Blaubeere
-
Gesamte Inhalte
17 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Blaubeere
-
-
Die Lösung kann manchmal so einfach sein, in den Netzwerkeinstellungen muss die Datei- und Druckerfreigabe für Windowsnetzwerke aktiviert sein. Diese war auf den betreffenden Servern einfach nur deaktiviert.
Nun klappt es auch mit Platespin und Laufwerksmapping.
Darüber hinaus waren noch einige Dienste für Platespin PowerConvert zu aktivieren:
WMI-Leistungsadapter
Remoteregistrierung
RPC-Locator
-
Teil 3
Konfigurieren von machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpassword. Konfigurieren von machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysignature. Konfigurieren von machine\system\currentcontrolset\services\lanmanworkstation\parameters\requiresecuritysignature. Konfigurieren von machine\system\currentcontrolset\services\ldap\ldapclientintegrity. Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange. Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\maximumpasswordage. Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal. Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey. Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel. Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel. Die Konfiguration der Registrierungswerte wurde erfolgreich abgeschlossen. ----Verfügbare Anlagenmodule werden konfiguriert... Konfiguration der Anlagenmodule wurde erfolgreich abgeschlossen. ----Konfigurationsmodul wird deinitialisiert...
-
Teil 2
Konfiguration des Überwachungsprotokolls wurde erfolgreich abgeschlossen. Konfigurieren von machine\software\microsoft\driver signing\policy. Konfigurieren von machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\securitylevel. Konfigurieren von machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\setcommand. Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms. Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd. Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies. Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\cachedlogonscount. Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\forceunlocklogon. Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning. Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\scremoveoption. Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\disablecad. Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername. Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption. Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext. Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\undockwithoutlogon. Konfigurieren von machine\system\currentcontrolset\control\lsa\auditbaseobjects. Konfigurieren von machine\system\currentcontrolset\control\lsa\crashonauditfail. Konfigurieren von machine\system\currentcontrolset\control\lsa\disabledomaincreds. Konfigurieren von machine\system\currentcontrolset\control\lsa\everyoneincludesanonymous. Konfigurieren von machine\system\currentcontrolset\control\lsa\fullprivilegeauditing. Konfigurieren von machine\system\currentcontrolset\control\lsa\limitblankpassworduse. Konfigurieren von machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel. Konfigurieren von machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminclientsec. Konfigurieren von machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminserversec. Konfigurieren von machine\system\currentcontrolset\control\lsa\nolmhash. Konfigurieren von machine\system\currentcontrolset\control\lsa\restrictanonymous. Konfigurieren von machine\system\currentcontrolset\control\lsa\restrictanonymoussam. Konfigurieren von machine\system\currentcontrolset\control\print\providers\lanman print services\servers\addprinterdrivers. Konfigurieren von machine\system\currentcontrolset\control\session manager\kernel\obcaseinsensitive. Konfigurieren von machine\system\currentcontrolset\control\session manager\memory management\clearpagefileatshutdown. Konfigurieren von machine\system\currentcontrolset\control\session manager\protectionmode. Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect. Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff. Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature. Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature. Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\restrictnullsessaccess.
-
Ich habe noch eine Logdatei gefunden, die scheinbar von der Serverhärtung übrig geblieben ist. Mehr habe ich leider nicht gefunden. :(
In diesem Logfile wird eine Analyse durchgeführt. Ich habe diese einmal weggelassen damit ich nicht mit der Zeichenbegrenzung hier im Forum kollidiere.
