matthias_m

Ach Jungs!

Im Prinzip ja, bis auf den DC, ich habe vollen Zugriff, und kann im Prinzip alles machen.

Am besten halt mit den Sicherheitsrichtlinien.

Meine Frage lautet einfach nur wie ich das mit den Policies ans laufen bekomme,

Hardware Änderungen oder ein komplett neues Konzept (Was natürlich 1. Wahl wäre, aber ich habe dabei nunmal nichts zu melden, ich muß nur die Suppe auslöffeln) stehen daher nicht zur Debatte.

Danke für die Antworten,

aber das mit dem VLAN ist das gleiche Problem wie mit dem der MAC Adressen im Switch zu filtern, wäre zwar das Optimimum, aber nur schwer durchführbar aus besagten Gründen.

Ich hatte jetzt mehr in Richtung Gruppenrichtlinien gedacht, dort gibt es Optionen "ohne ende"

unter anderem auch Zugriffe aus dem Netzwerk zu erlauben oder sperren, aber leider komme ich damit nicht so ganz zurecht, und wenn ich ihm sage er soll die Domäne zulassen, kommen andere Rechner dennoch auf die Server, weil das mit dem Deny irgendwie nicht klappt.

Gruß

Matthias

Naja, die hat der Systemadmin vergeben, dieser hat nun gesagt macht das jetzt sicher,

aber lasst mein System in Ruhe.

Sinngemäß, ist ne komplizierte Geschichte.

Ich habe vollen Zugriff auf den DC, und kann zur Not auch neue User Anlegen, aber das alte soll so bleiben.

Das ist halt jetzt alles nichts vernünftiges, aber irgendwie muß ich das ans laufen bekommen.

Es gibt nur Firmen accounts, und auch die Administratoren dürfen nicht von einem anderen Rechner (Linux) auf das System zugreifen! Ist eigendlich ein schlechter Witz ich weiß, aber ist nunmal so.

Also das über eine Benutzeranmeldung zu machen läuft nicht.

es ist ein altes konzept, an dem nun mal schwer zu rütteln ist.

Ich kann es nicht ändern, ich suche nur eine alternative.

mmh, ok, wäre die letzte alternative, aber auch nur die letzte.

da wie gesagt mehrere Firmen die Verantwortung für die einzelnen Switche haben, und das wird ein riesen Aufwand, da überhaupt Genehmigungen für zu bekommen etc.

Wäre super wenn da noch einer einen Vorschlag mit dem DC hat.

Wie meinst du das?

Ich habe mehrere Netze, und alle Clients tauchen im DC auf, und melden sich dort an.

Nur ein paar Rechner innerhalb der Netze die nicht in der Domäne sind, soll der Zugriff verweigert werden.

MAC Adressen sperren wäre schon schlecht, da es mehrere Switche sind, und weit über 100 Server!

Ich wollte das nicht eintragen ;)

Eine Option (die es wahrscheinlich auch gibt) nur Zugriff innerhalb der Domäne zu erlauben wäre hier genau das richtige, und ich hoffe das das am DC möglich ist.

was gibt es denn für eine andere Lösung?

Das mit den MAC Adressen haben wir uns auch schon überlegt, aber das Problem ist das da noch andere Firmen mit beteiligt wären, die das machen müssten.....

Das muß irgendwie so gehen.

Ich habe es via ISS mal probiert, aber das hat auch nicht so geklappt.

Hallo!

mein Problem sieht wie folgt aus:

Ich habe diverse Server, alle Win2K Server, und 1 Domain Controller auch Win2K.

Nun möchte ich sicherstellen das sich nur diese Server innerhalb der Domain "unterhalten" können.

Also wenn ich einen Rechner habe der nicht in der Domain ist (z.B. Linux, oder Privater Laptop) dann dürfen diese Rechner nicht auf die Ressourcen zugreifen dürfen auch nicht auf die internen Web Server.

Wie kann man so etwas realisieren, ohne das ganze Netz umstellen zu müssen?

Es muß doch einen Weg geben nur Zugriff inerhalb der Domain zu erlauben.

Kennt sich da jemand aus?

Gruß

Matthias

1 Server läuft mittlerweile, aber die anderen die im gleichen Container sind, gehen nicht.

via gpresult habe ich herausgefunden, das bei den anderen Servern noch die domain policy geladen wird, obwohl sie nicht applied ist.

zusätzlich werden noch local policies geladen, da wurden aber nie einstellungen gemacht,

Wie kann ich diese deaktivieren?

Danke!

Ich habe in den OU´s nun die Gruppen gelöscht, und stattdessen wie in deinem Link beschrieben, die Computer direkt dahin verschoben. Aber dennoch kein Unterschied.

Hi,

Danke dir, das hat mich etwas weiter gebracht ;)

Ich habe jetzt 2 Container erstellt, einen für die Server, und einen für die WS.

In jedem Container befindet sich jetzt die jeweilige Gruppe für die die Policy gelten soll.

Wenn ich jetzt die jeweilige GP auf die jeweiligen Container anwende, passiert nichts.

Nur wenn ich die GP auf die gesammte Domaine anwende wird sie aktiv!

