nef

Hallo OliverHu Es sieht wirklich so aus.... Danke dennoch. Gruss, NEF

Hallo OliverHu, Das funktioniert leider auch nicht. Die Meldung "...konnte nicht gefunden werden" erscheint einfach im Eventlog. Sonst noch eine Idee ? Gruss, NEF

Hallo OliverHu, Danke für den Tipp, ich teste das mal kurz und poste das Resultat. Gruss, NEF

Guten Tag allerseits! Ich habe 2 Windows Domänen (Windows 7 & Server 2008 R2) welche mit VLAN getrennt sind. Vom VLAN 1 kommt man ins VLAN 2, jedoch von VLAN 2 muss man zuerst einen VPN ins VLAN 1 öffnen, damit der Zugriff funktioniert. Nun möchte ich den Benutzern von VLAN2 bereits bei der Anmeldung das Netzlaufwerk vom VLAN1 mappen, obwohl sie den VPN Tunnel noch nicht geöffnet haben. Das Netzlaufwerk sollte in meinen Vorstellungen mit einem roten Kreuz erscheinen. Die User merken dann, das der Tunnel zuerst geöffnet werden muss. Ich habs nun mit VBS und Batch (Net use..) probiert. Doch wenn kein Zugriff auf den Host vorhanden ist, wird das Netzlaufwerk nicht verbunden. Hat jemand einen Tipp für mich ? Ansonsten erstelle ich ein Programm, dass zuerst den Tunnel öffnet und dann das Netzlaufwerk verbindet... Danke im Voraus! Gruss, NEF PS: Für einmal hat google nichts schlaues ausgespuckt und im Board habe ich auch nichts konkretes gefunden...

Hallo MCSE-Boardler! Neben den normalen Domain-Clients mit Firewall-Clients haben wir auch non-Domain-Clients in unserem Netzwerk (externe Besucher). Für den Zugriff ins Internet benötig man ein gültiges Domänen-Benutzerkonto (der ISA Server erfordert eine Authentifizierung). Nebst dem normalen Browser müssen Non-Domain-Clients auch z.B. mit Outlook arbeiten können, was bedeutet, dass auch auf den Non-Domain-Clients der FwClient installiert werden muss. Mit dem Tool FwcCreds.exe muss für jede gewünschte Applikation entsprechende Logininformationen definiert werden, was mir bei externen Besuchern zu aufwändig erscheint. Gibt es eine Möglichkeit, den Firewall-Client so zu konfigurieren, dass bei sämtlichen Applikation die einen Zugriff zum ISA benötigen ein PopUp für die Logininformationen erscheint? Danke und Gruss, Nef

Hallo Zusammen! Umgebung: 1 DC (2003) 1 ISA 2006 100 Domain Clients (XP / Vista) + Private Notebooks Ziel: Alle Computer die sich im LAN einstecken brauchen für den Internet-Zugriff ein gültiges Konto auf dem DC. Lösung: Firewall-Regel erstellt, die den Zugriff ins Internet nur für Authentifizierte Benutzer zulässt. Für alle Domänen-Clients funktioniert das einwandfrei. Problem: Will ein privates Notebook ins Internet -> Proxy eintragen -> PopUp für Authentifzierung popt auf -> Alles OK. Problem -> Das Outlook auf den Privaten Geräten muss auch funktionieren! Ich habe nun den FwClient auf einem NonDomain-NB installiert, natürlich schlägt die Authentifzierung vom FwClient am ISA fehl Hat jemand eine Idee, wie ich die Outlooks auf den NonDomain-Geräten zum laufen bringe, ohne die Authtentifzierung auf dem ISA Server zu entfernen? Danke und Gruss, nef

Guten Abend! Meine Verzweiflung ist gross, ich muss ein Upgrade von CatOS to IOS auf einem 4006er durchführen. Kann mir da jemand durch den Urwald der vorhandenen IOS Versionen helfen? CCO für download habe ich natürlich griffbereit. Wäre ein Hit! Danke und gruss, nef

Das wäre natürlich eine gute Idee. Hat aber den Nachteil, bei jeder Netz-Änderung die Routen wieder verteilen zu müssen. Habe einen Case bei MS geöffnet, schreibe die Lösung nacher ins Forum. Besten Dank, nef

