Muelli

Moin IThome, aber wenn ich im Computerteil ein Script beim Runterfahren abarbeiten lassen will, was einfach "if exist x: net use x: /delete /yes" ausführen soll, dann müsste dies doch bei allen Computern dieser OU unabhängig vom angemeldeten User passieren, oder? Gruß Jörg

Hi IThome, Dank für die schnelle Hilfe. Das mit persistent scheint der einfachere Weg zu sein. Der Vollständigkeit halber interessiert mich natürlich auch die Umsetzung des zweiten Weges. Wie muss ich die Sache denn konfigurieren, dass die Scripts nur ausgeführt werden, wenn die User am Notebook angemeldet sind? Und warum funktioniert meine Lösung nicht? Gruß Jörg

Moin Community, Habe ein kleines GPO Problem auf folgendem System: Windows 2000 Advanced Server SP4 als DC an dem sich diverse XP Notebooks anmelden. Beim Anmelden von Usern an der Domäne wird ein Anmeldescript ausgeführt, welches durch das Profil jedes Users zugewiesen wird. Durch dieses Script werden bestimmte Netzlaufwerke verbunden. Soweit alles gut. Nun haben wir auch etliche Notebooks in der Domäne, bei denen ich die Netzlaufwerke beim Runterfahren wieder trennen möchte. Ansonsten werden die Netzlaufwerke auch dann angezeigt, wenn sie unterwegs sind und gar nicht mit dem Netzlaufwerk verbunden. Das Ganze wollte ich über GPOs erledigen. Für die OU "Firmenuser", welche Unter-OU der OU "Firma" ist und alle Domänenuser enthält, wurde bereits eine GPO erstellt, welche über Benutzerkonfiguration -> Windows Einstellungen -> Scripts (Anmelden/Abmelden) eine Batch ausführt, welche Logon und Logoff Einträge in einem Logfile erzeugt. Das funktioniert soweit. Nun habe ich eine weitere Unter-OU "Firmennotebooks" erstellt, welche alle Notebook-Computer der Domäne enthält. Für diese OU wurde eine neue GPO erstellt, welche über: Computerkonfiguration -> Windows Einstellungen -> Scripts (Start/Herunterfahren) ein weiteres Batch ausführen soll, welche die Netzlaufwerke wieder trennt. Nur leider wird diese GPO nicht ausgeführt, d.h. die Netzlaufwerke trennen sich nicht beim Runterfahren. Was mache ich falsch? Gruß Jörg

Hi screeny30, für alle OpenVPN Fragen schaue doch erst mal bitte hier: OpenVPN-Forum.de, OpenVPN, ZERINA und VPN Support - Index und hier: Hauptseite - OpenVPN Wiki nach. Dort sind grundsätzliche Konfigurationsprobleme beschrieben. Mit konkreten Fragen kannst Du natürlich jederzeit hier oder im OpenVPN Forum dann kommen. Gruß Jörg

So, jetzt habe ich auf diversen englischsprachigen Websites mal gesucht und etwas gefunden. Wenn man unter "Ausführen" folgenden Befehl eingibt: rundll32.exe keymgr.dll, KRShowKeyMgr erhält man ein kleines Fenster, in dem dann tatsächlich alle bisher mit Passwort gespeicherten Shares auftauchen. Darin stand z.B. auch der Rechnername des Firmen DCs aufgelistet. Diesen habe ich gelöscht und schon wollte er beim Verbinden der Netzlaufwerke auf dem DC wieder einen Usernamen und PW. Gruß Jörg

Moin, guckst Du hier: About | ZERINA - OpenVPN for IPCops Das Projekt Zerina verbindet die Linux basierte Firewall Lösung IP-Cop mit SSL OpenVPN. Gruß Jörg

Moin, bin endlich dazu gekommen, die Sache weiter zu verfolgen. Zu Hause an meinem XP Client bin ich nicht Mitglied der Firmendomäne. Wenn ich mich über VPN einwähle kann ich aber Netzlaufwerke ohne Passwortabfrage mounten. Wahrscheinlich hatte ich vor Ewigkeiten mich mal verbunden, Username und PW eingegeben und "Passwort speichern" angehakt. Über "Control Userpasswors2" wollte ich diese nun wieder zurücksetzen, damit ich beim Verbinden eine neue User/PW Abfrage bekomme. Nur leider ist die Box unter "Control Userpasswords2" -> "Erweitert" -> "Kennwörter verwalten" für alle User leer. Und über den Button "Kennwort zurücksetzen" lösche ich doch nur mein Windows-Anmeldekennwort - welches ich aber nicht ändern will. Die Frage bleibt also: Wie bekomme ich gespeicherte PW für Freigaben auf einem XP Rechner wieder gelöscht? Gruß Jörg

