grizzly999
-
Gesamte Inhalte
17.686 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von grizzly999
-
-
netsh.exe ist aber dem schon vorangestellt, so wie es schotte beschrieben hat?
Nochmals, das Kommando lautet von vorne bis hinten
netsh int ip reset tcpreset.txt
wobei die Log-Datei am Ende heißen kann kann wie du möchtest
grizzly999
-
Ich sitze mit dem Client hinter einem Router und der Server ist auch hinter einem Router. Am Client Netz kann es nicht liegen, da ich auf einen anderen VPN-Server zugreifen kann. Im Router des Server Netzes hab ich 1723 auf die IP des Servers weitergeleitet.
Nachdem was ich gelesen habe ist Gre doch nur für IPSec.
Werde es aber mal ausprobieren.
Gruß
Stephan
Du darfst mir schon glauben, was ich sage ;)
Und IThome auch ;)
grizzly999
-
Wie greifst du auf den Server zu, über einen Router? Wenn ja, müssen dort die entsrechenden Protokolle geforwarded werden, Port TCP 1723 und das GRE-Protokoll (Protokollkennung 47)
grizzly999
-
Wieso kann man das nicht über Standorte machen. Die WSUS-GPOs, in denen ja auch der zu konnektnede WSUS angegeben wird, kann man ja auch als Standortrichtlinien definieren.
Und Standorte richten sich ja nach den im AD eingerichteten Stadorten und zugehörigen definierten IP-Subnetzen.
grizzly999
-
Also bei mir klappt das. Du nimmst als Dienstnamen, den, der auch beim Dienst in der Konsole unter dem reiter "Anmelden" steht?
grizzly999
-
Wieso? Den ganzen Pfad ändern .... ;)
grizzly999
-
Wenn es genau wie dort beschrieben gemacht wird, sollte es funktionieren.
Mache doch mal folgendes:
1) Einen Testuser in der Domäne anlegen
2) Ihm im Konto einen Pfad für ein servergespeichertes Profil eintragen
3) Mit dem User anmelden, abmelden
4) Auf dem Server sollte das Profil jetzt da sein (bei 2003 muss der Admin den Besitz für alle Ordner da drin übernehmen und die Berechtigungen ändern -> Admin und Testuser Vollzugriff auf alle Ordner)
5) Die ntuser.dat in ntuser.man umbenennen
6.) Als Admin das lokale Profil auf der WS des Testusers komplett weglöschen
7.) Als Testuser wieder auf der WS anmelden und testen
grizzly999
-
... und wollen wir vbscript mal nicht vergessen ;)
http://www.microsoft.com/technet/scriptcenter/scripts/os/services/ossvvb18.mspx
grizzly999
-
Nein, die freien 2000 Resource Kit Tools sind nicht mehr zum Downlaod bei MIcrosoft, da Mainstream Support eingestellt.
Aber da würde mir doch glatt der Eingriff in die Registry einfallen, per CommandLine. Da gibt es mehrere Möglichkeiten, einer der einfachsten dürfte reg.exe sein.
grizzly999
-
Würdest du uns endlich den Gefallen tun, und unsere Fragen beantworten (böse werd').
WIE machst du die mandatory profiles??
grizzly999
-
Wie wäre es mit dsmod user -profile [....] ?
VBScript ginge auch, ldifde auch
grizzly999
-
Ja, soll es ja auch. Es eght nur darum, dass besser kein lokales Profil vorhanden ist, wenn das servergespeicherte (mandatory) heruntergeladen wird.
Oder wie erstellt du die mandatory Profiles?
grizzly999
-
Also wenn ich den system state einfach zurueck sichere ist das ein nicht authoritativer restore.
Yep ....
Dann wird mein zurueckgesicherter Server vom dc2 repliziert.
Sagen wir schöner: der restorte DC repliziert nach dem nächsten normalen Systemstart mit seinen Replikationspartnern.
Wenn ich das nicht will muss ich mit ntdsutil einstellen was er replizieren soll
richtig?
Nein, das wäre schlecht. Die Replikation muss wie gewohnt stattfinden. Nur, die für Objekte bzw. Objektbäume bzw. die ganze Datenbank, die authorisierend wiederhergestellt wurden, werden die USNs pro Tag, den sdie Sicherung alt ist, um 100.000 hochgesetzt. Damit haben gelöschte Objekte, die so (authorisierend) wiederhergestellt wurden, mit ziemlicher Sicherheit eine höhere USN als jeder der Replikationspartner. Damit wird dann das zurückgesicherte Objekt auf die Replikationspartner repliziert und nicht von dort das gelöschte Objekt auf den restorten DC ;)
-
Lösche mal an dem oder den Rechnern als Admin die vorhandenen lokalen Profile des7der User weg, bevor du dich mit dem servergespeicherten mandatory profile anmeldest.
Speziell unter 2000 kenne ich das Problem, dass wenn eine lokale ntuser.dat vorhanden ist, und dann die ntuser.man hinzukopiert wird, dass dann die ntuser.dat vom System verwendet wird, und nicht die .man
grizzly999
-
Wie sehen die NTFS-Berechtigungen auf den Ordner der virtuellen Seite exakt aus?
