amathar

Hallo, ich habe eine Frage zum IIS 7 im Zusammenhang mit einem wildcard Zertifikat. Folgendes Problem: Ich habe einen Server mit 2 IP Adressen und ich brauche auf diesem Server zwei virtuelle Webservices, die beide ssl verschlüsselt laufen sollen und beide das gleiche wildcard Zertifikat nutzen sollen. Bei der site1 habe ich port 80 gebunden an alle unbenutzen IP Adressen und ein hostname ist gesetzt. Desweiteren habe ich bei der site1 eine Bindung an port 443 (https), an eine der beiden IP Adressen. Um nun die 443 config an einen hostname zu binden habe ich folgendes Kommando ausgeführt: appcmd.exe set site /site.name: "Site1" /+"bindings.[protocol='https',bindingInformation='xx.xx.xx.93:443:host1.my.domain]" Dies kann ich nun in gleicher Art und Weise für die zweite website ausführen: appcmd.exe set site /site.name: "Site2" /+"bindings.[protocol='https',bindingInformation='xx.xx.xx.94:443:host2.my.domain]" Nun habe ich zwei Bindungen, beide Seite lassen sich starten, aber beide nutzen kein ssl Zertifikat. Wenn ich die config eines hosts ändere um ein Zertifikat einzufügen, geht die Bindung an den hostname flöten... Wie könnte ich mein Problem lösen? Danke und Gruß Peter

Ich habe mal folgende Frage an "die Cisco" Experten. Unser Switch-net ist einem VLAN separiert (VLAN5). Alle Clients liegen im VLAN 11. Ein Routing zwischen den VLANs gibt es nicht. Nun wollen wir mittels eine Intrusion Detection Software schauen, ob auf an den Switches Anomalien auftreten. (z.B. Arp overwrite). Das ganz funktioniert mittels snmp Abfragen der Workgroupswitchs. Was nun auffällt ist, daß im arp cache der Workgroupswitches nur Einträge aus dem Switch-net sind, keinerlei Einträge aus dem Client-net. Das einzige IP Interface der Workgroupswitches liegt im VLAN5. Wie bringe ich nun arp dazu (auf einem reinen Layer-2 Switch) seinen arp cache auch mit Informationen aus dem VLAN 11 zu befüllen ? Geht das überhaupt bei einem reinen Layer-2 Switch ? Danke

Im Grund richtig. Bei mir stehen im mgmt-net aber die Kronjuwelen (loglost, Userdatabase etc.) des Netzes, daher deute ich die Ausgangslage vielleicht falsch. Ich möchte diese nicht nur durch ein anderes VLAN gesichert wissen, daher stateful packet filter.

Oh ha, da habe ich ja in ein Nest gestoßen. Schade. Für Linux User ist Windows das letzte, für Windows User sind alle Unix Derivate Mist und für Cisco Admins ? Nunja, egal. Nur alles als Bastellösung zu beschreiben ist schon argh.. Genua Firewall = OpenBSD hat BSI E3 hoch... Alles Weitere lasse ich mal lieber. Peter

Hmm, also wenn man ein echtes mngt net bauen will, würde ich das ehrlich gesagt nicht mit einem packet filter auf Basis von IOS machen. Für solche Sachen vertraue ich nur ner Firewall, die ein Interface im management net hat und eines im anderen Netz und passend routet. Welche FW man da nimmt ist da immer Geschmachssache, z.B. auf Basis von Linux oder besser OpenBSD. Gruß Peter

Danke erstmal, wenn auch etwas klar, warum das nicht unterstützt wird. Radius - Authorization habe ich mit Radius selber schon umgesetzt allerdings nicht im Windows-Server Umfeld (Shiva, Checkpoint etc.). Radius ist bekannter Maßen ein AAA Protokoll und beherrscht Acces Requests (http://www.ietf.org/rfc/rfc2865.txt) und nachdem ich http://www.microsoft.com/technet/prodtechnol/windows2000serv/deploy/confeat/ias2000a.mspx gelesen hatte, wo explizit steht: "IAS performs centralized connection authentication, authorization... " dachte ich, es wäre machbar. Aber egal, dann werden wir einen anderen Weg finden müssen. Danke nochmal !!

Das Radius Server greift auf nen ADS zu. Das wird an anderer Stelle auch schon benötigt. Wir wollen keine Domänenmitgliedschaft außerhalb des LANs, daher der Versuch das mit Radius zu organisieren. Das bedeutet, daß für lokale Ressourcen des Servers der Server keine Radius Auth. akzeptiert (bzw. es keine config-Möglichkeit gibt die Auth. Anfrage an den Radius weiterzugeben)? Ok, man könnte über die Credentials nur darf (hat einen Radius Account) oder darf nicht (hat keine gültigen Account) steuern, aber das würde uns reichen.

Hallo, ich habe hier ein Problem, welches ich nicht so recht in den Griff bekomme. Es soll einen Windows Server 2003 geben, der in einer DMZ steht. Von dort sollen Benutzer einen Drucker als Netzwerkdrucker mounten. Die Benutzer sollen aber nicht lokal auf dem Server eingepflegt sein, sondern von einem Radius Server kommen. Es ist offenbar kein Problem eine VPN Vernindung zu besagtem Server aufzubauen. Der VPN Aufbau funktioniert und die Benutzer authentifizieren sich auch gegen den Radius Server. Sobald man nun jedoch versucht den Drucker zu mounten wird wieder nach einer Authentifizierung gefragt, die offenbar nicht an den Radius Server weitergegeben wird. Sie wird versucht lokal aufzulösen, was denn schief geht. Wie kann ich dieses Problem in den Griff bekommen ?? Danke