Hallo Ich bin einen Schritt weiter gekommen. Auszug ISA Log: Ein Nicht-SYN-Paket wurde verworfen, weil es von einer Quelle versandt wurde, die über keine vorhandene Verbindung mit dem ISA verfügt. Ich interpretiere: Die Verbindungsherstellung von einem höhren VLAN erfolgt durch das Intf der ASA im OFFICE-Netz. Der Return-Traffic schickt der Client aber an den ISA Server (gateway). Das Problem ist, dass der ISA keine aufgebaute Verbindung zwischen den Clients erkennen kann (da er nur den Return-Traffic sieht) und verwirft somit das Paket. Hat jemand eine Idee, wie ich das beheben könnte? Gruss

Top Down, ist klar. Leider steht keine Regel drin, wäre ja sonst ein Kinderspiel. ;) Danke für Deine Unterstützung. Probiere weiter, hab momentan keinen Schimmer (von der Lösung und vom ISA ;). Gruss

OK, hatte nur eine Richtung drin. Aber leider funktionierts auch mit beiden Richtungen nicht! Das Log schreibt immer noch das gleiche.... Was veranlasst den ISA den Traffic zu verweigern?....

Habe die Einstellungen genau so vorgenommen wie beschrieben. Jedoch ohne Ergebnis. Im Log sehe ich, dass die Verbindung verweigert wird. Source und Destination stimmen. Protokoll steht "Nicht identifizierter IP-Datenverkehr". Derzeit gibts eine FwRegel die den gesamten IP Verkehr ins OFFICE durchlässt... Habt ihr eine Idee, warum die Verbindung dennoch verweigert wird? Gruss, nef

Danke für die rasche Antwort realisiere kurz Deinen Vorschlag, melde mich wieder

Hallo! Ich habe eine Cisco ASA mit 4 internen VLAN's. In jedem VLAN ein eigener IP Range. In einem von diesem VLAN (OFFICE) steht ein ISA 2004. Das Default-Gateway von allen Clients im OFFICE zeigt auf den ISA Server. Folgendes Problem: Wenn ich von einem höheren VLAN auf einen Client im OFFICE VLAN zugreife, schickt dieser das Packet anstatt an das OFFICE-Intf der ASA, an sein Default-Gataway (sprich ISA Server). Somit habe ich in den höheren VLAN's kein Return-Traffic aus dem OFFICE-VLAN. Ich muss also den Traffic am ISA Inside abfangen und anhand der Destination-Address an das OFFICE-Intf der ASA schicken. Das klingt nach einem statischen route Eintrag... Wo mache ich das? In der ISA Verwaltungskonsole? Im cmd auf dem ISA mit route add ? Danke! Gruess, nef

Hallo mcseboardler! Ich habe eine Windows 2003 Domäne mit 120 WinXP SP2 Clients. Servergespeicherte Benutzerprofile. Ich suche Unterstützung im Troubleshooten... Folgende 3 Probleme treten im Zusammenhang mit der Benutzeranmeldung auf: 1. Profil konnte nicht geladen werden (die bekannte Fehlermeldung nach dem login..) 2. Startskript \\server\netlogon\script.vbs konnte nicht ausgeführt werden (Netzwerkname wurde nicht gefunden) 3. Einträge im eventvwr, GPO's konnten nicht angewendet werden, FolderRedirection konnte nicht ausgeführt werden. Anhand der Ereignisanzeige, konnte ich einen betroffenen User ausfindig machen. Diesem meldete ich an am PC1 an. 1. Anmeldung: Profil konnte nicht geladen werden... (-> abmeldung + reboot) 2. Anmeldung: Alles klappt tip top, Profil wurde geladen, Script ausgeführt, gpresult OK. reboot) 3. Anmeldung: Profil wurde geladen -> Scriptfehlermeldung. 4. Anmeldung: Wieder alles tip top. Unsere User haben keine festen Arbeitsplätze und können sich daher überall im Unternehmen anmelden. Der Fehler ist auch gemäss den Benutzern extrem inkonsistent und auch nicht Locationabhängig (mehrere Gebäude vorhanden). Was würdet Ihr vorschlagen, um das Problem besser einschränken zu können? Besten Dank! Gruss, nef

Hallo zusammen! Gibt es eine Möglichkeit, sämtliche Vista-Clients (MAK-Key) zentral zu aktivieren? z.B. GPO oder Ghost-Befehl? SLMGR.vbs... schon klar, hierfür muss aber gemäss meinen ersten Tests ein User angemeldet sein. Bei 60 Clients etwas zeitintensiv! Der Kunde wollte (noch) keinen KMS Server, daher die etwas spezielle Problematik. Irgendwelche Erfahrungen? Vielen Dank, nef

