fsup

Gibt es eine Möglichkeit für Benutzer, welche sich per VPN in ein Firmen-LAN einwählen, ein Anmeldeskript auszuführen? Ich würde gerne erreichen, das die per VPN ins LAN eingewählten Benutzer ein paar Netzwerklaufwerke verbunden bekommen, unter anderem auch ihr Basisverzeichnis. Server: Windows 2003 SBS Clients: Windows XP Pro SP2

Auf unserem SBS2003 (Lokalisiert DE, aktueller Patchlevel) habe ich ein Problem mit einer Verteilerliste: Folgende Verteilerlisten (VL), Sicherheitsgruppen (SG) und User spielen in dem Szenario eine Rolle: 1) VL 'Jobs' (jobs@COMPANY.WEB) Mitglieder der Liste sind die beiden SG unter 1.1 und 1.2 1.1) SG 'Vertrieb' (vertrieb@COMPANY.WEB) 1.1.1) 'Claudia Tamić' (claudia.tamic@COMPANY.WEB) 1.1.2) 'Theodor Kamir' (theodor.kamir@COMPANY.WEB) 1.2) SG 'Geschäftsleitung' (geschaeftsleitung@COMPANY.WEB) 1.2.1) 'Andreas Rössel' (andreas.roessel@COMPANY.WEB) 1.2.2) 'Fritz Schwabling' (fritz.schwabling@COMPANY.WEB) Wenn nun von extern eine Mail an 'jobs@COMPANY.WEB' gesendet wird, erreicht diese nicht die Mitglieder der beiden SGs. Nur die Mitglieder der SG 'Vertrieb' bekommen die Mail, während die Geschäftsleitung leer ausgeht. Beim Absender geht folgende Mail ein: From - Fri Dec 09 19:45:51 2005 X-Mozilla-Status: 0001 X-Mozilla-Status2: 00000000 Received: from [255.0.0.0] (helo=COMPANY.WEB) by mx.freemail.web with esmtp (freemail.web 4.105 #340) id 1Ekmrb-0002i0-00 for myself@freemail.web; Fri, 09 Dec 2005 19:20:59 퍝 From: postmaster@COMPANY.WEB To: myself@freemail.web Date: Fri, 9 Dec 2005 19:20:44 퍝 MIME-Version: 1.0 Content-Type: multipart/report; report-type=delivery-status; boundary="9B095B5ADSN=_01C5F790B17545B2000002D8com?COMPANY.WEB" X-DSNContext: 335a7efd - 4446 - 00000001 - 80040546 Message-ID: <C1yl0Lh2v00000050@COMPANY.WEB> Subject: Benachrichtung zum =?unicode-1-1-utf-7?Q?Übermittlungsstatus (Fehlgeschlagen)?= Sender: This is a MIME-formatted message. Portions of this message may be unreadable without a MIME-capable mail program. --9B095B5ADSN=_01C5F790B17545B2000002D8com?COMPANY.WEB Content-Type: text/plain; charset=unicode-1-1-utf-7 Dies ist eine automatisch erstellte Benachrichtigung über den Zustellstatus. Übermittlung an folgende Empfänger fehlgeschlagen. geschaeftsleitung@COMPANY.WEB --9B095B5ADSN=_01C5F790B17545B2000002D8com?COMPANY.WEB Content-Type: message/delivery-status Reporting-MTA: dns;COMPANY.WEB Received-From-MTA: dns;SERVERNAME.COMPANY.local Arrival-Date: Fri, 9 Dec 2005 19:20:44 퍝 Final-Recipient: rfc822;geschaeftsleitung@COMPANY.WEB Action: failed Status: 5.7.1 X-Display-Name: Gesch=?unicode-1-1-utf-7?Q?äftsleitung?= --9B095B5ADSN=_01C5F790B17545B2000002D8com?COMPANY.WEB Content-Type: message/rfc822 Received: from SERVERNAME.COMPANY.WEB.local ([127.0.0.1]) by COMPANY.WEB with Microsoft SMTPSVC(6.0.3790.211); Fri, 9 Dec 2005 19:20:44 퍝 Received: from smtp.FREEMAIL:WEB ([255.1.0.0]) by mail.routing.net (Merak 7.4.2) with ESMTP id VN042558 for <jobs@COMPANY.WEB>; Fri, 09 Dec 2005 19:18:57 퍝 Received: from [255.0.0.0] (helo=[192.168.1.15]) by smtp.freemail.web with asmtp (freemail.web 4.105 #340) id 1Ekmpd-0002BK-00 for jobs@COMPANY.WEB; Fri, 09 Dec 2005 19:18:57 퍝 Message-ID: <4399CA93.1000805@FREEMAIL.WEB> Date: Fri, 09 Dec 2005 19:18:59 퍝 From: MEIN NAME <myself@FREEMAIL.WEB> User-Agent: Mozilla Thunderbird 1.0.7 (Windows/20050923) X-Accept-Language: de-DE, de, en-us, en MIME-Version: 1.0 To: jobs@COMPANY.WEB Subject: Verteilerliste Jobs - Test 4 X-Enigmail-Version: 0.93.0.0 Content-Type: text/plain; charset=ISO-8859-15 Content-Transfer-Encoding: 7bit Sender: MYSELF@FREEMAIL.WEB X-Sender: MYSELF@FREEMAIL.WEB Return-Path: MYSELF@FREEMAIL.WEB X-OriginalArrivalTime: 09 Dec 2005 18:20:44.0688 (UTC) FILETIME=[451CA100:01C5FCED] [... NACHRICHTENTEXT ...] --9B095B5ADSN=_01C5F790B17545B2000002D8COMPANY.WEB-- Daraufhin habe ich die Sicherheitsgruppe in 'Geschaeftsleitung' umbenannt und es nochmal probiert, aber ich bekomme den gleichen Fehler und die Geschäftsleitung wieder keine Mail :( Und nu? Wenn ich die Personen direkt in die Verteilerlsite stecke klappt es - steigert aber den administrativen Aufwand :(

