grizzly999

.. das funktioniert. Und: Kohn hat recht, das 2003-Adminpak funktionert problemlos auf XP. Die von dir und zig-tausend anderen gemachte Erfahrung ändert an der Aussage nichts. Es ist keine "Fehlfunktion" eines Tools aus dem Adminpak, sondern eine Unverträglichkeit auf Serverseite, aufgrund der in XPSP2 geänderten system.adm Datei. Wie fett hervorgehoben tritt auch das Problem nur beim Bearbeiten von GPOs vom XP-Client auf einem ungepatchten 2003 Server (oder Server ohne SP1) mit dem Sp2 auf grizzly999

Korrekt ;) DH ist kein Verschlüsselungsverfahren, sondern ein Verfahren zum Schlüsselaustausch, nämlich zum Austauschen des eigentlichen SitzungsSchlüssels, der dann nachher verwendet wird. Vereinfacht gesagt könnte man sagen, dass jeder der zwei Rechner nach math. Verfahren jeweils einen Teil des Schlüssels generriert und dem anderen übermittlet, und dann beide Rechner den kompletten Schlüsel "zusammenbauen". Dazu dient das Diffie-Hellmann-Verfahren. Ein Dritter übrigens, der den Verkehr in beide Richtungen belauscht, könnte dennoch nicht den Schlüsel zusammenbauen, genial, oder. Eine kurze Erklärung z.B. hier: http://www.regenechsen.de/krypto/dh.php Sorry, kann nicht nachvollziehen, um was es geht. Was soll auf welcher Seite von der EE stehen? Korrekt, denn an der Standard-Zeritifaktsvorlage "Benutzer" sind wie bei jeder anderen Zertifikatsvorlage berechtigungen eingerichtet. Die sind Standard: Authentifizierte Benutzer -> Lesen Domänenbenutzer -> Registrieren Um ein Zertifikat auf dieser Vorlage anfordern zu können braucht man die Berechtigung: Lesen + Registrieren man muss also auch in der Gruppe der Domänen-Benutzer sein. (Anm: Wo soll der Sinn darin liegen, die VPN-user aus der Gruppe der Dom-Benutzer zu entfernen?!) HTH grizzly999

Wie schön, das hat bei mir damals auch nicht hingehauen :mad: grizzly999

Was mich wundert, dass in der Antwort der Client als angeblicher DNS-Servername eingetragen ist, und als IP-Adrese wohl die Client-IP. Da ist doch irgendwas fehlkonfiguriert. Überprüfe doch nochmals die DNS-Einträge in den IP-Konfigurationen auf dem Client und dem Server grizzly999

Ich hatte da auch schon mit gekämpft und gesucht. Eine Datensicherung und anschließendes Formatieren, danach Rücksicherung brachte den Erfolg :( grizzly999

Wenn Microsoft den Patch nur über einen Call rausgibt, dann ist das so, anderes wird hier nicht supportet. grizzly999

Indem die Benutzer bei der Anmeldung das Häkchen "Über DFÜ-netzwerk anmelden" verwenden und sich somit direkt an der Domäne anmelden. Dann werden auch Skripte und Policies gezogen, allerdings, wenndie nichtmit mind. 500kB/s angebunden sind, Softwareverteilungsrichtliniennicht. Die müsste man per GPO extra einschalten, sprich die Grenze für die Erkennung von langsamen Verbindungen für dieses Feature heruntersetzen oder ganz abschalten (Wert 0): http://support.microsoft.com/kb/227369/de grizzly999

Was soll das heißen, "grundsätzlich würds schon gehen, nur halt nicht mit ssl:"? Das geht mit keinem Port, ausser mit Port 80 für verschiedene Domänennamen, weil man da Listener für den Domänennamen einrichten und auf verschiedene Ziele umleiten kann. Der gepostete Link bezieht sicvh auch auf IISm, nicht ISA, da sind die Buchstaben anders und anders sortiert ;) grizzly999

Ich hahe den Link jetzt nicht angeschaut, aber ich antworte einfach mal auf deine Fragen: Offenscihtlich hast du Benutzerzertifikate und am RAS-Server als Authentifizierungsmethode EAP eingestellt. Dann wird der Benutzer mit seinem Zertifikat authentifiziert, eigentlich fast die beste Methode :) (nur Smartcards und Tokens o.ä.) sind noch "sicherer" L2TP Verschlüsselung hast du auch, da du anscheinend vorinstallierte Schlüssel einigestellt hast, werden diese für IPSec für die gegenseitige Tunnelendpunktauthentifizierung genommen (Auth. der Computer), aber mit diesem Schlüssel wird nicht verschlüsselt, das wäre zu unsicher. DIESER Schlüssel dienst nur der Authentifizerung. Über Diffie-Hellmann wird dann der eigentliche Sitzungsschlüssel generiert, das ist in dem Fall eine 3DES-Verschlüsselung mit 168 Bit, auch sehr gut :) grizzly999

