grizzly999

Und was soll Natten bringen? Mein Client will eine Adresse aus MEINEM Netz, die Adresse sucht er lokal. Da hilft kein NAT auf dem Router

Im reinen LDAP-Pfad kannst du zwischen einer Gruppe und einem Benutzer (oder auch Computer oder Container oder oder ) nicht unterscheiden. grizzly999

Schau mal hier rein: http://www.mcseboard.de/showthread.php?t=26498& grizzly999

That's a feature :D Nein, ist ein known Bug. Benutze zum Löschen noch die SHIFT Taste dazu, oder eben mit RD. Siehe auch http://support.microsoft.com/kb/319368/en-us grizzly999

Ja, das geht über die Zertifikatsdienste Man braucht - eine Enterprise CA - 2003 AD - XP clients - eine ensprechendes Certificate Template mit dem korrekten zweck (IPSec), das für die autom. Registrierung vorbereitet ist. - eine entsprechende GPO für Benutzer (ist aber defaultmäßig da) Naja, klingt jetzt einfach, bedarf aber alles zusammen einiger Ahnung und vielleicht auch ein paar Tests vor der Einrichtung. Hier ein wenig mehr dazu: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/autoenro.mspx http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/mngpki.mspx grizzly999

Erstens: Da kannst du Kohn selber fragen Zweitens: ist die für dich essentiell Drittens: Was soll das Ganze, hast du was? Ist dir heute ne Laus über die Leber gelaufen? :suspect: :mad: grizzly999

Dann ist was am Befehl falsch, oder in der Header-Zeile in der CSV-Datei. Sorry, mehr kann ich hier nicht sagen..... grizzly999

Genau :) Das GPO ist mir bekannt. Ah, dann ..... ;) grizzly999

Bei was, NT? Die werden standardmäßig nicht mit einem roaming Profile seit W2000 auf den Server zurückgeschrieben grizzly999

LDIFDE war etwas daneben. Mittels einer CSV-Datei, geht das mit csvde.exe (Nomen ist Omen :p ) grizzly999

Hm, weil ich irgendwie in Erinnerung habe, dass die Eintellung erweitert sonst immer wieder abgetaucht war, wenn man die Richtlinie neu aufgemacht hat. Jetzt geht's auch ohne, Folge von SP1 Oder früherer Irrtum/Unvermögen meinserseits :D grizzly999

De Reiter ist rein statistischer Natur, dass man gleich sehen/nachschauen kann, wer für die Verwaltung des Objekts, z.B. der OU zuständig ist. Hat das Benutzerkonto, das hier ausgewählt wird weitere Daten eingetragen, wie z.B. Telfeonnummer, sieht man diese auch. Etwas mehr ist das bei einer Gruppe. Dort kann man bei demjeneigen den man da einträgt auch gleich das Häkchen setzen, dass dieser die Gruppe managen darf, also Gruppenmitgliedschaften dieser Gruppe verwalten darf. grizzly999

Korrekt, mir auch nicht. RADIUS (Remote Access Dial In User Service) hat überall nur die Funktion, die Benutzerauthentifizierung und Autorisierung für die Einwahl zu übernehmen. Er erfüllt nicht die Funktion den Bneutzer für den anschliessenden Zugriff auf Resource zu authentifizieren. Die einzige Möglichkeit ist, bereits beim Anmelden das VPN aufzubauen, indem man das Häkchen "Anmeldung über DFÜ-Netzwerk" setzt, und die VPN-Verbindung auswählt. Voraussetzung dafür ist, dass der Benutzer bei der Einwahl einen internen DNS-Server mitbekommt, so dass er einen DC zur Anmeldeauthentifizeirung finden kann. grizzly999

Weil die sog. Preferences sonst jedesmal über das Menü Ansicht aufs Neue sichtbar gemacht werden müssen. Diese Preferences (die wie die NT 4.0 Systemrichtlinien funktionieren und die Registry tätowieren) sind standardmäßig nicht sichtbar. grizzly999

Schau mal hier rein: http://www.mcseboard.de/showthread.php?t=65768 grizzly999

Mir ist kein Tool bekannt, wenn man nicht mit XP/2003 und der autom. Zertifikatsaforderung schafft. Ist IMHO auch richtig und gut so, da geht es um Ssecurity. Zertifikate MIT privaten Schlüsseln solltenaus Sicherheitsgründen nicht im Netz umhergeschubst werden. Alles IMHO. grizzly999

Wenn die Alterung nicht eingeschaltet ist, ewig, oder bis du ihn manuell rauslöscht. grizzly999

Er meint das Profil. Du legst den Benutzer im AD an, kannst ihn auch einmal sich anmelden lassen, dann hat er lokal ein Profil username.domänenname Abmelden, als Admin an der WS anmelden, über die Systemsteuerung/System/Erweitert benutzerprofile das alte Prfol anwählen, Kopieren nach und wählst jetzt den neuen Profilordner aus. DANN WICHTIG: vor dem Ok-Klicken unten auf den Button Benutzer, den gleichnamigen Domänenbenutzer auswählen, und dasnn mit ok das Kopieren bestätigen.Jetzt hat der Domänenbenutzer das Profil des lokalen Users. Am besten den lokalen User danach deaktivieren. grizzly999

Nein, die 7+7 wären der Standardwert, wenn die Alterung überhaupt eingeschaltet würde, sie ist normalerweise aus. Ein anderer Client, der die Adresse erhält sollte sich im DNS registrieren und damit den Eintrag aktualisieren. grizzly999

Du schreibst zwar oben, dass du schon eine ganze Weile mit dem ISA 2004 beschäftigt hast, aber ich ich lege dir aufgrund deines zweiten Bitrages dennoch im Sinne der SICHEIT DEINES NETZWERKES weitere Studien von Lektüren nahe. http://www.msisafaq.de/Seiten/books.htm grizzly999

Er kann seine eigene IP nicht pingen, oder welche genau? Wer ist der Router, was ist das für ein Netz, woher die IP? Naja, eben etwas mehr Infos. Außerdem bin ich wenig Fan von ISA Upgrade, andere ISA-leute auch nicht, auch wenn die es in ihren Büchern und Homepages schreiben. grizzly999

Der wird da auch nicht ausgetragen. Der Eintrag bleibt drin, wenn kein Alterungsintervall gesetzt ist, dann eigentlich bis Asbach. Ansonsten muss man die Alterung aktivieren, aber die beträgt default auch 14 Tage (7+7), bevor der Eintrag aufgeräumt wird. grizzly999

Hallo und wilkommen an Board :) WIESO bitte nur mit einer Netzwerkkarte. Mit nur einer NIC funktioniert der ISA nur als Proxy. Er kann auch keine Netze unterscheiden, alle IPs sind interne Netze. Du musst ihn schon als Back-FW konfigurieren, mit 2 NICs. Ein paar Anleitungen findest du unter http://www.msisafaq.de und viel auf http://www.isaserver.org Ansonsten gibt es auch gute Bücher zum ISA, Links dazu auf dem obersten meiner Links grizzly999

Nein, da brauchst du z.B. subinacl.exe aus dem ResourceKit, bzw. gibt es da auch noch ein anderes Tool im ResKit, wenn ich mich recht erinnere (habe grad keines hier), aber wüsste jetzt den Namen nicht. grizzly999

Rechner mit Domänenname istz ein NoNo. Das gibt irgendwann Probleme bei Namensauflösung, beim Computersuchdienst u. evtl. anderen. grizzly999