Irgendwie fehlt mir jetzt der nötige Ansatz da weiter zu machen.

Hast du noch ein Tip?

Gruß

Matthias

Hallo,

ich habe einen Domaincontroller, und diverse Server in der Firma, sowie ein paar Workstations.

Ich habe mehrere Benutzer Gruppen, die auf alle Server uns WS Zugriff haben.

Jetzt möchte ich eine Group Policy für die Server und eine für die WS haben, aber leider klappt das nicht.

Unter Eigenschaften der Gruppenrichtlinie, habe ich einmal die Gruppen zugewiesen, und die Group Policy überall aktiviert.

Bei der 2. GP habe ich die WS unter Security mit eingetragen und bei denen die GP aktiviert, und nicht bei den Gruppen. No Override ist bei der GP aktiviert.

Was mache ich falsch?

Gruß

Matthias

ich habe nur was von der 1.1 gelesen, aber erstmal egal, denn jetzt läuft es!!

Ein Benutzername im Zielrouter hat gefehlt,

ich wußte nicht mal das der den braucht!

Der rest war dann kein Thema mehr.

Danke dir, ich habe viel gelernt! ;)

Hi, ist etwas umständlich das Posten der Meldungen da ich schlecht angebuden bin.

Da steht authentication failure, und ich denke das sagt wohl alles.

Username serverb fehlt, daraufhin habe ich ihn auf dem wählenden router erstellt.

Der User heisst jetzt wie der Router b.

Die Meldung das der User fehlt erscheint nicht mehr, der authentication failure bleibt.

Was kann ich tun?

Die Software Versionen sind bei beiden Identisch 1.2 bzw 1.1 ISDN Bri.

01:06:30: BRI: enable channel B1

01:06:30: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up

01:06:30: BR0:1 PPP: Treating connection as a callin

01:06:30: %ISDN-6-LAYER2UP: Layer 2 for Interface BR0, TEI 73 changed to up

01:06:30: BRI: disable channel B1

01:06:30: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down

01:06:30: %DIALER-6-UNBIND: Interface BRI0:1 unbound from profile Dialer1

01:06:150323896320: ISDN BR0: RX <- SETUP pd = 8 callref = 0x20

01:06:150323855360: Sending Complete

01:06:150323896320: Bearer Capability i = 0x8890

01:06:150323896320: Channel ID i = 0x89

01:06:150323896320: Calling Party Number i = '!', 0x81, '123'

01:06:150323896320: Called Party Number i = 0xC1, '345'

01:06:35: %DIALER-6-BIND: Interface BRI0:1 bound to profile Dialer1

01:06:35: BRI 0 B1: Set bandwidth to 64Kb

01:06:35: BRI: enable channel B1

01:06:35: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up

01:06:35: BR0:1 PPP: Treating connection as a callin

01:06:35: ISDN BR0: TX -> CONNECT pd = 8 callref = 0xA0

01:06:154618863616: ISDN BR0: RX <- CONNECT_ACK pd = 8 callref = 0x20

01:06:36: BRI: enable channel B1

01:06:36: BRI 0 B1: Set bandwidth to 64Kb

01:06:36: BR0:1 PPP: Phase is AUTHENTICATING, by both

01:06:36: BR0:1 CHAP: O CHALLENGE id 24 len 30 from "b"

01:06:36: BR0:1 CHAP: I CHALLENGE id 103 len 40 from "a"

01:06:36: BR0:1 CHAP: Waiting for peer to authenticate first

01:06:37: BRI0:1 : QMC chan 0: Maximum receive frame length violation!

01:06:158913830912: ISDN BR0: RX <- DISCONNECT pd = 8 callref = 0x20

01:06:158913789952: Cause i = 0x8590 - Normal call clearing

01:06:37: %ISDN-6-DISCONNECT: Interface BRI0:1 disconnected from 123 , c

all lasted 1 seconds

01:06:37: BRI: disable channel B1

01:06:37: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down

01:06:37: %DIALER-6-UNBIND: Interface BRI0:1 unbound from profile Dialer1

01:06:37: ISDN BR0: TX -> RELEASE pd = 8 callref = 0xA0

01:06:37: Cause i = 0x10 - Unknown Cause value

01:06:37: IE out of order or end of 'private' IEs --

Segmented Message i = Decode Error: len -1 overflows frame

01:06:37: Decode Error: IE Length Error (0x43)

01:06:158913830912: ISDN BR0: RX <- RELEASE_COMP pd = 8 callref = 0x20

01:06:37: BRI: disable channel B1

Ich habe irgendwas anderes nochmal debugged, und eine andere Meldung erhalten,

Maximum receive frame length Violation!

Es sind aber 2 Cisco Router der 800 serie, ich denke die MTU werte sollten da gleich liegen, in der config ist in der hinsicht jedenfalls nichts eingetragen.

danke für deinen Mühen!!

