Chewie

Hotfix ist bestellt. Zwei Fragen habe ich noch in diesem Zusammenhang: Ist es richtig, dass der PreShared-Key als (unsicherer) Ersatz für das Computerzertifikat dient? Ist es richtig, dass für IPSec nur ein Computerzertifikat (oder alternativ einen PreShared-Key) aber kein Benutzerzertifikat notwendig ist? Spielen Benutzerzertifikate im Kontext von IPSec auch eine Rolle (zur Authentifizierung [stichwort Smartcards] oder zur Verschlüsselung)? Wenn ja, wie können diese Verwendung finden? Viele Grüße Chewie

Bei dem Client handelt es sich wie bei dem Server auch um einen Windows Server 2003 (Member-Server), der KB Artikel bezieht sich aber scheinbar nur auf eine Änderung in XP SP2, oder? Ich habe die Registry-Änderung trotzdem ausprobiert und einen Neustart durchgeführt, aber das Problem besteht weiter. Ich habe noch einen anderen KB-Artikel gefunden, der passen könnte (danke für den Hinweis auf das NAT-T Problem): Connections time out when client computers that are running Windows Server 2003 or Windows XP try to connect to a server on a wireless network that uses IPsec NAT-T Leider muss ich jetzt erstmal das Hotfix anfordern. Ich werde dann berichten, ob es geholfen hat. Falls jmd. noch andere Ansatzpunkte hat, würde ich mich darüber freuen. Viele Grüße Chewie

Ich habe ein Problem mit einer Übung im MS Press Buch 2. Aufl. zur Prüfung 70-291 (deutsches Buch): Auf den Seiten 601/602 geht es um das Herstellen einer VPN-Verbindung von einer W2K3 Maschine auf einen RAS-Server. Zuvor habe ich die PPTP-Variante ohne irgendwelche Probleme durchgespielt. Für die L2TP-Variante habe ich nun folgendes konfiguriert: Am Client ist eine VPN-Verbindung mit IPSEC-PreShared-Key konfiguriert. Host name ist meine DynDNS-Adresse, diese wird auch zur korrekten IP aufgelöst. "Include Windows logon domain" ist zusätzlich in den Settings angehakt. "Require secured Password" ist gesetzt, ebenso "require data encryption". Als VPN-Typ ist "L2TP IPSec VPN" gesetzt. In der Firewall (FritzBox 7170) sind die UDP Ports 500, 1701, 4500, 5500 weitergeleitet (ich weiß, einige davon benötigt man eig. nicht), ebenso das ESP-Protokoll. Beim Versuch der Verbindungsherstellung kommt es zu einem Timeout, angeblich beim Aushandeln der Sicherheit. Die genaue Fehlermeldung ist: Error 792: The L2TP connection attempt failed because security negotiation timed out. Im Protokoll des RAS-Servers steht nach jedem Neustart des Routing und RAS Dienstes die folgende Fehlermeldung: -schnipp- Es konnte kein Zertifikat gefunden werden. Verbindungen, die das L2TP-Protokoll über IPSec verwenden, erfordern die Installation eines Computerzertifikats. Es werden keine L2TP-Anrufe akzeptiert. -schnapp- Woran liegt's? Muss ich trotz der Verwendung eines PreShared-Keys ein Computerzertifikat bereitstellen? Warum steht davon dann nichts im Buch, oder hab ich's überlesen? Im Buch steht, dass man sich das Aufsetzen einer PKI bei Verwendung eines PreShared-Keys sparen kann. Außerdem dachte ich, ein W2K3 DC hätte automatisch ein IPSEC-taugliches Computerzertifikat, ist das so richtig? Für jeden Lösungsansatz wäre ich dankbar! Viele Grüße Chewie

Ich habe gerade nochmal die MS KB durchstöbert und bin zu diesem Thema auf folgendes gestoßen (Zitat KB242881): • The System State option. When you include the system state in a backup job, the type of backup performed for the system state files is always either a Normal or Copy backup, even if you select another backup type (such as Incremental, Differential, or Daily). Immerhin gut zu wissen, dass man im Notfall aus einem einzigen inkrementellen Backup einen kompletten DC (natürlich nur ohne Anwendungsdaten aber mit lauffähigem AD) wiederherstellen können müßte, sofern die Checkbox beim Systemstatus in NTBackup gesetzt war. Schade nur, dass uns NTBackup in der nächsten Windows Server Version ja wohl leider nicht erhalten bleiben wird... eigentlich waren NTBackup und ich immer ganz gute Freunde :'-) In diesem Sinne Gute Nacht Chewie

@Frank, ich habe unter der Adresse leider gar nichts zu meiner Frage finden können. Trotzdem Danke. Viele Grüße Chewie

