Zweckoptimist

Moin zusammen,

kennt jemand ein Buch (deutsch oder englisch) mit dem einem der Forefront Identity Manager näher gebracht wird? Ich finde lediglich Bücher zu 'Unified access Gateway' und zu 'Threat management Gateway'.. :confused:

Alternativ würde mir auch ein Buch zum Vorgänger 'Identity Lifecycle Manager' weiter helfen.

Viele Grüße

Christian

Hallo Mave,

die Idee klang im ersten Moment vielversprechend, aber ich habe dann ja leider nach wie vor keine .de Domäne an der ich mich anmelden kann. Die Suffixe einzelner User kann man damit zwar ändern, aber die Anmeldedomäne bleibt auf .local.

Hallo zusammen!

Ich versuche derzeit eine Verbindungsanforderungsrichtlinie zu konfigurieren und habe dabei folgendes Problem:

Der Benutzer meldet sich mit username@domäne.de an.

Die tatsächliche Domäne ist domäne.local.

Identitätsdatenschutz ist aktiviert und auf Anonymous gesetzt.

Die Vorgabe für die Verbindung ist PEAP.

Als Bedingung fange ich den Benutzer über (.*)@domäne.de ab.

Das Username-Attribut (.*)@domäne.de ersetze ich durch $1.

Setze ich nun die Netzwerkrichtlinien-Authentifizierungseinstellungen außer Kraft und aktiviere dort PEAP, kann ich in der Ereignisanzeige den User: Username@domäne.de sehen. Da es die Domäne nicht gibt, wird die Anforderung abgewiesen.

Deaktiviere ich PEAP, wird der User laut Ereignisanzeige umgeschrieben zu: Anonymous@domäne.local

Die Einstellung des Attributs setzt die Anfrage ohne PEAP also korrekt um.

Wie kann ich erreichen, dass dies auch mit aktiviertem PEAP geschieht, damit der eigentliche Benutzer bzw. die Domäne umgeschrieben wird?

Sowohl die Anonymous-Angabe als auch die ..@domäne.de-Angabe sind erforderlich.

So langsam gehen mir sowohl Suchbegriffe als auch die Ideen aus..

Hat jemand eine Idee?

Sagtest Du nicht, dass der Server nicht im AD registriert ist?

Folglich müsste doch der User lokal liegen und nicht Mitglied einer Domänengruppe sein, oder hab Dich da falsch verstanden?

Welche Verschlüsselung nutzt Du? Funktioniert es ohne Verschlüsselung?

Hast Du den User einer Gruppe hinzugefügt und diese mit eingebunden?

Erzähl mal was über die NPS-Konfiguration.

Schwer zu sagen was Du konfiguriert hast.

Als erstes würde ich auf die Firewall tippen.

Stehen alle Server von Standort a in den NTDS-Settings von Standort B und entsprechend der B-Server in allen NTDS-Settings von Standort A?

Hat der Server im Standort B denn die DNS-Server von Standort A eingetragen um mit dem AD kommunizieren zu können, oder läuft er ausschliesslich über externe?

Und was meinst Du mit richtig verteilten Subnetzen?

Gibt es einen guten Grund dafür, warum die User alle auf dieses Profil zugreifen sollen, oder versuchst Du eine Profilvorlage zu erstellen?

Wo soll denn der aktive Exchanger laufen während Ihr den ESXi installiert?

Habt Ihr schon eine VMWare-Umgebung?

IP, Log-In und Log-Out kannst Du im Ereignisprotokoll sehen. Vermutlich auch im Radius selbst. Hab ich noch nicht getestet.

Die Rolle des Radius-Servers heisst im 'Routing und Ras'.

Regeln kannst Du mit dem Netzwerkrichtlinienserver (NPS) definieren.

Gruß

Christian

Der SCE 2007 ist schon ganz in Ordnung. 2010 soll sogar noch besser sein.

Bei uns wurde der 2007er jedoch kürzlich von Altiris abgelöst.

Kleines Beispiel:

Der SCE tarnt die Softwarepakete als Updates. Dadurch bist Du darauf angewiesen, dass die Clients sich die Updates ziehen. Bei Altiris kannst Du die Software direkt auf die Rechner schubsen.

