fly87

Ja DirectAccess hatte ich auch schon mal im Sinn. Das klappt aber soweit ich weiß nur dann, wenn auch ein W2K8 dahinter steht. Die Frage ist aber trotzdem... Kriege ich das zwischengespeicherte Profil trotzdem wieder reaktiviert oder muss zwingend eine Domänenanmeldung erfolgen. Die nächste Frage die sich stellt und mit der ich mich auch schon lange beschäftige... Wie kriege ich das hin, das eine Anmeldung an der Domäne erolgt, wenn ich im Grunde zunächst erst mal eine UMTS oder Internetverbindung haben muss und dann noch per VPN Client eine Verbindung herstellen muss... Das müsste ja alles VOR der Anmeldung passieren. Ich verstehe deine Aussage "mindestens einmal im Monat" Anmeldung an der Domäne so, das der Benutzer eine Domänenanmeldung durchführen muss und das es nicht reicht, sich per VPN ins Netz zu verbinden. Denn per VPN arbeitet der Mensch ja ständig.

Ich schätze mal etwas mehr als 3/4 Jahr dürfte das jetzt her sein. Gibt es einen Weg, das Profil irgendwie zu refreshen, also quasi eine Domänenanmeldung durchzuführen wenn ein anderer Benutzer angemeldet ist. Über VPN z.B. per Command oder sowas...

Hallo Zusammen, weiß jemand Rat bei folgender Sache: Benutzer Notebook meldet sich selten an der Domäne an. Domänenprofil liegt aber vor und wurde auch lokal zwischengespeichert. Eine Anmeldung war auch bisher ohne Probleme möglich. Allerdings bekommt der Benutzer jetzt die Meldung, es wären keine Anmeldeserver verfügbar, wenn er sich anmelden will... Wohlgemerkt offline also mit dem Zwischengespeicherten Profil. Da ich leider keinen Zugang zu dem Rechner kriege, der Benutzer sich weigert mit zu arbeiten habe ich den Fall einfach zurück gewiesen. Allerdings würde ich für mich schon gerne versuchen zu klären, wo das "Problem" plötzlich her kommen kann. Ist das Profil möglicherweise auf eine Art ablaufen und braucht daher die Domänen Infos? Freue mich auf Rückmeldung.

Hallo Zusammen, vielleicht kann mir jemand bei einer kurzen Frage helfen. Welches Attribut wird bei der Anmeldung eines Benutzers herangezogen? Der userPrincipalName oder der sAMAccountName oder doch eher das name Attribut? Meine Frage hat einen bestimmten Grund... Am OS kann ich mich wunderbar mit dem sAMAcoountName anmelden. In meinem LDAP Explorer und anderen Anwendungen funktioniert das nicht. Da muss ich den Inhalt des name Attribut angeben... Problem ist, wenn der Feldinhalt Dinge enthält wie: Nachname, Vorname, Firma / TLD Das gibt ja kein Benutzer ein. Ich stelle mir daher die Grundsatzfrage, kann ich innerhalb des AD etwas einstellen, damit auch der eigentliche Username (sAMAccountName) funktioniert oder liegt das nur an der Anwendung selbst, welches Attribut bei der Anmeldung bzw. Authentifizierung eines Benutzers ran gezogen wird...

Hallo Zusammen, vielleicht hat jemand eine Idee... Von einem Notebook des Domänennetzwerkes erhalte ich immer wieder den Versuch, den Domänenadministrator anzumelden. Das macht sich im Log wie folgt bemerkbar: Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Anmeldekonto: Administrator Arbeitsstation: EMINB365 Fehlercode: 0xC000006A Die Frage ist, was ist das... Das Notebook selbst habe ich mir bereits einmal ansehen können. Es sieht zumindest auf den ersten Blick sauber aus was Viren etc. angeht. Der Benutzer selber versichert überhaupt keine Anmeldungen in dieser Richtung vornehmen zu wollen. Er wusste laut eigener Aussage nicht mal, das es sowas wie einen Administrator Account überhaupt gibt. Adminrechte hat er auch keine... Problem ist, das taucht alle paar Minuten im Log auf. Und sperrt mir damit den Built-In Domänen Admin. Was letztlich auch kein großes Problem ist. Aber bevor ich das Ding wirklich neu aufsetzen lasse, würde ich ja schon gerne rausfinden was da los ist... Jemand eine Idee? :)

