grizzly999

Schon bei der Anmeldung des Benutzers über VPN Anmelden. Dazu bei der Anmeldung das Häkchen "DFÜ-Netzwerk verwenden" setzen. grizzly999

über \\<dns-domänenname>\<dfs-root-name> grizzly999

Du kannst nur Resourcen veröffentlichen, die sich hinter dem ISA befinden, also in einem der Netze, die als internes Netz angegeben werden. Das ist da ja wohl nicht der Fall. grizzly999

Schon gegoogelt? Z.B: http://www.pchell.com/support/look2me.shtml grizzly999

Halte ich für ausgeschlossen. Die Firewall blockiert nichts, was rausgeht, und wenn sie es würde, gäbe es erst recht kein Grund für den DC, einen User zusperren. Wer nicht mit falschem Kennwort kommt, kann nicht gesperrt werden ;) Aber wie gesagt, raus geht sowieso alles. Ist irgend ein Mapping im Benutzerprofil drin, bei dem ein altes Kennwort hinterlegt wurde? Kommt die fehlerhafte Anmeldung auch von dem Cleint auf dem der User angemeldet ist (Log auf DC)? Andere Logeinträge auf dem DC (z.B. Kerberos Probleme)? Wann kommt das vor? usw. usw. grizzly999

Lies doch nochmals nebenher die Boardregeln :mad: Einmal posten reicht, Doppelpostings unerwünscht, und: Wir sind ein Forum, kein Chat-Room, also warte bitte auch ab. Hier geht's weiter: http://www.mcseboard.de/showthread.php?t=94343 Closed grizzly999

Security Principals, Konten, die vom DC eine SID im AD zugewiesen bekommen haben. grizzly999

Da musst du kein geld hinterlassen. Das stehen Beschreibungen des Fehlers drin, wie er bei manchen leuten aufgetreten ist, und wie sie wegbekommen haben. Wenn die auf einen KB-Artikel verweisen (die mit der Nummer Mxxxxxx), dann einfach in der MS-Knwolegde Base suchen ohne das "M". die Nummer dahinter ist exakt die Nummer des KB-Artikels. grizzly999

Nein. Den RAS Dienst braucht der ISA nur für VPN und RAS-Einwahl, bzw. Site-to-Site verbindungen mit L2Tp und PPTP. Ah, hinten läuft auch noch ein ISA. Dann würde ich das so lassen. Ich terminiere den Tunnel immer auf dem Backend-ISA. ich dachte der SBS ist "normaler" VPN-Server. grizzly999

Erste Frage: warum den IAS auf dem ISA, nicht auf dem DC selber? Steht was im EreignisLog auf dem ISA? Geht es auch nicht mit netsh ras add registeredserver? Man kann natürlich den ISA auch einfach manuell uaf dem DC in die Gruppe RAS-und IAS Server stecken, das hat die gleiche Wirkung. Vermutlich sind die Systemrichtlinien nicht so, dass er auf den DC sauber zugreifen kann (ist der ISA überhaupt Mitglied der Domäne?) Also, besser: IAS=DC grizzly999

Sorry, hatte das Benutzer und Gruppen, nicht für Computer. Aber :D :D : Vorgehen für Computer im Prinzip gleich, hättest nur mal probieren müssen: Spalte "Veröffentlicht auf" hinzufügen zur Anzeige ;) Dann taucht der Kanonische Name des Rechners auf, geht halt umgekehrt wie der LDAP Name, Separator sind Slashes und die Domäne steht mit DNS Namen drin, z.B.: ntds://nwtraders.msft/OU1/OU2/OU3 grizzly999

Nur sichere Updates heißt, dass sich nur Principals aus dem AD im DNS eintragen können. Und zwar mittels eines Kerberos Ticktes. Also ein Computerkonto im AD zu haben, reicht nicht dafür aus. Da der Linux-Rechner wohl kein Kerberos-Ticket haben und auch nicht bekommen wird, kann er sich nicht eintragen. gizzly999

Anm.: 2003 mit SP1 hat die Richtlinien schon drin, da braucht man das .adm-file nicht separat einzupielen ;) grizzly999

Wenn da RAS installiert ist, dann läuft das was RAS-mäßiges drauf, nämlich der RAS-Dienst. Der muss ja von irgendwem irgendwie eingerichtet worden sein, entweder über den ISA oder die RAS-Konsole (wäre schlecht). Dabei muss man eigentlich in beiden Fällen angeben, woher der RAS seine Adressen bezieht, von einem DHCP oder einem statischen Pool. Da wurde wohl ersteres angegeben, und dann holt sich der RAS-Dienst bormalerweise 10 Adressen vom DHCP ab, oder wieviele er eben davon bekommen kann, ob er sie aktuell braucht oder nicht. Wenn mir die Anmerkung erlaubt sei: Solch eine Konfiguration habe ich noch nicht gesehen. Der ISA leitet die VPN-Verbindung auf einen SBS weiter?! Bei mir terminiert die immer der ISA selber. Und dann wurde manuell(8?!) der RAS Dienst auf dem ISA installiert, weil keine Ahnung ob er den braucht oder nicht? grizzly999

