MrAndersson

Hallo, ich habe zuhause folgendes Problem: Ich möchte mich mit meinem Notebook (Windows XP SP3) mit dem Rechner (Windows XP SP2) und dem Notebook (Windows Vista) meines Bruder verbinden. Beide befinden sich in der Arbeitsgruppe ARBEITSGRUPPE. Nun habe ich über "Computer suchen" unter den Netzwerkumgebungseigenschaften schon die Computer gesucht, allerdings beide nicht gefunden. Nach Scan der IP-Range 192.168.1.x mittels Angry IP Scanner, wurde auch nur der Windows XP SP2 - Rechner gefunden, trotz dass ICMP Anfragen auf dem Windows Vista Rechner unter Verwaltung -> Windows Firewall Optionen zugelassen wurden. Auf allen Rechner ist übrigens nur die Windows Firewall aktiviert (kein ZoneAlarm o.ä.). Habt ihr vielleicht noch eine Idee, was ich tun kann, damit ich beide Rechner über "Computer suchen" finde (welches Protokoll wird dort eig. verwendet?) und den Vista-Rechner mittels dem IP Scanner finde?

Der Screencast sieht zwar gut aus, allerdings benutze ich den IPFire und deshalb habe ich auch den Punkt "Advanced Group Selections" (letzter Punkt am Anfang bei der Authentifizierung) und den Punkt "Join NT Domain" unter Proxy->Advanced nicht. Mal eine allgemeine Frage: Kann ich denn, wenn ich über Windows authentifiziere auch meine Benutzer mitloggen (wer wo gesurft hat) oder nur die IP der Rechner? Wegen den Logfiles, habe ich dir hier auch wieder einige Screenshots bereitgestellt: Log Zusammenfassung Logdatei Einstellungen Proxy Logdateien Proxy-Berichte Firewall-Logdateien FW-Logdiagramme(IP) FW-Logdiagramme(Port) IDS-Logdateien URL-Filter-Logdateien System-Logdateien Da steht leider nichts von LDAP oder Port 389 :( Was bringt denn das LDAP Interface Event Logging auf dem DC zu erhöhen, was ist das überhaupt und wo stelle ich dies ein? Vielen Dank euch schonmal für die sehr schnellen und zahlreichen Antworten und eure Geduld mit mir :) - finde es echt super, dass ihr mir hier versucht zu helfen, so etwas findet man ja heutzutage eher selten. Tolles Board, sehr nette User - jetzt muss es bloß noch mit der LDAP-Authentifizierun hinhauen :)

So, ich habe nun einfach mal Screenshots vom Punkt Firewall im IPFire gemacht: IP Fire Portweiterleitung Externer Zugang Ausgehende Firewall http://img140.imageshack.us/img140/9963/ipfirefirewalloptionen.jpg Und hier noch ein schöner Screenshot von meiner Konfiguration des Advanced Web Proxys: Advanced Web Proxy Vielleicht habt ihr ja noch Ideen, was man hier umstellen könnte ?!? Dann habe ich den telnet-Befehl auf dem Client ausprobiert: ... woraufhin sich der Text entfernte und der weiße Unterstrich etwa 20 Sekunden zu blinken begann: Ich habe leider immer noch das Problem, dass ich am IPFire KEINEN telnet Befehl absetzen kann! :( Wenn ich mich auf der Shell als Root einlogge und den unten genannten telnet-Befehl absenden möchten, bekomme ich immer den Fehler: -bash: telnet: command not found Und im Webinterface habe ich leider noch keinen Befehl gefunden um telnet Befehle zu versenden. Ich konnte allerdings von der Shell des Proxys einen Ping an srv.Internet.local erfolgreich absenden.

Ja, dann werde ich das mal ausprobieren. Wofür ist telnet eigentlich gut und was bringt es mir? Ist das nur ein Programm (oder Dienst?) um eine Verbindung zwischen zwei Systemen herzustellen? Ich bräuchte immer noch den Befehl/die Syntax um telnet (auf Shell-Ebene) auszuführen. Weisst du die eventuell, woiza? Genau das hatte ich auch schon vermutet. Muss ich dazu eventuell unter Ziel-Ports einen zulässigen Standartport (in dem Fall Port 389 - LDAP) freischalten?

@woiza: Ja, habe wie Christoph35 schon sagte: cn=users,dc=internet,dc=local eingetragen, dass müsste eigentlich der korrekte Bind-DN sein. Yes, dafür habe ich meinem binduser unter "Objektverwaltung zuweisen" (rechtsklick auf OU) "Alle Eigenschaften lesen" zugewiesen. Muss ich den Befehl auf der Shell nach der Anmeldung als root ausführen? Habe telnet IPdesServers 389 probiert, allerdings kommt dann die Fehlermeldung: command not found. Kennst du hier den richtigen Befehl?

Das hat leider auch nicht funktioniert. :( Ich habe die selbe Fehlermeldung wie vorher auch bekommen. Der Firefox meldet: Woran könnte es sonst liegen? Hier mal der Auszug der ADSIEdit: Stimmt vielleicht etwas mit der Übertragung nicht? Wird eventuell ein Port (von LDAP?) geblockt? Habe aber eigentlich am Windows Server 2003 die Firewall deaktiviert... Weiss momentan leider garnicht mehr weiter :(

So, habe nun ADSIEdit über die Support Tools von MS installiert und muss sagen, dass dieses Tool echt super ist! Habe testweise erst einmal den Benutzer Administrator eingetragen, um diesem den Zugang über den Proxy zu gewähren, leider hat das noch nicht richtig geklappt. :( Ich habe hier einmal meine Konfiguration meiner LDAP Einstellungen im Advanced ProxyServer (im Webinterface des IPFires): Base DN: CN=Administrator,CN=Users,DC=Internet,DC=local Base DN Benutzername: CN=binduser,CN=Users,DC=Internet,DC=local Muss ich, wenn ich alle Benutzer einer Gruppe über den Proxy surfen lassen möchte, diese oben bei Base DN (entsprechend dann CN=Internetbenutzer,CN=Users....) eintragen oder muss ich dann an dem Punkt "Erforderliche Gruppe" den Distinguished Name (CN=Internetbenutzer,CN=Users...) eintragen? Nachdem ich mich nun mit dem Client an der Domäne angemeldet habe und den Internetzugriff mittels InternetExplorer getestet habe, bekam ich folgende Fehlermeldung: Auf jedenfall schonmal danke für eure Antworten, wäre sonst nie auf den ADSI Edit gekommen!! Habt ihr vielleicht eine Ahnung, welche Veränderungen ich noch vornehmen müsste? Wäre super, wenn ich noch einige Tipps von euch bekommen könnte..

Was ist denn der "Distinguished Name" und wo finde ich diesen? Und was ist ADSIEdit bzw. was kann ich damit machen? Habe beide Begriffe noch nie gehört, wäre super nett, wenn du mir sagen könntest, was ich damit machen kann und wie ich vorzugehen habe. Habe leider noch nicht sehr viel Erfahrung mit dem Windows 2003 Server, deshalb hoffe ich, dass du mir hier helfen kannst, wäre sehr nett !! Gruß

In der OU "Users", wo sich auch alle anderen Benutzer befinden.

Ja, habe gerade den binduser angelegt, allerdings funktioniert es immer noch nicht :( Ich bin wie nach Anleitung vorgegangen: Objektverwaltung zuweisen -> Hinzufügen: binduser -> Benutzerdefinierte Tasks zum Zuweisen erstellen -> Benutzer-Objekte -> Alle Eigenschaften lesen Diesen habe ich dann unter LDAP mit Passwort eingetragen. Es kommt zwar, wenn ich am Client z.B. den Firefox öffne eine Abfrage, allerdings nimmt er den Benutzernamen und das Passwort nicht an :(

Das sollte nach meinem Verständnis und kurzer Lektüre von HTTP Proxy korrekt sein. Okay, also muss cn=Users also die Ou sein, in der sich alle Benutzer befinden? Hatte anfangs gedacht, dass dies eine Gruppe ist, in der sich alle Benutzer befinden, aber wenn du da zustimmst ist das hoffentlich so richtig. Wäre super, wenn du mir sagen könntest, wo ich diesen anlegen kann. Gruß

Hallo, ich habe letzte Woche einen Windows Server 2003 mit als Domänencontroller (Domäne:Internet.local) installiert und die Benutzer in die OU Users eingepflegt. Zusätzlich habe ich noch eine Endian Firewall installiert. Diese möchte ich nun als Proxy-Server verwenden, sodass alle Benutzer, die sich am Domänencontroller anmelden auch über den Proxy surfen können. In der Endian Firewall gibt es nun die Möglichkeit bei Authentifizierung "LDAP" einzustellen. Was muss ich nun dort einstellen? cn=Users,dc=Internet,dc=local <- ist das so richtig? Und dann gibt es noch den Punkt "Bind DN Benutzername" und "Bind DN Passwort", auch dort habe ich leider keine Ahnung, was ich eintragen muss. Ich hoffe, dass schon jemand von euch Erfahrung mit der Endian Firewall gemacht hat und mir weiterhelfen kann? Gruß

Nein, die 70 Rechner hängen alle an einem Router (192.168.1.1). Heisst das nun ich brauche 2 Netzwerkkarten im Proxy und die Pakete müssen von Netzwerkkarte 1 auf Netzwerkkarte 2 geroutet werden? Wäre super nett, wenn du mir diesen Punkt einmal erklären könntest. Wäre somit folgende Konfiguration richtig: Diesen Punkt kann man dann doch bestimmt in den Gruppenrichtlinien festlegen,oder? Dass die Benutzer die Internetoptionen nicht verändern dürfen. Pass auf: Wir haben 2 physikalisch getrennte Netze. Das eine ist ein internes Netz, d.h. es gehen keine Daten raus ins Internet. Jeder Mitarbeiter hat nun seinen eigenen Rechner, der im internen Netz steht (kommt nicht ganz hin wegen Schichtdienst/Teilzeit usw.). Nun sind diese 2000 Mitarbeiter ja alle in verschiedenen Abteilungen. Pro Abteilung gibt es dann einen Internet-Rechner (70Abteilungen = 70 Rechner), an dem die Mitarbeiter recherchieren können (an ihrem internen Rechner haben sie ja kein Internet!). Und um diese Rechner und dieses Netz geht es nun. Für diese Rechner soll nun eine Domäne erstellt werden und eine zentrale Virenscannerlösung eingerichtet werden. Bisher waren alle Rechner in einer Arbeitsgruppe und hatten einen lokalen Virenscanner installiert. Ich hoffe jetzt weisst du, wie unser Netzwerk aufgebaut ist. Nein, es wurde auf den Rechnern bisher nur die lokale Windows-Firewall verwendet. Meinst du mit sauber verteilt: eigener Windows 2003 Server, eigener Proxy ? Wäre super nett, wenn du mir meine noch offenen Fragen beantworten könntest. Gruß

Es ist eigentlich ganz einfach: Wir haben: 2000 Mitarbeiter (welche in ca. 70 Abteilungen arbeiten). Pro Abteilung haben wir einen Internetrechner, welche momentan noch in einer Arbeitsgruppe eingebunden sind. Es gibt momentan weder einen Proxy-Server noch einen AD Server. Ich hoffe die Ausgangslage ist nun klar? Nun möchte ich eine Domäne erstellen: An dieser sollen sich nun alle Mitarbeiter der Abteilungen (für jede Abteilung wird ein Benutzer erstellt) anmelden können. Das mit dem Netzwerklaufwerk lassen wir erst einmal außen vor, mir geht es hier erst einmal nur um die Implementierung des Windows Servers und des Proxys. Da wir in unserem Netz dann auch eine gewisse Sicherheit haben möchten, wollen wir mit dem Proxy noch URLs, Ports und Viren blocken. Und hier liegt nun der Hase im Pfeffer: Kann ich den Proxyserver in dem 192.168.1.x Netz problemlos einbinden? Habe mal gelernt, dass ein Proxy normalerweise die Pakete von Netz1 in Netz2 routet. Ich möchte diesen aber einfach nur in das oben 192.168.1.x Netz einbinden, quasi nur als Filterfunktion. Ist das möglich? Ich hoffe ihr habt verstanden, was ich vorhabe ?

Nein, ich glaube du hast das komplett falsch verstanden. Ich habe mich da wohl auch schlecht ausgedrückt, deshalb nocheinmal ausführlich: Wir haben ein internes Firmennetz (in dem fast jeder Mitarbeiter seinen eigenen Rechner hat), welches physikalisch vom Internetnetz getrennt ist. In dem internen Netz bearbeiten nun alle Mitarbeiter ihre Vorgänge und haben manchmal zusätzlich noch einen Internetrechner, welcher eben nicht in einer Domäne hängt (den Rest habe ich ja schon oben aufgeführt). Ja, alle 70 Internetrechner sollen über den Proxy laufen. Die Netzwerkfreigaben ("Home-Ordner") für die jeweiligen Benutzer werde ich dann auf dem Windows 2003 Server einstellen. Wie oben schon beschrieben befinden sich die Standartarbeitsplätze in einem anderen extra Netz. Die 70 Rechner laufen bisher nicht in einer Domäne, korrekt. Auf allen Maschinen läuft Windows XP und der Server für die Domäne soll ein Windows 2003 Server werden. Ich hoffe, dass du mir nun folgen kannst (habe mich wohl etwas missverständlich ausgedrückt). Hauptproblem ist aber wie gesagt, dass ich nicht genau weiss, wie ich den Proxy implementieren soll. Auf jeden Fall schonmal vielen Dank für die schnelle Antwort! Gruß