....ja aber offenbar gibt es die ja nicht, da der nächtliche Restart offenbar das Problem gelöst hat... Nicht böse, abfällig oder so gemeint, aber Verstehst du, ich denke mir das ja nicht aus, das dass Log nach diesem Restart wieder normal ausschaut und keine Errors mehr drin sind, die vorher im 5 Minuten Takt kamen... Selbst wenn ich jetzt den Ordner anschaue, der angemotzt wurde, hat sich da rein gar nichts verändert. Also will mir nicht ganz in den Kopf... Ich versuche gerade nach zu vollziehen, was da passiert ist. Du hast sicher nicht ganz unrecht, Aber: Wie kann er ein File verarbeiten wollen, das es nicht gibt, nach unserer Auffassung und es gibt blos zwei Admins, die dazu überhaupt Berechtigung hätten, nie gegeben hat und nach dem Restart ist das alles wieder vergessen und alles läuft wieder so, wie es sein soll... Kann ja nicht von ungefähr kommen, die vorherige Meldung.

Insgesamt nicht lange, aber das wäre ja eine Murkslösung, die nicht wirklich die Ursache behabet sondern nur die Auswirkung, den Log Eintrag aufhebt... ....nein, das nicht. Der erste DC ist bei uns, aus der Tradition immer nativ und alleine auf einer eigenen Hardware installiert. ------ Eines ist aber sehr komisch, davon ab. Es hat sich jetzt offenbar erledigt. Gestern Abend gegen 23:00 Uhr fand noch mal ein Restart des Servers statt. Dann gabs eine Log Meldung, die Sicherheitsrichtlinen wurden erfolgreich angewendet. Die gabs beim letzeten Restart nicht. Seit dem ist die Meldung nicht wieder aufgetaucht... Aber diese vorher benannte Datei gibt es immer noch nicht. Ist mir ein echtes Rätsel...

Also es kann sein, unter Umständen, das es eine solche Datei mal unter Windows 2000 Server AD gab... Aber dann hätte dieses Problem ja schon mal da sein müssen. Ich habe mit meinem Kollegen gesprochen. Weder er noch ich haben jemals mit selbst gebauten Templates gespielt. Mal in einer VM Umgebung, die keinen Zugang zu den Produktivsystemen hatte... Wie gesagt, bis zu dem Neustart gab es das Problem ja nicht. Gut, der DC ist die letzt 1,5 Jahre nicht durchgestartet worden, aber nee kann ich mir nicht vorstellen... Da werde ich noch mal weiter prüfen müssen.

Hallo, ich habe mir jetzt heute mal etwas genauer Zeit genommen für das Problem, also diese angemahnte Policy ist die Domain Controller Policy sprich Gruppenrichtline. Wenn man diese bearbeiten will, gibts den genannten Fehler, als Fenster und auch einen direkten Log Eintrag. Die angemeckerte "inetres_angepasst_poledit.adm" gibts in dem fraglichen Verzeichnis überhaupt nicht. Es gibt eine interes.adm und das wars. Bisher habe ich nie auf selbstgestrickte Vorlagen gesetzt. Möglicherweise hat sich auch irgendwas verschluckt, was jetzt nicht ersichtlich ist. Ich werden den Neustart noch einmal probieren und dann mal sehen, ob der Fehler weiterhin besteht. Es gibt ja auch noch die Möglichkeit, die DC Policy wiederherzustellen. Mit dem Thema müsste ich mich dann befassen... Allerdings ist die nie angepackt worden, ähnlich wie die Default Domain Policy.

