grizzly999

Schon bei der Anmeldung des Benutzers über VPN Anmelden. Dazu bei der Anmeldung das Häkchen "DFÜ-Netzwerk verwenden" setzen.

grizzly999

über

\\<dns-domänenname>\<dfs-root-name>

grizzly999

Du kannst nur Resourcen veröffentlichen, die sich hinter dem ISA befinden, also in einem der Netze, die als internes Netz angegeben werden. Das ist da ja wohl nicht der Fall.

grizzly999

Schon gegoogelt? Z.B: http://www.pchell.com/support/look2me.shtml

grizzly999

Halte ich für ausgeschlossen. Die Firewall blockiert nichts, was rausgeht, und wenn sie es würde, gäbe es erst recht kein Grund für den DC, einen User zusperren. Wer nicht mit falschem Kennwort kommt, kann nicht gesperrt werden ;) Aber wie gesagt, raus geht sowieso alles.

Ist irgend ein Mapping im Benutzerprofil drin, bei dem ein altes Kennwort hinterlegt wurde?

Kommt die fehlerhafte Anmeldung auch von dem Cleint auf dem der User angemeldet ist (Log auf DC)?

Andere Logeinträge auf dem DC (z.B. Kerberos Probleme)?

Wann kommt das vor?

usw. usw.

grizzly999

Lies doch nochmals nebenher die Boardregeln :mad:

Einmal posten reicht, Doppelpostings unerwünscht, und: Wir sind ein Forum, kein Chat-Room, also warte bitte auch ab.

Hier geht's weiter: http://www.mcseboard.de/showthread.php?t=94343

Closed

grizzly999

Security Principals, Konten, die vom DC eine SID im AD zugewiesen bekommen haben.

grizzly999

oki text verstanden, aber ich will dort kein Geld hinterlassen

Da musst du kein geld hinterlassen. Das stehen Beschreibungen des Fehlers drin, wie er bei manchen leuten aufgetreten ist, und wie sie wegbekommen haben. Wenn die auf einen KB-Artikel verweisen (die mit der Nummer Mxxxxxx), dann einfach in der MS-Knwolegde Base suchen ohne das "M". die Nummer dahinter ist exakt die Nummer des KB-Artikels.

grizzly999

OK, und jetzt noch die abschließende Frage hierzu:

Wir der Routing- und RAS Dienst überhaupt benötigt, wenn der Server als Gateway betrieben

wird und der ISA-Server installiert ist?

Nein. Den RAS Dienst braucht der ISA nur für VPN und RAS-Einwahl, bzw. Site-to-Site verbindungen mit L2Tp und PPTP.

Ja, du darfst dir die Anmerkung erlauben: Das hat den einfachen Grund, dass ich die bestehende Konfiguration nicht großartig verändern wollte.

Ursprünglich war ein schlichter Router (der zwar VPN konnte, allerdings nicht terminieren) als Gateway im Einsatz, jedoch wurde

der wegen täglichen Ausfällen gegen einen richtigen Server ausgetauscht.

Auf dem VPN-Server wird außerdem noch einmal ein ISA-Server eingesetzt.

Würdest du es trotzdem ändern?

 

MfG

Ah, hinten läuft auch noch ein ISA. Dann würde ich das so lassen. Ich terminiere den Tunnel immer auf dem Backend-ISA. ich dachte der SBS ist "normaler" VPN-Server.

grizzly999

Erste Frage: warum den IAS auf dem ISA, nicht auf dem DC selber?

Steht was im EreignisLog auf dem ISA?

Geht es auch nicht mit netsh ras add registeredserver?

Man kann natürlich den ISA auch einfach manuell uaf dem DC in die Gruppe RAS-und IAS Server stecken, das hat die gleiche Wirkung.

Vermutlich sind die Systemrichtlinien nicht so, dass er auf den DC sauber zugreifen kann (ist der ISA überhaupt Mitglied der Domäne?)

Also, besser: IAS=DC

grizzly999

Sorry, hatte das Benutzer und Gruppen, nicht für Computer.

