-= Brummbär =-

Ohne ACL sehe ich auf dem Interface direkt die externe IP. Das heißt natürlich nicht, dass es nicht vorher eine andere war. Wie könnte ich das prüfen?

Ok. Ich versuch da mal was draus zu machen. Das Kabelmodem vergibt ja auf seinem Ethernetinterface eine IP Adresse per DHCP. Da ich mit der ACL so gar keine IP für den Router bekommen habe, habe ich es damit versucht. Wobei richtig überlegt geht ja der Aufbau von innen aus... Nur warum bekomm ich mit der ACL keine IP mehr ohne aber schon. Implizit wird ja trotzdem alles was von außen kommt und keine established connection darstellt geblockt.

Es wär super, wenn ich noch etwas mehr Info bekommen würde.

Hallo,

Ich hab am 876 ein Kabelmodem konfiguriert (von UnityMedia).

interface FastEthernet3
switchport access vlan 10
spanning-tree portfast

interface Vlan10
description UnityMedia Kabelmodem
ip address dhcp
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip tcp adjust-mss 1300
crypto map SDM_CMAP_1

Wenn ich nun im VLan10 die folgende Access-List anbinde, bekomm ich auf dem Interface keine IP mehr.

ip access-list extended AusDemInternet
permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
permit tcp any any established
permit udp host 0.0.0.0 eq bootpc host 255.255.255.255 eq bootps
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
deny   ip host 255.255.255.255 any
deny   ip host 0.0.0.0 any
permit esp any any
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit gre any any
permit udp any eq domain any
permit tcp any eq domain any
permit icmp any any echo-reply
permit icmp any any time-exceeded
permit icmp any any unreachable
permit udp host 192.53.103.103 eq ntp any
permit udp host 192.53.103.104 eq ntp any
permit udp host 192.53.103.108 eq ntp any
deny   ip any any

Woran fehlt es denn noch? Ich bin etwas ratlos.

Hmm. Vielleicht sollte ich mir das mal ansehen. Aber am liebsten lass ich die Finger vom Katalog und den Schemen... Weil's wahrscheinlich auch besser ist :-) Aber Anschauen kann ich es mir ja mal.

Danke!

Hallo Ivey,

Das Auslesen bekomme ich ja hin. Nur kann ich den Filter nicht für eine abfragebasierte Verteilergruppe verwenden, um den Leute automatisch eine Mail zu schicken :-(

Hallo,

Unser Unified Messaging Server hat eine Schemaerweiterung im AD durchgeführt. Jetzt würde ich gerne eine abfragebasierte Verteilergruppe erstellen die mir z.B. alle Personen mit einem AB auflistet. In der benutzerdefinierten Suche bekomme ich das erwartete Ergebnis für meinen LDAP Filter. In der Vorschau der Gruppe wird nichts angezeigt.

Wenn ich das richtig verstehe, dann kann ich in den Gruppen nur auf Attribute zurückgreifen die im GC stehen. Dort scheinen die Attribute aber nicht drin zu stehen. HOW TO: Enumerate Attributes Replicated to the Global Catalog

Gibt es eine Möglichkeit die Abfrage doch zu erstellen? Mich hat es am Anfang etwas verwirrt, dass ich mit der benutzerdefinierten Suche ein Ergebnis bekomme aber in der Vorschau nicht.

Hallo,

Ich nutze BackupAllGPOs.wsf aus den GPMC. Das Skript läuft wunderbar durch nur am Ende wird mir ein Fehler angezeigt.

Die Anweisung in "0x0193dce4" verweist auf Speicher in "0x02462108". Der Vorgang "read" konnte nicht auf dem Speicher durchgeführt werden.

Selbst wenn ich mit wscript.quit definitiv das Skript verlasse, kommt der Fehler hoch. Ein aus dem Skript abgeleitetes Skript das nur die geänderten GPOs sicher, funktioniert weiterhin tadellos. Außer die normalen Updates auf dem Server habe ich nichts verändert.