------------------------------------------- Montag, 2. August 2004 09:15:28 [Analysetabschnitt abgeschnitten] ----Verfügbare Anlagenmodule werden analysiert... Analyse der Anlagenmodule wurde erfolgreich abgeschlossen. ----Analysemodul wird deinitialisiert... ------------------------------------------- Montag, 2. August 2004 09:33:20 ----Konfigurationsmodul wurde erfolgreich initialisiert.---- ----Konfigurationsvorlageninformationen werden gelesen... ----Benutzerrechte werden konfiguriert... Konfiguration der Benutzerrechte wurde erfolgreich abgeschlossen. ----Gruppenmitgliedschaft wird konfiguriert... Konfigurieren von Hauptbenutzer. Konfigurieren von Administratoren. Fehler 1789: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden. Fehler beim Lookup aller Konten. Fehler 1789: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden. Fehler beim Lookup aller Konten. Konfiguration der Gruppenmitgliedschaft wurde mit einem oder mehreren Fehlern abgeschlossen. ----Registrierungsschlüssel werden konfiguriert... Konfiguration der Registrierungsschlüssel wurde erfolgreich abgeschlossen. ----Dateisicherheit wird konfiguriert... Konfiguration der Dateisicherheit wurde erfolgreich abgeschlossen. ----Allgemeine Diensteinstellungen werden konfiguriert... Konfigurieren von WZCSVC. Konfigurieren von TlntSvr. Konfigurieren von TapiSrv. Konfigurieren von SysmonLog. Konfigurieren von Spooler. Konfigurieren von SNMP. Konfigurieren von SCardSvr. Konfigurieren von RemoteRegistry. Konfigurieren von RasMan. Konfigurieren von RasAuto. Konfigurieren von NtFrs. Konfigurieren von NetDDEdsdm. Konfigurieren von NetDDE. Konfigurieren von MSIServer. Konfigurieren von mnmsrvc. Konfigurieren von Messenger. Konfigurieren von LmHosts. Konfigurieren von ERSvc. Konfigurieren von Dfs. Konfigurieren von ClipSrv. Konfigurieren von CiSvc. Konfigurieren von Browser. Konfigurieren von AppMgmt. Konfiguration allgemeiner Diensteinstellungen wurde erfolgreich abgeschlossen. ----Verfügbare Anlagenmodule werden konfiguriert... Konfiguration der Anlagenmodule wurde erfolgreich abgeschlossen. ----Sicherheitsrichtlinien werden konfiguriert... Konfigurieren der Kennwortinformationen. Das Gastkonto ist deaktiviert. Konfiguration des Systemzugriffs wurde erfolgreich abgeschlossen. LSA-Anonymous-Lookupnameneinstellung: vorhandenes SD = D:(D;;0x800;;;AN)(A;;0xf1fff;;;BA)(A;;0x20801;;;WD)(A;;0x801;;;AN)(A;;0x1000;;;LS)(A;;0x1000;;;NS). Konfiguration der LSA-Anonymous-Lookupeinstellung. Konfigurieren der Protokolleinstellungen.
-
Es wäre imho besser sich mit dem Dienstleister in Kontakt zu setzen oder einen vor Ort zuzuziehen.
Eventlog gibt dir keinerlei weiteren Hinweise?
Hallo Urmel,
leider ist das nicht so einfach getreu nach Murphys Gesetzen. Der Dienstleister hat den Server vor ca. drei Jahren gehärtet, es gibt keine Systemdokumentation und der Consultant, der das ganze durchgeführt hat, ist mittlerweile nicht mehr bei der Firma beschäftigt bzw. nicht mehr aufzufinden. :(
Was meinst du den sieht bei #10 anders aus wie bei dir? Ich habe nur die Serveradressen abgeändert.
Im Eventlog bekomme ich folgende Fehlermeldungen wenn ich ein Discovery per Platespin anwerfe (Anmeldung als Domänenadministrator):
Sicherheit:
Kategorie: An-/Abmeldung Ereigniskennung: 529 Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: Administrator Domäne: PLATESPIN Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Name der Arbeitsstation: PLATESPIN Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 123.0.123.1 Quellport: 3363 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Kategorie: Kontoanmeldung Ereigniskennung: 680 Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Anmeldekonto: Administrator Arbeitsstation: PLATESPIN Fehlercode: 0xC000006A
-
RDP rennt auf 3389 <- das muss auch von innen erreichbar sein.