Moin, habe die Sache jetzt selber herausbekommen und dazu ein kleines Wiki geschrieben. Wer's braucht: User Logging - OpenVPN Wiki Gruß Jörg

Moin Community, Auf einem W2K SP4 System läuft bei uns OpenVPN 2.09 als Server. Der OpenVPN Prozess generiert dabei eigene Umgebungsvariablen, welche man z.B. für ein User Logging nutzen könnte. Darunter sind z.B. Zertifikatsname, IP-Adresse, Logon/Logoff Zeiten, übertragene Datenmenge, ... Hat einer 'ne Idee, wie ich diese Umgebungsvariablen an eine Batch übergeben kann, welche dann in ein Logfile schreibt? Irgendwie komme ich nicht an diese Variablen ran, zumindest nicht über %variable%. Gruß Jörg

Hi Dr. Melzer, weil OpenVPN einfach zu genial ist. :D Nein im ernst, wir haben hier auch noch 'ne andere Lösung am Laufen die mittels Standard Windows VPN Client und einem Hardwarerouter als VPN Server arbeitet. Das Problem ist nur immer, dass man den kleinsten gemeinsamen Nenner bei unterschiedlichen Herstellern finden muss, insbesondere wenn auf Streetwarrior Seite unterschiedlichste Infrastrukturen (Router, Firewalls, NAT) auftauchen können. da kannstDu IPSec vergessen. Zur Zeit läuft alles über PPTP mit festen PW und geringer Verschlüsselung. Da ist OpenVPN über TCP oder UDP an jeden beliebigen Port genial. Muss halt nur noch etwas bzgl. des sauberen Loggings nachdenken. Gruß Jörg

Moin Dr. Melzer, das habe ich mir schon gedacht. Die Sache ist die, dass bei OpenVPN das User Logging meiner Meinung nach etwas vernachlässigt wird. Man kann natürlich das Logging aktivieren, nur erhält man dabei riesige Logfiles mit viel kryptischem Inhalt, bei dem man sich dann immer die einzelnen User raussuchen muss. Oder man gibt alles über Syslog aus - dann braucht man einen guten Syslog Viewer, der bestimmte Sachen rausfiltert und der natürlich auch als Service unterm Systemkonto läuft. Gruß Jörg

Moin Community, gibt es bei W2k (nicht Mitglied einer Domäne) eine Möglichkeit, dass Remote User eine Datei in einer Freigabe ändern können, ohne dass sie selber einen User Account auf dem Rechner mit der Freigabe haben? Der Hintergrund ist, dass ich bei Aufbau eins Tunnels über OpenVPN automatisiert ein Batch auf dem Client ablaufen lasse, welches bestimmte Umgebungsvariablen wie Datum, Zeit, Username, Rechnername u.s.w. in eine Logdatei auf dem OpenVPN Server schreibt. Bei meinen festen XP User Clients verbinde ich mich einmal manuell mit der Freigabe des VPN Servers und sage "Kennwort speichern" - dann kann in die Logdatei in der Freigabe immer geschrieben werden. Nur wenn sich mal ein anderer anmeldet, bekomme ich das nicht mit, weil dieser User dann ja keine Schreibrechte in der Freigabe hat und somit die Logdatei nicht ändern kann. Freigabe mit Änderungsberechtigung für "Jeder" hilft nicht, da mit "Jeder" natürlich jeder registrierte User gemeint ist. Gruß Jörg