Guten Abend, mich würde mal interessieren, ob es eine inkrementelle oder differentielle Sicherung des System State über NTBackup gibt, oder ob der System State generell vollständig gesichert wird, unabhängig davon, ob ich den Sicherungsauftrag als differentiell oder inkrementell definiert habe? Ein halbes Active Directory oder eine halbe Registry dürfte wohl kaum gesichert werden. Bei den Inhalten des SysVol-Shares wäre ein inkr. oder diff. Sicherung schon denkbar. Viele Grüße Chewie

Hallo basstscho, du hast Recht, auf dem ganz einfachen Weg geht's nicht. Hier ist aber ein möglicher Workaround, der helfen könnte: Schau dir mal SDI LPD TCP/IP network printing for LAN, WAN or Internet. an. Das installierst du als "netzwerktauglichen Druckserver" auf dem Server, wo du den PDF-Drucker installiert hast. (das Tool ist Shareware, vielleicht findest du ja auch noch ne Freeware-Alternative) In der Software legst du anschließend eine neue Print Queue an und ordnest dieser den PDF-Drucker zu. Anschließend auf dem XP-Rechner die UNIX-Druckdienste (über Systemsteuerung->Software) nachinstallieren, dann einen neuen lokalen Drucker erzeugen und dabei einen neuen LPR-Anschluss erstellen, hierbei wirst du nach dem Namen der von dir zuvor angelegten Print Queue gefragt. Anschließend will er von dir den zu verwendenden Treiber wissen, diesen musst du lokal auf dem Arbeitsplatz verfügbar machen. Jetzt hast du deinen lokalen Drucker, der einen Netzwerkanschluss auf einen "Softwaredrucker" zum Drucker verwendet. Bitte sag kurz Bescheid, ob's funktioniert. Viele Grüße Chewie

@IThome Vielen Dank für die detaillierten Antworten! Ich war tatsächlich bislang der Auffassung in den ACLs würde auch bei den untergeordneten Objekten noch Ersteller-Besitzer auftauchen, aber du hast Recht, der ACL-Eintrag Ersteller-Besitzer steht nur im übergeordneten Objekt! Dies heißt dann auch, dass man nicht allem, was im offiziellen MS Press Buch steht, trauen darf. Ich hatte ja schon in dem entsprechenden Errata-KnowledgeBase-Artikel KB842651 gesucht, da steht aber zu dieser Frage noch keine Korrektur drin. Wenn ich Ersteller-Besitzer in die ACL einer Datei eintrage, und anschließend die Dateieigenschaften aktualisiere, ist die Berechtigung sofort durch den entsprechenden Benutzer ersetzt worden. Dies braucht man dann IMHO höchstens in Skripten um automatisch den jeweiligen Besitzer in die ACLs bestimmer Dateien aufzunehmen, sieht du das auch so? Jetzt bleibt aus meiner Sicht nur noch eine letzte Frage offen: Warum ist es überhaupt möglich, in den Freigabeberechtigungen "Ersteller-Besitzer" einzutragen? Da Freigabeberechtigungen nicht vererbt werden und Freigaben selbst auch keinen Besitzer haben ist dies doch komplett wirkungslos (bei XP geht es ja auch gar nicht, nur bei 2003), oder? Viele Grüße und einen schönen Sonntagabend! Chewie

Hast du schon mal versucht, den Drucker auf dem Arbeitsplatz nicht als Netzwerkdrucker sondern als lokalen Drucker mit einem Netzwerkanschluss zu konfigurieren? Viele Grüße Chewie