Yep ... ... und für die beiden IPs zwei Listener konfigurieren. grizzly999

Ja, das geht, aber nur wenn man schon bei der Anmeldung das Häkchen setzt, "über das DFÜ-Netzwerk anmelden" grizzly999

Nein, für jede Adresse nur 1 Port. grizzly999

Einfach den Telnetdienst starten grizzly999

Ähm, die Größenbeschränkung bei NT 4.0 liegt hier bei 8 GB, nicht 4 !! Man kann allerdings nur mit 4 GB wegen dem DOS-Mode beim Setup formatieren, mit einer Unattended dann uaf 8 GB aufblasen. beschrieben hier: http://support.microsoft.com/kb/185773/EN-US/ Mit dem atapi.sys Treiber vom SP4 ist diese Beschränkung eigentlich aufgehoben, Problem dabei ist, dass ich ja zuerst das System installiern muss, bevor ich SP4 mit dem "neuen" Treiber drauf bekomme. Man kann aber den Treiber nebts oemsetup.inf-Dataei über F6 schon beim Einrichten benutzen, irgendwo gab es da auch eine Artikel dazu. Allerdings, die Systempartition bleibt auf 8 GB beschränkt. http://support.microsoft.com/default.aspx?scid=kb;en-us;197667 grizzly999

Hm, da hast du was nicht ganz korrekt interpretiert. Wenn man eine Unternehmenszertifizierungsstelle eingerichtet hat, das geht nur im AD ! - dann können nur Security Pricnipals der Domäne ein Zertifikat dieser CA beantragen. Wenn man aber eine eigenständige CA eingerichtet hat, ist man von einer AD-Domäne völlig losgelöst, man kann diese Standalone betrieben und alle möglichen Computer, Benutzer und Dienste lönnen von ihr ein Zertifikat beantragen. ;) L2TP mit Zertifikaten ist sicheres als PPTP, allerdings ist die Angriffsfläche für einen möglichen Angriff auf PPTP auch sehr gering und beschränkt sich auf die Übertragung des Passwort-Hashes. Wenn man ein sicheres, komplexes, zufällig gewähltes, lang genuges Passwort wählt, dann ist man da ziemlich auf der sicheren Seite. Dennoch, ein Zertifikat zu "faken" dürfte in den Bereich der Unmöglichkeit geraten. Wenn du es also einfacher haben möchtest, dann nimm PPTP mit gescheiten Kennwörtern, ansosnten eine Eigenständige CA einrichten. grizzly999

VPN hat nichts mit Domäne zu tun, rein gar nichts ;) Und L2TP kann man auch ohne Domäne mahen grizzly999

Hmm, was ist jetzt das eigentliche Problem. Dass der Client dieungülige URL anmeckert? Für die Funktion wäre das egal, wenn man die Nachfrage bestätigt, ob man dem zertifikat dennoch vertrauen will. Wenn man das Zertifikat auf den öffentlichen Namen haben will, dann muss man am besten mit irgend einem einem IIS eine Zertifikatsanforderung (für irgendeine sichere Website auf diesem IIS generieren), den externen namen in der Anforderung eintragen und diesen Request dann bei der Zertifizierungstelle einkippen, und das Zertifikat ausstellen. Das Zertifikat dann exportieren und beim IIS wieder importieren. Jetzt kann man das Zertifikat auf dem ISA importieren. grizly999

Also zwischem dem ISA und dem SBS kannst du keine Vertrauensstellung einrichten. Wie mir scheint, und das ist nicht böse gemeint, sondern das bringst du ja selber zum Ausdruck, hast du vonISA keine Ahnung. Macht nix, ich habe auch von vielem keine Ahnung ;) .... .... aber dann solltest du dich etwas schlau machen. ISA ist kein einfaches Produkt, und da geht es um Sicherheit. Es gibt inzwischen schon einige deutschsprachige Bücher auf dem Markt, und dieverse Step-by-Step-Anleitungen findest du beim Kollegen Dieter Rauscher http://www.msisafaq,de grizzly999

Schliesse mich an, Herzlich willkommen im Board :) Und wenn dir nach Vortstellen ist, dann nur zu ..... ;) Viel Spaß hier :cool: grizzly999

Hallo und Willkommen im Board :) Suche mal in Board nach cachemov, das Tool ist das, was du brauchst ;) grizzly999

Ja, auch 2003 kann man unattended installieren, der Key kann übrigens auch in der Antwortdatei stehen und das hat nichts mit SB zu tun. Link? Ich glaube hier waren schon diverse zum Thema Unattended Installation gespostet worden, benutze doch mal die Boardsuche grizzly999

Zusammenfassend für diesen ganzen Thread: Vergesst ALLES das da oben, außer das von Christoph35, er hat Recht und um den Kernsatz seines Beitrages noch mals raus zu holen: der Domain Mode betrifft nur die Domain Controllers

Auch das habe ich noch nie gehört. Hier tummeln sich die Gerüchte in dem Thread :rolleyes: grizzly999

Wow, DAS habe ich noch nie gehört. :rolleyes: :D Kurzum @ all: Vergesst das da oben ;) grizzly999

Nope!