Hi ITHome, muss mich selber etwas revidieren, nachdem ich nun verschiedene Sachen getestet habe. Der W2k Client vergisst sofort alle User/PW Daten, welche zum Anmelden an eine Freigabe in einer Domäne notwendig sind. Einmal abmelden und wieder anmelden am W2k Client Rechner und die User/PW Abfrage beim browsen einer Freigabe in der Domäne erscheint wieder. Damit bin ich ja erst mal beruhigt. Er scheint also die Passwortdaten nur temporär zu halten so lange die Sitzung läuft. Allerdings bin ich fest der Meinung, dass, wenn ich zu Hause eine VPN Verbindung zur Firma aufbaue und über "net use LW" automatisiert nach Tunnelaufbau die Netzlaufwerke verbinde, keine erneute User/PW Abfrage erscheint. Und dabei ist mein Rechner zu Hause nicht Mitglied der Domäne! Aber halt, da habe ich ja XP und wahrscheinlich irgendwann einmal den Haken bei "Kennwort speichern" gesetzt. Das muss ich heute Abend checken. Bei meinem XP zu Hause teste ich dann auch noch mal "control userpasswords2". So long Jörg

Moin ITHome, also "control userpasswords2" läuft ja unter W2k nicht, starte deshalb auf der W2k Station "control userpasswords". Sieht aber alles genauso aus wie bei der "...2" (XP). Nur inhaltlich sehe ich da nichts, womit ich die Passwörter für die Netzzugriffe auf andere Rechner zurücksetzen kann. Im Hauptfeld erscheinen erst mal alle eingetragenen User des Rechners. Momentan bei mir "Administrator" und "Gast". Weiterhin ist der Haken dran an "Benutzer müssen für den Computer Benutzernamen und Kennwort eingeben". Alles klar - beim Hochfahren des Rechners sollen die sich ja am eigenen Rechner erst mal anmelden. Unter "erweitert" gibt es dann noch eine Zertifikatsverwaltung, eine erweiterte Benutzerverwaltung und Einstellungen für einen sicheren Neustart, That's it. Alles nichts womit ich einzelne oder alle gespeicherten Kennwörter für Netzlaufwerke zurücksetzen kann. Ich will am Ende ja nicht das Anmeldepasswort der Benutzer für den eigenen Rechner zurücksetzen, sondern nur die verschiedenen Passwörter, die er sich für die verschiedenen Zugriffe auf Netzwerkfreigaben gemerkt hat. Vielleicht sehe ich ja den Wald vor lauter Bäumen nicht. Hast Du einen Plan? Gruß Jörg

Moin Community, bevor ich gleich wieder gelyncht werde: Die Boardsuche habe ich bemüht. Doch leider hat das alles nicht wirklich geholfen, auch wenn ähnliche Fragen schon oft aufgetaucht sind. Haben hier bei uns eine W2K Domäne mit diversen W2K und XP Clients. Allerdings sind ein paar Rechner aus diversen Gründen nicht Mitglied der Domäne. Wenn diese bestimmte Dateien vom Fileserver benötigen, browsen sie über die Netzwerkumgebung zum Fileserver. Dort muss dann ein entsprechender Username und PW aus der Domäne angegeben werden, damit der Zugriff erfolgen kann. Wenn dann freigeschaltet, sehen sie alle freigegebenen Ordner des Fileservers. Wenn man nun das Häkchen bei "Kennwort merken" setzt, kann man immer wieder auf diese Netzwerkfreigabe zugreifen, auch nach Neustart. Wie bekomme ich solche gespeicherten Passwörter wieder raus, sodass der nächste sich bei Zugriff wieder erst mit Username/PW anmelden müsste? Die Windows Passwortverwaltung über "control userpasswors" habe ich schon bemüht. Darin kann ich ja nur Anmeldepasswörter für die Systemanmeldung ändern aber nicht die für Netzwerkfreigaben. Viele Grüße Jörg

Moin Community, Wenn ich aus MS Word & Co. den "Datei öffnen" Dialog starte, erscheint ja immer das Explorer Fenster in dem man sich dann durch die Ordnerstruktur bis zur gewünschten Datei durchhangeln muss. Die angezeigten Ordner und Dateien sind darin normalerweise immer alphabetisch aufgelistet. Bei einem unserer Rechner zeigt er aber stets eine Sortierung nach Erstellungsdatum an. Das ist natürlich dann alles immer durcheinander und man findet den gewünschten Ordner/Datei nicht auf Anhieb. Nun kann ich natürlich auf die entsprechende Tabellenzeile klicken und die Sortierung ändern - nur nervt das auf Dauer jedesmal beim Öffnen. An welchem Registry Eintrag muss man drehen, um standardmäßig eine Sortierung nach Alphabet in diesem Fenster zu bekommen? Grüße Jörg

