grizzly999

Da beim login aber keine Verbindung zum DC hergestellt ist,

wird das NIE aktualisiert?

Nein, wenn du dich nicht gleich über VPN anmeldest, dann erst, wenn du die Verbindung zu einer Resource aufbaust. Wenn danach die Gruppenmitgliedschaft geändert wird, müsste das neu geschehen.

grizzly999

Administratoren dürfen das.

Aber deine Angaben sind ein wenig dürftig. geht das genauer? Z.B. eine exakte Fehlermeldung; Logeinträge, und wie du das genau machst?

grizzly999

Wie sehen denn die entsprechenden Regeln aus?

Nun, du musst ja irgendeine Tunnelregel als Firewallrule haben. Dort kannst du die benutzer/-gruppen eintragen, die berechtigt sein sollen. Du kannst auch mit mehreren unterschiedlichen Tunnelregeln arbeiten.

BTW: Mit Radius hat das ga ze nichts zu tun, das ist nur für den Webproxy-Client.

Der FW-Client macht eine normale Windows-Authentifizeirung, also Kerberos oder NTLM

grizzly999

Super, das scheint, als hättet ihr sowas schon gemacht.

Ich sehe das rein logisch auch so. Eine Überwachung der momentanen Struktur über etwas lägenen Zeitraum klingt für mich da auch am sinnvollsten.

 

Also pack ich den perfmon aus und logge fleißig mit.

Kann mir noch jemand auf die Sprünge helfen, was da noch sinnvoll sein könnte?

Ich meine jetzt außer Speicher, CPU und LSASS

Schau mal in dieses Paper in den entsprechenden Abschnit für Active Directory: Performance Tuning Guidelines for Windows Server 2008

Ist zwar für 2008 , gilt aber im Prinzip genauso für 2003, außer den Schaltern für den BCD ;)

Hier ist auch ein wenig was zur DC-Kapazitätsplanung: Determining the Minimum Number of Domain Controllers Required: Active Directory

Der Benutzerordner im Profilpfad wird beeits bei der Anmeldung angelegt, aber bleibt leer bis zur Abmeldung. Dann wird er mit der Kopie des lokalen Profils beschickt.

Das servergespeicherte Profil sollte aber unabhängig von Passwortänderungen bei der ersten Anmeldung oder auch nicht geschehen.

Wir denn gar kein Ordner angelegt?

grizzly999

Datenverschlüsselung für ein VPN deaktivieren :shock:

Abgesehen davon, wird die Verbindung dann gar nicht stattfinden.

@snoopy20004:

Zuerst wäre die genaue Routerbezeichnung u.U. hilfreich.

Dann die exakte Fehlermeldung und ob was im Vista-Ereignislog steht.

Zudem könnte ein Firmwareupgrade des Routers helfen. Und falls im Clientlog die EventID 20227 auftauchen sollte, das hier versuchen: VPN connection fails on Windows Vista client: "Error 609: A device type was specfied that does not exit"

grizzly999

Hi,

 

ich würde allerdings den Bereich nicht überdimensionieren, da ein evtl. schädling eine größere chance hat, den Range zu treffen.

Das ist IMHO doch etwas zu weit hergeholt. Ein Schädling im internen privaten Netz, und um das geht es hier, der braucht nicht irgendwelche IPs zu "probieren", der ist drin im Netz.

Von daher sage ich immer noch, wenn es sich um ein einziges Netz handelt, dann ist es egal ob 255.255.0.0 oder 255.255.240.0.

Just my 2 cts

grizzly999

Jetzt weiß ich nicht genau was Du mit reinrassigen IP-Paketen meinst. Im Grunde haben doch alle Pakete einen IP Header?!

Sorry, ***** ausgedrückt :o

Es gibt selten auch Pakete, die nur einen IP-Header haben (und einen Layer2-header), sonst nichts. Zum Beispiel "Fragmentation Needed - DF Flag set" Pakete u.ä., also Steuermeldungen vom IP-Stack selber.

In der Praxis geht es natürlich nicht um einen Ping sondern um so Sachen wie Netzlaufwerke, Netzwerkdrucker oder Serverbasierte Anwendungen. Kann man das steuern?? 

