sguru

Danke für die Antwort. War leider verhindert. Ja auf dem bestehenden W03 DC ist der IAS Server/Dienst nicht im AD Registriet. Der IAS leuft am W03 DC. Da es ja ein DC ist habe ich keine lokale User Datenbank, oder?

Auf der PIX Seite habe ich als authentication protocols CHAP, MS-CHAP-V1,MS-CHAP-V2 und PAP aktiv. NPS ist wie folgt konfiguriert: in AD Registriert. Einen aktiven RADIUS-Client, int. IP Adresse der PIX, Manuell gemeinsamer geheimer Schlüssel, Herstellername = Cisco. Verbindungsanforderungsrichtlinien = aktiv, Typ des Netzwerkzugriffservers = Remote Access Server (VPN-Dial up), Bedingung = Tag- und Uhrzeiteinschränkung jede Zeit Zugelassen. Netzwerkrichtlinien aktiv, Zugriff gewähren, Typ des Netzwerkzugriffservers = Remote Access Server (VPN-Dial up), Bedingung = Windows-Gruppe (der Test User ist in der angegebenen Globalen Domain Sicherheit Gruppe dabei), Authentifizierungsmethode = MS-CHAP-v2 und MS-CHAP Benutzer darf das Kennwort nach Ablaufdatum ändern, CHAP, PAP, SPAP; Framed-Protocol PPP, Service-Type Framed; Verschlüsselung alle Möglichkeiten sind aktiv.

Hallo! Ich hab so meine Probleme mit dem Zusammenspiel einer PIX515E und dem W2k8R2 als RADIUS Server. Auf einen W03 DC läuft der IAS mit der PIX515E schon seit Jahren problemlos (Anmerkung der Server ist nicht einmal im AD registriert?). Mit meinen neuen W2k8R2 DC und Installierte Rolle NPS erhalte ich die Fehlermeldung des PIX AAA Server Groups tests Authentication „Authentication test to host W2k8R2 DC failed. Following error occured – ERROR: Authentication Rejected: Invalid password. Das Log file IN1010.log auf dem W2k8R2 zeigt " W2k8R2 DC ","IAS",10/15/2010,09:23:56,1,"testuser",,,,,,,"192.168.189.246",83,9,"192.168.189.246","Firewall",,,,,,,,,0,"311 1 10.0.100.12 10/15/2010 06:53:09 4",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, " W2k8R2 DC ","IAS",10/15/2010,09:23:56,3,,,,,,,,,,9,"192.168.189.246","Firewall",,,,,,,,,49,"311 1 10.0.100.12 10/15/2010 06:53:09 4",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, Nach Studium von verschiedenen howtows stehe ich derzeit an. :confused:

Danke für die Info. Hat das MS aus dem Grund gemacht da es keine dropdown box mehr gibt wo man zwischen Domain und Localhost wählen kann.

Hallo! Seit W2k8 hat sich das Verhalten des Loginscreens geändert. Gebe ich z.B in User name "administrator" ein meldet er sich lokal an auch wen schon vorher in der dritten Zeile Log on to:"DOMAIN" steht. Wie kann man dieses Verhalten ändern bzw. an W2k3 Server anpassen. Warum wird dies von MS per default eingesetzt? THX

Danke für den Link. Auf die schnelle hätte ich nichts gefunden. Wo könnte man sie deinstallieren?

Ich habe einen Post gefunden Use GPO to turn off the IE ESC for Administrator option on w2k8 . Dort wird als Lösung auf ein adm File verwiesen. Kennt das jemand bzw. sind Erfahrungen vorhanden?

Hallo! Ich finde leider die Einstellungen in der GPMC für die Sicherheitskonfigurationen des IEs nicht. Wie kann ich die "Verstärkten Sicherheitskonfigurationen für IE" über GPO deaktiveren? Umgebung: 2K8R2 member Server W03R2 Domain aktuler Update Stand GPMC über Vista aktuler Update Stand THX

Habe jetzt schon einiges zu meiner Aufgabenstellung durchgelessen. Leider komme ich auf keinen grünen Zweig. Könnte mich jemand aufklären wie man solch ein Szenario aufbaut. Das Ziel ist es auf entfernten Standorten Rechner per WOL zu starten. Der WOL Server soll alle Rechner in den VLANs bediene (das macht er auch) und andere externe Standorte die per VPN mit dem LAN verbunden sind.

Du meinst man müsste die config am ProCurve abändern, das ein Unicast rauskommt? Wie müsste man das Konfigurieren? Ich blick gerade nicht durch :confused: :confused: :confused: wie das am zweitsitzt 192.168.188.x rauskommt

am Hauptsitz insideInterface erhalte ich den WOL Frame als Broadcat aller 192.168.189.255 am Zweitsitz insideInterface sehe ich davon nichts.

Grüße an die Mitstreiter! Ich stehe derzeit vor dem Problem das ich in Zweigstellen die per VPN angebunden sind PCs per Wake over LAN einschalten muss. Meine Umgebung ist folgendermaßen aufgebaut. Hauptsitz: WOL wurde auf den Core ProcurveSwitche für die anzusprechenden VLANs eingerichtet ip udp-bcast-forward vlan 100 ip forward-protocol udp 192.168.189.255 10 vlan 100 ip forward-protocol udp 10.0.10.255 10 vlan 100 ip forward-protocol udp 10.0.50.255 10 ... HauptsitzCiscoPIX 515E interneIP= 192.168.189.248 (ich bin davon ausgegangen das bei einer wol Anfrage das Log auf der PIX einen Eintrag bringt. Sehe aber nichts dergleichen. ip directed broadcast ist nicht aktiviert.) VPN nach Zweitsitz ZweitsitzCiscoPIX 515E interneIP= 192.168.188.1 Clients am Zweitsitz befinden sich im gleichen Subnetzt wie die interneIP der ZweitsitzCiscoPIX 515E. Bei der PIX gehe ich davon aus das WOL mit einem VPN Tunnel geht. Da hat man sicher was integriert. Die config Befehle müsste man halt wissen!