@MacBoon: Besten Dank - eigentlich eine recht naheliegende Lösung :)

Naja, der POP3-Connector ist ja ein Bestandteil des Exchange-Servers - warum sollte ich den also nicht benutzen? Wenn eine solche Komponente in das Produkt integriert wird, darf man schon erwarten, dass sie auch funktionert :) Natürlich kann man seinen Mailserver zu einem 'echten' umkonfigurieren, aber es gibt auch Nutzungsumfelder bei denen das nicht so die optimale Lösung ist. In meinem Fall erfüllt der SBS Server so ziemlich alle Funktionen des LANs (PDC, Mailserver, VPN-Zugang, Fileserver, ...). Aufgrund dieser hohen Konzentration von Funktionen auf der einen Maschine habe ich die bisherige Lösung mit dem CatchAll-Account sehr schätzen gelernt, da im Falle von Downtimes (Wartungsarbeiten, Ausfälle, ...) die Mails trotzdem einen sicheren Hafen hatten. Ich bin im Moment am Prüfen ob ich für den Server einen MX und PTR eintragen lasse, oder ob ich einen anderen POP3-Connector nutze. Was passiert denn eigentlich mit Mails, wenn der im MX-Record verknüpfte Rechner nicht verfügbar ist? Gibt es da irgendwelche Caching-Mechanismen? @GuentherH Es freut mich natürlich höhren, das andere User mit dem POPBeamer zufriedener sind und sich der Entwickler hier scheinbar entgegenkommender zeigt. Worans liegt weiss ich natürlich nicht, aber Fakt ist das er mir gegenüber wenig entgegenkommend und sogar recht schroff war. Dies zusammen mit den Problemen die wir mit dem Produkt hatten, führen halt dazu, dass ich es nicht mehr empfehle und auch selbst nicht mehr nutze, aber das soll andere natürlich nicht davon abhalten damit glücklich zu werden :)

