grizzly999
-
Gesamte Inhalte
17.686 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von grizzly999
-
-
Ach grizzly, wenn der alte DC noch in einer VM läuft (wie er schreibt) dann hat er doch gute Chancen sich die neue Installation als zweiten DC zu promoten. Dann muss er garnix an den Clients machen, nur den zweiten DC einbinden.
Grüsse
Gulp
Oh, den habe ich überlesen :o
Ja klar, alter DC da, dann am besten mit ADMT migrieren. ;)
-
Du musst die Clients rein und raus nehmen, nix anderes geht. Definitiv und unumstösslich !!
grizzly999
-
Problem:
Wie bekomme ich die alten Clients in die Domäne rein ohne sie aus der alten Domäne rauszunehmen und an der neuen anzumelden.!
Willkommen hier im Board :)
Sorry, kurz und knapp: gar nicht
grizzly999
-
Dann ist ja alles in Butter und auch dieser (letzte Thread zu dem Thema) dicht.
Und: auf MOD-ignore stehen wir hier nicht so. Alles weitere per PN mit dem MOD!
grizzly999
-
-
Nein, für alle, oder keinen,. Das geht erst, wenn auch etwas umständlich, bei Server 2008
grizzly999
-
Es gibt auch accesenum von sysinternals (inzwischen von Microsoft) oder dumpsec von somarsoft.com
grizzly999
-
Keine Ahnung, wie sollen wir das wissen, wenn wir nicht wissen, was du alles wo und wie eingestellt hast :rolleyes:
Oder war das nur eine rhetorische Frage
grizzly999
-
Wieso hat dein ISA zwei DNS auf zwei NICs eingetragen? Einer sollte es nur sein, und zwar der interne (ich nehme an, es ist eine AD-Domäne mit DC=192.168.50.1).
Der Client hat ja den ISA als alternativen DNS. Unnötig, wenn der "externe" DNS (11.1, wer ist das?) richtig auflöst (vora llem wenn der erste erreicht wird, fragt er gar nie den alterneativen DNS an, von daher hilft da keine Veröffentlichungsregel).
Da scheint das Namensauflösungsproblem des Clients zu liegen
BTW: Das gehört auch alle zu TCP/IP Grundlagen ;)
grizzly999
-
Aber sehe ich das jetzt richtig? - Im Prinzip ist es egal, ob man dem Ersteller-Besitzer die Rechte nimmt oder Jeder über die Freigabe einschränkt, das Ergebnis ist das gleiche, oder?
Nein, das ist nicht das gleiche. Standardmäßig hat der Besitzer eines Objektes immer die Berechtigung "Berechtigung ändern", selbst wenn man ihm den Zugriff explizit verweigern würde. Das ist von den NTFS-Berechtigungen der Gruppe Ersteller-Besitzer unabhängig. Mit der Freigabeberechtigung Jeder-> Ändern hat er aber diese "serienmäßig eingebaute" Berechtigung nicht mehr (außer er ist lokaler Admin) ;)
--> Administratoren können die Sicherheitseinstellungen ändern (uA auch Ownership übernehmen) alle anderen nicht?Yep, aber siehe oben.
Ich habe eine GPO, die ausgewählte Domänen-Mitglieder zu lokalen Administratoren aufwertet. Diese werden scheinbar in die Gruppe DOMÄNE\Administratoren gesteckt (oder am Server so authentifiziert). Nun ist es bei den Freigaben so, dass die Gruppe Administratoren immer mit Vollzugriff in jeden neu erstellen Ordner geschrieben wird. Dadurch können eben diese User (die ja nur lokale Admins sein sollen) auf alle Shares zugreifen!Dann stimmt doch was mit deiner GPO nicht. wenn ein User in die lokale Administratorengruppe kommt, ist er auch nur lokaler Admin, kein Domänen-Admin. Hast du die GPO etwas auf Domänenebene gemacht? Dann würde sie auch auf die OU Domänen-Controller wirken, das wäre schlecht, dann wären die User auch Admins auf den DCs.
grizzly999
-
"Ursprung ist der Client" ist keine Kommunikation möglich.