Wie gesagt, alles, was einen TCP- oder UDP Header hat, ausgenommen Pakete des Webproxy Clients und was über die entsprechende .INI-Datei ausgenommen ist, krallt sich der FW-Client und setzt den Benutzerservus drunter.

grizzly999

Ob du eine 240er Subnetmask benutzt, oder ein ganzes Class B Netz spielt technisch erst mal keine keine Rolle, die Anzahl der Geräte ist ja dieselbe. Das spielt nur eine Rolle in größerem Umfeld, sprich, wenn ein komplettes IP-Design für weitere Netze ansteht.

Was u.U. auch zu bedenken wäre, wenn man mal irgend eine Art Scan-Tool einsetzt, wie z.B. einen IP-Scanner oder so etwas wie den GFIl Languard Security Scanner o.ä., und dabei das ganze Netz zum Scannen eingibt, dann braucht so ein Tool in einem Netz mit Class B Subnetmask erheblich länger, bis es durch ist.

grizzly999

meines bescheidenen Wissens nach, gibt es keine zwei "Trust-Stores" auf dem Computer für benutzer und Computer getrennt, auch das durch die separat möglichen MMCs den Anschein haben mag.

Daher sollte eine Verteilung von IntermidiateCA-Certs über die Computerrichtline dann auch funktionieren.

Hast du das schon versucht?

grizzly999

Ja, das geht. Du brauchst da am einfachsten eine alleinstehende CA (also nicht Domänenmitglied), auf der du zuvor den IIS installierst.

Dann kannst du über den Browser vom Client aus ein Zertifikat anfordern.

grizzly999

Wie schon richtig gesagt, der FW-Client liefert für die anderen TCP- und UDP-Protokolle außer HTTP die Benutzerauthentifizierung.

Die Schlüsselstelle in meinem Satz liegt hier: .... die anderen TCP- und UDP-Protokolle.....

Der FW-Client klinkt sich in den Netzwerkstack auf dem Client ein und fackelt alles, was TCP und UDP ist. Aber: ICMP und VPN-Verkehr, PPTP genauso wie L2TP, und reinrassige IP-Pakete natürlich auch), die sind davon nicht betroffen, denn die haben weder einen TCP- noch einen UDP-Header. Daher gibt es für diese Protokolle keine Benutzerauthentifizierung ;)

grizzly999

Dürfte sich um dieses Problem handeln:

Das Herstellen einer Verbindung zu SMB-Freigabe auf einem Windows 2000-Computer oder einem Windows Server 2003-Computer funktioniert möglicherweise nicht mit einem Aliasnamen (DisableStrictNameCheking)

grizzly999

Das geht so, wie du es sagst. Du musst halt an allen Geräten mit fester IP auch umstellen.

Zu beachten ist nur: Du hast mit der SM .240 einen 16er Bereich, d.h der Adress-Bereich wäre dann z.B. 192.168.0.0 - 192.168.16.255.

Da sollten natürlich keine anderen Netze drin liegen.

grizzly999

Änderungen an Gruppenitgliedschaften direkt ziehen erst nach Nueanmeldung, selbst mit kerbtray ist da nichts zu machen.

grizzly999

Im Standard erlaubt die Wiederherstellungskonsole lediglich einen Zugriff auf c:\WINNT,

Sorry, that's wrong.

Standardmäßig kann man in der RC unterhalb von C:\winnt überall schreiben, und im root, dafür ist ja die Wiederherstellungskonsole extra da.

Ich sitze zufällig gerade an einem Windows 2000 Server SP4 und habe es gerade versucht (copy von disk nach c:\winnt\system32). Das MUSS gehen im Standard.

Bl***e Frage: Bist du sicher, dass du nach c:\windows\system32 kopierst?

Und die boot.ini: die kannst du auch an einem anderen Rechner erstellen oder von dort her nehmen. Du musst halt nur den ARC-Pfad auf dem 2000er kennen.

grizzly999

Suche mal im google nach

ISA_LogParser.vbs

Ansonsten schaue noch nach auf:

hwww.isascripts.org

Jim Harrison's ISA Tools Repository

grizzly999

Eigentlich sollte es dort keine Zugriffsverweigerugn geben.

