT CONTROL ACCESS Allow NT-AUTORITÄT\SYSTEM FULL CONTROL Allow MEINE-FIRMA\Organisations-Admins FULL CONTROL <Inherited from parent> Allow MEINE-FIRMA\Domänen-Admins SPECIAL ACCESS <Inherited from parent> DELETE READ PERMISSONS WRITE PERMISSIONS CHANGE OWNERSHIP CREATE CHILD LIST CONTENTS WRITE SELF WRITE PROPERTY READ PROPERTY LIST OBJECT CONTROL ACCESS Permissions inherited to subobjects are: Inherited to all subobjects Allow MEINE-FIRMA\Organisations-Admins FULL CONTROL <Inherited from parent> Allow MEINE-FIRMA\Domänen-Admins SPECIAL ACCESS <Inherited from parent> DELETE READ PERMISSONS WRITE PERMISSIONS CHANGE OWNERSHIP CREATE CHILD LIST CONTENTS WRITE SELF WRITE PROPERTY READ PROPERTY LIST OBJECT CONTROL ACCESS The command completed successfully Gebe ich nur den NetBIOS-Namen ein, dann fragt er micht nicht nach dem Passwort. Die Weboberfläche sieht etwas anders aus, aber der Link "Eine Anforderung an..." findet sich da auch. Hier gibt es keine Fehlermeldung. Jetzt habe ich dazu aber noch Fragen: Wie fordere ich über die MMC ein Zertifikat an? Soll ich das von einem beliebigen Rechner machen oder direkt auf der CA? Dann zu den Vorlagen: Wenn ich nur den NetBIOS-Namen eingebe, dann sehe ich die Vorlagen. Allerdings nur 5 Stück (Administrator, Benutzer, Webserver und noch 2 andere). Ich dachte in den Vorlagen seien Vorlagen wie Smartcard-Benutzer, Exchange Benutzer, IPSec nur um 3 zu nennen. Dort sind 31 Stück gelistet.

Also der DC hat Windows 2003 Server Enterprise SP2 (hardwarebasiert) Der CA hat Windows 2003 Standard SP2 (unter VMware) Bis zum Client bin ich noch garnicht gekommen, da ich die Weboberfläche schon seit Anfang an auf dem CA selber aufrufe. Ich hatte ganz zum Anfang eine Eigenständige Zertifizierungsstelle installiert. Dann hatte ich den Beitrag in Gruppenrichtlinien.de gelesen und dort sollte man eine Unternehmens Zertifizierungstelle installieren. Also habe ich den ersten Mitgliedsserver mit der Eigenständigen Zertifizierungsstelle aus der Domäne entfernt und den Server abgeschaltet (über VMware) Dann einen neuen in die Domäne gebracht und dort dann Unternehmenszertifizierungsstelle installiert. Kann hier irgend etwas schief gelaufen sein? Ich bin schon kurz davor einen eigenen DC aufzusetzen, dann ein Memberserver und dort nochmal die CA zu installieren. Vielleicht liegt es ja nicht an der CA, sondern an meiner Umgebung.

@ OLC: Also mit certmgr.msc habe ich auch schon probiert. Hierbei gibt es keine Probleme. Ich habe mir eine Benutzerdefinierte MMC auch schon mal zusammengestellt. Dort habe ich auch die Zertifikatvorlagen hinzugefügt. Die lassen sich dort anzeigen, Kopien erstellen und bearbeiten. @grizzly999 Im Ereignislog steht nichts an Fehlern, was auf das Zertifikatsproblem schließen würde. Ich habe mir die Logs auf dem DC und dem Zertifikatsserver angesehen. Ich hatte mal irgendwo gelesen, dass dieses Phänomen auftritt, wenn die Zertifizierungsstelle und der Webregistrierungssupport auf dem gleichen Rechner installiert sein soll. Ob ich das mal trennen sollte? Ich denke mal, wenn ich lokal über eine MMC an die Vorlagen komme, dann scheint der Wurm ja wohl irgendwie mit dem IIS zusammhängen. Ich hatte auch mal auf dem DC direkt über die Weboberfläche die Zertifizierungsstelle aufgerufen. Allerdings auch hier der gleiche Fehler.

Ich hatte dort vorher schon nachgesehen. Tatsächlich waren dort per default 2 Ordner (Cert Enroll / Cert Controll) auf Anomymous gesetzt. Ich bin dann auf Standardwebseite und habe dort die Verzeichnissicherheit auf Windows Authentifizierung gesetzt. Die unteren 3 Ordner wurden auch so übernommen. Zur Sicherheit habe ich noch mal einen Neustart gemacht - aber ohne Erfolg.

Hallo, ich habe folgendes: 1 DC Windows-Server 2003 1 Mitgliedsserver Windows 2003 auf dem eine Unternehmenszertifizierungsstelle und der Webintegrator installiert ist. Auf dem Zertifizierungsserver: Ich greife über die Adresse: http://name-server/meine-domain.local/certsrv auf die Weboberfläche zu. Dann dort auf den Link Ein Zertifikat anfordern, anschließend auf den Link Eine Anforderung an diese Zertifizierungsstelle.. Anschließend kommt die im Betreff genannte Fehlermeldung. Jetzt habe ich schon fleißig gegoogelt und bin auf folgende Lösung gestoßen: "Wird keine Zertifikat-Vorlage Gefunden Fehlermeldung, wenn ein Benutzer Zertifikat von Webregistrierungsseiten der Zertifizierung-Stelle anfordert" sowie eine sehr gute Beschreibung hier: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Ich habe die Datei CERTDAT.INC auf dem und unter ADSIE-Edit nachgesehen und alles auf Kleinbuchstaben geändert. Leider ohne Erfolg. In den Gruppenrichtlinien sind zwar schon einige GPOs vorhanden, aber an den Standardrechten habe ich nicht verstellt. Hat noch jemand eine Idee, wonach man suchen könnte?