Hi, Super Sache! Ich hab' mal eine Testumgebung eingerichtet... Der Knackpunkt ist demnach definitiv der AP, denn die User surfen höchstens ein bisschen im Internet. Bin gespannt auf das Resultat! Danke für Eure Antworten. Gruss, nef

Hallo! Ich habe die Aufgabe einen WSUS in einem Netzwerk mit ca. 300 Clients (XP, SP2) und einem DC zu implementieren. Der WSUS ist jetzt auf einem Memberserver installiert. Wir haben ca. 200 Notebooks die nur über Wireless arbeiten und "nie" am Kabel angeschlossen sind. Es stellt sich mir nun die Frage, ob ich bei den Wireless-Geräten die Updates installieren soll, wenn die User normal am Arbeiten sind. Hat da jemand schon (schlechte) Erfahrung gemacht, wenn die Updates über Wireless verteilt werden? Ca. 20 Notebooks pro Cisco AP mit Roaming Profiles.... Danke für einige Feedbacks! Gruss, nef

Hallo Zusammen Gerne würde ich per GPO die integrierte Authentifizierung vom IE auf allen Clients deaktivieren. DC: Win2003, SP1, IE6 Clients1: XP, SP2, IE7 Clients2: XP, SP2, IE6 Grund: Die Kerbereos-Authentifizierung von IE7 für Webproxyclients schlägt bei ISA 2004 fehl. Ohne der Integrierten funktionierts tadellos.... die IE6er haben immer funktioniert, wills aber gleich einheitlich einrichten.. die Option "Benutzerkonfiguration\Windows-Einstellungen\Internet Expl-Wartung\Erweitert\interneteinstellungen\Erweiterte Einstellungen\Automatische Anmeldung deaktivierten\" greift weder bei IE6 noch bei IE7! Was habe ich da übersehen? Vielen Dank! nef

Hy Leute! Auf dem ISA 2004 habe ich konfiguriert, dass alle Webproxyclients eine Authentifizierung für den Zugriff in's Internet benötigen. Auf den Clients im Netz ist überall der Firewall Client installiert. Bis anhin musste kein Client mit FwClt Username und Passwort eingeben. Nun habe ich auf 20 Clients den IE7 installiert. Nun müssen die Benutzer SPORADISCH das den Usernamen und Kennwort eingeben, wenn Sie den Browser öffen. ISA 2004 SP2... BIs jetzt nichts schlaues gefunden, weiss jemand mehr? Danke! Gruss nef

Hallo zusammen! Für eine Schule muss ich verbindliche Hintergrundbilder einrichten. Die GPO ist mir bekannt und funktioniert einwandfrei. Die Schüler haben jedoch immer noch die Möglichkeit, direkt mit der MR auf ein Bild zu klicken und im Menü "Als Hintergrund" auszuwählen. Bei der nächsten Anmeldung wird der Background zwar zurückgesetzt, aber das reicht dem Kunden verständlicherweise nicht. Hat jemand ein Tipp diesbezüglich? nef

Nur noch als Abrundung des Threads. Bei mir hats auch funktioniert ,) Gruss nef

hallo danke für Deinen Tip, ich werde unsere definitive Lösung später hier reinposten. gruss nef

Hallo zusammen! Internet ----> Bridge ----> pix ----> ISA -----> LAN ---> DC Wir benötigen unseren ISA nur zu loggingzwecken. Nun haben wir unseren Usern einen VPN-Access zur pix ermöglicht, von da aus müssen sie nun auf die Dateifreigabe vom DC zugreifen können. Wie genau muss ich die Serververöffetlichugsregel definieren, damit dies hinaut? RDP läuft schon vom VPN Pool zum DC (war ja auch nicht besonders schwierig). Danke für ein paar nette Tips! gruss nef

Hallo! Ich habe verschiedene VLAN's erstellt, die jeweils über die pix geroutet werden. Da nun mein Ghost über die einzelnen VLAN's nicht funktioniert muss ich das multicast routing enablen. Bei Cisco bin ich auch fündig geworden: http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a0080172786.html#wp1170913 Nun bin ich mir nicht sicher, wie das routing im Zusammenhang mit den VLAN's genau definiert werden muss. Hat jemand einen Gedankenanstoss für mich? -thx gruss nef