Moin xxcrashxx2, wie versprochen hier unsere installierten Mercury Componenten: Mercury X - Task Scheduler: Hier kannst Du zeitlich gesteuerte Aufgaben festlegen, z.B. wie oft er die POP3 Accounts abrufen soll. Mercury D - POP3 Client: Hier legt man fest, welche POP3 Accounts alle abgerufen werden und in welche User Postfächer die einzelnen Mails gelegt werden sollen Mercury C - SMTP Client: Hier legt man fest über welchen SMTP Internet Server alle Mails rausgehen sollen. Natürlich hat jeder trotzdem seine eigene Email Adresse, auch wenn sie alle über einen Account versendet werden. Gruß Jörg

Hi xxcrashxx2, das Wetter ist bei uns in Rostock zum Glück auch mal wieder ganz gut. Hoffentlich bleibt's noch bisschen. Wollen die Woche noch mal Tauchen gehen, nach dem es heute schon so gut lief. Zu Deinen Fragen: Also in Mercury kannst Du erst mal so viele User anlegen, wie Du willst. Die haben erst mal nichts mit Deinen abzurufenden Postfächern zu tun. Im Mercury POP3 Modul legst Du dann alle einzelnen POP3 Postfächer fest, die Du abrufen möchtest, egal ob bei GMX, Web oder sonstwo. Jedem POP3 Postfach weist Du dann einen localen User Account zu, in dessen Ordner quasi die Mail gelegt wird. Es ist dabei egal wie viele verschiedene POP3 Postfächer Du in einen lokalen User Ordner schieben lässt. Wir haben hier auch Kollegen, die neben Ihrer Arbeitsadresse auch ihre Private mit abrufen lassen. Natürlich wissen sie, dass z.B. im Urlaub auch andere Kollegen mal deren Postfach checken. Das geht halt ziemlich einfach, wenn man den Usernnamen des lokalen Postfaches weiß. Pegasus will da auch kein Passwort haben. Vielleicht kann man dies aber einrichten - ist bei uns aber nicht notwendig, und daher habe ich mich damit noch nicht beschäftigt. Wenn Du natürlich im Nachhinein wissen willst, über welchen POP3 Account die Mail reinkam, müsstest Du die einzelnen POP3 Accounts, die Du abrufst, wohl auch in einzelne User Ordner verschieben. Die kannst Du ja auch nach den POP3 Accounts benennen. Im Pegasus kannst Du dann ja die einzelnen User Ordner nacheinander abrufen. Dazu musst Du dann aber Pegasus schließen und beim erneuten Öffnen ihm den anderen lokalen User als Startargument geben. Oder Du aktivierst die umfangreichen Filterfunktionen von Pegasus und versuchst damit den POP3 Account, über den die Mail gekommen ist, in den einzelen Mails herauszufinden. Dann kannst Du Dir natürlich mit Pegasus eine Art Ordnerbaum aufbauen, und die verschiedenes Mails entweder vorm Lesen oder erst danach einsortieren lassen. Gruß Jörg

noch was am Rand Mercury ist ein sehr mächtiges Tool, mit dem Du viele verschiedene Aufgaben erschlagen kannst. Dazu ist Mercury modular aufgebaut und Du musst bei der Installation entscheiden, welche Module Du benötigst und welche er installieren soll. Montag in der Firma kann ich Dir mal posten, welche Konfiguration wir gewählt haben. Gruß und nice WE

Moin, Pegasus greift auf die Mails auf dem Server zu. Beim Einrichten von Mercury kannst Du Benutzerkonten anlegen. Das läuft dann darauf hinaus, dass Mercury für jeden User ein Unterverzeichnis anlegt. Beim Einrichten von Pegasus gibst Du dann den Standort (Freigabe auf dem Server) aller Postfächer an (übergeordnetes Postfachverzeichnis, was alle einzelnen Postfächer enthält). Beim Starten von Pegasus will er dann immer den Usernamen wissen, dessen Postfach er starten soll. Man kann natürlich die Verknüpfung zum Pegasusstart auch so einrichten, dass immer ein vorkonfigurierter User gestartet wird. Ansonsten bleiben aber alle Mails auf dem Server. Pegasus läd also nichts extra noch mal auf den Client runter. Hat den Vorteil, dass man alles gut sichern kann. Weiterhin kannst Du Pegasus auf dem Client auch den ganzen Tag minimiert laufen lassen. Sobald Mercury neue Mails per POP3 runtergeladen hat, bekommst Du bei Pegasus ein kleines Mitteilungsfenster eingeblendet. Gruß Jörg

