grizzly999

Nein, wenn du dich nicht gleich über VPN anmeldest, dann erst, wenn du die Verbindung zu einer Resource aufbaust. Wenn danach die Gruppenmitgliedschaft geändert wird, müsste das neu geschehen. grizzly999

Administratoren dürfen das. Aber deine Angaben sind ein wenig dürftig. geht das genauer? Z.B. eine exakte Fehlermeldung; Logeinträge, und wie du das genau machst? grizzly999

Wie sehen denn die entsprechenden Regeln aus? Nun, du musst ja irgendeine Tunnelregel als Firewallrule haben. Dort kannst du die benutzer/-gruppen eintragen, die berechtigt sein sollen. Du kannst auch mit mehreren unterschiedlichen Tunnelregeln arbeiten. BTW: Mit Radius hat das ga ze nichts zu tun, das ist nur für den Webproxy-Client. Der FW-Client macht eine normale Windows-Authentifizeirung, also Kerberos oder NTLM grizzly999

Schau mal in dieses Paper in den entsprechenden Abschnit für Active Directory: Performance Tuning Guidelines for Windows Server 2008 Ist zwar für 2008 , gilt aber im Prinzip genauso für 2003, außer den Schaltern für den BCD ;) Hier ist auch ein wenig was zur DC-Kapazitätsplanung: Determining the Minimum Number of Domain Controllers Required: Active Directory

Der Benutzerordner im Profilpfad wird beeits bei der Anmeldung angelegt, aber bleibt leer bis zur Abmeldung. Dann wird er mit der Kopie des lokalen Profils beschickt. Das servergespeicherte Profil sollte aber unabhängig von Passwortänderungen bei der ersten Anmeldung oder auch nicht geschehen. Wir denn gar kein Ordner angelegt? grizzly999

Datenverschlüsselung für ein VPN deaktivieren :shock: Abgesehen davon, wird die Verbindung dann gar nicht stattfinden. @snoopy20004: Zuerst wäre die genaue Routerbezeichnung u.U. hilfreich. Dann die exakte Fehlermeldung und ob was im Vista-Ereignislog steht. Zudem könnte ein Firmwareupgrade des Routers helfen. Und falls im Clientlog die EventID 20227 auftauchen sollte, das hier versuchen: VPN connection fails on Windows Vista client: "Error 609: A device type was specfied that does not exit" grizzly999

Das ist IMHO doch etwas zu weit hergeholt. Ein Schädling im internen privaten Netz, und um das geht es hier, der braucht nicht irgendwelche IPs zu "probieren", der ist drin im Netz. Von daher sage ich immer noch, wenn es sich um ein einziges Netz handelt, dann ist es egal ob 255.255.0.0 oder 255.255.240.0. Just my 2 cts grizzly999

Sorry, ***** ausgedrückt :o Es gibt selten auch Pakete, die nur einen IP-Header haben (und einen Layer2-header), sonst nichts. Zum Beispiel "Fragmentation Needed - DF Flag set" Pakete u.ä., also Steuermeldungen vom IP-Stack selber. In der Praxis geht es natürlich nicht um einen Ping sondern um so Sachen wie Netzlaufwerke, Netzwerkdrucker oder Serverbasierte Anwendungen. Kann man das steuern?? Wie gesagt, alles, was einen TCP- oder UDP Header hat, ausgenommen Pakete des Webproxy Clients und was über die entsprechende .INI-Datei ausgenommen ist, krallt sich der FW-Client und setzt den Benutzerservus drunter. grizzly999

Ob du eine 240er Subnetmask benutzt, oder ein ganzes Class B Netz spielt technisch erst mal keine keine Rolle, die Anzahl der Geräte ist ja dieselbe. Das spielt nur eine Rolle in größerem Umfeld, sprich, wenn ein komplettes IP-Design für weitere Netze ansteht. Was u.U. auch zu bedenken wäre, wenn man mal irgend eine Art Scan-Tool einsetzt, wie z.B. einen IP-Scanner oder so etwas wie den GFIl Languard Security Scanner o.ä., und dabei das ganze Netz zum Scannen eingibt, dann braucht so ein Tool in einem Netz mit Class B Subnetmask erheblich länger, bis es durch ist. grizzly999

meines bescheidenen Wissens nach, gibt es keine zwei "Trust-Stores" auf dem Computer für benutzer und Computer getrennt, auch das durch die separat möglichen MMCs den Anschein haben mag. Daher sollte eine Verteilung von IntermidiateCA-Certs über die Computerrichtline dann auch funktionieren. Hast du das schon versucht? grizzly999

Ja, das geht. Du brauchst da am einfachsten eine alleinstehende CA (also nicht Domänenmitglied), auf der du zuvor den IIS installierst. Dann kannst du über den Browser vom Client aus ein Zertifikat anfordern. grizzly999

