Purecut

Hallo,

 

Wie kann ich an einem SBS 2003 einstellen, dass alle Clients im Netz (bzw. einige) lediglich EMails versenden dürfen, jedoch keinerlei Website-Zugriff haben?

 

Danke vorab und viele Grüße

Kay

Web Sites oder Internet?

Hallo!

 

Ich war die ganze Zeit in dem Glauben, dass nach einer Heraufstufung der Domänenfunktionsebene auf Windows 2000 oder 2003 alle NT4-Server u. Rechner keinen Zugriff mehr haben bzw. man auf diese keinen Zugriff mehr hat. Dabei geht es hier ja nur um die Domäncontroller.

 

Wir haben schon seit längerer Zeit nur mehr Windows Server 2003 DCs im Einsatz, jedoch noch zwei NT4 Memberserver in der Domäne.

 

Nochmal eine kurze, letzte Frage: Auf diese NT4-Rechner kann also nach der Umstellung auf 2003-only ohne Probleme nach wie vor zugegriffen werden? Kann diese Umstellung jederzeit im laufenden Betrieb erfolgen?

 

Besten Dank und viele Grüße,

Mario.

Schau mal hier:

http://technet2.microsoft.com/WindowsServer/de/Library/5084a49d-20bd-43f0-815d-88052c9e2d461031.mspx

und hier:

http://technet2.microsoft.com/WindowsServer/de/Library/83347346-54d4-4963-8a4a-370a127fb3751031.mspx

Da ist es gut erklärt was dann noch angebunden werden kann.

Möglich wäre auch auf der FW eine Rule zu erstellen, die z. Bsp. Deny Access to Inet hat und die Clients dann dort drin aufnehmen.

Richtig. Wenn Das deine Firefall unterstützt ist da wohl die sauberste Lösung. (Kann das meine überhaupt.. muss mal flux kramen, wäre interessant zu wissen)

Jupp.

 

Habe es wie oben im Link beschrieben gemacht!!!

Die komplette Installation wurde nach diesem Link gemacht!!

Ich denke mal Du hast ein Benutzerzertifikat installiert. Was Du aber benötigst für IPSec/L2TP ist ein Computerzertifikat.

1. Öffne über eine leere MMC. Unter Aktionen sagst du Snap-In hinzufügen und wählst "Zertifikate" aus. Bei der Auswahl welche Art von Zertifikat wählst du zunächst "Benutzerkonto". Dann fügst du wieder das Snap-In "Zertifikate" hinzu und klickst jetzt NICHT Benutzerkonto sondern "Computerkonto (lokales Computerkonto)" an. Jetzt hast du in der MMC zwei Snaps. Computerkonto & Benutzerkonto. Speicher diese neue MMC unter einem neuen Namen ab und öffne diese dann.

2. Gehe in der neuen MMC unter Computerkonto --> Eigene Zertifikate. Die Ansicht der MMC sollte auf "Logische Zertifikatsspeicher" stehen Ansicht --> Optionen --> Logische Zertifikatsspeicher.

3. Klicke mit der Maus auf "Eigene Zertifikate --> alle Task --> neues Zertifikat anfordern"

4. Ein Wizzard öffnet sich. Klicke --> Weiter" --> Wähle "Computer" aus --> Klicke "Weiter", trage die benötigten Informationen ein und dir wird von der CA ein Zertifikat ausgestellt. Danach ist das Computer Zertifikat in deinem Speicher an der richtigen Stelle.

Dann probiere nochmals eine Verbindung.

also ich würd mir eine 2te hdd zulegen weil wenn die den schlüssel wollen....

und wenn sie ihn nicht kriegen zerstören sie das gerät......

Und wenn die deine 2. HD im Koffer filzen hast du wieder ein Problem oder eine Notebook weniger. Oh man du mittlerweile armes Amiland!

Hallo,

genau so :)

Und wie installiere ich dann den Windows 2003 Server in der virtuellen Maschine. Ich möchte das dieser halt kein DC ist sondern dann lediglich ein Memberserver in meiner Domäne.

Memberserver?

Wo trage ich denn den Memberserver in meiner DC ein?

autsch..

Hi Cybquest,

Wäre es möglich diese zwei Scripts für interessierte bereitzustellen?

Würde dir in dem Fall gerne meine Email via PM schicken.

Das interessiert mich auch. Geht das über ne MySQL DB?

Hallo,

 

wir haben ne w3k-Domäne und ich würde gerne zwei WinXP-Clients vom Internet ausschließen, wobei sie aber nachwievor auf das Netzwerk (FileServer) zugreifen dürfen sollen.

 

Geht so was und wenn ja, wie?

Ohne groß nachzudenken würde ich folgendes machen.

