rene-w

Hallo! Ich bin gerade dabei ein WLAN einzurichten und will zur Sicherheit (und aus Interesse) 802.1x mit Radius als Authentifizierung/Verschlüsselung nutzen. Zum Netzwerk allg.: Windows XP/Vista Clients, ein 2003 Server, kein ADS (soll auch nicht installiert werden), CA ist installiert - jedoch sind noch keine Zertifikate erstellt worden... Access Point/Router: D-Link DI-524 Steps so far: IAS installiert als Radius Client den AP eingetragen (per IP) eine Remote Access Policy erstellt (Policy for wireless, grant access on groups, authentication peap) Am AP Verschlüsselung WPA2-AES(Enterprise) ausgewählt (so heißt das bei D-Link), den Radius Server, Radius Port und den Radius-Key eingetragen. 1. Problem der IAS beendet sich sofort nach dem starten wieder - Event-Log Eintrag ist: Source: Service Control Manager Event ID: 7023 Description: The Internet Authentication Service service terminated with the following error: The specified modules could not be found Weitere Probleme (sollte der IAS einmal laufen): Wie gehts weiter? Passt die Config des IAS? Welche steps sind am Client nötig? Hat jemand brauchbare How-Tos bzw. so etwas schon einmal in einer ähnlichen Konfiguration eingerichtet. Ich möchte keine Client-Zertifikate! Habe auch einen Gast-Benutzer angelegt, falls mal jemand auf Besuch kommt, dass dieser verwendet wird. Hab mir dazu auch ein Technet Webcast angeschaut, jedoch hat mir das nicht wirklich weiter geholfen.... So, ich danke euch schonmal für jeden Tipp... ;)

Spät, aber doch gibts hierzu noch ein Update. Es gab in allen betreuten Netzen wo ich es ausprobiert habe noch folgendes Problem: Man konnte direkt von dem Rechner, der den DNS Alias hat nicht mit diesem Alias auf den Rechner zugreifen - da öffnete sich das Anmeldefenster, jedoch egal was man eingab, der Share funktionierte nicht. z.B. server01.domain.local hatte Alias server.domain.local Von anderen Rechnern konnte man mit \\server.domain.local zugreifen, nur direkt vom Server nicht. Die Lösung davon ist ein weiterer Registry-Key der ein "Sicherheitsfeature" von Microsoft ausschaltet: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Name: "DisableLoopbackCheck" Typ: REG_DWORD Wert: 1 So, damit sollte das Thema endgültig abgeschlossen sein!

Habe mal eine Frage zum Mailversand, der leider immer nicht 100%ig so funktioniert wie gewünscht... Es sammeln sich manche Emails leider im Queued Ordner und ich bin gerade am Analysieren warum das evt. der Fall ist. Hier 2 Auszüge aus den Logfiles: Normaler Ablauf wäre ja z.B. sowas: EHLO - mymailserver.mydomain.at - - 250-smtp.receipient.at MAIL - FROM:<out@mydomain.at>+SIZE=3585737 - - 250+2.1.0+Ok RCPT - TO:<office@receipient.at> - - 250+2.1.5+Ok DATA - - - - 354+End+data+with+<CR><LF>.<CR><LF> - - 250+2.0.0+Ok:+queued+as+A87252F7021 QUIT - - --> Status-Code 250 + Info "mail queued". Da passt alles. Wovon kann ich jedoch ausgehen, wenn ich z.B. so einen Eintrag habe: HELO - mymailserver.mydomain.at - - 250+smtp.receipient2.at MAIL - FROM:<out@mydomain.at> - - 250+ok RCPT - TO:<office@receipient.at> - - 250+ok DATA - - - - 354+go+ahead - - 220+****0***************** kann ich davon ausgehen, dass die Mail zugestellt wurde (aufgrund vom Code 220 = "Dienst bereit")? Denn nach dem 220 kommt sofort wieder ein EHLO von meinem Mailserver und die nächste Mail wird versendet. Mein Problem ist nämlich, dass sich ein haufen Mails im Queued Ordner sammeln und nicht zugestellt wurden bzw. eben nun auf einen weiteren Zustellungsversuch warten. Jedoch werde ich aus den Logfiles nicht ganz schlau, warum die Mails bisher nicht zugestellt wurden. Ich danke euch schon mal für eure Antworten, mfg renew

Ich habe leider mehrere Probleme mit dem Mail-Versand. Es läuft eine eigens entwickelte Anwendung die per IIS-SMTP Mails verschickt. Der IIS ist konfiguriert, dass er dem kompletten Mailverkehr (Exchange) an den Mailserver der Firma weiter leitet. Der IIS ist natürlich als Relay eingetragen und die Kommunikation mit dem Exchange funktioniert auch wunderbar. Jetzt habe ich 2 Fehlermeldungen im Log-File, dass Mails nicht zugestellt werden konnten: 552 Requested mail action aborted: exceeded storage allocation - bzw. der vollständige Eintrag aus dem Log: EHLO mailsvr.observer.at - 220+SMTP+service+ready - 250-Requested+mail+action+okay,+completed MAIL FROM:<----@----.at> RCPT TO:<----@----.at> - 250+Requested+mail+action+okay,+completed DATA - - 250+Requested+mail+action+okay,+completed - 354+Start+mail+input;+end+with+<CRLF>.<CRLF> - 552+Requested+mail+action+aborted:+exceeded+storage+allocation RSET - - 421+SMTP+service+not+available,+closing+transmission+channel Meine Vermutung wäre, dass die Mail-Größe zu groß für den Empfänger ist, was mir jedoch von Empfängerseite versichert wurde, dass dies nicht der Fall ist. bzw. noch eine kuriose andere- mit der ich derzeit nicht viel anfangen kann: 501 Requested action not taken: line too long (evt. liegts am HTML-Email Format?) Ich bedanke mich schon einmal für Eure Ideen, mfg Rene

