Ciscler

Hallo, ist es richtig das Windows Server 2003 in der Domänenfunktionsebene Windows Server 2003 und Windows Server 2003-interim universelle Gruppen bereitstellen kann? Hab im Netz jetzt öfters mal gelesen das Windows Server 2003-interim keine universellen Gruppen hat. Nur mein MS Press Buch sagt das es beide haben. Was ist nun richtig? Gruß Dirk

Hi, die Trennung hab wir bei unseren Kunden auch Nachts konfiguriert. Kann man im 876er mit cronjobs machen. Hier mal ein Auszug von uns: kron occurrence DISCONNECT at 3:00 recurring policy-list DISCONNECT ! kron policy-list DISCONNECT cli clear interface Dialer 1 Gruß Dirk

Hi, danke das mit der Pfadregel klappt. Wenn Computerkonten sich im Standard Container "Computers" befinden greift dann Standard Massig das Default Domain Policy GPO ? Weil auf dem Computers Container kann ich ja kein GPO setzen. Gruß Dirk

Hallo, bin gerade am Lernen für die 299 und teste gerade einwenig mit Gruppenrichtlinien rum. Habe mir eine neue GPO erstellt mit der MMC Konsole und habe unter Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Richtlinien für Softwareeinschränkung --> unter Zusätzliche Regeln eine Neue Hashregel hinzugefügt. Die es verbietet die Notepad.exe auszuführen. Habe diese GPO dann direkt auf die Domaine xxx.local hinzugefügt unter der GPO Default Domain Policy. Dann habe ich ein gpupdate /force abgesetzt und habe den XP Client neu gestartet und mich an der Domaine angemeldet. Aber der Client kann notepad.exe immer noch ausführen. Daraufhin habe ich mal den Server neugestartet. Jetzt kann ich die Notepad.exe nicht mehr auf den Server starten da greif die GPO für meine Softwarebeschränkung wieso den nicht bei dem Client? Gruß Dirk

Ja so würde ich es machen. Direkt eine default Route aufs VLAN 10 Interface oder direkt auf die WAN IP vom Provider. Und die Cryptomap aufs VLAN 10 Interface. Wahrscheinlich hast du noch eine Access-liste für dein Dialer 0 Interface gehabt. Diese muss nun auch aufs VLAN 10 Interface

Hallo, es liegt auf jedenfall an Ihm ;). Tippfehler kann ich auschließen habe im die .pcf Datei für die Verbindung vom Cisco Client geschickt die ich bei mir Verwenden. Habe jetzt bei mir mal einen Sniffer laufen lassen. Der VPN Client macht doch direkt NAT T ich sehe das er über udp Port 4500 raus geht. In dem Fall macht der Router doch kein NAT T ? Gruß Dirk

War bestimmt der Dialer der sich vorher eingewählt hat. Jetzt muss er die Crypto map aufs Outside Interface binden in seinem Fall auf das VLAN 10 Interface.

Hallo, das komische ist nur das der Kunde schon einige andere VPN Verbindungen im Cisco Client konfiguriert hat. Und diese kann er erfolgreich aufbauen. Hier mal der LOG vom cisco vpn client: Cisco Systems VPN Client Version 4.0.3 (A) Copyright © 1998-2003 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Windows, WinNT Running on: 5.1.2600 1 16:25:47.143 06/10/08 Sev=Warning/3 IKE/0xE3000056 The received HASH payload cannot be verified 2 16:25:47.143 06/10/08 Sev=Warning/2 IKE/0xE300007D Hash verification failed... may be configured with invalid group password. 3 16:25:47.143 06/10/08 Sev=Warning/2 IKE/0xE3000099 Failed to authenticate peer (Navigator:899) 4 16:25:47.143 06/10/08 Sev=Warning/2 IKE/0xE30000A5 Unexpected SW error occurred while processing Aggressive Mode negotiator:(Navigator:2199) 5 16:27:40.177 06/10/08 Sev=Warning/3 IKE/0xE3000056 The received HASH payload cannot be verified 6 16:27:40.177 06/10/08 Sev=Warning/2 IKE/0xE300007D Hash verification failed... may be configured with invalid group password. 7 16:27:40.177 06/10/08 Sev=Warning/2 IKE/0xE3000099 Failed to authenticate peer (Navigator:899) 8 16:27:40.177 06/10/08 Sev=Warning/2 IKE/0xE30000A5 Unexpected SW error occurred while processing Aggressive Mode negotiator:(Navigator:2199) – Hallo, ist IPSEC Path Through nicht das gleich wie NAT Traversal? Muss er das nicht an haben?

