grizzly999

Bisher nicht, gab es aber noch nie vorher (die Anzeichen).

Das erfahren wir immer erst gleich am Anfang des Monats, in dem Fall Mai.

grizzly999

Hi @all

 

Habe die selbe meldung :( für 70-285 (auch noch mit 70-293 getestet)

 

Ist der Voucher schon abgelaufen ?

 

Grüsse

 

Darkmind

Vielleicht die Nummer an der falschen Stelle eingetragen (s.eine Seite vorher)?

grizzly999

:nene: nene

Hast du das Häkchen gesetzt "Ordner in das lokale Profil zurück.... wen Richtlinie entfernt wird"?

Das muss gesetzt sein, wenn der User noch in der alten OU ist.

grizzly999

Computereinstellungen ziehen nur dann, wenn sie auf ein Computerobjekt wirken. Dazu muss sich das Computerkonto unterhalb der OU mit dieser verlinkten GPO befinden (direkt oder in einer SubOU). Wenn du da nur Benutzerkonten in dieser OU hast (und auch in den drunterliegenden SubOUs keine Computer), kannst du getrost die Computereinstellungen rausnehmen.

grizzly999

Hallo und willkommen im Board

Würde noch das OS fehlen ;)

Merke für die Zukunft: Alle relevanten Informationen geben

Bei XP reicht es, den Benutzer in die Lokale Gruppe der Netzwerk-Operatoren zu stecken.

grizzly999

Ja, im selben Netz da sollte es auf jeden Fall funktionieren. Eigentlich kein Problem, kann nur eine Kleinigkeit sein.

Da ich aber nicht davor sitze, noch ein paar Fragen:

1)

Zertifikate sind auf Server sowie Client in "Eigene Zertifikate"

Liegen in "Eigene Zertifikate" unter Computer? (Habe es auch schon unter Benutzer gesehen, wo es natürlich nicht geht ;) )

2)

Der Client stellt die Verbindung zum VPN-Server über die IP her oder den Namen?

3)

Es sollte was im Ereignislog stehen ......... !!

4)

Ganz am Anfang oben, welcher Server, welches SP?

Zwei NICs oder eine?

Welcher Client, welches SP?

grizzly999

Entweder auf dem TS selber in der Verwaltung->Terminaldienstkonfiguration->Eigenschaften der RDP-Verbindung, oder per GPO unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Terminaldienste\Sitzungen

grizzly999

Ja, der Fehler kann viele Ursachen haben.

Hast du schon versucht, in den VPN-Clienteigenschaften unter Netzwerk den Verbindungstyp fest auf L2TP einzustellen (nicht automatisch erkennen).

Die Rootzertifikate sind drin in beiden Rechnern?

Es sollte was im Ereignislog zu finden sein. Schalte zum Troubleshooting auch mal die Fehlüberwachung für Anmeldeereignisse auf dem VPN-Server und Client ein.

Und du bist sicher, dass da nirgends NAt dazwischen ist? Wie geht der Client ins Internet?

grizzly999

Wenn du eine eigenständige CA einrichtest, geht die Anforderung nur über die certsrv-Site auf der CA. Dann musst du auf dem VPN-Server und dem Client auch das Stammzertifizierungsstellenzertifikat in den Speicher der Vertrauenswürdigen Stammzertifizierungsstellen importieren, geht auch über diese Webseite. Das ist wichtig, sonst klappt schon L2TP nicht.

grizzly999

Ich habe im Internet sehr widersprüchliche Aussagen gefunden, manche sagen das der DC, wenn er als GC konfiguriert ist, unter Umständen noch mehr traffic verursacht als wenn er kein GC ist..

Das ist gut möglich. Ob ein GC an die Site sollte oder nicht, kann man so nicht einfach sagen, das ist von Unternehmen zu Unternehmen und von Standort zu Standort verschieden.

Es hängt nicht nur von der Anzahl der Clients ab, sondern auch von der Anzahl und Art der Applikationen, wie oft auf einen GC zugegriffen wird. Der Client selber greift i.A. nicht sehr häufig auf einen GC zu.

Auf der anderen Seite, ob ein GC an der Site viel zusätzlichen Verkehr verursacht, hängt davon ab, wie groß der GC ist und wieviele Änderungen pro Replikationsintervall im GC stattfinden. Das kann sehr unterschiedlich sein, wobei allgemein der Replikationsverkehr überschätzt wird.

grizzly999

Zunächst sollte erst einmal das mit dem L2TP klappen, ohne EAP, mit MS-CHAP-V2, dann wenn die Verbindung klappt, kann man EAP angehen.

Für L2TP brauchst du Computerzertifikate für den VPN-Server und den VPN-Client. eine Anleitung mit einer eigenständigen CA findest im HowTo Bereich auf unserer Hompage (siehe mein Profil).

Falls der VPN-Server oder der VPN-Client, oder gar beide, hinter einem NAT-Gerät sitzen, also nicht direkt mit dem Internet verbunden sind, ist im Tutorial der Teil 6 Abschnitt H zu beachten. Man braucht dann entweder den genannten Hotfix für 2000/XPSP1 oder den RegistryKey für XPSP2.