01:06:29: mc145574_interrupt: ista=8

01:06:29: mc145574_interrupt: rxinfo=0x10 txinfo=0x8

01:06:29: BRI0 : sm_in_f3 rxinfo =10

01:06:29: BRI0 : changing state to F6

01:06:29: mc145574_interrupt: ista=8

01:06:29: mc145574_interrupt: rxinfo=0x20 txinfo=0x8

01:06:29: BRI0 : sm_in_f6 rxinfo =20

01:06:29: BRI0 : Receiving Activation Indication, nr1_reg=9

01:06:29: BRI0 : stop and reset timer T3

01:06:29: BRI0 : Sending PH-Activate to the layer 2

01:06:29: BRI0 : changing state to F7

01:06:133143986175: ISDN BR0: RX <- SETUP pd = 8 callref = 0x57

01:06:128849018880: Sending Complete

01:06:128849059840: Bearer Capability i = 0x8890

01:06:128849059840: Ch

01:06:128849059840: Calling Party Number i = '!', 0x81, '123'

01:06:128849059840: Called Party Number i = 0xC1, '345'

01:06:30: %DIALER-6-BIND: Interface BRI0:1 bound to profile Dialer1

01:06:30: BRI 0 B1: Set bandwidth to 64Kb

ok, danke dir!

Hab mir eine externe Nummer geben lassen, und der ISDN Status ist jetzt ok.

D.H. genau wie bei anderen Router, und er empfängt auch Signale beim Monitoring vom anderen.

Aber eine Verbindung kommt nicht zustande, er legt nach einer sekunde immer wieder auf!

Woran kann das liegen?

Ich habe das Router rip aktiviert, und habe das angeschlossene netzwerk angegeben, aber das bringt nichts.

Beim Monitoring hat er immer nur angegeben:

Interfaace state up und wieder down.

Hast du noch ein Tip?

und wie kriege ich die wieder up?

Das Interface ist ja up.

Netzwerkkabel ist getauscht, daran liegt es nicht.

Kann das wirklich daran liegen das die TK Anlage den D Kanal nicht durchlässt?

Hier habe ich nochmal das debug vom wählenden Router:

17:43:210453397504: %ISDN-6-LAYER2DOWN: Layer 2 for Interface BR0, TEI 70 change

d to down

17:43:50: BRI0: wait for isdn carrier timeout, call id=0x805E

17:43:52: BRI0 DDR: rotor dialout [priority]

17:43:52: BRI0 DDR: Dialing cause ip (s=194.172.63.50, d=192.168.150.150)

17:43:52: BRI0 DDR: Attempting to dial 128

17:43:223339705944: %ISDN-6-LAYER2UP: Layer 2 for Interface BR0, TEI 70 changed

to up

17:43:223338340352: ISDN BR0: TX -> SETUP pd = 8 callref = 0x5C

17:43:223344063692: Bearer Capability i = 0x8890

17:43:223338340352: Channel ID i = 0x83

17:43:223338340352: Called Party Number i = 0x80, '128'

17:43:52: ISDN BR0: RX <- RELEASE_COMP pd = 8 callref = 0xDC

17:43:52: Cause i = 0x81D8 - Incompatible destination

17:43:231928233984: %ISDN-6-LAYER2DOWN: Layer 2 for Interface BR0, TEI 70 change

d to down

17:43:55: BRI0: wait for isdn carrier timeout, call id=0x805F

Incompatible destination macht mir sorgen.

Was meinst du mit NT?

es ist up, (line protocol is spoofing)

Ja, da hast du wohl recht, aber mehr schrieb er halt nicht.

die Meldung lautet

Gloabl ISDN Switchtype = basic-net 3

ISDN BRI0 Interface

oDSL 0, Interface ISDN Switchtype = basic-net 3

Layer 1 Status:

o Deactivated

Layer 2 Status:

o Layer 2 not activated

Layer 3 Status:

o 0 Active Layer 3 call(s)

Activated dsl0 CCBS = 0

Total Allocated ISDN CCBS = 0

Für mich sieht das nicht gut aus, nur was tu ich da?

ich habe das Ethernet kabel vom router entfernt, weil sonst zuviel traffic war.

hab das angestellt, und gepingt, aber keine anzeige.

hin und wieder schreibt er aber jetzt folgende Meldung:

PQUICC-1-LOSTCARR:Unit 0, lost carrier. Transceiver Problem?

also zu testzwecken ist das hier in der Firma, d.h. der Router sitzt hinter der TK also beide Router, und ich wähle die Interne Rufnummer. Also ohne Vorwahl.

Wenn ich ein Telefon an den ISDN Port stecke, kann ich von dort aus Telefonieren, und auch das Telefon anrufen.

Daher denke ich, müsste das in Ordnung sein.

Was macht den so ein Router wenn er angerufen wird?

Momenten kommt nur ein besetzt zeichen, ziehe ich das Kabel ab, und rufe wieder mit dem Telefon an, habe ich immer noch das besetzt zeichen.

Wie gesagt telefonieren kann ich von dem freigeschalteten Port.

Ich habe derzeit ein normales Patch Kabel von dem ISDN Port zum Router, das ist doch hoffentlich auch richtig, oder?

Gruß

Matthias

Das gibts nicht, da wird nichts angezeigt!

Die nummer habe ich überprüft, und eben das patchkabel getauscht, aber da kommt nix!

Was kann das sein?