Aber:

1.) Die Datei einfach zu kopieren reicht ja nicht. Du musst die Datei mit expand.exe dorthin auspacken (expand.exe Pfad:\ntoskrnl.ex_ Pfad:\ntoskrnl.exe)

2.) Ist denn die original ntoskrnl.exe wirklich weg oder beschädigt (zweiteres am ehesten am Datum zu erkennen)? Meist ist für diese Fehlermeldung beim Starten eine verbogene boot.ini verantwortlich ;)

grizzly999

Du solltest dem Core, wenn er in die Domäne soll den DC als DNS-Server eintragen, unter IPV4

grizzly999

Hallo Leute!

Ich habe leider ein Problem mit dem erreichen der OWA seite!

und zwar wurde im IIS bei der standardinstallation von Exchange die Exchange Seiten nicht direkt auf rrot ebene im IIS erstellt sondern unter der standardwebseite!

Jo, das ist absolut richtig so gemacht vom Installtionsprogramm .

wenn man also versucht auf server/exchange zuzugreifen dann kommt ein 404!

 

wie kann ich jetzt das OWA wieder flott machen=

soll ich alle exchange seiten löschen und OWA neu installieren?

Funktioniert Outlook? Ist das Problem bei allen Usern? Haben die betreffenden User auch eine email-Adresse und ein Postfach? Steht was im Log?

Schon bei Microsoft geschaut:

HTTP 401 or 404 error messages when you access OWA implicitly or explicitly

XWEB: Error Message Accessing Outlook Web Access: HTTP 404 Not Found

grizzly999

ich lernte mit Pass4Sure Ver 2.83, aber war enttäuscht, von den 127 Fragen kamen grade mal ca. 10 vor.

Die sind aber ganz schön böse bei Cisco. Bringen einfach nicht die Fragen von Braindump-Software :nene:

Deswegen meine Frage: wer hat Erfahrungen mit den verschiedenen Anbietern bzgl. Aktuell ? für den 640-816 ?

CERT ? Testking ? CBNuggets ?

Danke für jede Hilfe !

Lauter Dump-Zeugs?! Da haben viele mit Erfahrung, aber dafür gibt's hier im Board keine Unterstützung, oder hast du die Boardregeln bei der Anmeldung doch nicht gelesen? :suspect:

Mit Verweis auf die Boardregeln geschlossen.

Vielen Dank für dein Verständnis

grizzly999

Ich denke immer noch, dass das ein Böack Hole Problem ist.

Versuche mal hier aus dem Artikel die Methode 1 auf dem Server und dem Client: Recommended TCP/IP settings for WAN links with a MTU size of less than 576

grizzly999

Start->Ausführen-> gpedit.msc

Hallo und willkommen im Board :)

Die Fehlermeldungen solltest du schon etwas genauer posten, um ganz genau zu sein: ganz genau! ;)

Außerdem könnte es ein Einrichtungsfehler sein. Kann man so nicht sagen, weil du nicht beschrieben hast, wie was eingerichtet wurde (auf dem Server und dem Client).

Laufen die IPSec-Dienste auf dem ISA? Wurde der ISA schon rebootet?

grizzly999

Hatte es eigentlich vor so zu machen, dass beim Domänenanmeldebildschirm der Benutzername und das Passwort eingegeben werden muss. Dann SOLL sich der Benutzer per RADIUS authentifizieren (PEAP-MS-CHAP v2) und DANN erst in der ActiveDirectory (AD). Ist das überhaupt möglich?

Hallo und willkommen im Board :)

Also erstens, wird das so nicht gehen, außer die Computerauthentifizierung fällt weg, aber dann .... wie du schon sagtest.

ich frage mich aber viel mehr, warum das willst :confused::confused:

Was soll es bringen, sich zuerst an einem Radius zu authentifzieren (der das ja dann über einen DC im AD macht) , um sich dann direkt an einem DC zu authentifizieren? Da spricht IMHO nicht nur wenig sondern eigentlich gar nichts dafür.

grizzly999