Aber :D :D : Vorgehen für Computer im Prinzip gleich, hättest nur mal probieren müssen: Spalte "Veröffentlicht auf" hinzufügen zur Anzeige ;)

Dann taucht der Kanonische Name des Rechners auf, geht halt umgekehrt wie der LDAP Name, Separator sind Slashes und die Domäne steht mit DNS Namen drin, z.B.:

ntds://nwtraders.msft/OU1/OU2/OU3

grizzly999

Nur sichere Updates heißt, dass sich nur Principals aus dem AD im DNS eintragen können. Und zwar mittels eines Kerberos Ticktes. Also ein Computerkonto im AD zu haben, reicht nicht dafür aus. Da der Linux-Rechner wohl kein Kerberos-Ticket haben und auch nicht bekommen wird, kann er sich nicht eintragen.

gizzly999

Anm.: 2003 mit SP1 hat die Richtlinien schon drin, da braucht man das .adm-file nicht separat einzupielen ;)

grizzly999

Ich wüsste jetzt nicht, dass irgendwas RAS mäßiges auf der Maschine läuft. Er ist zwar installiert, allerdings wird er nicht verwendet, außer das Routing, da ich nicht genau weiß, ob es, wenn der Server als Gateway verwendet wird, trotz ISA-Server nicht Vorraussetzung ist?!

Wenn da RAS installiert ist, dann läuft das was RAS-mäßiges drauf, nämlich der RAS-Dienst. Der muss ja von irgendwem irgendwie eingerichtet worden sein, entweder über den ISA oder die RAS-Konsole (wäre schlecht). Dabei muss man eigentlich in beiden Fällen angeben, woher der RAS seine Adressen bezieht, von einem DHCP oder einem statischen Pool. Da wurde wohl ersteres angegeben, und dann holt sich der RAS-Dienst bormalerweise 10 Adressen vom DHCP ab, oder wieviele er eben davon bekommen kann, ob er sie aktuell braucht oder nicht.

Wenn mir die Anmerkung erlaubt sei: Solch eine Konfiguration habe ich noch nicht gesehen. Der ISA leitet die VPN-Verbindung auf einen SBS weiter?! Bei mir terminiert die immer der ISA selber. Und dann wurde manuell(8?!) der RAS Dienst auf dem ISA installiert, weil keine Ahnung ob er den braucht oder nicht?

grizzly999

ich hab nur X.400 Email .. und die hilft mir beim Computer leider nicht.

Nein, nicht in der Ansicht VOR der Suche, da gibt es die Spalte nicht. Du sucht doch mit der AD Suche (das Symbol oben mit dem Büchlein und der Lupe)?! Dabei bekommst du die Ergbnisse der Suche in einem separaten Fenster. Dort gibt es einen eigenen Menüpunkt "Anzeige". Dort wie oben .......

grizzly999

Also ich habe den Server durch die genannten Dateien wieder zun Laufen gebracht. In der Registry war ein Autostart Einstrag gesetzt, der die Serverwaltungskonsole in der Autostartgruppe manipuliert hatte. Durch das Rückschichern der Verzeichnisse \sysvol, \ntds und \config kam ich in den Genuss der noch nicht beschädigten Registry.

Eine Reparaturinstallation gemacht und der Server läuft wieder einwandfrei.

Hätte ich jetzt nicht erwartet, vor allem nicht auf dem SBS. Aber ein mutiger Versuch, und Mut wird ja bekanntlich belohnt. Freut mich, dass es geklappt hat, und merke ich mir dafür, wenn ich es selber mal brauche :D :p

grizzly999

Da hast Du sicher recht. Ich habe, soweit ich mich richtig erinnere, vor einiger Zeit mal einen Post von Grizzly gelesen, der von Problemen mit NEWSID berichtete. Leider finde ich das nicht mehr wieder ...