Die VPN Einwahl per Cisco Client funktioniert soweit. Nur bei einem Kunden ist die Einwahl per Client nicht Möglich. Auf dem Router taucht folgende Meldung auf: %CRYPTO-6-IKMP_NOT_ENCRYPTED: IKE packet from y.y.y.y was not encrypted and it should've been. Lässt sein Router auf seiner Seite irgendetwas nicht durch? Gruß Dirk

Hallo Wordo, hab jetzt alles am Laufen. Jetzt wird am Client auch die entsprechende Route gesetzt damit nicht alles in den Tunnel läuft. Hatte die ACL fürs Split-Tunneling irgendwie verdreht. Jetzt klappts aber. Danke! Gruß Dirk

Hallo Wordo, habe jetzt auf dem Testrouter anstatt crypto map clientmap 10 ipsec-isakmp dynamic dynmap crypto map clientmap 65535 ipsec-isakmp dynamic dynmap konfiguriert. Der Agressive-mode Fehler erscheint immer noch. Ich hab gehört man kann irgendwie cryptomaps miteinander cascadieren ist das richtig? Gruß Dirk – Hey, so ich habs geschafft der Agressive-Mode Fehler kommt nicht mehr. Aber das mit den 2 Cryptomaps habe ich noch nicht so genau verstanden. Könntest du mir ein Beispiel geben wir ich die dynmap jetzt in die bestehende VPN Config der Hauptlokation bringe? Gruß Dirk – So die Einwahl klappt jetzt soweit. Nur Pingen kann ich mein Loopback 1 Interface vom Notebook aus nicht. Mit Ipconfig sehe ich zwar das ich aus dem IPpool den ich auf dem Router konfiguriert habe eine IP zugewiesen bekommen habe aber auf dem Client gibt es keine Route die auf das Netz vom Loopback Interface zeigt. Gruß Dirk – Habe dem Log am VPN Client mal eingeschaltet. Cisco Systems VPN Client Version 5.0.02.0090 Copyright © 1998-2007 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Windows, WinNT Running on: 5.1.2600 Service Pack 2 Config file directory: C:\Programme\Cisco Systems\VPN Client\ 1 21:21:34.046 06/03/08 Sev=Warning/2 CVPND/0xA3400015 Error with call to IpHlpApi.DLL: GetAdaptersInfo, error 0 2 21:21:34.265 06/03/08 Sev=Warning/2 CVPND/0xE3400013 AddRoute failed to add a route: code 87 Destination 192.168.116.255 Netmask 255.255.255.255 Gateway 192.168.100.1 Interface 192.168.100.6 3 21:21:34.265 06/03/08 Sev=Warning/2 CM/0xA3100024 Unable to add route. Network: c0a874ff, Netmask: ffffffff, Interface: c0a86406, Gateway: c0a86401. 4 21:21:34.265 06/03/08 Sev=Warning/2 CVPND/0xE3400013 AddRoute failed to add a route: code 87 Destination 192.168.113.255 Netmask 255.255.255.255 Gateway 192.168.100.1 Interface 192.168.100.6 5 21:21:34.265 06/03/08 Sev=Warning/2 CM/0xA3100024 Unable to add route. Network: c0a871ff, Netmask: ffffffff, Interface: c0a86406, Gateway: c0a86401. 6 21:21:34.265 06/03/08 Sev=Warning/2 CVPND/0xE3400013 AddRoute failed to add a route: code 87 Destination 192.168.0.255 Netmask 255.255.255.255 Gateway 192.168.100.1 Interface 192.168.100.6 7 21:21:34.265 06/03/08 Sev=Warning/2 CM/0xA3100024 Unable to add route. Network: c0a800ff, Netmask: ffffffff, Interface: c0a86406, Gateway: c0a86401. Ich möchte einfach nur die IP vom Loopback 1 Interface Testweise anpingen. – So jetzt läuft endlich alles. Das mit der Cryptomap habe ich jetzt so gemacht. crypto map vpnmap 1 ipsec-isakmp description -> xxx set peer xxx set transform-set vpnset match address Tunnel crypto map vpnmap 10 ipsec-isakmp dynamic dynmap Dennoch fügt der VPN Client dem PC keine Route hinzu sondern eine Default Route dabei läuft der ganze Traffic in den Tunnel. Surfen nebenbei ist so nicht mehr möglich. Gibts da noch ne Lösung? @Wordo vielen Dank für den Tipp mit der cryptomap Gruß Dirk