Nein, nicht in der Ansicht VOR der Suche, da gibt es die Spalte nicht. Du sucht doch mit der AD Suche (das Symbol oben mit dem Büchlein und der Lupe)?! Dabei bekommst du die Ergbnisse der Suche in einem separaten Fenster. Dort gibt es einen eigenen Menüpunkt "Anzeige". Dort wie oben ....... grizzly999

Hätte ich jetzt nicht erwartet, vor allem nicht auf dem SBS. Aber ein mutiger Versuch, und Mut wird ja bekanntlich belohnt. Freut mich, dass es geklappt hat, und merke ich mir dafür, wenn ich es selber mal brauche :D :p grizzly999

Ja genau, daher meine Aussage. Ich hatte in zwei Fällen wissentlich große Probleme mit geklonten und mittles SIDChanger o.ä. präparierten Rechnern. Den Beitrag meinstest du wahrscheinlich: http://www.mcseboard.de/showthread.php?t=71071 In einem Fall war es besonders krass, weil das Rollout von 1.000 Clients mit Sysprep vorbereitet war und alles problemslos funktionierte, als dann nach begonnenem Rollout mich zwei Wochen später der Teilprojekt-Leiter anrief und mir von Problemen mit jetzt ganz neu ausgerollten Clients berichtete. Client-Virenscanner kann nicht mehr installiert werden und noch ein zwei Sachen (weiss nicht mehr, mussten in meinem Gedächtnis zwischenzeitlich anderen Problemen weichen :D ). Ich hatte keine Erklärung dafür. Alle Clients vorher hatten die Probleme nicht. Ok, Fall erst mal erledigt, MVP hat keine Ahnung, und es hat ja am Anfang auch getan. Eine Woche später wieder Anruf vom Teilprojekt-Leiter: FYI, Problem gefunden. Aus "Faulheit" haben die zwei Mann mit dem Rollout plötzlich nicht mehr das Sysprep-Image genommen, sondern einen Rechner nach dem Sysprep direkt geklont, SIDChanger drauf, neuer Rechnername und feste IP. Nach dem Umstellen des weiteren Rollouts auf das von mir anfangs erzeugte Sysprep-Image --> alles wieder paletti. Im Link oben habe ich kurz noch einen Fall geschildert. Und daher behaupte ich aus handfester Erfahrung: Diese Tools tun vordergründig ihr Werk, aber in den Tiefen eben nicht ;) grizzly999

3x :thumb1: Sysprep ist das einzig Wahre. Finger weg von SID-Cahnger, NewSid und wie das Zeugs heißt. grizzly999

:D :D

Du meinst zum Mailabholen. Dann suche mal in der Online Hilfe des Exchange oder bei Microsoft oder bei google nach dem Stichweort "OWA". Da gibt es massig Anleitungen grizzly999

Wenn du die Ergebnisliste hast, gehe ins Menü "Anzeige" und wähle dort "Spalten" aus. Füge die Spalte "X.500-definierter Name" der Anzeige hinzu, dann hast du den DN auch. grizzly999

Wie er geschrieben hatte, das hat er ja. Damit werden Anmeldedaten und weiterer Verkehr verschlüsselt übertragen, aber mehr auch nicht. grizzly999

Welcher Server?? Bitte immer ein Szenario so beschreiben, dass jeder, der keinen Netzwerkplan vor sich liegen hat, trotzdem weiss, um was es geht. Allgemein zu der Frage; Ja, das geht, wenn das Routing stimmt grizzly999

Das geht über eine Änderung mit ADSIEdit, aber nur für neue Benutzer: http://support.microsoft.com/kb/250455/en-us Für bestehende Namen gilt das natürlich nicht, nur für neu angelegte. Für bestehende Namen gibt es Scripts, eines auch in der KB, aber auch verbesserte, z.B. von Kollege Nils Kaczenski: http://www.msxfaq.net/code/galname.htm grizzly999

Bei einem direkten Zugriff auf den Exchange mit OWA ist der Exchange selber für die Authentifizierung zuständig. Klar, Ohne Benutzername und Kennwort ist kein reinkommen, aber er steht damit für Bruteforce-Attaken zur Verfügung, z.B. mit dem Admin-Konto. Bei einer ALF-Firewall, dazu noch im AD integriert, wie der ISA, terminiert der ISA die Verbindung zum Benutzer und baut eine neue Verbindung zum Exchange auf. Damit hat man zusätzliche Filtermöglichkeiten, mal angefangen damit, dass ich die Veröffentlichungsregel für bestimmte Benutzergruppen einrichten kann und damit die Bruteforce-Angriffsfläche deutlich reduzieren kann. grizzly999