Ja genau, daher meine Aussage. Ich hatte in zwei Fällen wissentlich große Probleme mit geklonten und mittles SIDChanger o.ä. präparierten Rechnern. Den Beitrag meinstest du wahrscheinlich: http://www.mcseboard.de/showthread.php?t=71071

In einem Fall war es besonders krass, weil das Rollout von 1.000 Clients mit Sysprep vorbereitet war und alles problemslos funktionierte, als dann nach begonnenem Rollout mich zwei Wochen später der Teilprojekt-Leiter anrief und mir von Problemen mit jetzt ganz neu ausgerollten Clients berichtete. Client-Virenscanner kann nicht mehr installiert werden und noch ein zwei Sachen (weiss nicht mehr, mussten in meinem Gedächtnis zwischenzeitlich anderen Problemen weichen :D ). Ich hatte keine Erklärung dafür. Alle Clients vorher hatten die Probleme nicht. Ok, Fall erst mal erledigt, MVP hat keine Ahnung, und es hat ja am Anfang auch getan.

Eine Woche später wieder Anruf vom Teilprojekt-Leiter: FYI, Problem gefunden. Aus "Faulheit" haben die zwei Mann mit dem Rollout plötzlich nicht mehr das Sysprep-Image genommen, sondern einen Rechner nach dem Sysprep direkt geklont, SIDChanger drauf, neuer Rechnername und feste IP.

Nach dem Umstellen des weiteren Rollouts auf das von mir anfangs erzeugte Sysprep-Image --> alles wieder paletti.

Im Link oben habe ich kurz noch einen Fall geschildert. Und daher behaupte ich aus handfester Erfahrung: Diese Tools tun vordergründig ihr Werk, aber in den Tiefen eben nicht ;)

grizzly999

Sysprep wäre dein Freund

3x :thumb1:

Sysprep ist das einzig Wahre. Finger weg von SID-Cahnger, NewSid und wie das Zeugs heißt.

grizzly999

Off-Topic:

Ich kauf mir ne Brille :rolleyes: man merkt langsam das Alter ..

:D :D

Du meinst zum Mailabholen. Dann suche mal in der Online Hilfe des Exchange oder bei Microsoft oder bei google nach dem Stichweort "OWA". Da gibt es massig Anleitungen

grizzly999

Wenn du die Ergebnisliste hast, gehe ins Menü "Anzeige" und wähle dort "Spalten" aus. Füge die Spalte "X.500-definierter Name" der Anzeige hinzu, dann hast du den DN auch.

grizzly999

Wie er geschrieben hatte, das hat er ja. Damit werden Anmeldedaten und weiterer Verkehr verschlüsselt übertragen, aber mehr auch nicht.

grizzly999

Kundennetzwerk 10.x.x.x über einen Arcor Cisco VPN Router in die DMZ gelegt.

Der Server hat 2 Netzwerkkarten. Muss ich also eine Karte mit 192.168.2.0 Adresse versehen und andere mit 10.x.x.x damit der Server mit je einem Bein im Netzwerk steht?

Welcher Server?? Bitte immer ein Szenario so beschreiben, dass jeder, der keinen Netzwerkplan vor sich liegen hat, trotzdem weiss, um was es geht.

Allgemein zu der Frage; Ja, das geht, wenn das Routing stimmt

grizzly999

Das geht über eine Änderung mit ADSIEdit, aber nur für neue Benutzer: http://support.microsoft.com/kb/250455/en-us

Für bestehende Namen gilt das natürlich nicht, nur für neu angelegte. Für bestehende Namen gibt es Scripts, eines auch in der KB, aber auch verbesserte, z.B. von Kollege Nils Kaczenski: http://www.msxfaq.net/code/galname.htm

grizzly999

Nur was macht der ISA was andere nciht machen ?

Bei einem direkten Zugriff auf den Exchange mit OWA ist der Exchange selber für die Authentifizierung zuständig. Klar, Ohne Benutzername und Kennwort ist kein reinkommen, aber er steht damit für Bruteforce-Attaken zur Verfügung, z.B. mit dem Admin-Konto.

Bei einer ALF-Firewall, dazu noch im AD integriert, wie der ISA, terminiert der ISA die Verbindung zum Benutzer und baut eine neue Verbindung zum Exchange auf. Damit hat man zusätzliche Filtermöglichkeiten, mal angefangen damit, dass ich die Veröffentlichungsregel für bestimmte Benutzergruppen einrichten kann und damit die Bruteforce-Angriffsfläche deutlich reduzieren kann.

grizzly999