Öffnen ja, gucke ich mir dann aber die Gruppenrichtline an, dann erhalte ich ein Error Fenster, welches über die Richtline im Fehlerlog meckert. Meldung ist folgende: Also offenbar doch irgendwo in der DC Gruppenrichtline, seltsam das ich diesen Fehler auf dem genannten DC selber nicht erhalte... :suspect: Obwohl er sich die Liste ja vom ersten DC geholt hat...

Hallo zusammen, vor einiger Zeit musste ich nahezu alle System herunterfahren, da an der Stromversorgung des Serverraums gearbeitet werden musste, da gabs Arbeiten wegen der Klimaanlage etc. Alle Systeme danach wieder hochgefahren. Auf den ersten Blick lief dann auch alles und ich bemerkte keine Fehler. Über die Tage habe ich dann etwas Urlaub gehabt und daher auch nicht die Logs verfolgt. Heute komme ich wieder und finde das Anwendungslog des ersten von zwei DCs voll mit Ereignissen 1030 und 1058. Dazu gibts auch einen KB Artikel: Verarbeitung der Gruppenrichtlinie funktioniert nicht und die Ereignisse 1030 und 1058 werden im Anwendungsprotokoll des Domänencontrollers protokolliert Der Fehler lautet: Aber diesen Fehler verstehe ich nicht, denn alle Berechtigungen stimmen, sowohl die Sysvol als auch die DC Richtline, die genannten Dienste laufen auch. Vor dem Restart hatte ich diese Probleme nicht. Ich habe zwar ein paar Software Policys gelöscht, da wir damals auf Verteilung über AD gesetzt haben, das aber schon einige Zeit nicht mehr so machen. Es gab auch nie so eine Meldung, die tauchen erst alle 5 Minuten seit dem Restart des Servers auf. Auf dem 2. DC sehe ich keine dieser Meldungen. Anmeldungen etc. klappen über beide DCs, das konnte ich schon testen. Policy Änderungen ziehen auch... Ist mir ein bisschen Rätselhaft, hat jemand von euch evtl. eine Idee, was hier das Problem auslöst...? Bevor ich den wieder neustarte, wollte ich hier erst mal nachhören, möglicherweise kennt jemand das Problem. Danke euch. Viele Grüße, Ben

Hallo, also ein Neustart auf dem betreffenden System hilft tatsächlich leider nicht. Nur der Befehl entsprechend hat jetzt Wunder gewirkt. Hmmm... Bleibt die Frage offen, wenn ich dieses System mal produktiv setze irgendwann, ob ich dann dieses Problem ständig habe. Dann macht letztlich das sperren von Zertifikaten im Fall des Falles keinen Sinn...

Hallo zusammen, ich habe gerade die W2K8 CA im Test... Ich habe hier eine Seite Testweise zertifiziert... Hat auch wunderbar geklappt, der Browser akzeptiert diese Verbindung ohne Hinweis... Dann habe ich das Zertifikat wieder gesperrt, die Sperrliste veröffentlicht und diese Veröffentlichte Liste dann manuell in mein Testsystem eingespielt. Gucke ich mir in der MMC dann die Sperrliste an, sehe ich das diese entsprechenden Einträge (Zertifikate) gesperrt sind. Rufe ich aber dann diese Website auf, dann interessiert das den Browser ganz genau null... Tut so, als wäre die Verbindung immer noch gültig. Wie kann denn das sein? Kann mir da jemand weiterhelfen...

Hallo, also wenn Du die Netze kennst, d.h. wenn Du weißt wie die Netze bei dir ankommen, dann würde ich das nicht über Windows Server machen... Bedenke was da alles nötig wäre. Du brauchst n Server, du brauchst die Lizenzen etc. Dann setze doch wirklich lieber einen Router, also einen wirklichen Router ein. Genau für diese Zwecke ist der ja auch gedacht und ist kein bisschen unprofessionell, spart Zeit und vor allem spart Geld.

