grizzly999

WRONG! Aus deiner obigen Beschreibung schlußfolgere ich: Du hattest 42 Tage max. Kennwortalter, also Standard. Der oder die Benutzer haben mit dieser Einstellung ihr Kennwort gesetzt oder geändert. Danach hast du die Zeit auf 90 Tage erhöht. Das ist ja so machbar, klar, aber das Attribut des Datums der nächsten Kennwortänderung (am Benutzerobjekt) wird bei denen, die das Kennwort noch mit 42 Tagen max. Alter gesetzt hatten nicht autom. auf 90d hochgesetzt. Ändere bei dem/den Benutzern jetzt das Kennwort und du hast 90 tage Ruhe ;) grizzly999

Hehe :) Ich schäme mich noch im nachhinein, aber zumindest kann ich mich noch sehr gut an meinen ersten Produktiveinsatz des damaligen MS Virtual Servers (Beta) erinnern, wo immer die Zeit der VM selbst nach manuellem Stellen oder nach dem Richten durch Starten des Zeitdienstes wenige Sekunden später wieder um 20 Minuten wegsprang :D Grtz grizzly999

Öh, da brauchts keine Regel. Die Systemrichtlinie erlaubt das bereits nach der Installation des ISA :suspect: Was steht im Log vom ISA? Nur um sicher zu gehen: Das ist ein Hardware-Rechner, der ISA, keine virtuelle Machine? Und der ISA ist Member der Domain? Also, etwas mehr Infos wären nicht schlecht. grizzly999

Hallo und willkommen im BOard :) Zunächst klingt das nicht schwierig. Am einfachsten, auf dem Server ICS (deutsch "Gemeinsame Nutzung der INternetverbindung aktivieren; siehe auch die Online-Hilfe dazu). Besser aus meiner SIcht, weil besser steuerbar, du richtest Routing und RAS auf dem Server ein, aktivierst und konfigurierst NAT, so dass die Karte zum DSL-Router hin die "offizielle, zum Internet hin gehende" Karte ist, und die interne die Private Schnittstelle ist. DNS auf dem Server installieren, wenn nicht sowieso schon da (du schreibst nichts über die Umgebung; Domäne oder Arbeitsgruppe etc.) Die Clients intern bekommen die interne Server-NIC als Standardgateway und als DNS-Server. Das geht mit einem DHCP auf dem Server besonders einfach, oder eben manuell auf den Clients. Dann können schon mal alle über den Server ins Internet. Und den Zugriff auf die Shares regelst du schlichtweg über die Berechtigungen (Freigabe bzw. NTFS). Wer da nicht eingetragen ist, darf nicht zugreifen. Fertig ;):) grizzly999

Wie steht denn die Einstellung in den Internetoptionen->Sicherheit->Internetzone -> Benutzerauthentifizierung? Ist dort eingestellt, dass immer ein Benutzername und Kennwort verlangt wird? Allerdings tippe ich mal eher auf den Endian. Ich kenne das Teil nicht, aber wie macht denn der die Authentifizierung. Ich meine, authentifiziert der gegen das Active Directory, wenn ja, wie? Oder hat der eine eigene Benutzerdatenbank? grizzly999

Kommt drauf an. Soll das eine Rechung mit einer "finanzamt-anerkannten" Sigantur für den empfänger sein, dann muss die Signatur der SigG entsprechen, und das können nur die dort anerkannten CAs (offizielle wie VeriSign) ausstellen

Ich vermute eher, dass das Automatische Löschen, genannt Aufräumvorgang, nicht korrekt konfiguriert wurde. Was hast du denn wo genau eingestellt?

Den Firewall Clinet braucht's dazu eigentlich nicht, nur den "WebproxyClient". In dem Fall müsste der Proxy aber dann maulle rausgenommen bzw. gesetzt werden. grizzly999

Hi :) Und wie authentifiziert sich der Computer dann über NTLM? Dazu braucht's ebenso einen Kennworthash, in dem Fall den des Computers

Man kann einen zweiten Stamm einrichten. Aber dann werden die nur die DFS-Metadaten dorthin repliziert, nicht die eigentlichen Daten. Dazu muss man ein Replikta der Verknüpfung einrichten. Die DFS-Konsole ist dabei schon sehr intutitiv zu bedienen, ansonsten ist die Online Hilfe auch recht gut. Neben den Microsoft Paper haben wir hier auch sehr gute Anleitungen eines unserer Mitglieder :) Windows Server How-To Guides: Planung, Installation und Konfiguration des Distributed File System (DFS) unter Windows Server 2003 R2 - ServerHowTo.de Windows Server How-To Guides: Weiterführende DFS-R Konfiguration unter Windows Server 2003 R2 - ServerHowTo.de grizzly999

Aber klar bietet dier ISA sowas an ;) Im Broweser muss der Proxy eingetragen werden, dann kann man die Zulassungsregel auch für Benutzer/Gruppen machen. Und im Weblistener setzt man das Häkchen, dass sich der User authentifizieren muss, und wählt die Basisauthentifizierung. S.a. hier: Webauthentifizierung grizzly999