Hallo, jetzt kommt noch was hinzu was mir Bauchschmerzen bereitet. Der Hintergrund ist wir haben 3 Lokationen und eine Hauptlokation. Alle 3 Außenstellen bauen eine IPSEC VPN Verbindung zu der Hauptlokation auf. Es sind alles 876er Cisco Router vor Ort. Jetzt muss ich die Remoteeinwahl für den VPN Client auf dem Router an der Hauptlokation konfigurieren. Die VPN Konfiguration auf dem Router in der Hauptlokation sieht wie folgt aus: crypto isakmp policy 5 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key xxx address xxx.xxx.xxx.xxx no-xauth crypto isakmp key xxx address xxx.xxx.xxx.xxx no-xauth crypto isakmp key xxx address xxx.xxx.xxx.xxx no-xauth crypto isakmp keepalive 10 ! ! crypto ipsec transform-set VPN esp-3des esp-sha-hmac ! crypto map VPN 1 ipsec-isakmp description -> xxxx set peer xxx.xxx.xxx.xxx set transform-set VPN match address Tunnel crypto map VPN 10 ipsec-isakmp description -> xxxx set peer xxx.xxx.xxx.xxx set transform-set VPN match address Tunnel1 crypto map VPN 20 ipsec-isakmp description -> xxxx set peer xxx.xxx.xxx.xxx set transform-set VPN match address Tunnel2 Jetzt kann ich ja ohne Probleme wie ich es im ersten Beitrag geschrieben habe eine dynamic map für die Einwahl per VPN Client anlegen. Aber ich kann ja nicht 2 Cryptomaps an mein Dialer Interface binden. Geht das überhaupt was ich vorhabe? Hat sowas schon jemand konfiguriert? Bin für jeden Tip Dankbar Gruß Dirk

Hallo, ich habe ein Problem mit einem Cisco 831 und einer Ferneinwahl mit dem Cisco VPN Client. Ich erhalte bei der Verbindung mit dem VPN Client auf dem Router folgende Meldung: *Jun 2 10:38:13.503: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at xxx.xxx.xxx.xxx Version vom VPN Client ist Version 5.0.02.0090 Nicht über die ACL wundern ich wollte nur mal einen Test mit dem VPN Client machen ob ich per Remoteeinwahl das loopback Interface vom Router anpingen kann. Anbei mal die Config vom Router: Current configuration : 2463 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname xxxx ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication login authent local aaa authorization network autho local ! aaa session-id common ! resource policy ! ip subnet-zero no ip dhcp use vrf connected ! ! ip cef ip domain name xxxxxx no ip ips deny-action ips-interface ! ! ! username admin privilege 15 secret 5 xxxxxxxxxxxx ! ! ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group vpnclient key xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx pool ippool acl split crypto isakmp profile vpnclient match identity group vpnclient client authentication list authent isakmp authorization list autho client configuration address initiate client configuration address respond ! ! crypto ipsec transform-set remote esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set remote ! ! crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! ! interface Loopback1 ip address 192.168.24.1 255.255.255.0 ! interface Ethernet0 no ip address shutdown ! interface Ethernet1 description Outside ip address xxx.xxx.xxx.xxx 255.255.255.240 ip access-group Outside.in in duplex auto crypto map clientmap ! interface Ethernet2 no ip address shutdown ! interface FastEthernet1 duplex auto speed auto ! interface FastEthernet2 duplex auto speed auto ! interface FastEthernet3 duplex auto speed auto ! interface FastEthernet4 duplex auto speed auto ! ip local pool ippool 14.1.1.100 14.1.1.200 ip classless ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.xxx ip http server no ip http secure-server ! ! ! ip access-list extended Outside.in permit tcp any any eq 22 permit icmp any any permit udp any any eq isakmp permit esp any any deny ip any any log ip access-list extended split permit ip 14.1.1.0 0.0.0.255 192.168.24.0 0.0.0.255 ! control-plane ! ! line con 0 no modem enable line aux 0 line vty 0 4 ! scheduler max-task-time 5000 end Gruß Dirk

