grizzly999

Winke Winke :D EAP ist ein Authentifizierungsverfahren für die Benutzerauthentifizierung. Die Computerzertifikate dienen nur zur Authentifizierung der Computer beim Tunnelaufbau mit IPSec, denn IPSec verlangt eine gegenseitige Computerauthentifizierung. Die ist von der Benutzerauthentifizierung unabhängig. Wenn du die CA so wie´im HowTo beschrieben aufgebaut hast, als eigenständige CA, dann mit dem Browser drauf und ein Zertifikat vom Typ Benutzer anfordern. Das von mir dort beschriebene Häkchen "Im lokalen Speicher" sichern darf dann aber nicht gesetzt werden. grizzly999

Ich liefere dir den Registry key, nud schreibst das Script, ist ok, oder?! ;) http://support.microsoft.com/kb/843016/en-us grizzly999

Ja, aber nur für Principals aus der Subdomain, respektive umgekehrt, wenn die in der Subdomain ausfallen. grizzly999

OT: endlich mal jemand, der das nicht über den Klee lobt, sondern so sieht, wie es ist :cool: Sorry, musste ich hier los werden, weil derern Bücher hier immer wieder als "toll" und kaufenswert erwähnt werden. Wenn du eine SQL-Abfrage hast, die das löst, poste sie doch hier ;) grizzly999

.. dann mit L2TP und MSChap-V2, danach erst mit Benutzerzertifikaten für EAP ;) grizzly999

Nur eine Delegierung, keine Zone. Server 1 und 2 brauchen keine Clienteinträge, die Auflösung machen doch die DNS in der Subdomäne, dafür richtest du die doch ein, oder?! Wen du da eine AD-integrierte Zone einrichtest, ja, dann bekommt er die automatisch. Ansonsten müsstest du eine sekundäre Zone erstellen und den ersten als Master angeben. Ja, genau. So wie oben den Server 2 Kann man, muss man aber nicht. Es sollte jedoch pro Standort wenigstens ein GC da sein. Richtig grizzly999

Das Intervall kleiner als 15 Minuten machen geht nicht, aber der Registry Key, den ich im folgenden Thread referenziert habe, sollte bei deinem Problem helfen: http://www.mcseboard.de/showthread.php?t=76744 grizzly999

Dürfte nicht klappen, denn es kann nur eine Secure Pipe zwischen den zwei Rechnern aufgemacht werden. Daher die Fehlermeldung und der Hinweis. Ein runas ändert daran nichts. grizzly999

/edit: Zu spät :D Wollte ich auch gerade schreiben mit der alleinigen berechtigung "Ordner durchsuchen". Aber das sollte man besser nicht benutzen, denn der Gruppe Jeder oder Benutzer das Recht zu nehmen "Auslassen der durchsuchenden Überprüfung" kann schwerwiegende Folgen an anderer Stelle haben, vielleicht erst Monate später, wenn man nicht mehr dran denkt. Deshalb warnt auch Microsoft eindringlich davor: http://support.microsoft.com/default.aspx?scid=kb;en-us;823659 grizzly999

Dann mache ihn platt .... :D ;) grizzly999

Normalerweise wird das Schemaupdate für die Enterprise Edition noch vor der ISA-Installation eingespielt, ansonsten lässt sich ISA 2000 EE gar nicht installieren grizzly999

Gehe doch mal in der Systemsteuerung/Software in "Windows-Komponenten hinzufügen/entfernen" ...... ;) grizzly999

Ist mir für Microsoft nicht bekannt. Du kannst dir natürlich eine Hardware WAFS lösung kaufen, von CISCO oder FJS, die können das. grizzly999

Wieso gleich mit EAP? Dafür brauchst du ein Benutzerzertifikat, das beschreibt meine Anleitung aber nicht. Teste doch erst mal mit MSChap-V2, ob überhaupt, und dann kannst du immer noch Benutzerzertifkate und EAP nachlegen ;) grizzly999