Kann mir da jemand einen Tipp geben? Da ich das Skript per geplanten Task ausführe, ist die Fehlermeldung natürlich sehr unschön.

Wenn warten die Lösung bringt, hab ich da nichts gegen :-)

Guten Morgen.

Ich würde diesen Beitrag gerne noch mal aufgreifen. Mein WSUS bringt auch einen CRC Fehler (beim dotnetfx40_full). Wenn ich die Quelldatei an meinem Client direkt herunterlade und dann ausführe, bekomme ich den Hinweis, dass die Datei von einem unbekannten Herausgeber stammt. Hängt das evtl. zusammen? Falls ja, würde kann ich mir die weitere Fehlersuche am WSUS sparen und würd auch einfach ein paar Tage warten.

Hmm... beim nächsten Mal vielleicht ;-)

Besten Dank. Es hat wunderbar funktioniert!!!!

@Norbert: Wie hätte ich denn korrekt migriert. Ich wollte bewusst keine Vertrauensstelleung zwischen dem alten Zeugs und unserem neu aufgesetzten Netz. Ich hätte vielleicht auch dabei schreiben sollen, dass bisher nur 25 User im Netz waren. Das macht die nun manuelle Nachpflege doch erträglich.

Guten Morgen,

Wir haben am WE ein Netz umstellen müssen. Da die alte Domäne mehr als verfriemelt war, haben wir eine komplett neue aufgesetzt inkl. Exchange und die Clients herüber geholt. Die Postfächer haben wir mit ExMerge exportiert und wieder importiert.

Nun können die Benutzer auf interne Mails nicht mehr antworten, da die Empfänger nicht mehr gefunden werden können. Wenn ich mir die Eigenschaften vom Absender ansehe, an den geantwortet werden soll, so sind diese natürlich leer (altes Verzeichnis ist schließlich weg).

Gibt es eine Möglichkeit dieses Problem zu beseitigen, oder müssen sich die Benutzer daran gewöhnen zunächst den Empfänger neu aus dem Adressbuch auszuwählen. Hätte ich dieses Problem irgendwie umgehen können?

Hallo Norbert,

Beim ISA 2006 scheint sich das leider doch anders zu verhalten. Ich habe mir jetzt damit geholfen doch einen User anzulegen. Wenn der Proxy einmal seine Authentifizierung bekommen hat, macht er genau das was ich wollte. Er ignoriert alle Inhalte zu denen der User keine Rechte hat.

Die Links waren aber trotzdem sehr interessant! Danke!!

Hallo Norbert,

Na über meinen ISA ;-) Aber der hat die Version 2006.

Als Client reden wir von einem Linux TC mit Firefox.

Es wär super, wenn es da eine Möglichkeit geben würde.

Hallo,

Der URL soll ja auch nicht erlaubt sein. Nur der Anmeldedialog soll nicht kommen, damit die Seite nicht unbrauchbar wird. Gibt es dafür eine Möglichkeit?

N'abend.

Ich hab die Anforderung, dass nicht authentifizierte Benutzer über unseren Proxy bestimmte Seiten erreichen können sollen. Die Regel war schnell erstellt und der dafür vorgesehene TC soweit abgeschottet, dass nicht viel mehr als das Aufrufen der gewollten Seiten geht.

Die Seiten werden anhand des Domänennamens im ISA frei gegeben. Jetzt gibt es aber immer wieder Inhalte auf Seiten die nicht direkt von der Domäne kommen. In dem Fall (meist Werbebanner, Besucher Tracker etc.) kommt dann unzählig Male im Browser ein Anmeldefenster. Kann ich dem ISA irgendwie nahelegen, dass er die URIs dann einfach ignorieren soll und nicht nach einer Authentifizierung fragt?

Dass das mit den Kontakten in den Verteilern merkwürdig ist, ist mir durchaus klar. Ich versuche es noch mal etwas genauer zu beschreiben.