Die beiden Clients in eine gesondert OU und eine GPO erstellen, da dass diese die Netzwerkeinstellungen und andere Netzwerktools nicht benutzen können. Dann den Clients eine IP vom DC DHCP zuteilen. In den DHCP Bereisoptionen diesen Clients ein Gateway zuteilen, welches es in deinem Netzwerk nicht gibt. Dann können die Clients nicht nach draußen aber interne Seiten über deinen WEB Server aufrufen.

Man könnte den Clients aber auch ein Gateway zuteilen, welches dann auf eine interne Adresse geroutet wird z.B. wieder den internen WEB Server mit einer eigens dafür vorgesehenen 404 Seite.

Ob man Clients per GO so einfach den Zugang nach außen entziehen kann weiß ich nicht.

Oh, das wäre super. Eine Lösung ohne ActiveDesktop wäre mir in der Tat lieber. Danke schonmal im Vorraus.

Wenn mich nicht alles täuscht dann kannst du aber ohne Active Desktop nur bmp bilder nutzen. Bei eingeschaltetem Active Desktop gehen dann auch jpg etc.

Muss sich das Wallpaper auf der eigentlichen Maschine befinden oder kann es sich auch auf einem Server Share für sowas befinden?

Hallo Roidanton00,

 

wenn du den laufenden SBS virtualisieren willst, dann Post von djmaker beachten.

 

Oder geht es dir allgemein um eine Testumgebung um den SBS kennen zu lernen ?

 

- Beachte das du egal wie du es umsetzen wirst entsprechende Lizenzen zu jedem

System benötigst.

 

1. Es ist durchaus möglich den SBS in einer virtuellen Umgebung laufen zu lassen.

Hier sollte sich das System annähernd so verhalten wie auf einer realen Maschine,

abgesehen von der Leistung.

 

2. Du benötigst zum Installieren eine eigene Lizenz für den SBS Server und das darunter

laufende Betriebssystem. Desweiteren kannst du den MS Virtual Server oder den VM Ware

Server nutzen um dein Vorhaben zu realisieren. Beide sind kostenlos.

 

3. Welche Art von Hilfestellung meinst du hier ? Die Systeme installieren sich wie in

einer realen Umgebung und verhalten sich auch so.

 

 

Kompliziert .. nö. :)

.

Dazu möchte ich mal etwas genaueres wissen.

Wenn ich einen Windows 2003 Enterprise Server habe (der 4 Virtual Server Lizenzen beinhaltet, wenn ich mich nicht täusche) wie gehe ich dann vor? Downloade ich mir von MS den Virtual Server 5 RC2, installiere den auf meinem Windows 2003 Ent. Server und in meinem Virtual Server installiere ich dann wieder meine Enterprise Edition, so dass ich dort dann den Terminal Server benutzen kann?

Ich habe dies noch nie gemacht und bin mir über den Ablauf nicht sicher.

Was ich machen möchte ist auf dem Windows 2003 Server Entp. Ed. einen Virtual Server aufsetzten, um dort einen Terminalserver betreiben zu können.

Wer klärt hier mal mein Gehirn

Hallo,

 

an meinem Windows 2000 (SP4) habe ich in den Eigenschaften der LAN-Verbindung keinen Authentifizierungs-Tab. Der PC hängt im LAN. Wie komme ich an die Authentifizierungs-Eigenschaften??

 

Danke

lamu

Bin im Moment überfragt, da ich momentan keine W2K Maschine im Zugriff habe. Gibt es das überhaupt bei W2K an dieser Stelle? Bei XP ja.

Hallo Minti,

So weit ich weiss muss bei L2TP auch der Computer selbst ein Zertifikat haben und nicht nur der Benutzer. Brauchst also beide Zertifikate für eine erfolgreiche L2TP Verbindung. Deswegen wird es etwas schwierig mit anderen AP.

Vordefinierte L2TP/IPsec-Schlüssel würde ich nicht nehmen weil der Schlüssel als Klartext übertragen wird. Kannst dann gleich PPTP nehmen...

L2TP funktioniert ausschließlich mit Computerzertifikaten. Installierte Benutzerzertifikate spielen da keine Rolle.

Hallo Purecut,

 

wie ist der Server von der Hardware ausgestattet speziell im Bereich RAM ?

 

Da gäbe es eine Möglichkeit ...

4GB. Das sollte doch für eine simple Auftragsbearbeitung reichen. Festplatten sind auch super schnell. SCSI U320. Mehr soll auf dem Server schon nicht mehr passieren. Alle anderen Anwendungen laufen lokal. Die User speichern dann Daten auf Serverfreigaben. Sind ja per VPN angemeldet.