Wer erhält denn überhaupt Berechtigungen über einen Ersteller-Besitzer-Eintrag in der FREIGABE-Berechtigung? Eine Freigabe hat ja keinen Besitzer, höchstens das freigegebene Verzeichnis. Berechtigungen auf Freigabe-Ebene werden ja außerdem auch nicht auf darunterliegende Verzeichnisse oder Dateien vererbt. Heißt das, dass nur der Besitzer des für die Freigabe verwendeten Verzeichnisses als Ersteller-Besitzer im Sinne der FREIGABE-Berechtigung gilt? @IThome Du hast geschrieben: Entscheidend für das Bearbeiten der schon vorhandenen Datei, also die, die vorher schon da war und die Berechtigungen NICHT durch die Anwendung der Berechtigung des Ersteller-Besitzers bekommen hat, ist ihre derzeitige Berechtigung. Im Technet steht: Ersteller-Besitzer (S-1-3-0) Ein Platzhalter in einem vererbbaren Eintrag für die Zugriffssteuerung (Access Control Entry, ACE). Wenn der Eintrag für die Zugriffssteuerung vererbt wird, ersetzt das System diesen Sicherheitsbezeichner durch den Sicherheitsbezeichner des aktuellen Besitzers des Objekts. Meiner Auffassung nach dürfte es dann doch nicht nötig sein, eine Datei unter Anwendung einer vorhandenen Ersteller-Besitzer-Berechtigung zu erzeugen, nur um anschließend über die Ersteller-Besitzer-Berechtigung darauf zugreifen zu können. Solange derjenige, der Besitzer der Datei ist, zugreift, müßte er automatisch die Berechtigung des Ersteller-Besitzers haben (sofern natürlich Ersteller-Besitzer in der ACL eingetragen ist). Dies müßte auch dann gelten, wenn die Datei schon lange existierte, bevor der ACL-Eintrag Ersteller-Besitzer hinzugefügt wurde. Hier noch mal ganz konkret das Problem: Falls jemand das MS Press Buch Verwalten und Warten einer Windows Server 2003 Umgebung (2. Auflage) hat, bitte versucht doch mal auf Seite 683 die 2. Frage zum Lernziel 3.1 anhand der Musterlösung nachzustellen. Bei mir funktioniert es nicht. Hier die Frage (wörtlich) für diejenigen, die das Buch nicht haben: Sie konfigurieren Freigabeberechtigungen für einen freigegebenen Ordner auf einem Dateiserver. Sie möchten, dass alle authentifizierten Benutzer Dateien in dem Ordner speichern, alle Dateien im Ordner lesen und ihre eigenen Dateien ändern und löschen können. Wie lauten die korrekten Berechtigungen, die sie für den freigegebenen Ordner einrichten müssen, um dieses Ziel zu erreichen? Laut Musterlösung ist die Antwort: 1. Authentifizierte Benutzer - Lesen 2. Ersteller/Besitzer - Ändern Dies funktioniert so einfach nicht. Viele Grüße Chewie

Folgende Situation: Es gibt ein Verzeichnis XY in dem die Administratorengruppe Vollzugriff hat. Dieses ist freigegeben als XY-Freigabe mit folgenden Berechtigungen: Authentifizierte Benutzer lesen, Ersteller-Besitzer ändern. In diesem Verzeichnis XY liegt eine Datei, dessen Besitzer der Administrator ist. Jetzt das Seltsame: Der Administrator kann diese Datei bei Zugriff über die XY-Freigabe zwar öffnen, aber nicht ändern, obwohl er bezogen auf diese Datei Mitglied der Ersteller-Besitzer-Gruppe sein müßte und somit Änderungsrechte haben müßte, auch das Erzeugen von neuen Dateien ist ihm nicht möglich. Der Administrator scheint der Gruppe Ersteller-Besitzer nicht zugeordnet zu werden. Laut Microsoft-Buch zur 70.290-Prüfung (2. Auflage S. 683) müßte das funktionieren, tut's aber (bei mir) nicht. Kann es sein, dass die Verwendung der Gruppe Ersteller-Besitzer bei Freigabeberechtigungen gar nicht zugelassen ist? Bei XP lässt sie sich beispielsweise gar nicht in den Freigabeberechtigungen auswählen, bei 2003 aber schon. Viele Grüße Chewie

Hier nochmal der Hintergrund: Ich suchte eine einfache "Ein-Klick-Lösung", um Anwender vom Zugriff auf eine bestimmte Freigabe auszuschließen, während ich eine in dieser Freigabe installierte Anwendung durch Entpacken einer ZIP-Datei in das freigegebene Verzeichnis update. Ich möchte einfach temporär (für ein paar Minuten) keine Benutzerzugriffe auf Dateien einer im Update befindliche Anwendung, aber den Zugriff auf alle anderen Serverdienste/Freigaben weiterhin ermöglichen. Wenn es, wie es scheint, keine Option hierfür gibt, werde ich das mit einem Skript lösen, welches die Freigabe löscht und hinterher wieder genau so anlegt. Danke an blub für den Tipp mit "rmtshare.exe", scheint genau das richtige Tool hierfür zu sein. Noch eine Frage am Rande: Hat "net stop server" noch weitere Auswirkungen, abgesehen davon, dass keine Zugriffe auf Freigaben mehr möglich sind? Wie sieht es aus mit dem Zugriff auf die administrativen Freigaben, ist er weiterhin möglich? Viele Grüße Chewie

Ich suche nach einer Möglichkeit, den Zugriff auf eine Dateifreigabe temporär zu deaktivieren, ohne an den Berechtigungen der Freigabe etwas zu verändern oder die Freigabe als solche dauerhaft aufzuheben (und hinterher wieder komplett neu erzeugen und die Sicherheitsberechtigungen anpassen zu müssen). Kennt jemand eine solche Funktion unter 2003? Viele Grüße Chewie