Einfach auf die Zone der Root-Domäne gehen, rechte Maustaste -> Neue Delegierung. Dann im Wizard Domänennamen und die delegierten DNS Server (aus der Subdomain in dem Fall) eingeben. Auf den Eigenschaften des DNS in der Subdomain dann unter Weiterleitungen die DNS aus der Root enitragen. Genau, das wäre alternativ möglich. Auf dem DNS ind er Root auch eine primäre Zone (oder AD-integrierte) für die Subdomäne anlegen, die dyn. Updates in der Zone zulassen und dann die DCs der Subdomain mit dem bevorzugten DNS auf die Root DNS zeigen lassen. Sekundäre Server wären egal, wo die sind. Bei tatsächlich gerouteten Netzen wäre Ersteres zu empfehlen. grizzly999

*ratlos frag' *: Was im EreignisLog des TS oder Clients? Problem Lokal oder bei Remotezugriff (DFÜ/VPN)? grizzly999

Und die Computerkonten im Active Directory sind n den OUs? Wenn ja, und du machst auf dem Client in der Kommandozeile ein gpresult.exe. Wird in der Ausgabe DIESE Richtlinie vom Server als angewendete Richtlinie angezeigt? Wenn ja, öffne über die Kommandozeile mit gpedit.msc die lokale Gruppenrichtlinie und navigiere zu der o.a. Poicy. Steht dort der User richtig unter "Lokale Anmeldung verweigern" drin, das Ganze ausgegraut? grizzly999

Dan ist was mit der Richtlinie falsch, jetzt kann ich aber nicht reingucken von hier. Beschreibe mal genau, welche OU, welche Computerkonten drin, welche Gruppenrichtlinie hast du wie eingerichtet, welche Benutzerkonten (namen) und was alles wichtig sein könnte in dem Zusammhenhang. grizzly999

dir und copy funktionieren bestimmt auch, das sind interne Befehle. Hast du das nur auf dem einen Rechner? grizzly999

Was kommt denn für ein Fehler (werden wohl mehrere sein), auf dem Bildschirm und im Log? Welche Sicherung hast du, nur eine EX, oder den ganzen Server mit Systemstatus. Alles etwas nebulös hier ..... grizzly999

Nein, wahrscheinlcih die Richtlinien ncoh nicht übernommen. Zuerst auf dem DC gpupdate /force, bei mehreren DCs dann replizieren. Allerdings müsste das jetzt nicht mehr nötig sein, weil 5 Minuten um, dann hat er automatisch upgedatet. Auf dem Client (XP) auch gpupdate /force, oder rebooten. grizzly999

Halt, da fällt mir doch auf, die %systemroot%-Variable sollte eigentlich bei der Abfrage des Pfads mit 'set' schon aufgelöst sein und nicht wieder als Variable auftauchen. Dort scheint das Problem zu liegen. Muss mal schauen .... grizzly999

Oh, habe ich übersehen mit W2000, bzw. bin von mir ausgegangen, wo die Support Tools standard auf jedem SRV installiert werden. ;) Dann bitte die Support-Tools von der Server CD installieren, dortn unter Support\Tools\ grizzly999

Das geht über Gruppenrichtlininen. Entweder lokale Gruppenrichtlinien auf den Cleints (=Aufwand) oder einfacher zentral über das AD. Dazu zwei OUs im AD bilden für die zwei EDV-Räume, also z.B. Namen EDV-Raum1 und EDV-Raum2, o.ä. In die jeweilige OU die zugehörigen Computerkonten verschieben. Für jede OU eine Gruppenrichtlinie erstellen und dort unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten die Einstellung "Lokale Anmeldung verweigern" suchen. In dieser Einstellung dann diejenigen Benutzer hinzufügen, die sich nicht an den dortigen Computern anmelden dürfen, also in der Richtlinie für EDV-Raum2 wäre das dann der Benutzer EDV1. grizzly999

Ich komme mit den Begriffen nicht klar. Ein Benutzer ist kein Profil, ein Benutzer hat ein Profil, evtl. sogar mehrere, unterschiedliche, lokale Profile. Geht es jetzt um die Anmeldung eines Benutzers? (davon gehe ich immer noch aus) grizzly999