Ok, ist mir auch recht. Ich werde mein Ding ins Cisco Subforum stellen. :wink2:

Grüße an die Mitstreiter! Ich stehe derzeit vor dem gleichen Problem. Meine Umgebung ist folgendermaßen aufgebaut. Hauptsitz: WOL wurde auf den Core ProcurveSwitche für die anzusprechenden VLANs eingerichtet ip udp-bcast-forward vlan 100 ip forward-protocol udp 192.168.189.255 10 vlan 100 ip forward-protocol udp 10.0.10.255 10 vlan 100 ip forward-protocol udp 10.0.50.255 10 ... HauptsitzCiscoPIX 515E interneIP= 192.168.189.248 (ich bin davon ausgegangen das bei einer wol Anfrage das Log auf der PIX einen Eintrag bringt. Sehe aber nichts dergleichen. ip directed broadcast ist nicht aktiviert.) VPN nach Zweitsitz ZweitsitzCiscoPIX 515E interneIP= 192.168.188.1 Clients am Zweitsitz befinden sich im gleichen Subnetzt wie die interneIP der ZweitsitzCiscoPIX 515E. Bei der PIX gehe ich davon aus das WOL mit einem VPN Tunnel geht. Da hat man sicher was integriert. Die config Befehle müsste man halt wissen!

Die zwei teilige Reihe "Sicherheit auf dem Prüfstand" hat mir sehr weitergeholfen, zu finden unter Sicherheit auf dem Prüfstand: Bereitstellen von EFS: Teil 1 :p

Hallo! Gibt es in einer W03R2/WinXP Umgebung die Möglichkeit EFS auf alle Offline Ordner eines Benutzer oder Computers anzuwenden (GPO)? THX

Auf einer zweiten PIX habe ich auch "inspect icmp" nicht aktiviert. Jedoch funktioniert hier der ping. Gibt es mehrere Wege den ping durchzulassen? Da es ja eine SPI FW ist müsste ja "inspect icmp" aktiv sein, um ein Echo reply durchzulassen? PIX v.7.2

Danke Otaku19! Es war ein nicht aktiviertes "inspect icmp". :)

Hallo! Ich möchte gerne aus meinen Intranet pings ins Internet absetzen. Leider ist das nicht möglich (Request timed out). Syslog ausgabe der PIX: 3 Jan 18 2010 10:14:47 313001 externeIP Denied ICMP type=0, code=0 from externeIP on interface outside 4 Jan 18 2010 10:14:47 313004 Denied ICMP type=0, from laddr externeIP on interface outside to outsideEth: no matching session Da ich für ICMP eine Security Policy angelegt habe sollte der ping eigenlich möglich sein. Kann mir jemand anhand der zwei Syslog zeilen einen Tip geben? THX

Hi! Ich möchte auf einen W03R2 File Server einen Bereich freigeben in dem Domain-user Daten austauschen können. Um daraus keinen Datenfriedhof zu machen möchte ich automatisiert Daten löschen die älter als X Tage sind. Ich habe mir auch schon eine PowerShell Skript erstellt das diese Aufgabe erledigt jedoch bezieht sich das Skript auf das Änderungsdatum von Objekte. Das Änderungsdatum für diese Anwendung ist unbrauchbar, da viele User Daten ins Share kopieren deren Änderungsdatum im Jahre Schnee liegt. Bevor ich mit dem Archiv-bit zu arbeiten beginne und ich in Zukunft noch mehr Verwaltbarkeit benötige möchte ich mal in die Runde fragen ob es auch andere Wege gibt solche Shares zu organisieren? THX

Das Problem wurde durch die Default Domain Controllers Policy hervorgerufen. Ich mußte das GPO editieren. Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Verwalten von Überwachungs- und Sicherheitsprotokollen, hier setzte ich die zwei Gruppen ein: Domain\Exchange Enterprise Servers und Domain \Administratoren Somit war das SACL-Recht für die Exchange Server auf den DCs lesbar. Mit diesen Post hat meine Fehler suche begonnen: http://www.mcseboard.de/windows-forum-ms-backoffice-31/verzeichniszugriff-exchange-listet-alle-dc-145341.html :cool:

Google? Sagt mir nichts! BING Ich werde verschiedene Auswertungen Monatlich bzw. Halbjährlich durchführen (Mailbox JA/NEIN, Mitglidschaften von Usern, ....) . Die Details werden noch spezifiziert.

Danke für die Links. Ich möchte ldifde in Verbindung mit der PowerShell verwenden und somit anfallenden Aufgaben automatisieren. Falls es für die PS in Bezug auf das AD schon gute Scriptsammlungen gibt die für die Praxis verwendbar sind, nur her damit.

Danke, es funktioniert! Kennst du ein gutest Tutorial zu diesen Thema? Die Syntax beschreibung in der Win Hilfe bring mich nicht weiter. Ich nehme an man sollte möglichst alle AD Klassen kennen.

Hallo! Ich möchte aus AD Sicherheitsgruppen die einzelnen Mitglieder per ldife auslesen. Ich verwende den Befehl: ldifde -f export -d "cn=securegrupe,ou=users,dc=nwtraders,dc=com" -l member Da geht was ab aber ich komme nicht darauf (es werden die Mitglieder der Gruppe nicht angezeit). :confused: