Cyco

Hi ! Habe das ganze mal ohne Domäne und mit Zerts durchgeführt. Will aber irgendwie auch nicht klappen. Meine Arbeitsschritte: Habe eine eigene PKI (Eigenständige) aufgesetzt. Dann habe ich das Stammstellenzert am zweiten PC in den Zertspeicher Vertrauenswürdiger Stammzertstellen installiert. Bis hier sollte eigendlich alles OK sein. Jetzt habe ich noch jeweils ein IPSec Zert für jeden Rechner angefordert und installiert. Zerts sind jeweils im Zertspeicher unter Benutzerzerts.. Wie aber verwende ich jetzt diese Zerts für die IPSec Authentifikation? Wenn ich jetzt als Authentifizierungstyp auf Zertifikate gehe, kann ich doch nur das Stammzert als Zert angeben und nicht die angeforderten IPSec Zerts. Dann habe ich mal probeweise die angeforderten IPSec Zerts in den Speicher Vertrauenswürdiger Stammzertstellen kopiert bei jeden PC kopiert und dann konnte ich auch diese Zert in den IPSec Richtlinien angeben, aber eine Verbindung zwischen beide, habe ich damit auch nicht hinbekommen. Wo liegt der Fehler??? thx

Verwende ganz normal Kerberos. Habe es aber auch schon mit Zertifikaten probiert. Immer der selbe Fehler. Wenn ich das ganz ohne Domäne und mit einem gemeinsamen Schlüssel mache, geht alles, aber in der Domäne über GPO's wills einfach nicht. gruß Cyco

Hallo! Wer kennt sich mit IPSec gut aus?? Möchte gern im LAN den Netzwerkverkehr über IPSec schützen. Bekomme aber immer wieder Probs beim Aushandeln der Sicherheitszuordnungen zuwischen Client und DC. Ist erstmal alles nur testweise. Habe jeweils auf der OU der Clients die IPSec Richtlinie CLIENT (nur Antwort) und auf der DC OU SICHERER SERVER (Sicherheit erforderlich). Bis dahin funktioniert auch alles, solange ich den Client nicht neu starte. Nach dem Neustart bekomme ich der Ereignisanzeige vom Client immer die Meldungen das kein DC & kein Timeserver gefunden wird. Die Kommunikation geht aber trotzdem noch, weil der Client ja von der lokal zwischengesp. Richtlinie lebt. Aber das nützt mir ja nichts, wenn ich keine GPO's mehr vom Server bekomme. Wo liegt der Fehler?? Habe auch schon per Filter den DNS Verkehr Port 53 auf zulassen gestellt. Hat nicht geholfen. Und woher weiß ich überhaupt, welcher Netzerkverkehr welches Protokoll benutzt? thx

Keiner einen Plan???

Hallo ! Habe folgendes Prob.. 2 Rechner, einer Standaloneserver, der andere eine W2K WS. Auf dem Server habe ich eine eigenständige Zert.-Stelle eingerichtet und vom zweiten Rechner habe ich dann ein Webbrowserzert. angefordert um auch eine Clientauthentifizierung zur Verwaltungswebseite des IIS zu erzwingen. Login im IIS klappt alles wunderbar, aber wenn ich jetzt am Server das Zert. sperren bzw. blockiere kann der Client immer einen Login ausführen. Habe Sperrliste auch veröffentlicht und auch per Registry aktiviert. Wo liegt der Fehler??? Ruft der Client nicht zuerst die Sperrliste ab, bevor er sich überhaupt verbindet??? Lösche ich das Zert im Zertspeicher vom Client dann kommt er auch nicht mehr rein, aber das ist ja nicht Sinn der Sache. Im Internet wäre das ja überhaupt nicht möglich. thx

Hi ! Müste eigendlich reichen, wenn Du einen WINS Server in den Netzwerkeigenschaften angibst. Meine auch mal irgendwo gelesen zu haben, das man das auch ohne WINS lösen kann. Über die Registry gibts da bestimmt ne Möglichkeit. groß Cyco

Hi Dr. Melzer! Wo liegt zwischen diesen zwei "10x W2K Professional und 10x W2K CAL" der Unterschied? Das ich für jede Workstation ein CAL benötige ist mir schon klar, aber wozu die zusätzlichen 10x W2K CAL ?? Danke gruß Cyco

Na das ich die erstellten *.MST Dateien dann manuell in die GPO's bringen muß, ist mir schon klar. Aber beruhen *.mst Dats nicht auf der Grundlage eines MSI Files. d.h. muß ich nicht erstmal ein *.MSI File haben um davon eine TransformDat zu erstellen bzw. müssen beide dann im GPO sein, also die *.msi Dat und die *.mst Dat.? Unter Softwareverteilung gibt es ja irgendwie das Optionsfeld Änderungen (oder so ähnlich). Wird darin nicht dann die *.mst Datei aufgenommen? thx

Hi ! Ohne das ich das jetzt ausprobiert habe, aber wird diese *.mst dann ganz normal in den GPO's abgelegt und dann korrekt verteilt? Und was hat das mit dieser Administrativen Installation Setup.exe /a auf sich? Was ist an dieser anders bzw. für was ist diese gut?? Mit ist zwar klar das der Inhalt der Office 2000 CD dann auf die HDD kommt, aber wozu kann ich das später gebrauchen? Oder ist das nur gut, wenn ich Service Packs einbinden möchte. thx