Soll das nachher auf einem W2k Server im NPS eigerichtet werden/sein? Dann gibt es laut MS nur den Weg des InplaceUpgrades, entfaällt hier wohl eher .... grizzly999

Einen MCSA 2008 gibt es nicht. Entweder Server Administrator oder Enterprise Administrator. Eine sehr gute Übersicht über die Möglichkeiten der Upgrades findest du in diesem PDF (Achtung: direkter Download des PDF!) http://www.computerlinks.de/open/datasheet/WinServer2008Zertifizierungen.pdf grizzly999

Und wenn du es ein wenig kompakter brauchst, dafür aber eine grafische Übersicht, die hat Kollege Mark Heitbrink mal zusammengeschrieben Gruppenrichtlinien - Übersicht, FAQ und Tutorials In irgendeinem TCP/IP-Buch von MS-Press war IIRC auch mal so eine Art Übersicht drin, wüßte jetzt aber nicht mehr genau, wo. grizzly999

Ist RADIUS-Authentication, die dann am Novell authentifiziert, eine Option? Eine andere würde mir nicht einfallen, außer Webesense Enterprise. Kostet dann halt zusätzlich ..... grizzly999

Die Logonscripts werden per GPO aufgerufen? Oder über die Eigenschaften des Benutzerkontos? Steht was im Log des Clients? grizzly999

Dann lege mal los, mit dem, was ich oben geschrieben habe (beispielweise mit einem Netzwerkmonitorprogramm): ... herauszufinden, welche und warum die ICMP Nachrichten und wohin sie geschickt werden Dann kan dir hier evtl. weitergholfen werden.

Es wäre natürlich angedacht, herauszufinden, welche und warum die ICMP Nachrichten und wohin sie geschickt werden. 2.) .... hat das Einschalten der Firewall mit dem "Verschwinden" der ICMP rein gar nichts zu tun, denn die 2003 FW (du meinst doch die SP1 FW in der Systemsteuerung?!) kann keinen ausgehenden Verkehr blockieren. grizzly999

Wie die Berechtigungen für HomeShares gesetzt werden sollten (Freigabe und NTFS) steht hier: ;) Permissions that need to be set to allow automate users home directory creations grizzly999

Eigentlich nichts. Oder steckte da noch eine weitere Frage dahinter, oder gar ein Problem? Wenn ja, schildere das doch auch möglichst detailliert. grizzly999

Jep, nschlueter's Erklärung (Link) erklärt das korrekt. Stichwort "RFC 950", nach diesem ist auch in aktuellem MS-Prüfungen zu rechnen. Die weiter oben stehende Erklärung mit der Netz-ID und Broadcast_Adresse erklärt , warum bei der Berechnung der Host-Anzahl zwei abgezogen werden müssen, aber nicht die um zwei reduzierte Anzahl der verwendbaren Subnetze ;) grizzly999

Bei Office-Dateien braucht man die Löschberechtigung, aber es würde in dem Fall ja reichen, auf Ordnerebene die Löschberechtigung für "Ersteller-Besitzer" zu vergeben. Denn beim Öffnen einer Datei ist der spezielle User Besitzer der zugehörigen Temp-Datei und kann diese dann auch wieder weglöschen. Allerdings würde die Berechtigung auch die Löschberechtigung für alle "normalen" Office-Dokumente (also nicht nur der Temp-Dateien) geben, die der User in dem Ordner anlegt. Aber: Da der User ja auf Ordner1 ansonsten nur Lesen hat, kann er ja keine Dateien erstellen, auch keine Temp-Dateien :( Mit Office sind solche Konstrukte/Spezialanforderungen an die Berechtigungen immer etwas schwierig, meist gar nicht, zu befriedigen. grizzly999

Das geht IMHO nur mit dem CMAK und dabei ein entsprechendes VPN-only Profil erstellen, dass mehrere VPN-Server beinhalten kann. Microsoft Corporation Aber in der Praxis habe ich das noch nicht machen müssen. Man muss sich dazu auch ein wenig insgesamt mit dem Thema CMAK beschäftigen, aber die Online-Hilfe ist sehr ausführlich und gut ;) grizzly999

Dann hast du mindestens auf dem Client kein Computerzertifikat angefordert und ausgestellt (auf dem ISA Server selber musst du das ja auch tun, von beiden Vorgängen ist bisher bei dir nichts zu lesen). Schau dir noch mal die Beschreibung im ServerHowTo an, wie man ein Computerzertifikat auf einer eigenständigen CA für den ISA und den Client anfordert ;) grizzly999

Hast du beim Exportieren angegeben, dass du den privaten Schlüssel mit exportieren möchtest? Dann ist das Ergebnis eine .pfx-Datei, ansonsten eine .cer-Datei grizzly999