Wie schon richtig gesagt, der FW-Client liefert für die anderen TCP- und UDP-Protokolle außer HTTP die Benutzerauthentifizierung. Die Schlüsselstelle in meinem Satz liegt hier: .... die anderen TCP- und UDP-Protokolle..... Der FW-Client klinkt sich in den Netzwerkstack auf dem Client ein und fackelt alles, was TCP und UDP ist. Aber: ICMP und VPN-Verkehr, PPTP genauso wie L2TP, und reinrassige IP-Pakete natürlich auch), die sind davon nicht betroffen, denn die haben weder einen TCP- noch einen UDP-Header. Daher gibt es für diese Protokolle keine Benutzerauthentifizierung ;) grizzly999

Dürfte sich um dieses Problem handeln: Das Herstellen einer Verbindung zu SMB-Freigabe auf einem Windows 2000-Computer oder einem Windows Server 2003-Computer funktioniert möglicherweise nicht mit einem Aliasnamen (DisableStrictNameCheking) grizzly999

Das geht so, wie du es sagst. Du musst halt an allen Geräten mit fester IP auch umstellen. Zu beachten ist nur: Du hast mit der SM .240 einen 16er Bereich, d.h der Adress-Bereich wäre dann z.B. 192.168.0.0 - 192.168.16.255. Da sollten natürlich keine anderen Netze drin liegen. grizzly999

Änderungen an Gruppenitgliedschaften direkt ziehen erst nach Nueanmeldung, selbst mit kerbtray ist da nichts zu machen. grizzly999

Sorry, that's wrong. Standardmäßig kann man in der RC unterhalb von C:\winnt überall schreiben, und im root, dafür ist ja die Wiederherstellungskonsole extra da. Ich sitze zufällig gerade an einem Windows 2000 Server SP4 und habe es gerade versucht (copy von disk nach c:\winnt\system32). Das MUSS gehen im Standard. Bl***e Frage: Bist du sicher, dass du nach c:\windows\system32 kopierst? Und die boot.ini: die kannst du auch an einem anderen Rechner erstellen oder von dort her nehmen. Du musst halt nur den ARC-Pfad auf dem 2000er kennen. grizzly999

Suche mal im google nach ISA_LogParser.vbs Ansonsten schaue noch nach auf: hwww.isascripts.org Jim Harrison's ISA Tools Repository grizzly999

Eigentlich sollte es dort keine Zugriffsverweigerugn geben. Aber: 1.) Die Datei einfach zu kopieren reicht ja nicht. Du musst die Datei mit expand.exe dorthin auspacken (expand.exe Pfad:\ntoskrnl.ex_ Pfad:\ntoskrnl.exe) 2.) Ist denn die original ntoskrnl.exe wirklich weg oder beschädigt (zweiteres am ehesten am Datum zu erkennen)? Meist ist für diese Fehlermeldung beim Starten eine verbogene boot.ini verantwortlich ;) grizzly999

Du solltest dem Core, wenn er in die Domäne soll den DC als DNS-Server eintragen, unter IPV4 grizzly999

Jo, das ist absolut richtig so gemacht vom Installtionsprogramm . Funktioniert Outlook? Ist das Problem bei allen Usern? Haben die betreffenden User auch eine email-Adresse und ein Postfach? Steht was im Log? Schon bei Microsoft geschaut: HTTP 401 or 404 error messages when you access OWA implicitly or explicitly XWEB: Error Message Accessing Outlook Web Access: HTTP 404 Not Found grizzly999

Die sind aber ganz schön böse bei Cisco. Bringen einfach nicht die Fragen von Braindump-Software :nene: Lauter Dump-Zeugs?! Da haben viele mit Erfahrung, aber dafür gibt's hier im Board keine Unterstützung, oder hast du die Boardregeln bei der Anmeldung doch nicht gelesen? :suspect: Mit Verweis auf die Boardregeln geschlossen. Vielen Dank für dein Verständnis grizzly999

Ich denke immer noch, dass das ein Böack Hole Problem ist. Versuche mal hier aus dem Artikel die Methode 1 auf dem Server und dem Client: Recommended TCP/IP settings for WAN links with a MTU size of less than 576 grizzly999

Start->Ausführen-> gpedit.msc

Hallo und willkommen im Board :) Die Fehlermeldungen solltest du schon etwas genauer posten, um ganz genau zu sein: ganz genau! ;) Außerdem könnte es ein Einrichtungsfehler sein. Kann man so nicht sagen, weil du nicht beschrieben hast, wie was eingerichtet wurde (auf dem Server und dem Client). Laufen die IPSec-Dienste auf dem ISA? Wurde der ISA schon rebootet? grizzly999

Hallo und willkommen im Board :) Also erstens, wird das so nicht gehen, außer die Computerauthentifizierung fällt weg, aber dann .... wie du schon sagtest. ich frage mich aber viel mehr, warum das willst :confused::confused: Was soll es bringen, sich zuerst an einem Radius zu authentifzieren (der das ja dann über einen DC im AD macht) , um sich dann direkt an einem DC zu authentifizieren? Da spricht IMHO nicht nur wenig sondern eigentlich gar nichts dafür. grizzly999