Hallo, in einem Terminalserver habe ich folgendes festgestellt: Urplötztlich am nächsten Tag waren bei jedem User (incl. Administrator) die Reg-Einträge RUN weg. D.h. der Schlüssel "RUN" unter HKEY_CURRENT_USER fehlte bei jedem komplett. Kann man feststellen, woher (User) diese Löschung kam? Kann man überhaupt gleichzeitig einen bestimmten Schlüssel für alle User gleichzeitig löschen? Der Fehler ist natürlich wieder weg, mich würde aber die Ursache doch sehr interessieren. Weiß jemand Rat?

So, jetzt bin ich etwas schlauer geworden. Ich habe es mit einem virtuellen PC (WIN XP Prof.) ausprobiert. Mit ihm funktioniert das. Es muss wohl am Client liegen. Fragt sich nur wo.

Ich habe hier z.Z. auf meinem PC zwei virtuelle Rechner. Einer ist ein 2k-Server die andere WIN XP Prof. Dort habe ich das auch ausprobiert. Hier funktioniert es. Ich habe das mal eben auf die Schnelle verglichen: Der Ordner Profile hat die gleichen Sicherheitseinstellung wie der 2k3-Server. Der Ordner darunter des Users hat auch die gleichen Sicherheitseinstellungen. Hier haben die User Vollzugriff. Ich habe z.Z. die Vermutung, dass im 2k3-Server wo es nicht funktioniert irgendwo Rechte fehlt. Vielleicht in den Sicherheitseinstellungen der Ordner Windows oder System32.

Was mir noch einfällt: Ich werde heute abend das mal mit einer anderen Arbeitsstation probieren. Muss es allerdings mit einer virtuellen machen. Aber das sollte ja zum Testen reichen.

Die Workstation hat WIN XP Prof.

Ja leider, das kann er. Ich habe eben nochmal gerade das versucht: Nutzer aus der Gruppe Domain-Admin entfernt. Lokales Profil gelöscht. Mehr nicht. Jetzt an der Arbeitsstation diesen Nutzer angemeldet und wieder abgemeldet. In diesem Augenblick wird das Profil auf den Server geschrieben. Alles ok. Jetzt dem Nutzer in die Gruppe der Domain-Admins hinzugefügt. Jetzt wieder die gleiche Prozdur: Nutzer an der Arbeitsstation angemeldet und wieder abgemeldet. Es wird kein Profil auf den Server geschrieben. Jetzt den Nutzer wieder aus der Gruppe der Domain-Admins herausgenommen. Jetzt könnte man denken, es funktioniert. Nein es geht nicht mehr. Einmal der Gruppe der Domain-Admins beigetreten, dann gehts nicht mehr. Jetzt müsste man das lokale Profil auf dem Client löschen, danach ginge es wieder.

Also der Pfad stimmt. Wie Du schon geschrieben hast, nur durch das Wegnehmen der Gruppe "DomainAdmin" kommt der Fehler. Mit Verweigerungen arbeite ich nicht. Habe zwar nicht alles auf Verweigerungen durchgesehen, aber ich gehe mal davon aus, dass keine gesetzt sind.

Hallo, ich habe einen 2k3-Server eingerichtet. Auf diesem Server sind 10 User als Benutzer und 2 Benutzer als Admin eingerichtet. Beim Erstellen der Servergespeicherten Profile für die Benutzer gab es keine Probleme. Das Profil wird nach dem Abmelden auf die Festplatte des Servers geschrieben. Leider macht er das bei den beiden Benutzern nicht, die in der Gruppe DomainAdmin sind. Ich habe den einen DomainAdmin aus der Gruppe DomainAdmin herausgenommen. Es funktionierte danach. Ich habe hier gelesen, dass es wohl Probleme geben könnte, dass der Admin selber keine Rechte auf seinem Profilpfad haben könnte. Das kann bei mir eigentlich nicht zutreffen, da ich 1. per Netzwerkumgebung jederzeit etwas auf meinen Profilpfad schreiben kann und 2. ich per Gruppenrichtlinie, die Funktion "Eigentümer von servergespeicherten Profilen nicht prüfen" deaktiviert habe. Unter Arbeitsplatz - Eigenschaften - Erweitert - Benutzerprofile - Einstellung wird angezeigt, dass das Profil servergespeichert ist. Es gibt auch keine Fehlermeldung. Woran könnte das denn liegen, dass das Profil nicht auf den Server geschrieben wird?

Hallo, ich hoffe, dass das Thema ist nicht ganz OT ist. Ich suche ein Programm, dass alle Internetverbindungen mitprotokolliert. D.h. alle URLs, alle Downloads und speziell die Webmailer müssen protokolliert werden. Es geht darum, dass ein Mitarbeiter nicht einfach sich was unbemerkt nach Hause per Webmailer schicken kann. Ich denke es gibt da sicherlich Freeware, aber ich habe noch nichts ergooglen können. Ein Keylogger o.ä. kommt nicht in Frage. Ich benötige nur die Verbindungen ins Internet. Eine Möglichkeit wäre ein Proxyserver, der dem eigentlichen Router vorgeschaltet wird. Oder eine Firewall. Nur dann benötige ich wieder einen PC und ich habe kein Platz mehr im Netzwerkschrank. Ich hoffe Ihr könnt mir Tipps geben.