Wie sieht die IIS-Authentifizierung (Reiter Verzeichnissicherheit) auf die Seite Support aus?
grizzly999
-
PN oder Mail bei Interesse
grizzly999
-
Mir ist kein spezielels Recht dafür bekannt, von daher denke ich, musst du über die gruppe der Server-Operatoren gehen.
grizzly999
-
Nein, das ist nicht möglich,und das ist gut so. Bei Zertifikaten mit private key geht es um Sicherheit und das verteilt man nicht per GPO.
Wer das vorhat, hat miener Meinung nach den Sinn von Sicherheit basierend auf Zertifkaten nicht verstanden :(
grizzly999
-
Was will uns dieser Screenshot jetzt sagen? Was ist dein Problem?
grizzly999
-
Für die Nachwelt, woran lag's ?! :)
grizzly999
-
Hallo und willkommen :)
Das war schon dieverse male hier im Board besprochen, benutze die Boardsuche ;)
Das ist kein Fehler, sondern bei Design so, und hat keine Auswirkungen
BTW: der Schriebschutz ist mit diesem grünen Kästchen auch nicht aktiviert, ansonsten wäre es ein Häkchen ;)
grizzly999
-
Hi Grizzly,
Issuing CA - klar schon. Aber es sollte wenigstens die root CA nicht auf einem DC laufen. Dann kann diese Problemlos planmässig offline sein. Zugegeben - Das Design ist selten, aber empfohlen.
Webserver: Es gibt schon Probleme ohne IIS. Bspw. wenn Authentifizierung für 802.1x über Zertifikate gemacht werden soll und die Clients/user nicht zur Domäne gehören. Dann geht über die mmc am Client erstmal nichts.
Die Zertifikate lassen sich zwar ohne den IIS ausstellen, aber beispielsweise nicht als PKCS#10. Dieses Format wird aber leider von einigen WLAN Treibern erwartet (Cisco bspw.).
Damit muss das Certificate über Web angefordert werden.
Ich sehe ausserdem keinen Grund weshalb die IIS Enrollment Seiten nicht installiert werden sollten. (Es sei denn es steht von vornherein fest, daß es sich um eine Enterprise CA handelt, die nie etwas anderes tut).
OK - Ein bisschen hypochondrisch ist das schon. Man kann auch sagen, warum was installieren was man im Moment nicht braucht... Aber zumindest die Issuing CA-Struktur muss wohl überlegt sein!
Eine Root CA auf einem laufenden Server online), z.B. ein DC, warum nicht?! Diese für manche ketzerische Frage stammt nicht von mir, sondern durchaus von namhaften Security Experten, allen vorneweg Brian Komar, den Insidern bekannt durch das Buch "PKI mit 2003 Server" aus dem MS-Press Veralg. Begründung: Wer patcht den Server, wenn er offline ist, ein online Server, der gescheit verwaltet wird, dort werden Virenpattern-Updates gefahren, da schaut auch jemand regelmäßig die ganzen Logfiles an (wenn ordentlich verwaltet!). Einfach eine regelmäßige Kontrolle und Verwaltung, die bei einer Offline Root CA nicht gegeben ist.
Ich will hier keine Grundsatzdiskussion lostreten, ich will nur klarmachen, man kann das Ganze auch aus einem anderen Blicjkwinkel betrachten.
IIS auf einer CA, geht schon, IIS 6.0 ist ja wesentlich weniger vom Patchen betroffen als der 5.0, ist von Grund auf sicherer als der 5.0, aber ein zusätzlicher Dienst. Ich hatte oben nur darauf geantwortet, weil du gesagt hast, ein IIS ist auf einer CA ein Muss. Das sehe ich immer noch so, eine Standalone CA ausgenommen, dort ist es ein MUSS. Eine Enterprise CA, kann ich alles ohne.
Einen Cert Request bekomme ich auch ohne IIS mit certutil in die CA eingekippt, wobei bei einer Enterprise CA, ist da eh nix mit CISCO oder Co. und Cert Req.
BTW: Ich habe auch bei jeder CA immer einen IIS drunter, aber nur bei einer Standalone CA weil ich muss ;)
grizzly999
-
Du brauchst dazu jemand, der auf dem DC Freigaben verwalten darf. Neben den Admin sdürfen das die "Server-Operatoren". Du musst den User also in der Gruppe zum Mitglied machen.
Der User darf dann standardmäßig alles, was die Server-Operatoren dürfen, sich lokal anmelden, Freigaben verwalten/erstellen, Uhrzeit ändern(!), Sicherungen durchführen und wiederherstellen.
grizzly999
-
Ich verstehe nicht ganz , was du willst, bzw. wass du erreichen willst
Und ein vorhandenes Zertifikat kann sowieso nicht mehr geändert werden.
grizzly999
Druckanzahl beschränken
in Windows Forum — Allgemein
Geschrieben
Ich denke auch, dass die Firma überhaupt Probleme hat. Der Chef soll den Mitarbeiter entlassen. Wem ich nicht vertraue, den beschäftige ich nicht. Oder der Chef sollte gehen.
Aber Misstrauen und Argwohn lässt sich nicht mit technischen Mitteln erschlagen, das ging noch nie und das geht nicht.
grizzly999