grizzly999

Ja, schau mal hier rein: Webverkettung Die Seite bietet überhaupt recht gut Infos zu den ISA Servern ;) grizzly999

Man kann dies in den Gruppenrichtlinien abschalten, das Stichwort hat Dr.Melzer schon gegeben (UAC=User Account Control). Wenn du Microsoft suchst, wirst du auch fündig werden: Windows Vista User Account Control Step by Step Guide Aber man schaltet dann ein wichtiges Sicherheitsfeature ab, denn ich kann es nur komplett daeaktivieren. grizzly999

Korrekt. Ein Verfallsdatum gibt es für gecachte Profile nicht. grizzly999

Die Route bleibt so nur im RAM. Um sie in die Registry einzutragen, brauchts den Parameter /p (wie persistant). Aber das steht ja auch in der Hilfe ;) grizzly999

Wenn du der Meinug bist, eine Firewall taugt nichts, dann vergiß einfach deinen angestrebten Portfilter, da der im Vergleich zu einer Firewall nicht viel kann. :suspect: Und was der Portfilter mit einem Dateinamen zu tun Wie das mache? Das kommt darauf an, was ich wo und wie abcishern will und was ich an Mitteln zur Verfügung habe. Auf jeden Fall mache ich das so professionell, wie ich mit den gegebenen Eckpunkten kann ! Zitat: Ist ja schon ziemlich gut. Aber eine Firewall (gibt ja auch Kostengünstige und sogar Freeware Teile) kann nicht durch den von dir angestrebten Portfilter ersetzt werden. Und gegen Malware, die durch die dann noch offenen Ports eingefangen werden (versuchter HTML-Code, infizierte Mails, versuchte Datenträger) hilft kein Portfilter und keine Firewall. grizzly999

Microsoft bietet hierzu das Tool tsprof an: Microsoft Corporation Es gab wohl auch mal ein Paper zu einer API, das ist aber wohl nicht mehr verfügbar: Terminal Services Fields Are Not Duplicated When Copying an Existing User grizzly999

Was willst du denn mit den Portfiltern erreichen?! grizzly999

Sorry, nachdem ich mir deinen Beitrag zweimal durchgelesen habe, weiß ich immer noch nicht, was dein Begehr ist. Und: wie hast du im Standardcontainer "Users" eine neue OU eingerichtet? grizzly999

Ich verstehe das Anliegen nicht, wo kommt jetzt der ISA ins Spiel? Ich denke, die User sollen über den Proxy A surfen grizzly999

Du solltest die ganze Konfiguration des Zugangs genauer beschreiben. Außerdem: Die Portfilter in den erweiterten TCP/IP Eigenschaften sind ungeeignet, da sie nicht dynamisch, sondern statisch sind. Zudem betreffen sie alle Netzwerkkarten, sind also nicht selektierbar und sie betreffen auch nur eingehende Pakete, nicht ausgehende.n Verkehr. Wenn man "richtige" Portfilter haben möchte, dann über eine Personal Firewall oder mittels IPSec-Richtlinien. grizzly999

Also doch eine CA am laufen, hätte mich auch gewundert, bei de Fehlermeldung ;) Auch wenn die Dienste alle auf einem Rechner snd, ein Verbindung zum Dienst herstellen muss der DC trotzdem. Ich kann mir aber nicht erklären, woher der Konetivitätsverlust stammt. Möglicherweise zeitweilig zu starke Auslastung des Rechners, so dass er ab und zu in einen Timeout läuft?! grizzly999

Einen Computer zur Domäne hinzufügen braucht andere (weniger) Berechtigungen, als einen hinzuzufügen, dessen Konto existiert. Im zweiten Fall braucht man auf dem Container (oder den Containern), in welchen die Konten hinzugefügt werden sollen, zusätzlich die Berechtigung für Computerkonten das Kennwort zurückzusetzen. Dan kann über das Tool "Active Directory Benutzer und Computer" geschehen, dort mit erweiterter Ansicht selektiert über den Reiter Sicherheit des Containers, oder per ADSIedit.msc. hierfür gibt es eine Beschreibung in der KB: Error Message "Access Denied" When You Join a Computer to a Domain grizzly999

Ja ist es denn so? Und welche Berechtigungen hast du wo genau vergeben? grizzly999

Hallo Yusuf,, na denn ma' Prost und willkommen in der Gemeinde. Hast es dir echt verdient :) :) Claus

Welche Rechte haben die User genau? Kann es sein, dass die Rechner, bei denen es nicht klappt, schon mal in der Domäne drin waren, es also dort in irgendeiner Art schon ein Computerkonto mit dem Namen gibt? grizzly999