Wenn es eine Unternehmens-CA ist, dann die Computerzertifikate für den Server und den Client am besten über die MMC->SnapIn "Zertifikate-lokaler Computer" anfordern.

Auf dem VPN-Server und dem VPN-Client zunächst nur MS-CHAP V2 als Authentifizierungsmethode auswählen. Wenn die Verbindung klappt, dann kommt EAP dran ;)

grizzly999

/edit: Beiträge überschnitten :wink2:

L2TP? Du hattest vorher was geschrieben von PPTP. Witr sollten da systematisch vorgehen ....

grizzly999

Na, wir fangen mal ganz unten an: Netzwerkumgebung (genau beschrieben, vor allem zum Internet hin), VPN-Server OS/SP? Client OS/SP? CA, welche?

Du willst eine PPTP-Verbindung mit EAP, korrekt? Du hast ein Benutzerzertifikat angefordert, von welcher CA (siehe Frage oben)? Ist das Zertifikat im AD am Benutzerkonto eingetragen?

grizzly999

Hallo und willkommen im Board

Sind denn beim Server und vor allem beim Client als Authentifizierung EAP ausgewähhlt worden?

grizzly999

Was unter "Windows Einstellungen" steht, sind meist CSEs (Client Sie Extensions), das sind die netten Dinger mit der GUID {xxxxxx-xxxx-xxxxx ...}, da wird's dann nicht so einfach.

Teilweise aber auch auch einfache Registry Keys, wie z.B. die Sicherheitsoptionen.

für dein Anleigen sollet der hier helfen: http://www.microsoft.com/technet/scriptcenter/topics/gp/extension1.mspx

grizzly999

Du hast doch die Möglichkeit, Computergruppen zu bilden, und da Updates zu genehmigen oder auch nicht

grizzly999

ESP ist ein Protokoll, das die von IPSec verschlüsselten Daten transportiert. Der ESP Header ersetzt dabei die Header oberhalb von IP (Layer3).

Google spuckt da relativ viel dazu aus, z.B.: http://www.javvin.com/protocolESP.html

u.v.a.

ESP hat die Protokollkennung 50

grizzly999

...arbeitet das tool denn auch so wie sysprep?

Nein, definitiv. War schon ein paar mal hier im Board, u.a. auch meine Erfahrungsberichte dazu. Das einzig Wahre ist sysprep.

Ich rufe sysprep immer aus der Kommandozeile aus mit:

syprep -mini -reseal

und bekomme lediglich den Hinweis, dass einige Sicherheitseinstellungen ... usw. (könnte man mit -quiet auch noch unterdrücken).

Die ganze Zeit habe ich die sysprep Versuche ohne die Option "Kulanzfrist für Aktivierung nicht zurücksetzen" gemacht.

Dann will er auch keine Aktivierrung, das ist dieser spezielle Testmodus, der aber kein echtes Sysprep ausführt.

Kann es sein, das bei ~5maliger neu installation keine aktivierung notwendig ist und deswegen erst jetzt die Aktivierung erscheint

Nein, wenn das ein Produkt ist, welches man aktivieren muss, dann muss es nach jedem Sysprep neu aktiviert werden, außer man arbeitet mit -activated (auf der selben Hardware).

Wenn du den Sysprep so wie oben beschrieben durchführst und sofern du keine sysprep.inf mit Lizenzkey drinnen hast, verlangt er jedesmal neu den Lizenzkey neu, und auch die Aktivierung. Das wäre das korrekte Vorgehen in deinem Fall. Andere Parameter, die bei allen gleich sind, können natürlich in einer sysprep.inf-Datei gesetzt werden.

grizzly999

Neu booten.

grizzly999

Nicht zweimal oder mehr. Einmal reicht.

Hier geht's weiter: http://www.mcseboard.de/showthread.php?t=88272

grizzly999

Schau mal hier rein: http://www.mcseboard.de/showthread.php?t=18462

oder bei http://www.gruppenrichtlinien.de

grizzly999

Die Erklärung hätter selber nachlesen können, war unnöitg und falsch dazu wie die gesamte Policy.

Remotedesktop und Remoteunterstützung haben nur entfernt zu tun.

Die korrekte Richtlinie ist diese hier: Computerkonfiguration\Administrative Vorlagen\Windows Komponenten\Terminaldienste\Remoteverbindung für Benutzer mit Hilfe der Terminaldienste zulassen -> aktiviert

grizzly999

Ich sage es mal ganz krass und deutlich: Kiosk Mode hat was mit Security zu tun. Und wer von Windows 95/98/ME spricht, spricht nicht von Security!

grizzly999

Das hat mit Sicherheit nichts mit dem Berecih zu tun. Eher damit, dass der Dienst nicht mehr (sauber) läuft, die Bindung an die Karte weg ist o.a, oder gar, dass die DHCP-Pakete bei ihm gar nicht ankommen.

Aber wenn da noch Adressen im Pool sind, dann gibt er die auch raus.

Steht was im DHCP-Log?

grizzly999

edit: zu spät