Deaktiviere also in der Richtlinie im Domänenprofil die Firewall und aktiviere sie im Standardprofil ...

Könntest Du mir bitte dies einmal für einen Windows 2003 DC genau erklären. Ich blicke immer noch nicht durch welche Policy für alle Domainmitglieder angewendet wird, wenn man keine extra Policy erstellt hat.

Wird man: start --> Progamme --> Verwaltung --> Group Policy Management --> Domänen --> Domänen_Name --> Gruppenrichtlinienobjekt --> Default Domain Policy verwendet?

Hier kann ich dann auch spezielle Policy's erstellen (die immer als Grundlage der "Default Domain Policy" tragen und diese dann speziell für die Gruppe anwenden - richtig?

Wo zum Teufel liegt denn dann der Unterschied zwischen "Gruppenrichtlinie für Domänen"

und "Gruppenrichtlinie für Domänenkontroller"?

Danke für deine hoffentlich folgende Erklärung

Hallo Gemeinde

Ich stelle mir hier eine Aufgabe und möchte diese an meinem System einmal durchspielen.

Es besteht ein Windows 2003 Server Ent. Edition. Auf dem sind die Terminal Dienste, Lizenzserver etc. installiert und aktiviert.

Ich habe den Terminal Server auf den DC installiert, da ich keine anderen Rechner zur Verfügung habe und auch der Kunde später keine Mittel hat um einen zusätzlichen Memberserver für den Terminal Server zu kaufen.

Also ist der DC auch Terminal Server (wenn jemand eine andere Lösung her möge er sprechen ;-)

Es geht mir um das reine Verständnis der Dinge und Konfiguration.

Terminalserver stellt Programme für den Remote Zugriff zur Verfügung - ok.

Also installierte ich die 2 Programme, die benötigt werden unter dem Terminal Server.

Wenn sich nun ein User per RD an den TS anmeldet (und so wie ich das verstanden habe ist der RD die einzige Möglichkeit sich an einen TS anzumelden), dann meldet er sich zunächst an das OS Windows 2003 an. Auf dem erscheinenden Desktop sieht er ja dann alle Punkte, die ein normaler Admin auch sehen würde. Das darf aber auf keinen Fall sein.

Bedeutet das für mich das ich z.B. für den TS User eine OU anlege, dort eine GPO erstelle und so den Desktop so dicht mache, das er nur noch die unter dem Terminal Server installierten Programme aufrufen kann und sonst keinen Zugriff auf andere Dinge erhält?

Das bedeutet ich müsste für den TS ein Profil erstellen etc.

Wenn der TS auf einer anderen Maschine laufen würde könnte ich auch ruhiger schlafen, aber das ist nun mal nicht der Fall und ich muss den Desktop bzw. den User so einschränken, dass er keinen Unfug anstellen kann.

Der User würde sich per VPN einwählen. VPN Server wäre in diesem Fall ein Router. Der User authentifiziert sich gegenüber dem Router mit Zertifikaten und zusätzlich nochmals mit xauth. Die Terminal Dienste sollten von max. 2 Usern benutzt werden - nicht mehr.

Oder funktioniert bei Dir zwar WPA2/AES, aber nicht, wenn 802.1x Auth. aktiv ist

Genau das funktionierte nicht. Dann schrieb der Radius im Log unbekannte Authentifikationsmethode (der Radius ist so eingerichtet, dass nur EAP in Verbindung mit Smartcard oder Zertifikat in Verbindung mit 802.1x erlaubt ist)

So sieht jetzt ein erfolgreicher Event-Log bei einer WLAN Einwahl aus:

Ereignistyp: Informationen

Ereignisquelle: IAS

Ereigniskategorie: Keine

Ereigniskennung: 1

Datum: 28.01.2007

Zeit: 14:24:59

Benutzer: Nicht zutreffend

Computer: SERVER

Beschreibung:

Benutzer "host/xxxx.xxxx.local" wurde Zugriff gewährt.

Vollqualifizierter Benutzername = xxxxx.local/Computers/xxxxx

NAS-IP-Adresse = 10.0.0.50

NAS-Kennung = NETGEAR_WG102

Clientanzeigename = Netgear_WG102

Client-IP-Adresse = 10.0.0.50

Kennung der Anruferstation = xxxxxxxxxxx

NAS-Porttyp = Wireless - IEEE 802.11

NAS-Port = 1

Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden

Authentifizierungsanbieter = Windows

Authentifizierungsserver = SERVER

Richtlinienname = Wireless Lan Policy 1

Authentifizierungstyp = EAP

EAP-Typ = Smartcard oder anderes Zertifikat

@IThome

Danke

Ah vielen Dank. Dann könnte ich aber auch direkt einen managebaren Switch kaufen bei dem ich dies alles einstellen kann. Die Dinger von Netgear kosten doch auch nicht mehr die Welt.