In jedem Fall eine ebenfalls leicht zu administrierende Alternative über die Du nachdenken könntest.

Gruß

Christian

Lösch doch mal das .V2-Profil, entferne den Pfad zum servergespeicherten Profil und melde den User lokal an. Wenn das Profil auf dem Rechner erstellt wurde, kannst Du den Pfad im User wieder eintragen. Nach dem Neustart sind Deine Chancen recht gut, dass nun das Profil auf dem Server erstellt wurde.

Gruß

Christian

Hast Du beide DCs auf einem Server unter Hyper-V laufen?

Sind die beiden originalen DCs auch GCs?

Hab hier noch was gefunden:

WDS und DHCP

edit: hab Deine Antwort zu spät gesehen

Steht Dein Server denn im DNS? Er sollte dort als Nameserver und auch als Host(A) Eintrag auftauchen.

Wenn ich Dich richtig verstehe, installierst Du die Rollen aus dem Server Manager heraus!?

Entferne mal die Rollen für AD und DNS wieder und starte dcpromo.

Start -> Ausführen -> dcpromo (oder aus der Kommandozeile heraus).

Spontan fällt mir dazu keine Lösung ein. Da es sich aber um ein Testsystem handelt, würde ich den Server einfach neu aufsetzen.

Wenn das AD, wie es scheint, schon nach der Installation fehlerhaft ist, ist das die schnellste und beste Wahl.

Gruß

Christian

Schrittweise Anleitung für die Windows-Bereitstellungsdienste in Windows Server 2008

Wenn Dein Server sich selbst nicht im eigenen AD findet, ist grundsätzlich schon was nicht in Ordnung. Gab es beim Ausführen von dcpromo irgendwelche Fehlermeldungen?

Gruß

Christian

Wozu stellst Du einen DHCP-Server in das 0er Netz, wenn er das 1er Netz bedienen soll?

Und warum hast Du DNS nur für das 0er Netz eingerichtet? Soll der XP-Client kein DNS bekommen?

Gruß

Christian

Ich würde einfach gucken, ob der SOA nach der Änderung auf euren Servern ordnungsgemäss inkrementiert wurde und dann dort anrufen, damit sie die betreffende Zone aktualisieren.

Das müsste ja wohl ohne großen Aufwand machbar sein. Davon abgesehen zahlt ihr ja sicherlich dafür, dass euer Provider euer DNS hostet.

Ok, ich frag mal anders.

Dein Server hat die IPs 3.0.0.8 und 10.0.0.0. Soweit richtig?

Darüber hinaus ist er auch DHCP Server. Gibt er sich selbst die Adresse bzw. gibt es noch andere DHCPs für das 10er Netz?

Den DHCP wirst Du ohne direkten Zugriff meines Wissens nicht umbiegen können. Empfehlen würde ich jedenfalls dringend, den DHCP auf sagen wir 10.0.0.11- ...100 einzustellen und dem Server eine feste IP zu geben, sprich die 1.

Für die 3er IPs würde ich mich nochmal schlau machen, welche Du überhaupt zur Verfügung hast. Wenn die 1 schon belegt ist, hast Du offenbar nicht das ganze 3.0.0.x Netz reserviert. Die öffentliche IP sollte dann natürlich auch fest sein.

In jedem Fall musst Du zuerst vor Ort die IP umbiegen.

Gruß

Christian

Mel eben zum Thema DHCP:

die 0 und die 255 sind nicht in der DHCP-Range enthalten und ergeben keine zu vergebenen IP-Adressen.

Zum Zugriff:

Der Client mit dem Du testest hast doch ne 10er Adresse. Mach doch einfach ne RDP-Sitzung vom Client über die 10er IP des Servers auf.

Gruß

Christian

P.S.: ipconfig /renew, nachdem du die Range geändert hast ;-)

Ich versteh schon nicht, warum der Server intern ne DHCP-Adresse bekommt.

Und warum machst Du nen tracert auf die 3.0.0.1 anstatt auf die 8?

Hab ich da was nicht verstanden?

Gruß

Christian

Das so nicht, aber du könntest manuell eine Adresse ausserhalb des DHCP-bereichs vergeben, sprich irgendwas von 101-254.

Gruß

Christian