Hallo, das war eine Überlegung, nichts weiter. Wir haben keine ungesicherten Netze. Ich stellte mir nur gerade die Frage, da es leider, aus IT Sicht leider auch "fremde" gibt, die einen VPN Zugang haben, dann zwar sehr sehr eingeschränkt sind, auf ein bestimmtes Netz etc. kam mir die Überlegung. Der sitzt zuhause, keine Ahnung von nichts... Der Rechner ist zwar von uns und der jenige hat auch keine Adminrechte, Antivirenschutz und Firewall lokal ist da selbstverständlich... Blos der hat evtl. und betonung ist evtl. das Netzwerk nicht geschützt. Die Überlegung der Firewall lokal hatte ich letztlich auch, aber ich bin mir einfach nicht sicher in Bezug auf Software Firewall... Es ist eben eine Software... Für "normale" MAs ist ein SPLIT Tunnel und für externe ein FULL Tunnel. Diese Überlegung, die zahni anstellt bzw. des Tunnels hatte ich dahin gehend auch schon... Mir gehts nur um die Natur der Sache... Unverschlüsseltes WLAN bedeutet doch letztlich der Stream ist lesbar. Nennt es Paranoid, aber das Modell mal durchzuspielen halte ich gar nicht für so abwegig... Der Tunnel, in dem Fall der Full Tunnel, wird initiert durch das entsprechedne Notebook. Das heißt dann der Tunnel wird durch den Router hindurch aufgebaut. Also quasi [NOTEBOOK] > [ROUTER] > [WELT] > [COMPANY] Ein potenzieller Angreifer kommt aber an die Daten innerhalb des Tunnels nicht ran. Um die Überlegung mal abzuscließen, der FULL Tunnel besagt ja, alles durch den Tunnel zu schicken. Irgendwie ist die Überlegung aber nicht fertig. Klar, jetzt sind die Daten nicht lesbar, weil alles durch den Tunnel geht. Dann müsste das ja gleichzeitig heißen, das dieses Notebook für das lokale Netz überhaupt nicht mehr erreichbar ist und somit der Angriff von vorn herein abgeschmettert ist, weil der Tunnel davor sitzt in der Angreifer nicht rein kommt. Kann man das so sagen?

Hallo zusammen, ich stelle mir gerade folgende Frage... Ich habe ein offenes und ungeschütztes WLAN. In diesem WLAN befindet sich ein Client, der eine VPN Verbindung per IPSec und AES 256 Bit Verschlüsselung zum Firemnetzwerk herstellt. Ich komme ja damit von Außen nicht an die Daten im Tunnel ran... Nur ist das WLAN ja offen... Ist da nicht die Wahrscheinlichkeit gegeben, das sich jemand von außen in den Client einhackt und dann quasi den Strom mitlesen kann... Oder auch quasi von dort aus in den Tunnel gelangt... Was denkt ihr?

Hallo zusammen, vor einiger Zeit haben wir mittels Cisco ASA ein neues VPN Modell eingeführt. Das ganze funktioniert auch wirklich prima... Aber eine Sache macht mich immer wieder stutzig... Wenn sich Rechner im VPN anmelden, dann erhalten sie vom Cisco Device eine entsprechende IP Adresse. Der DNS Server bekommt das entsprechend mit und hinterlegt diese IP. Unser DNS Server ist AD integriert, direkt auf dem DC. Wenn ich also dann einen Rechner anpingen will im VPN anhand des Namens klappt das. Allerdings behält der DNS Server diese IP für dieses Computerobjekt nachdem Logout aus dem VPN. Da damit die IPs wieder freigegeben werden, habe ich das Problem, das mehrere Objekte die selbe IP haben, was in manchen Situationen zu Problemen führen kann. Beispiel: Ausrollen eines neuen Release unseres Virenscanners... Der entsprechende Server dahinter hat eine Aufgabe, den neuen Client auf alle Rechner zu packen, wo der Client noch nicht drauf ist. Jetzt habe ich zwei Rechner... Im DNS die gleiche IP hinterlegt. Der eine hat das Produkt, der andere nicht. Der Server prüft anhand des Namens den Rechner ab... Ergebnis: Client fehlt, installationsphase wird vorbereitet... Bevor er damit beginnt prüft er noch mal und bekommt jetzt einen anderen Rechnernamen... Dann hat er einen Error. Oder er ändert das ganze ab und bügelt das einfach auf dem Client noch mal drüber und meldet Erfolg... Jetzt überlege ich, wie kriege ich das hin, das der DNS Server keine falschen IPs meldet bzw. diese nicht doppelt belegt sind. TTL ist auf 1h Aktualisierungsintervall auf 15 Minuten Der Eintrag läuft ab nach 1 Tag Viele Grüße, Tom