Dann geht aber Schnelle Benutzerumschaltung nimmer, zumindest kommt da so ne Meldung "IPW... verhindert schnelle Benutzerumschaltung"

Das passiert nur, wenn du nicht "Ständige Verbindung" im Profil aktiviert hast.

Hast wahrscheinlich ebenso schlechte Erfahrungen mit der Intel-Software gemacht ? Ich habe sie deswegen wieder deinstalliert, sehr lange Anmeldevorgänge, nicht angewendete Computerrichtlinien ...

Hallo

Ich habe mich mit dem Problem mehr als lange genug auseinandergesetzt. Was mir aufgefallen ist, ist das die Windows WLAN Verwaltung keine WPA2/AES in Verbindug mit Zertifikaten ermöglicht (oder ich habe da was übersehen). Weiterhin bracht die WLAN Verbindung zeitweise ohne jeglichen Grund ab (darüber klagen auch andere User).

Also habe ich es mit der Proset Software von Intel dann versucht. Bei der Installation der Software sollte man sich zunächst einmal die neuste Version ziehen, da ältere Versionen von Intel für alle Karten erhebliche Sicherheistlöcher haben. Dies wurde erst in den letzten Releases behoben.

Dann installiert man die Proset Software "Benutzerdefiniert" und klickt bei den Installatiosnoptionen folgende Punkte an: WLAN Adaptertreiber, Proset/Wireless, Problemhilfe, Einmalanmeldung, Voranmeldung, Admin Toolkit.

Nach der Installation öffnet man die Software und klickt "Extras --> Administrator-Tool" an. Dort erstellt man ein "Ständig & Voranmeldung/Standard" Profil. Wenn man ein neues Voranmeldung/Standard Profil erstellt kann man diesem auch zuweisen, das es für die "Ständige Anmeldung" ebenso gültig ist. Dann muss man nicht 2 x das gleiche tun.

Alles weitere ist selbsterklärend. Dieses erstellte Profil läd man dann auf den Adapter und gut ist. Das erstellte Profil ist dann für alle Benutzer gültig und wird als erstes nutzbares Profil verwendet, wenn bereits User ihr eigenes Profil erstellt haben sollten. Somit klappt die Anmeldung in eine Domäne wunderbar und ohne Fehler.

Auch hier gilt nicht das Sicherheitskonzept für die Domäne zu beachten. Zuvor Benutzergruppe anlegen, wer sich überhaupt so anmelden darf, ebentuell Radius Dienst installieren etc.

Die Intel Software stellt ja nur eine Netzwerkverbindung vor der eigentlichen Anmeldung her.

Wir haben das hier so gemacht, das nichts ohne Zertifikate läuft. Das heißt der User wählt sich in einen Access Point ein, dieser steht in Verbindung mit einem Radiusserver. Dort eine OU anlegen mit Richtlinie etc.

Du kannst für den ursprünglichen Administrator eine Kennwortrücksetz-Diskette erstellen ...

Jetzt bin ich aber neugierig. Genaueres bitte. Wie geht denn das? Kann man dazu z.B. auch einen USB Stick benutzen?

Nu leg mal los :wink2:

Gruss Purecut

DHCP --> Eigenschaften --> DNS --> Haken bei letzten Eintrag setzen (DNS-A und RTP Einträge für DHCP Clients, die keine ....) Bezieht nun ein Client aus dem DHCP eine IP kann wird diese dann automatisch in den DNS eingetragen und verwaltet.

Wie sieht es mit den Netbios Port aus. Sind die freigegeben für VPN. Läuft auf dem Server WINS? Bezieht die VPN Verbindung eine IP vom Server? Etwas genauer bitte.

@Notarzt

Könntest du mir denn bitte einmal ein Beispiel aufzeigen wie ich die Subnetze richtig einteilen sollte.

Server sollen aus dem Bereich 10.10.1.x kommen (könnte so bleiben wie es jetzt ist 10.10.1.1)

Clients aus dem Bereich 10.0.x.x

Netzwerk Drucker und anderes Netzwerk Gerät sollten aus dem Bereich 10.0.0.x kommen

bei 5 Abteilungen a 10-30 Clients

Vielen Dank

Eben deswegen

 

 

Das klappt hier vorzüglich, der Wechsel zwischen LAN und WLAN - Eventlog bleibt sauber.

Ersetze erste 3 mit 0 - Tippfehler. ;)

Welchen VPN Client setzt ihr denn ein? Wie ich bereits schrieb tritt diese Verhalten nur bei wechselnden VPN Verbindungen auf den Schnittstellen auf.