Der Port scheint dicht zu sein, jedenfall interpretiere ich die Meldung des Tools, vom betroffenden Server aufgerufen, so:
PortQry.exe -n 123.123.123.123 -e 3389 Querying target system called: 123.123.123.123 Attempting to resolve IP address to a name... IP address resolved to name.test.de querying... TCP port 3389 (unknown service): LISTENING
Aber komisch, dass ich mich mit dem lokalen Administrator Benutzer trotzdem per RDP anmelden kann.
-
Hallo Urmel,
dann bekomme ich schon mehr heraus. Das sieht für mich dann so aus, als ob er über 1024 was findet:
PortQry.exe -n 123.123.123.123 -e 135 Querying target system called: 123.123.123.123 Attempting to resolve IP address to a name... IP address resolved to name.test.de querying... TCP port 135 (epmap service): LISTENING Using ephemeral source port Querying Endpoint Mapper Database... Server's response: UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncacn_ip_tcp:123.123.123.123[1025] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[OLE61373346EC774DABBE38A9CA4DAF] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[LRPC00002830.00000001] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncacn_ip_tcp:123.123.123.123[1503] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[LRPC000029f0.00000001] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[LRPC000029f0.00000001] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[LRPC000029f0.00000001] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[LRPC000029f0.00000001] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[OLE1F3F6421AD694F2590ED17AEDFEC] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[LRPC000027a4.00000001] UUID: 1ff70682-0a51-30e8-076d-740be8cee98b ncalrpc:[OLE2A6CE10E9C4B4B78822D657BA81E] UUID: 1ff70682-0a51-30e8-076d-740be8cee98b ncalrpc:[LRPC00000370.00000001] UUID: 1ff70682-0a51-30e8-076d-740be8cee98b ncacn_ip_tcp:123.123.123.123[1026] UUID: 1ff70682-0a51-30e8-076d-740be8cee98b ncacn_np:\\\\SERVERNAME[\\PIPE\\atsvc] UUID: 378e52b0-c0a9-11cf-822d-00aa0051e40f ncalrpc:[OLE2A6CE10E9C4B4B78822D657BA81E] UUID: 378e52b0-c0a9-11cf-822d-00aa0051e40f ncalrpc:[LRPC00000370.00000001] UUID: 378e52b0-c0a9-11cf-822d-00aa0051e40f ncacn_ip_tcp:123.123.123.123[1026] UUID: 378e52b0-c0a9-11cf-822d-00aa0051e40f ncacn_np:\\\\SERVERNAME[\\PIPE\\atsvc] UUID: 0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53 ncalrpc:[OLE2A6CE10E9C4B4B78822D657BA81E] UUID: 0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53 ncalrpc:[LRPC00000370.00000001] UUID: 0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53 ncacn_ip_tcp:123.123.123.123[1026] UUID: 0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53 ncacn_np:\\\\SERVERNAME[\\PIPE\\atsvc] UUID: 12345778-1234-abcd-ef00-0123456789ac ncacn_np:\\\\SERVERNAME[\\PIPE\\lsass] UUID: 12345778-1234-abcd-ef00-0123456789ac ncalrpc:[audit] UUID: 12345778-1234-abcd-ef00-0123456789ac ncalrpc:[securityevent] UUID: 12345778-1234-abcd-ef00-0123456789ac ncalrpc:[protected_storage] UUID: 12345778-1234-abcd-ef00-0123456789ac ncacn_np:\\\\SERVERNAME[\\PIPE\\protected_storage] UUID: 12345778-1234-abcd-ef00-0123456789ac ncalrpc:[dsrole] UUID: 12345778-1234-abcd-ef00-0123456789ac ncacn_ip_tcp:123.123.123.123[1025] UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncacn_np:\\\\SERVERNAME[\\PIPE\\lsass] UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncalrpc:[audit] UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncalrpc:[securityevent] UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncalrpc:[protected_storage] UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncacn_np:\\\\SERVERNAME[\\PIPE\\protected_storage] UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncalrpc:[dsrole] Total endpoints found: 35 ==== End of RPC Endpoint Mapper query response ====
-
Hallo Das Urmel,
ich hab mal portqry.exe ausgeführt und einen Scan auf Port 135 gemacht, der laut Beschreibung der Standardport für RDP ist und folgende Infos erhalten:
Starting portqry.exe -n 123.123.123.123 -e 135 -p UDP ... Querying target system called: 123.123.123.123 Attempting to resolve IP address to a name... IP address resolved to name.test.de querying... UDP port 135 (epmap service): NOT LISTENING portqry.exe -n 123.123.123.123 -e 135 -p UDP exits with return code 0x00000001.