Alternativen zum POP3-Connector: Da ich bis vor kurzem die große Freude hatte das Firmen-LAN auf Basis von NT4 mit Exchange 5.5 (würg) zu exorzieren kann ich zwei POP3-Connectoren nennen: 1.) POPBeamer (http://www.dataenter.at) Kann ich nicht empfehlen. Wir hatten den zwar lange Zeit in Benutzung, aber das Ding lässt nicht RFC-Konforme Mails auf dem POP3-Server liegen, wodurch dieser blockiert wird. Der freundliche Herr Entwickler zuckt dazu nur mit den Achseln und lässt wissen das wir den Absendern mitteilen sollen, dass sie gefälligst konforme Mails generieren sollen - nur glaube ich das einen Großteil der Absender das nicht wirklich ineteressiert und da jedes popelige POP3-Clientprogramm diese Probleme nicht hat, kann ich im Serverumfeld damit mal rein gar nichts anfangen und rate deswegen von dem Produkt ab. Irgendwo auf dem seiner Seite gibt es übrigens auch eine Übersicht mit Konkurrenzprodukten - wenigstens das fand ich eine feine Dienstleistung von ihm :D 2.) http://www.chimera.co.nz/index.html Da gibt es ebenfalls einen POP3-Connector - sogar eine kostenfreie Variante, die aber nicht von alleine gestartet werden kann. Das Ding habe ich dann neben dem POPBeamer laufen gelassen und einmal stündlich auf das Postfach losgelassen, so dass im falle von blockierenden Mails das Problem nach spätestens einer Stunde gelöst war. Kann ich sehr empfehlen! Ob und welche davon mit Exchange2003 zusammenarbeiten weiss ich nicht. Der hohe Integrationsgrad des SBS und die im Vergleich zu NT4/Exchange5.5 erhebliche Modernisierung waren ein wesentlicher grund für den Umstieg auf den SBS2003. Es ist insofern bedauerlich nun feststellen zu müssen, das MS scheinbar nur einen halbherzig entwickelten POP3-Connector beilegt den man in der Praxis scheinbar in die Tonne treten muss - wollte ich doch endlich mal einen sauberen Server ohne Softwarewildwuchs bändigen :( Besten Dank für die Hinweise!