In jeder OU gibt es einen Kontakt den ich über ein Schlüsselwort in der Anmerkung als Standardkontakt für diese OU ermitteln kann. In dem Kontakt stehen alle Adressdaten (also Postanschrift, Rufnummern, etc.). Zudem ist der Vorgesetzte hinterlegt und alle Sicherheitsgruppen und Verteiler die ein Benutzer in dieser OU bekommen soll.

Lege ich nun neue Benutzer per Skript in der OU an, dann ermittel ich mir über den Standardkontakt alle Default-Werte. Da dazu auch Verteiler gehören, sind die Kontakte halt auch Mitglied vom Verteiler.

Hallo,

Ich habe Verteilergruppen die Kontakte enthalten ohne Emailadresse. Wenn nun jemand eine Mail an den Verteiler schickt, bekommt er Zustellungsfehler.

Ich suche nun eine Möglichkeit die Kontakte in den Verteilern zu lassen ohne eine Mailadresse dafür einzurichten, denn dann muss für den Kontakt ja auch jemand die Mails empfangen.

Die beschriebenen Kontakte enthalten alle Adressdaten einer OU inkls. der Standardgruppen & Verteiler sowie den Vorgesetzten. Ich lese die Werte mit einem Skript aus, wenn ich neue Benutzer in der OU anlege. So spare ich mir viel Arbeit. Nur den unschönen Nebeneffekt bei Mails an einen Verteiler würde ich gerne noch elegant lösen.

Ich dank euch aber explizit beiden :-)

Tja. Bin ich doch direkt aufgefallen. Beim Vorausgehen habe

ich nämlich einen großen Schlenker um VISTA gemacht. Sonst

hätte ich mich da schon gewundert.

Herzlichen Dank für den schnellen Tipp! Es läuft jetzt wieder.

Guten Morgen,

Ich habe folgendes Problem. Mein Win 7 Client (als Admin geht man ja immer brav voraus ...) hat nach der Anmeldung nur den Basisordner von den Netzlaufwerken. Die Laufwerke werden per net use im Loginskript (W2K3 DC) verbunden. Rufe ich das Loginskript manuell auf, funktioniert alles wunderbar.

Zunächst bin ich daher davon ausgegangen, dass er mir das Skript nicht aufruft. Dem ist aber nicht so. Er ruft es beim Login auf und führt auch alle Befehle tadellos aus (zumindest nach der >>log.txt).

Kann mir jemand sagen, warum scheinbar nach dem Ausführen des Skripts mein Win 7 Client noch mal alle Netzlaufwerke abhängt?

Manchmal braucht man nur einen anderen Blickwinkel... Danke ;-)

Da sich die Deinstallation eines kaputten WSUS auch nicht gerade als

"mal eben gemacht" erwiesen hat, nutze ich gleich die Chance das OS

mit aufzuräumen.

Ich wünsch euch schöne Feiertage!

Nee. So komplex ist es nicht. Daher gab es auch keine großartigen Datensicherungen. Es wird jetzt halt nur Tage dauern bis die ganzen GBs wieder da sind. Aber es ist ja Weihnachten.

Ich hab damals meinen persönlichen Frust nicht mit berücksichtigt, als ich mich erstmal gegen ein Backup entschieden habe... :-)

Guten Tag,

Gestern hat sich leider mein WSUS Server etwas unsanft ausgestellt. Nun ist natürlich die Datenbank defekt. Bevor ich in den ganz sauren Apfel beißen muss, hab ich 2 kleine Fragen:

- Macht die WID vielleicht doch irgendwo ein Backup welches ich zurückspielen kann? *hoff*

- Kann ich irgendwie die Downloads retten, damit ich nicht alles neu laden muss?

Ich bin mal gespannt, ob ich zu Weihnachten ein bißchen Glück habe ;-)

Und ich hatte so ganz leise die Hoffnung es nicht zu müssen ;)

Danke für die Antworten.

Das wär prinzipiell natürlich möglich. Allerdings steht der eine Server, der auch langfristig nicht auf deutsch zu ändern ist, in einer Außenstelle die so erstmal kein Internet haben (sollen). Aber zur Not würde ich das dann halt dort für den Server möglich machen.