Hallo, was meinst du mit Liveimage der Systempartition? NTBackup nutzt doch ebenso den Volume Shadowcopy Services Provider wie auch z.B. Veritas Backup Exec, das ist doch besser als ein Image, oder? Das Mounten gesicherter Laufwerke geht auch meines Wissens nach nicht, falls jemand ein Tool kennt, welches das kann, bitte hier posten. Bei der Komprimierung dürfte es im Vergleich zu NTBackup keinen Unterschied geben, da ja in der Regel die Hardwarekomprimierung des Tapedrives genutzt wird (Standard bei Veritas und NTBackup). Was Disaster Recovery angeht, gibt's bei Symantec Backup Exec zwar eine kostenpflichtige Zusatzoption (Intelligent Disaster Recovery), doch sind sehr viele Punkte zu beachten (Anleitung sehr genau lesen und zusehen, dass keine wichtigen Patche fehlen!), damit das IDR im worst case scenario auch wirklich funktioniert, gerade dann, wenn SQL, Exchange oder ein Active Directory auf der Maschine vorhanden sind. Die Performanz bei Backup und Wiederherstellung dürfte eigentlich bei den unterschiedlichen Sicherungsprogrammen nicht so weit auseinanderliegen, da es im Prinzip ja nur einfache Schreib-Lese-Prozesse sind und beide wie schon gesagt den Microsoft Volume Shadowcopy Services Provider einsetzen. Eine komplette Systemwiederherstellung incl. Exchange-Wiederherstellung (war damals noch Exchange 2000) mit NTBackup musste ich zum Glück erst einmal durchführen, war für mich damals noch Neuland, hat aber mit 2-3 Microsoft KB Artikeln auf Anhieb hingehauen incl. Protokolle zurückspielen. Versteh mich nicht falsch, Symantec Backup Exec ist eine extrem mächtige Backup-Lösung, spätestens, wenn es z.B. um Remote Sicherungen mehrerer Server (incl. Systemstatus) geht, ist man auf eine derartige Lösung angewiesen, aber meines Erachtens nach unterschätzen viele auch immer noch die Funktionalität und vor allem die Zuverlässigkeit von NTBackup. Im Endeffekt ist's wirklich wie du schon sagst Geschmacksache und vielleicht auch ein wenig eine Frage des Geldbeutels. Viele Grüße Chewie

Hallo, erstmal danke für die schnelle Antwort, die Reaktionszeit bei meinem ersten Beitrag war ziemlich gut! Im erweiterten Modus gibt's zwar die Möglichkeit, über den Menüpunkt "Extras" den Assistenten für die automatische Systemwiederherstellung aufzurufen, dieser erstellt aber "nur" eine Backup Start- und Systempartition, während über ein im Assistentenmodus gestartetes NTBackup das gesamte System gesichert werden kann incl. Erzeugung einer Systemwiederherstellungsdiskette. Mir erschließt sich immer noch nicht der volle Sinn, besser gesagt der praktische Nutzen, der automatischen Systemwiederherstellung, wenn ich ein ganzes System (alle logischen Laufwerke) wiederherstellen möchte, muss ich erst die automatische Systemwiederherstellung durchführen, dann anschließend noch einmal ein Komplett-Backup darüber laufen lassen. Auch wenn das ASR mir mein Active Directory wiederherstellen kann, so brauche ich zum anschließenden Einspielen des aktuellsten Komplettbackups doch noch den Active Directory-Wiederherstellungsmodus, das ASR erzeugt man schließlich nicht so häufig wie das reguläre tägliche Backup. Dies dauert meines Erachtens nach doch länger, als die "alte" Variante zunächst Windows von CD zu installieren mit minimalen Installationsoptionen und danach NTBackup starten und das Komplettbackup zurücksichern. Was bringen die 2 GB zusätzliches Backupvolumen bei der automatischen Systemwiederherstellung im Endeffekt wenn danach doch alles wieder überschrieben wird? Wäre es nicht am cleversten, wenn einfach in jedem Backup mit eigener Sicherungsauswahl so ein Restore-Verzeichnis mit gesichert würde, aus dem man sich im Notfall die Systemwiederherstellungsdiskette nachträglich erzeugen kann? Dann ginge erstens das Restore schneller, weil das gesamte System in einem Rutsch wieder hergestellt würde und zweitens bräuchte man nicht ständig zwei Backups vorhalten und regelmäßig aktualisieren. Was haltet ihr davon? Ist ASR mit den derzeit vorhandenen Einschränkungen im Endeffekt wirklich so nützlich? Viele Grüße Chewie