Hallo, kann mir evtl. mal Jemand in kurzen Worten den Unterschied zwischen der Anmeldeeregnisüberwachung und der Anmeldeversucheüberwachung erklären? Da komm ich jedes mal wieder durcheinander. Gruß Dirk

Hey, anbei mal eine ATM0 Interface Konfiguration die bei unserem 16000 Anschluss mit einem 876er ohne Probleme läuft. Welche IOS Version benutzt du? interface ATM0 description outside no ip address atm vc-per-vp 64 no atm ilmi-keepalive pvc 1/32 pppoe-client dial-pool-number 1 ! dsl operating-mode auto

Das natürlich doof ;). Naja immer vom besten ausgehen. Noch nen schönen sonnigen Sonntag.

Hallo, wie du bekommst deine Testergebnisse per Mail? Also ich bekomm die immer direkt vom Testcenter nach der Prüfung. Wenn ich meine Prüfung am Schluss beende bekommt das Testcenter direkt nen Ausdruck. Von der Prüfung auch mit einer Überischt wie man in den einzelnen Bereichen abgeschlossen hat. Gruß Dirk

Hey, Versatel stellt dir doch vor Ort einen Router auf. So war es zu mindest bei uns. Wir haben dann einfach einen 871er genommen der 2 Interfaces hat. Auf einem Interface die IP von Versatel und auf dem 2. Interface die LAN-Adresse. Wenns so ist kannst du mit dem 876er wenig anfangen da er nur ein Ethernet Interface hat und ein ATM Interface. Gruß Dirk

Hey, herzlichen Glückwunsch! Kann mir gut vorstellen wie erleichternd das für dich sein muss :). Es geht echt eine Menge Zeit dafür drauf und ich find das schwierigste ist die Motivation am Ball zu bleiben und nicht nach einer Prüfung erst Monate Pause zu machen. Wie fandest du die 70-299 leicht? Ich lerne gerade dafür wie hast du dich vorbereitet? Gruß Dirk

Naja irgendwie konnt ich mich bis jetzt immer noch nicht wirklich entscheiden welche Prüfung ich nun machen 299 oder 284? Villeicht sollte ich ein Münze werfen ;-) Welche der beiden Prüfungen ist denn vom Schwierigkeitsgrad leichter? Gruß Dirk

Hey, danke das klappt! Dann schickt er den DHCP Discover via Broadcast ins zweite Subnetz. Danke! Gruß Dirk

Ja unter dem Punkt MCSA 2003 müssen doch wenigstens die Prüfungen aufgelistet sein die ich brauche um den MCSA zu erhalten. Und die 284 steht da nicht drin. Wobei ich noch am überlegen bin welche Richtung ich einschlagen soll security oder exchange sprich Messaging. Was haltet ihr für Sinnvoller und was ist auf dem Arbeitsmarkt mehr gefragt? Gruß Dirk

Aber irgendwie checke ich den Certification planner nicht. Wenn ich mir jetzt den MCSA 2003 anschaue steht da nirgends was von der 284 oder 299 das sehe ich nur wenn ich unter MCSA M oder S 2003 gucke. Gruß Dirk

Hallo, wenn ich Richtung Exchange gehen möchte ist doch die 284 richtig oder? 299 wäre mehr in Security ? Gruß Dirk

Hallo, ich habe mein 70-291er Prüfung auch gerade mit 840 Punkten hintermir gebracht. Eigentlich ärgerlich bin eigentlich wärend der Prüfung davon ausgegangen das ich wohl mit über 900 Punkten bestehe. Mir fehlen Punkte im Bereich Routing und RAS. Naja bestanden. Welche Prüfung muss ich jetzt in Angriff nehmen damit ich bei der nächsten den MCSA Titel bekomme? Bisher habe ich die 270,290 und 291 Gruß Dirk