Hi ! Ich weiß jetzt zwar auch nicht, wo's diese Einstellung gibt (habs gerade nicht vor mir), aber NT Authentifizierung heißt eigendlich NTLM=NT LanManager und ist das Authenifizierungsprotokoll von NT Systemen. Ist im Prinizip der Vorgänger von Kerbos v.5. Damit wird z.B. die Echtheit bei der Anmedlung überprüft. Hoffe ich konnte Dir etwas helfen. tschüss

Hi ! Vielleicht versuchts ja jemand über Telnet. Weiß ja zwr nicht, ob so ein Anmeldevorgang auch auf diese Art Protokolliert wird, aber ne Möglichkeit wäre es doch. Eventl. ma den Telnetdienst deaktivieren oder per Registry auf einen ander Port legen. gruß Cyco

Hallo ! Wenn Du einen NT Client eventl. zu Verfügung hast, würde ich es damit mal versuchen ihn in die Domäne zu bringen. Wenn das funzt, dann kann es nur eine Einstellung im XP sein, die das verhindert. Kann mir aber nicht vorstellen, das XP derartige Probs. haben soll. Könnte am ehsten nur ein Netzwerkeinstellungsprob. beim XP Cient sein. gruß Cyco

Ganz verstehe ich das nicht! Kannst Du dich denn wenigstens noch am Server als Admin anmelden? Wenns jetzt ein W2K Server mit DNS währe, hät ich ja gesagt, das die DNS IP nicht stimmt. Ist am Client eventl. in den Netzwerkeigenschaften NetBIOS über TCP/IP deaktivieren, aktviert? Sonst fällt mir da auch gleich nichts ein! Cyco

Hi ! Im Grunde kannst Du es so machen, aber viel Sinn hat es nicht. Die Option "Kein Vorrang" wird eigendlich nur eingesetzt, wenn Du möchtest, das aus der HauptOU alle Richtlinien nach unten vererben. Selbst wenn DU die übergeordnete Richtlinienvererbung einer untergeordneten OU deaktivierst, wirkt trotzdem noch die GPO von der HauptOU. Mit "Kein Vorrang" überschreibst Du somit alle untergordneten GPO's. OK!! So jetzt zu deinem Vorhaben. Erstelle eine GPO in der HauptOU. Lege darin alle Richtlinien fest die Du auf die untergeordn. OU's anwenden willst. Durch Vererbung wirken jetzt alle Einstellungen auf die User & Comp. in den untergordneten OU's. Erstelle jetzt eine zweites GPO in der OU, wo DU diese spezielle Richtlinie mit der Systemsteuerung einstellen willst. Neu erstelle GPO's setzten alle Richtlinien auf "nicht definiert" d.h. diese Einstellungen werden dann wieder von dem GPO aus der HauptOU überschrieben. Diese spezielle Richtlinie mit der Sys.-steuerung wird jetzt aber nicht mehr von der HauptOU überschrieben, da diese sozusagen näher am User/Computerobject im AD liegt. Hier nochmal die Richtlinienabarbeitung. 1. lokales GPO 2. Standort GPO 3. Domänen GPO 3. OU GPO's Glaube so wars. d.h. GPO's/Richtlinien die im AD definiert werden, überschreiben immer lokale Richtlinien. Wenns noch Fragen gibt melde Dich einfach! gruß Cyco

Hallo ! Ganz einfach zu beantworten. Erstelle einfach eine GPO auf der OU, in der DU dies verbieten/erlauben willst. Kein Vorrang in einer Haupt-OU bringt Dir in sofern nichts, weil Du dies dann für alle untergeordneten OU's erzwingen würdest u. somit alle OU's von diesem Recht gebrauch machen. So müßte es klappen, da alle sich Richtlinien von der HauptOU mit in dieses GPO vererben, außer der einen Richtlinie, da sie am nächsten an den USER/Computer liegt. gruß Cyco

Hallo ! Habe mal ne Frage. Wenn ich mir jetzt eine Version von Win2000 Server kaufe sind doch standardmaäßig immer 5 Lizenzen dabei. Was ist jetzt, wenn ich mir eine zweiten als Backup einrichten möchte. Muß ich mir jetzt wieder 5 zusätzliche kaufen? Für was werden die 5 Lizenzen benötigt. Habe mal irgendwo gehört, das davon schon 3 oder 4 für irgendwelche Dienste z.B. Druckerverbindung verwendet werden. Wer kennt sich damit aus oder kennt ein gutes Whitepaper bzw. eine Webseite die sich mit diesem Thema beschäftigt. thx

Hallo! Habe mal eine Frage an die Experten hier. Möchte bei mir zu Hause einen ExchangeServer einrichten. Alles unter Win2000 Server. Wie funzt das jetzt mit dem Domänename? Habe bei 1&1 eine Flat und mir steht da jetzt ein kostenloser DNS Name zu. Wenn ich diesen jetzt beantrage habe ich ja noch das Prob mit der dyn. IP. Habe gehört da gibts auch Abhilfe dafür. Irgendwas mit DynDNS.org. Wie funzt das und wenn ich das alles habe und den Exchange installiert habe, kann ich dann auch Mail senden bzw. empfangen? Oder gibts da noch irgendwelche Hürden die ich nehmen muß. Sollte alles nicht zu komplex sein, da ich es nur mit zwei PC's mal probieren möchte. Was muß ich noch außer Exchange installieren? Wie sollte der interne DNS Name lauten? thx

Hi ! Hast Du vielleicht das http:// vergessen. Wenn ich meinen Router erreichen möchte, muß ich auch immer den ganz klassischen Weg gehen. Versuchs mal über Ausführen "http://192.0.2.1" gruß Cyco