Nochmal ein Update von mir - jetzt gehts doch... ?! Ich habe bisher alles in einem (teilweise) virtualisierten Test-Netz ausprobiert, wo dies nicht funktioniert hat. Teilweise virtualisiert heißt, dass z.B. die Domain-Server auf vHosts unter VMWare laufen (einfach weil das nur zum Testen da ist) Jetzt habe ich das ganze einmal im Live-System mit einem Testclient ausprobiert, einfach einen neuen Alias im DNS angelegt, dann kam die Fehlermeldung: You were not connected because a duplicate name exists on the network. Go to System in Control Panel to change the computer name and try again. In der Registry unter HKLM\System\currentcontrolset\services\lanmanserver\parameters ein neues DWORD mit Namen DisableStrictNameCheking und Wert 1 angelegt und schwupp - alles funktioniert wunderbar. Wirft natürlich die Frage auf, warum gehts im Testnetz nicht (was ein Klon des Originalnetzes ist). Und noch interessanter ist: Ich habe noch ein anderes Netzwerk zur Verfügung (nämlich "mein Entwicklungsnetz") - dort verwenden wir dieses remapping per DNS mehrfach - und dort braucht keiner der Clients/Server die das betrifft den Registry-Eintrag.... Der einzige funktionelle Unterschied zwischen den 2 Netzen (also dem, wo man den Reg-Eintrag braucht und "meinem", wo man ihn nicht braucht) ist, dass die Gesamtstrukturfunktionalität der Domain bei ersterem 2000 ist, und bei dem wo es ohne Reg-Eintrag geht 2003. Domainfunktionsebene ist bei beiden 2003. Naja, wie auch immer, trotzdem nochmals herzlichen Dank an thorgood. :thumb1:

Hmm, leider nicht... ;) Hab jetzt am "Zielserver" das DWord DisableStrictNameChecking=1 eingetragen und neu gestartet. Und auch im DNS den Alias händisch eingefügt. --> leider wie bisher Und jetzt habe ich nochmal den Tipp mit "AlternateComputerNames", den du vorher verlinkt hast auch probiert (inkl. disableStrictNameCheking...), wieder Neustart - leider auch nicht. Es wird über diese Methode doch ein korrekter Host Eintrag am DNS erstellt - hab mich beim 1. Versuch nur vertippt. Und last but not least habe ich jetzt auch noch unter LanmanServer\Parameters den Key OptionalNames eingetragen. Hier wird dann auch ein korrekter WINS Eintrag erstellt (WINS "dümpelt" da noch im Hintergrund herum, weil dies vor langer Zeit einmal installiert wurde, aber AFAIK nicht mehr notwendig wäre) Leider ändert sich an der ganzen Sache herzlich wenig. Denn das ganze hört sich sehr schüssig an, sodass ich mir denke das muss doch endlich funktionieren - was es aber leider nicht tut... Irgendwie eine verzwickte Geschichte. Trotzdem, herzlichen Dank... :)

Hi! Einmal herzlichen Dank für deine Antwort. Wobei ich daraus noch nicht wirklich schlau geworden bin. Ich verstehe das so, dass wenn ich den Registry-Key für den 2. FQDN setze, sich dieser Member-Server beim DNS meldet und selbst den Namen registriert. Nach einem restart hat er dies nämlich nicht gemacht! (habe vorher natürlich die bisherigen Einträge gelöscht) Nachdem das automatische Eintragen nicht funktioniert hat, habe ich einmal wieder händisch einen Alias eingetragen. Es tritt mittlerweile auch folgendes auf: Kontaktiert ein Client mit einem normalen Domänenbenutzer den Memberserver per \\server.domain.local kommt das Fenster man soll Username/Passwort eingeben. Kontaktiert ein Client mit angemeldeten Domänenadmin den Memberserver per \\server.domain.local kommt die Fehlermeldung "Anmeldung fehlgeschlagen: Der Zielkontenname ist ungültig"... Vielleicht fällt noch jemandem etwas ein - denn ich habe mitlerweile schon recht viel herum probiert, bin aber leider noch nicht wirklich zum Ziel gekommen....

ch habe folgendes Problem: Ein Server der (unter anderem) als Fileserver dient hat eine Netzwerkfreigabe. Servername = server01.domain.local Im DNS gibt es auch noch einen alias server der auf server01.domain.local zeigt. Pingen etc. vom Client, zum testen der Namensauflösung funktioniert 1A, da wird ping server auf server01.domain.local geändert und auch erreicht. Jedoch will man über \\server\share auf einen Netzwerkshare zugreifen kommt folgende Fehlermeldung: "Anmeldung fehlgeschlagen: Der Zielkontenname ist ungültig" Mit \\server01\share funktioniert alles 1A. Es soll aber \\server funktionieren, damit man im Fall der Fälle nur den DNS Record umdrehen muss und ein anderer Server die Tasks übernehmen kann. (Wir wollen das über DNS spielen, da der server auch ein Webservice bereit hält, worauf Client Anwendungen zugreifen - und man für einen Ausfall nur den DNS Record umstellen muss) Hat jemand evt. eine Idee, was die ursache sein könnte?