Hi xxCrashxx2, also bei uns in der Firma haben wir das mit Hilfe der Freeware Mercury und dem Mailprogramm Pegasus Mail für kostnix realisiert. Mercury ist ein sehr umfangreicher Mail-Relay-Server. Er läuft als Dienst ständig auf unserem Win2000 Server und ruft automatisch alle paar Minuten die verschiedensten POP3 Postfächer ab. Die Mails legt er dann in den einzeln zugeordneten Postfächern auf dem Server ab. Der Mail Client Pegasus ist für das Zusammenspiel mit Mercury optimiert, läuft aber auch als Stand-alone Mail Client super. Pegasus kann nun so installiert werden, dass es auf die Serverpostfächer zugreift. Gleichzeitig werden auch alle Konfigurationsdateien jedes Users auf dem Server abgelegt. Also auch bei Neuinstallationen von Pegasus nach einem Client Crash greift dieses immer wieder auf die Configs zu und alles ist beim alten. Da bei uns diverse Kollegen immer mal im Außendienst sind, müssen auch deren Postfächer mit gecheckt werden. Dazu starte ich Pegasus einfach mit der User ID des Kollegen und sehe sein Postfach auf meinem Rechner. Datenschutzrechtlich muss sowas natürlich in einer Firma vorher geklärt werden. Mail versenden geht genauso einfach. Jeder Client (Pegasus) legt seine ausgehenden Mails in ein Sammelverzeichnis auf dem Server ab. Dort greift Mercury als SMTP Relay dann zu und verschickt alle Mails. Das System läuft bei uns seit Jahren reibungslos. Hier der Link im Netz: Pegasus Mail German-language (Un)Official Pegasus Mail Support Site Gruß Jörg

Moin ITHome, hattest den richtigen Riecher. Ich hatte gestern abend zu Hause dann auch 'ne Eingebung, da der Datenkanal für passives FTP ja immer auf verschiedenen Ports laufen kann. Gerade eben gecheckt und tatsächlich: Source: "any", Operator: ">", Start Port: "1024", Destination: "any", Operator: ">", Start Port: "1024", Da habe ich mir schön selber einen gemacht. Allerdings haben wir halt täglich Downloads zu machen und viele Websites bieten das nur über FTP. Jedes Mal die Sache Ein- und dann wieder Abzuschalten ist zu lästig. Bin mir auch nicht so sicher, ob dies ein akzeptables Risiko ist, da ja von außen alles dicht ist. Gruß und Dank für Deine Hilfe. Nun weiß ich zumindest, dass der Bug bei mir lag und nicht in der Firmware. Jörg

na, dann muss der Bug ja in meinem Regelwerk liegen. Aber eigentlich habe ich solch einen Port nicht geöffnet. Bei mir ist offen: ICMP DNS HTTP HTTPS POP3 SNTP SMTP IMAP Real Player 554 Passiv FTP Command Passiv FTP Data News 119 SSH That's it. Und danach ist der Sack zu. Na, ich check noch mal. Gruß und Dank Jörg edit: Welche FW hast Du drauf?

Hi ITHome, da gehe ich mal von aus - na gut, ich check lieber noch mal ;-) Vielleicht hast Du ja mal die Chance 'ne Remote Desktop Verbindung zu irgendeinem Rechner außerhalb Deines LANs aufzubauen, um die Sache mal zu checken. Gruß und schönen Feierabend Jörg

Hi ITHome, Genau, im letzten Filterset gibt es eine Rule, welche alle ausgehenden Ports sperrt und eine Rule, welche alle eingehenden Ports sperrt. Die Rule für ausgehenden Verkehr lautet: Block immediately Direction: OUT Protocol: ANY Source und Destination IP: ANY Start und Endport bleiben frei. Ansonsten auch eher Erfahrungen damit, dass bestimmte Sachen nicht raus gehen. Daher war ich um so verwunderter, dass Port 3389 nach außen durchlässig ist. Gruß Jörg