grizzly999

... und der alte Bär immer schult: Lasse keine ungetetsten Policies auf die Produktivumgebung los. Aber, es ist nun wirklich die Frage, was wurde alles eingestellt?

Oh, den habe ich überlesen :o Ja klar, alter DC da, dann am besten mit ADMT migrieren. ;)

Du musst die Clients rein und raus nehmen, nix anderes geht. Definitiv und unumstösslich !! grizzly999

Willkommen hier im Board :) Sorry, kurz und knapp: gar nicht grizzly999

Dann ist ja alles in Butter und auch dieser (letzte Thread zu dem Thema) dicht. Und: auf MOD-ignore stehen wir hier nicht so. Alles weitere per PN mit dem MOD! grizzly999

Schau mal, ob dir das hilft: Microsoft Corporation Desktop Management->logon Sessions grizzly999

Nein, für alle, oder keinen,. Das geht erst, wenn auch etwas umständlich, bei Server 2008 grizzly999

Es gibt auch accesenum von sysinternals (inzwischen von Microsoft) oder dumpsec von somarsoft.com grizzly999

Keine Ahnung, wie sollen wir das wissen, wenn wir nicht wissen, was du alles wo und wie eingestellt hast :rolleyes: Oder war das nur eine rhetorische Frage grizzly999

Wieso hat dein ISA zwei DNS auf zwei NICs eingetragen? Einer sollte es nur sein, und zwar der interne (ich nehme an, es ist eine AD-Domäne mit DC=192.168.50.1). Der Client hat ja den ISA als alternativen DNS. Unnötig, wenn der "externe" DNS (11.1, wer ist das?) richtig auflöst (vora llem wenn der erste erreicht wird, fragt er gar nie den alterneativen DNS an, von daher hilft da keine Veröffentlichungsregel). Da scheint das Namensauflösungsproblem des Clients zu liegen BTW: Das gehört auch alle zu TCP/IP Grundlagen ;) grizzly999

Nein, das ist nicht das gleiche. Standardmäßig hat der Besitzer eines Objektes immer die Berechtigung "Berechtigung ändern", selbst wenn man ihm den Zugriff explizit verweigern würde. Das ist von den NTFS-Berechtigungen der Gruppe Ersteller-Besitzer unabhängig. Mit der Freigabeberechtigung Jeder-> Ändern hat er aber diese "serienmäßig eingebaute" Berechtigung nicht mehr (außer er ist lokaler Admin) ;) Yep, aber siehe oben. Dann stimmt doch was mit deiner GPO nicht. wenn ein User in die lokale Administratorengruppe kommt, ist er auch nur lokaler Admin, kein Domänen-Admin. Hast du die GPO etwas auf Domänenebene gemacht? Dann würde sie auch auf die OU Domänen-Controller wirken, das wäre schlecht, dann wären die User auch Admins auf den DCs. grizzly999

Hat denn der veröffentlichte Server jetzt den ISA als SG eingetragen? Wie sieht denn die Konfig (Server,ISA,Client, usw.) im einzelnen aus? Weil der Client mit Sicherheit keine entsprechende Namensauflösung hat. grizzl999

Wieso sollte jemand im Internet das SG deines ISA kennen müssen. Der muss seins kennen (zumindest mus sien Computer das kennen). Und dein ISA muss seines kennen. Tipp: Mir dünkt, dass dir eine Menge TCP/IP-Grundlagen fehlen. Diese solltest du zuerst legen, BEVOR du eine Firewall administrieren möchtest, den für eine Firewall-Administration geht ohne fundiertes TCP/IP Wissen gar nichts, und das nicht nur bzgl. der technischen Einrichtung. grizzly999

Geanu, und deshalb tschüss Thread.......

Dass er Port 80 oder 444 (hatte ich ja vorher empfohlen, das über 443 zu machen) auf den ISA weiterleitet. grizzly999

:confused: Dein Client steht irgendwo im Internet und hat dort einen Zugang in dasselbe, über einen Router, ein Modem, eine UMTS-Karte, oder sonst was ..... Ich hatte vorher aber auch vom SG-Eintrag auf dem/den veröffentlichten Servern gesprochen, nicht von irgendwelchen Clients grizzly999

Der zu veröffentlichende Name ist der interne Name, also der hinter dem ISA. Den sollte der ISA auflösen können, über DNS, über WINS oder eine lokale HOSTS-Datei. Der "öffentliche Name" (als Reiter mit dieser Bezeichnung), der hat den Namen von outside, den müssen die externen Clients auflösen können. grizzly999

Doch, sofern in der Publishing Rule steht "Absender scheint der Client zu sein". Dann hat das Paket am Ziel ja eine beliebige offizielle Adresse als Absender, und die kann der angesprochene Rechner nur über ein Standardgateway erreichen. Wenn in der Publishing Rule allerdings eingetragen ist, "Absender schient der ISA Server zu sein" hat das Paket beim Ziel eine interne Adresse (die der ISA NIC intern) und der Cleint braucht kein SG. grizzly999

Ja, du kannst auch nur das virtuelle Verzeichnis veröffentlichen. Anleitung für den Veröffentlichungswizard findest du in jedem ISA Buch un din der Online Hilfe. Für OWA gibt es einen eigenen Assistenten, den man dazu benutzen sollte. grizzly999

Wenn Verbindungen von aussen (Internet) kommen, und der ISA darauf antworten soll, ja. grizzly999

Und deshalb hast du dich hier angemeldet, um uns dies mitzuteilen. Oder ist da irgendwo noch eine Frage zu Problem versteckt :suspect: grizzly999

Vermutlich, weil der/die Server den ISA nicht als Standardgateway haben .... grizzly999

Wieso Portänderung im IISAdmin? Die Seite hat doch gar nichts mit der Zertifikatsseite zu tun Diese ist doch ein virtuelles Verzeichnis in der Standardwebsite, daher muss diese veröffentlicht werden. grizzly999

Der Besitzer eines NTFS Objekts hat IMMER die Berechtigung, die Berechtigung zu ändern. :wink2: (Über eine Freigabe aber nicht mit meinem oben beschrieben Weg) grizzly999

Was setht in der Rule, wer scheint der Absender des Pakets zu sein, der ISA, oder der original Client? grizzly999