In unserem Netz tut ein SBS2003 samt Exchange seinen Dienst. Die Emails der Mitarbeiter werden in einem externen POP3-Account gesammelt (ein sog. catchall-account welches alle Mails annimmt die an die Maildomöne geschickt werden). Der Exchange-POP3-Connector holt die Mails dann alle 15 Minuten ab und verteilt sie auf jeweils aktuell vorhandenen Mailkonten. Dabei kommt es zu folgendem Problem: Steht ein existierender Empfänger im BCC einer Mail, so ordnet Exchange die Mail diesem nicht mehr zu. Vermutlich interpretiert der Exchangeserver nicht alle Header-Zeilen der Mail. besonedrs lästig erweist sich dabei, das nach der Bearbeitung von Exchange die Header so manipuliert sind, dass sie keinerlei Hinweis mehr enthalten an wen die Mail eigentlich gerichtet war, so dass ich das dann anhand des Inhalts erraten muss. Von der Datenschutzseite mal abgesehen ist das natürlich kein Dauerzustand. Gibt es irgendwelche Wege wie man Exchange dazu bringen kann die Header der Mails vollständig auszuwerten? Zur Verdeutlichung: Ein Mailheader wie er im Catchall-Account aussieht (mit MagicMailMonitor abgerufen): <--- SCHNIPP ---> Received: from http://www.ABSENDESERVER.DE ([345.543.345.543]) by mail.routing.net (Merak 7.4.2) with ESMTP id VN012345 for <MEINACCOUNT@COMPANY.WEB>; Fri, 18 Nov 2005 20:23:03 +0100 Received: from [265.265.265.265] (helo=[192.168.0.1]) by http://WWW.ABSENDESERVER:DE with esmtpa (Exim 4.50) id 1EdBox-0000eX-EX for MEINACCOUNT@COMPANY.WEB; Fri, 18 Nov 2005 20:23:03 +0100 Message-ID: <EEEEAAAA.6212928@ABSENDEDOMAIN.DE> Date: Fri, 18 Nov 2005 20:22:50 +0100 From: Name <ABSENDEACCOUNT> Organization: COMPANY User-Agent: Mozilla Thunderbird 1.0.7 (Windows/20050923) X-Accept-Language: de-DE, de, en-us, en MIME-Version: 1.0 To: Verborgene_Empfaenger:; Subject: [Fwd: RE: Terminal server] Content-Type: text/plain; charset=iso-8859-2 Content-Transfer-Encoding: 8bit X-Authenticated-Sender: ABSENDEACCOUNT X-Virus-Scanned: Clear (ClamAV 0.87/1179/Fri Nov 18 18:33:40 2005) X-Antivirus: AVG for E-mail 7.1.362 [267.13.3/174] <--- SCHNAPP ---> Ein Mailheader wie er im Postmaster-Postfach aussieht, nachdem Exchange ihn in der Mache hatte: <--- SCHNIPP ---> Microsoft Mail Internet Headers Version 2.0 Received: from mail pickup service by COMPANY.WEB with Microsoft SMTPSVC; Thu, 17 Nov 2005 18:16:02 +0100 thread-index: AcXrmpXNuq2bp+JuSs+ESSzN6MxhTw== Subject: Die Gelegenheit zum Jahresende! IBM Blade Promo. Vereinfachen Sie Ihre IT-Infrastruktur mit IBM BladeCenter To: <postmaster> X-Mailer: Lotus Notes Release 6.5.2 June 01, 2004 Message-ID: <00013c5eb9b$4d06281$c90e8c0@COMPANY.LOCAL> Content-Transfer-Encoding: 7bit From: "VORNAME NACHNAME" <ABSENDER@FIRMA.WEB> Date: Thu, 17 Nov 2005 18:16:02 +0100 X-MIMETrack: Serialize by Router on Domino1/Security/Fritz und Macziol GmbH/DE(Release 6.5|September 18, 2003) at 17.11.2005 18:14:54 MIME-Version: 1.0 Content-Type: multipart/mixed; ... <--- SCHNAPP ---> THX

Szenario: In einer Firma steht ein Windows 2003 SBS Server. Auf diesem läuft DHCP und es werden den Clients (~20 Stück) die IP-Adressen zugewiesen. Darüberhinaus können einige wenige Benutzer per VPN auch über das Internet Verbindungen zum LAN aufbauen. Das Netzwerk ist kabelgebunden, jedoch gehören die Kabel zum Gebäude und sind auch mit Büroräumen verbunden, die von Firmenfremden Mietern genutzt werden können (beispielsweise ein Tagungsraum). In der Teeküche (zugänglich für alle Mieter in der Etage) steht ein 19"-Schrank, in dem sich die Patchfelder und die Switches der Firma befinden. Gefahr: Durch Patchen der entsprechenden Dosen wäre es firmenfremden Nutzern möglich unseren Internetzugang zu nutzen bzw. Zugang zum LAN zu bekommen (auch wenn Benutzerkennung und Passwort für letzteres erforderlich wäre). Aktueller Status: Um unerwünschte Nutzung unseres LAN zu verhindern habe ich den Schrank abgeschlossen und den Schlüssel eingezogen, so dass ein Patchen der Dosen nicht ohne weiteres Möglich ist. Da die Kabel aber zu Haus gehören und von den Mietern ausdrücklich genutzt werden dürfen, ist das kein Dauerzustand. Frage: Ich würde gerne dafür sorgen, dass der DHCP-Server nur an serverseitig eingetragene MAC-Adresse auch IP-Adressen verteilt um einen minimalen Schutz zu erreichen. Gibt es unter W2003 SBS irgendwelche diesbezüglichen Möglichkeiten und wenn ja, spielt das für das VPN auch eine Rolle (Hier sind die MAC-Adressen nicht in jedem Falle bekannt)? Kann man zusätzlich vielleicht irgendeine Form von Zertifikatsicherung einbauen? Welche anderen Ideen fallen Euch dazu ein? THX