grizzly999

Warum nicht? Das ist eine sehr einfache Möglichkeit in einem AD. Die erachte ich als sinnvoller als mehrere unabhängige Root-CAs. Nein, das geht nicht. Nur eine Unternehmens-CA im Forest Entweder eine einzige CA, oder ein mehrstufiges Prinzip. Und das hat nicht mit irgendwelchen Lizenzen zu tun, CAs und Clients benötigen kienerlei spezielle Lizenzen. grizzly999

Microsoft sieht da insbesondere für 2003 und XP die automatisierte Anforderung und Verteilung von Zertifikaten im AD vor: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx Ich frage mich aber immer noch, was du unter einem " clientless vpn " verstehst, der Begriff ist mit bisher noch nicht untergekommen. grizzly999

Auch von mir ein Willkommen im Board :) grizzly999

Den hast du auch schon durch? http://www.intel.com/support/network/sb/cs-000023.htm grizzly999

Frank, hast recht ;) http://www.isaserver.org/tutorials/Tom_Shinders_ISA_Server_Questions_of_the_Week.html grizzly999

Halt, da haben wir irgendwie aneineander vorbei geredet. Ich habe das so verstanden, dass du fragst, ob du eine Ein-Level CA aufbauen kannst, oder ob es eine mehrstufige sein MUSS? Mehrere Enterprise CAs gehen nicht grizzly999

Hallo und willkommen im Board üblicherweise überwacht man dabei nicht die Dienste sondern Ports, z.B. den 389 für LDAP. Viele spezifische Dienste startet der DC nicht, den kdc service, aber sonst ?! grizzly999

Hast du uns die exakte Fehlermeldung? Einträge im EreignisLog des DC? Was sagt ein netdiag und ein dcdiag (aus den Support Tools) auf dem neu einzurichtenden DC? grizzly999

Ja, du hast da was "Unscheinbares" übersehen Hier geht es um Securtiy, könnte man zumindest meinen, wenn man mit Zertifikaten und privaten Schlüsseln hantiert. Und sowas wie Zertifikate zusammen mit privaten Schlüsseln (das ist nämlich eine .p12 Datei), schiebt man nicht einfach übers Netzwerk, respektive sowas verteilt man nicht mit Gruppenrichtlinien. Deshalb hat das Microsoft schlichtweg aus Sicherheitsgründen nicht vorgesehen (und da behaupten immer alle, Microsoft sei unsicher :D ) grizzly999

zu a) Man kann das auch nur mit einer einzigen CA (one tier hierachy) im Forest machen zu b) Komme da nicht ganz mit. Was für eine CA setzt du auf? eine Enterprise CA? DDann darf das auch nur ein Organisationsadmin machen. Und das mit dem Fehler mit der Zertifikatsvorlage verstehe ich nicht .... Ein gutes Buch?! Aber klar, kann ich eines wärmstens empfehlen: http://www.edv-buchversand.de/product.php?cnt=product&id=ms-973&lng=0 grizzly999

Darfst du, ich bin nicht allwissend ;) Aber dannbitte konstruktiv. Will heißen, sage uns allen, wie und wo man bei einem 2000 Terminalserver mehr als 256 bit Farben für das RDP-Protokoll einstellt. Ein gespannt wartender grizzly999

Clustern war erst vor wenigen Tagen ein Thema eines langen Threads. Benutze doch mal die Boardsuche ;) grizzly999

?? Die Standardkennwortrichtlinien in einer 2003 Domäne SIND definiert, daher ziehen sie auch. Wären keine definiert, würden auch keine ziehen. Es sind welche definiert, in der Default Domain Policy, nämlich dass ein Kennwort den Komplexitätsanforderungen entsprechen muss (Groß-Kleinschreibung, Zahlen, Sondernzeichen <- daraus 2 kombinieren; mind. 6 Zeichen lang und nicht mind. 3 aufeinanderfolgende Zeichen aus dem Benutzernamen). Zusätzlich ist aber auch gesetzt dass ein kennwort mind. 7 Zeichen lang sein muss. Also: das was ich in KLamern geschrieben habe und mindestens 7 Zeichen lang. Will man das nicht, muss man in der Default Doamin Policy (besser aber in einer selber definerten Richtlinie, die über der Default Domain Policy steht) die Komplexitätsanforderungen auf Deaktiviert setzen und die Mindestlänge bei Bedarf anders setzen. grizzly999

2000 TS kann nur max. 256 Farben. Ein 2000 Client mit dem RDP Client drauf von Xp oder 2003 (RDP 5.1 bzw. 5.2) kann aber dagegen Real Color, wenn man sich mit einem XP oder 2003 Desktop verbindet grizzly999

Geht nicht, man muss Admin sein. grizzly999

Bitte keine Doppelpostings :( hier geht's weiter: http://www.mcseboard.de/showthread.php?t=85372 grizzly999