Wenn Dienste nicht im Systemaccount laufen sollen, dann arbeitet man i.d.R. mit einem separaten Dienstekonto, das ein entsprechend langes und komplexes Kennwort hat, welches nicht abläuft und der Account nicht ändern kan. grizzly999

Ach soooo, ich Spielverderber :( Aber die Speaker sind ja eh nachher alle auf der Homepage, oder diesmal nicht ;) BTW: Wann ist denn die ice:2007 ungefähr avisiert? Claus

Am besten eine MMC aufmachen, SnapIn hinzufügen/entfernen auswählen, Benutzerkonto, Eigene Zertifkate -> Rechtsklick -> Zertifikat importieren. Wichtig, dass es mit dem privaten key exportiert wurde. grizzly999

Macht nix, dafür sind wir ja auch noch da ;) grizzly999

Das könnte man über ein SemaphoräFile machen, aber das ist Gebastel. Im Normalfall macht man das in einer Domäne über Gruppenrichtlinie. grizzly999

So ist es. Sorry, aber so sind unsere Boardregeln. Vielen Dank für dein Verständnis grizzly999

Das ist nicht nur bei Microsoft so, sondern allgemein. Offizielle Root CAs wie z.B. VeriSign veröffentlichen auch meist nur Sperrlisten nach einer Woche. Und solange müssen die natürlich gültig sein. Doch ist es unsicherer, weil ich Benutzer nicht distinguieren kann. Und: 1.) Braucht er das Zertifikat MIT samt dem privaten Schlüssel. Wenn er da rankommt, dann habe ich sowieso verloren 2.) Braucht er dann keine Brutforce Methoden, denn mit Zertifikatauthentifizierung werde ich bei der Einwahl nicht nach einem Kennwort gefragt. Mein Zertifikat ist der Authentifizierungsnachweis. Aus Gründen eines möglichen Diebstahls ist deshalb nicht unbedingt das Zertifikat als solches empfohlen, sondern der Einsatz von SmartCard, wo der private Key geschützt durch einen Pin auf der Karte liegt ;) grizzly999

Ok, gehen wir mal systematisch vor: 1.) Poste doch mal bitte die Ausgabe von ipconfig /all auf dem Client NACH erfolgreicher RAS-Einwahl 2.) Dasselbe vom Server NACH ..... 3.) Kannst du vom Client NACH der Einwahl auf den RAS-Server pingen (virtuelle IP)? 4.) Kannst du vom Client auf die SBS-Resourcen Resourcen zugreifen (ich gehe davon aus, das keine weiteren Server im Netz sind)? 5.) Kannst du vom RAS-Server den Client anpingen (virtuelle IP)? 6.) Wenn der Client eingewählt ist, und du (nach ca. 20-30 sek Warten) im WINS die statischen Zuordnungen anschaust, taucht dort der Name des Clients mit seiner virtuellen IP auf? Wenn ja, welche Eintragstypen? [00] [20] [03] oder was auch immer 7.) Taucht dort der angemeldete Benutzer mit seiner virtuellen IP auf? Wenn ja, welche Eintragstypen? 8.) ist nach der Einwahl eine Firewall auf dem Client aktiv? So, dass mal ein paar Standard-Tests. grizzly999

Ah. ok. Nun es ist so, dass der VPN-Server für das Zertifikat die Zertifikatskette bis zum Rootzertifikat bildet und auch beim ersten mal die Sperrlisten bis zur obersten Sperrliste abruft. Die Sperrliste(n) speichert der Rechner - hier der VPN-Server - für die Dauer ihrer Gültigkeit in einem geschützten Speicherbereich. Danach ruft er die Sperrliste, selbst wenn eine Neue veröffentlicht wird, nicht mehr ab, bis sie abgelaufen ist, sondern prüft in der Zeit immer gegen die gecachte noch gültige Version . Wenn du alles standardmäßig installiert hast, ist das eine Woche. Dieser "Cache" lässt sich bei Microsoft nicht beeinflußen, weder per GUI, noch mit einem Kommandozeilen-Tool. Also, entweder warten bis die Liste abgelaufen ist, oder den User-Acount selber solange sperren, oder solange eine Verweigern-RAS-Richtlinie für diesen User eirichten. grizzly999

Sieht eigentlich soweit ganz korrekt aus. Und da liegen alle Treiber, insbesondere die Audio-Treiber direkt in "Drivers"? Kein weiteres Unterverzeichnis? nur so zur Versicherung ;) grizzly999