Heißt das, er lauscht nicht auf den Standard-Port?
-
net start rpcss mal versucht lokal am Server?
Nur so eine Idee...
Hallo,
danke erst einmal für eure Reaktionen.
@ RanCyyD
Wenn ich net start rpcss ausführe erhalte ich die Meldung, dass der Dienst bereits läuft. War auf jedenfall aber einen Versuch wert!
@ Christop35
Die lokalen Richtlinien sind ja ziemlich umfangreich, ich habe sie mir bereits genauer angeschaut aber keine Einträge gefunden, die ich in Zusammenhang mit den beschriebenen Problemen bringen würde. :(
@ all
Ergänzung meines Beitrages von oben: Der Server läßt sich normal in seinem Netzsegment anpingen
-
Hallo,
ich habe gerade ein schweres Problem mit einem Server der von einer externen Firma gehärtet wurde.
Serverbeschreibung:
Der Server läuft auf Windows 2003 (kein Servicepack) steht in der DMZ und ist Mitglied einer Domäne unseres internen Netzes und stellt Citrix Webservices bereit. Es existieren leider keine Dokumentationen über die Härtungsarbeiten der externen Firma. Der Server läßt sich von anderen Servern in der DMZ aus anpingen.
Probleme:
1.) RDP Zugriff ist nur als lokaler Administrator möglich. Obwohl Domänenadmins/Benutzer lokal für RDP Zugriff freigegeben sind erscheint bei deren Anmeldung per RDP gegen die Domäne die Nachricht:
Das System kann Sie aufgrund des folgenden Fehlers nicht anmelden:Der RPC-Server ist nicht verfügbar.
Wiederholen Sie den Vorgang, oder setzen Sie sich mit Ihrem Systemadministrator in Verbindung
2.) Zugriff auf Admin Shares (z.B. C$) von einem anderen DMZ Rechner aus ist überhaupt nicht möglich, es erscheint die Meldung:
Das Netzlaufwerk konnte nicht verbunden werden, da folgender Fehler aufgetreten ist:Der Remotecomputer ist nicht verfügbar
Wenn ich mir die Shares des Rechners aufliste sieht alles ganz normal aus, weshalb ich mir die beschreibene Fehlermeldung nicht erklären kann:
Ausgabe cmd.exe > net share
Name Ressource Beschreibung --------------------------------------------------------------- IPC$ Remote-IPC D$ D:\ Standardfreigabe C$ C:\ Standardfreigabe F$ F:\ Standardfreigabe ADMIN$ C:\WINDOWS Remoteverwaltung E$ E:\ Standardfreigabe
Bisherige Lösungsansätze:
Zu 1.) Ich habe auf dem Rechner den RPC-Lokator Dienst nachgestartet, jedoch ohne Auswirkung auf das RDP-Problem. Ich vermute eher das es an Gruppenrichtlinien liegen könnte, wüßte da aber erst mal keinen direkten Ansatz. Die offensichtlichen Richtlinien, die damit zu tun haben könnten scheinen in Ordnung zu sein. Vielleicht hatte ja jemand schon mal ein ähnliches Problem und kann mir einen Ratschlag erteilen? :)
-
Ich hab heute morgen herausgefunden woran es lag. Im IIS unter Eigenschaften der betreffenden Seite die Ausführberechtigungen von "Skripte und ausführbare Dateien" ändern auf "Nur Skripte". Dann sperrt sich der IIS nicht mehr gegen .exe Dateien und es klappt so wie es soll.
Grüße
Blaubeere
-
MIME Types sind für .exe global im iis definiert, daran sollte es nicht liegen. :(
-
Hallo,
es tritt bei uns folgendes Problem unter Windows 2003 Server (inkl. Service Pack 1) auf.
Eine unserer Seiten ist über eine Adresse nach aussen erreichbar, klappt auch soweit ganz gut. Nur ist uns aufgefallen das der download von .exe dateien nicht funktioniert. (Leider ist nicht mehr reproduzierbar ob das Problem von Anfang an besteht oder erst seit kurzem.)
Es wird ein 404 Fehler produziert. Bislang läßt sich nicht erkennen wieso, Pfade stimmen, andere Dateien mit anderen Endungen (zip) lassen sich herunterladen.
Kann mir vielleicht jemand weiterhelfen? Was muss, wenn überhaupt für .exe Dateien konfiguriert werden?
Weiß echt nicht mehr weiter :(
[Edit: Ich bekomme folgende Meldung im Internet Explorer wenn ich versuche die Datei herunterzuladen (rechts klicken, speichern unter ...): Dateiname.exe von [iP-Adresse] kann nicht übertragen werden. Die Internetsite konnte nicht geöffnet werden. Sie ist entweder nicht verfügbar oder konnte nicht gefunden werden. Versuchen Sie es später erneut. ]
Grüße
Blaubeere
-
Hab gerade herausgefunden das wenn ich den WWW-Publishing Dienst neu starte geht es für kurze Zeit, doch dan blockiert er wieder mit den oben genannten Meldungen. :(
-
Hi,
Hast du die Kiste schon mal neu gestartet? - Ein Boot tut gut :)
Ja, habs ich heute morgen per geplante Task, hat leider nichts genützt.
Ein Backup-Job, der abgestürzt ist (oder läuft noch)?
Wie meinst du das? Der Server wird per IBM TSM täglich gesichert.
Im Taskmanager laufen folgende Prozesse:
winlogon.exe
rdpclip.exe (dürfte mein RDP Session sein )
Filezilla Server Interface.exe (FTP Server)
csrss.exe
explorer.exe
ctfmon.exe
Danke erst mal für eure raschen Antworten, bitte weiter so. :)
-
Hallo Leute,
ich war bislang Silentreader und hab nun leider ein akutes Problem mit einem Server.
Ich hab unter Windows 2003 im IIS mehrere Intranetseiten laufen. Diese benutzen alle .asp und ein Script namens aspSmartUpload für den Download von Files. Nun bekomm ich urplötzlich Fehlermeldungen wenn ich von einer der Seiten eien Datei herunterladen möchte.
aspSmartUpload.SmartUpload Fehler "80040410'File not found (Error 1040) Error opening 'X:\intranet_service\www\mein_intranet\download_irgendwas\files\Hotfix.exe'. Error 32 Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
/download_irgendwas/downloader.asp, line 15
Wenn ich diese Datei als Administrator direkt im Serververzeichnis anfassen möchte (d.h kopieren, verschieben usw.) bekomme ich eine Windows Fehlermeldung, die da lautet:
Fenstername: Fehler beim Kopieren der Datei oder des Ordners
Meldung: Hotfix.exe kann nicht kopiert werden: Die Datei wird von einer anderen Person bzw. einem anderen Programm verwendet.
Schließen Sie alle Programme, die die Datei eventuell verwenden können, und wiederholen Sie den Vorgang.
Ausser im IIS wird die Datei meines wissens nach nicht benutzt. Weiß jemand vielleicht woran das liegen könnte?
Grüße
Chris
(VMWARE ESX 3.0) Virtuelle Maschine nach Migrierung langsamer
in Virtualisierung
Geschrieben
Ich würde es an deiner Stelle auch nochmal mit dem VMWare Converter oder einem vergleichbaren Tool probieren.