Ich habe den mal nach LAN und WAN verschoben ;) grizzly999

Ahja, dann war das falsch ausgedrückt. Wenn der DNS mehrere Netzwerkkarten hat, kann man das trennen. In den Eigenschaften des DNS kann man einstellen , auf welchen NICs er Abfragen annimmt. Dann gäbe es die Möglichkeit, den RRSA zu aktivieren, und dort PAketfilter zu setzen. besser: IPSec-Richtlinien einrichten, um ungewünschten Verkehr zu blocken. Ansonsten wie gesagt, Firewall. grizzly999

Geht das auch mit mehreren Gateways? Ich meine mich zu erinnern, dass nur ein DG möglich ist?! grizzly999

Nur mit einer Protokollregel ist es da bei SSL nicht getan. Unter http://www.isatools.org gibt es ein Script (ISA 2000TunnelPort Editor) , mit dem man den Portrange für SSL-Tunnel erweitern kann, als nur den Port 443. grizzly999

Hä? Ich gewinne den Eindruck, dir fehlt ein wenig DNS-Wissen. obern fragst du ganz gezielt danach, wie man die Rekursion auf spezielle Server einschränken kann (von denen ich annahmn, du weisst, auf welche du das einschränken möchstest). Und jetzt willst du eigentlich, dass dein(e) DNS Server aus dem INternet nicht erreichbar sind. a) Wie kommst du darauf, dass die erreichbar sind, hast du offizielle IP-Adressen am DNS Server? b) Dafür sind Firewalls zuständig und nicht irgendwelche eingeschränkten Rekursionsangaben. grizzly999

Nein, Freigaben und Freigabeberechtigungen musst du neu anlegen. Datenresourcen, also Datenordner und Resourcen solltest du mit einem Sicherungstool wie z.B. ntbackup sichern nud dann auf dem Zielrechner wiederherstellen. Dabei werden Berechtigungen gesichert und wiederhergestellt. Anm: Davon war in deinem ersten Beitrag nicht die Rede, sondern wie bekoome ich das AD von EE auf SE :rolleyes: grizzly999

Ich stehe immer noch auf IPSec :D Ein Kurzanleitung ;) Mit gpedit.msc die lokale Richtline öffnen, Computerkonfirugarion\Windows-Einstellungen \Sicherheitseinstellungen -> IPSicherheitsrichtlinie. Dort neue Richtlinie Erstellen, Namen vergeben, Standardantwortregel deaktivieren. Hier drin dann eine neue Regel erstellen, spezifizerit keinen Tunnel, Alle Netzwerkverbindungen, Authentifizierungsmethode lassen (braucht man eh nicht in diesem Fall). Anhaken "IP_Datenverkehr insgesamt, -> "Bearbeiten" klicken. Unter IP-Filterliste wieder Bearbeiten klicken, unter "Eigenschaften von Filter" oben bei Quelladresse "Eigene IP-Adresse" auswählen, bei Zieladresse "Beliebige IP-Adresse" auswählen. Dann 2x Ok klicken, man kommt wieder ins Fenster Sicherheitsregel-Assistent zurück, dort dann "Weiter" klicken. Im nächsten Fenster unter "Filteraktion" Häkchen "Assistenten verwende" rausnehmen, auf "Hinzufügen" klicken, im aufgehenden Fenster im Reiter "Allgemen" Das "Neue Filteraktion" mit "Sperren" überschreiben, wieder auf den Reiter links davon ""Sicherheitsmethoden" wechslen und dort "Sperren" anhaken. OK klicken, dann "Sperren" selektieren -> weiter -> "Fertigstellen" Dann fügt man eine neue Regel hinzu, Namen z.B. "Verkehr zu Rechner XY", weiter wie oben (kein Tunnel, Authentifizierung, usw.), erstellt eine neue Filterliste, die Quelladresse wieder Eigene IP, als Zieladresse "Spezielle IP-Adresse" auswählen und die Adresse des anderen Rechners, zu der man möchte, angeben. Als Filteraktion diesmal "Zulassen" eintragen. Fertigstellen, schliessen, WICHITG: in der Gruppenrichtlinie diese neu erstellte Richtlinie mit der rechten Maustaste "Zuweisen". Richtlinienfesnter schliessen, "gpupdate /force" eingeben Wen alles korrekt war, sollte jetzt das gewünschte Ergebnis die Folge sein grizzly999

Nicht nur das, ich kann dir aus eigener Erfahrung (bei Kunden und Projekten) versichern, dass es zu Problemen mit Rechnern, die mit NewSID oder SIDChanger oder einem Zeugs präpiert wurden kommen kann. Ist selten der Fall, nur in bestimmten Konfigurationen/Einatz und vielleicht beim Einsatz bestimmter Software, Fakt ist aber, dass man bei der Fehlersuche nie und nimmer auf den Gedanken kommt, das mit diesen Tools in Verbindung zu bringen. Zu Tage kam das immer erst, wenn man eine Maschine manuell aufsetzt und dort den Fehler nicht hat und sich dann überlegt, was ist denn der Unterschied. Bingo ....! Mit sysprep hatte ich diese Probleme noch nie. grizzly999

Ja, mann kann unter "Stammhinweise", die Stammserver editieren, bzw. in der Datei Cache.dns grizzly999