Hat denn der veröffentlichte Server jetzt den ISA als SG eingetragen?
Wie sieht denn die Konfig (Server,ISA,Client, usw.) im einzelnen aus?
Außerdem kann ich alle Serververöffentlichungen nur über die IP ansprechen, über FQDN ist auch keine Kommunikation möglich.Weil der Client mit Sicherheit keine entsprechende Namensauflösung hat.
grizzl999
-
Wieso sollte jemand im Internet das SG deines ISA kennen müssen. Der muss seins kennen (zumindest mus sien Computer das kennen). Und dein ISA muss seines kennen.
Tipp: Mir dünkt, dass dir eine Menge TCP/IP-Grundlagen fehlen. Diese solltest du zuerst legen, BEVOR du eine Firewall administrieren möchtest, den für eine Firewall-Administration geht ohne fundiertes TCP/IP Wissen gar nichts, und das nicht nur bzgl. der technischen Einrichtung.
grizzly999
-
Do not feed Trolls!
Geanu, und deshalb tschüss Thread.......
-
Dass er Port 80 oder 444 (hatte ich ja vorher empfohlen, das über 443 zu machen) auf den ISA weiterleitet.
grizzly999
-
Ich muss doch zwangsläufig bei dem externen Client als SG die Router IP angeben, damit die Internetverbindung läuft.
:confused: Dein Client steht irgendwo im Internet und hat dort einen Zugang in dasselbe, über einen Router, ein Modem, eine UMTS-Karte, oder sonst was .....
Ich hatte vorher aber auch vom SG-Eintrag auf dem/den veröffentlichten Servern gesprochen, nicht von irgendwelchen Clients
grizzly999
-
Der zu veröffentlichende Name ist der interne Name, also der hinter dem ISA. Den sollte der ISA auflösen können, über DNS, über WINS oder eine lokale HOSTS-Datei.
Der "öffentliche Name" (als Reiter mit dieser Bezeichnung), der hat den Namen von outside, den müssen die externen Clients auflösen können.
grizzly999
-
Doch, sofern in der Publishing Rule steht "Absender scheint der Client zu sein". Dann hat das Paket am Ziel ja eine beliebige offizielle Adresse als Absender, und die kann der angesprochene Rechner nur über ein Standardgateway erreichen.
Wenn in der Publishing Rule allerdings eingetragen ist, "Absender schient der ISA Server zu sein" hat das Paket beim Ziel eine interne Adresse (die der ISA NIC intern) und der Cleint braucht kein SG.
grizzly999
-
Ja, du kannst auch nur das virtuelle Verzeichnis veröffentlichen. Anleitung für den Veröffentlichungswizard findest du in jedem ISA Buch un din der Online Hilfe.
Für OWA gibt es einen eigenen Assistenten, den man dazu benutzen sollte.
grizzly999
-
Wenn Verbindungen von aussen (Internet) kommen, und der ISA darauf antworten soll, ja.
grizzly999
-
Und deshalb hast du dich hier angemeldet, um uns dies mitzuteilen.
Oder ist da irgendwo noch eine Frage zu Problem versteckt :suspect:
grizzly999
-
Vermutlich, weil der/die Server den ISA nicht als Standardgateway haben ....
grizzly999
-
Wieso Portänderung im IISAdmin? Die Seite hat doch gar nichts mit der Zertifikatsseite zu tun
Diese ist doch ein virtuelles Verzeichnis in der Standardwebsite, daher muss diese veröffentlicht werden.grizzly999
-
Der Besitzer eines NTFS Objekts hat IMMER die Berechtigung, die Berechtigung zu ändern. :wink2:
(Über eine Freigabe aber nicht mit meinem oben beschrieben Weg)
grizzly999
-
Was setht in der Rule, wer scheint der Absender des Pakets zu sein, der ISA, oder der original Client?
grizzly999
:confused:
Administrator aus AD ausgesperrt
in Active Directory Forum
Geschrieben
... und der alte Bär immer schult: Lasse keine ungetetsten Policies auf die Produktivumgebung los.
Aber, es ist nun wirklich die Frage, was wurde alles eingestellt?