Gibt es für einen solchen Fall keine Lösung?

Es ist ein Testnetz... Deshalb auch weniger schlimm, aber demnächt sollen eben genau diese Softwarekomponenten auch im produktiv Netz verschwinden... Also nicht verschwinden, sondern das GPO soll weg. Da liegt der Hund begraben... Ausserdem... Ich motz ja gar nicht. Ich würde ihn das nur gerne vergessen lassen, dann habe ich weniger Ärger im produktiv Netz nachher.

Richtig... Genau dort. Kann ich ihn das irgendwie vergessen lassen, das es dieses GPO Objekt mal gab und nun nicht mehr? Durch das Ändern das Hakens fängt er, schalu wie das System ist an, noch einmal alles drüber zu bügeln und vergisst dabei wertvolle Einstellung... Tolle Erfindung... Weiß schon, warum ich MS nicht will als Softwareverteilungsschmiede...

Hallo zusammen, ich hätte mal eine Frage in Richtung GPOs... Ich hatte im testnetz mal Software per GPO verteilt und konnte diese durch entfernen der Gruppe wieder deinstallieren. Jetzt habe ich dieses GPO gelöscht und er fängt an überall die Software zu deinstallieren. Und das obwohl das Objekt gelöscht ist. Frage ist, wie kann ich das verhindern... Denn einige dieser Objekte sollen demnächst auch produktiv gelöscht werden und die Software dahinter soll erhalten bleiben. Allerdings wenn man etwas an dem Objekt ändert, den Hake weg nimmt etc. dann fängt er beim nächsten Start gleich an, das noch mal zu installieren. Kann man irgendwie den Rechnern mittteilen, dieses GPO Objekt praktisch zu vergessen? Per Script etc.? Danke euch im Voraus.

Hallo zusammen, ich werde aus den CALs von Microsoft nicht schlau... Ich habe ca. 100 Benutzer. 7 Server und insgesamt 700 User Cals, weils günstiger ist als Device Cals. Ich weiß nur nicht, ob ich jetzt zu viele habe, weil ich nicht schlau draus werde, wo man die einsatzen muss... Also z.B. ein DC, auf den greifen bei der Anmeldung ja alle 100 User zu. Brauche ich da 100 CALs? 2.) Auf den Fileserver greifen ebenso die 100 USer zu. Brauche ich die Cals? 3.) WSUS Server. Auf diesen greifen ja die User nicht wirklich zu. Brauche ich die CALs? Ich selbe meine zu 1 und 2 Ja, aber bei drei bin ich mir unsicher... Vielleicht könnt ihr helfen.

Hallo zusammen, ich beabsichtige einen Wechsel von Server 2003 auf Server 2008 durchzuführen. Da das ganze auf dem System passieren soll, was zur Zeit noch läuft beschäftigt mich folgende Frage... Auf dem Server läuft eine CA. Das ist jetzt keine besonders wichtige aber wenn sie nicht verloren geht, wäre das auch nicht schlecht. Mir sind allerdings die Schritte noch nicht ganz klar, was man tun muss... Habt ihr da hilfreiche Tipps? Wenn es zu viel Arbeit ist, dann plätte ich die lieber mit und setze sie dann neu auf... Es ist nur eine lokale. Mir gehts nur darum, das dass Serverzertifikat in den Vertrauenswürdigen Stammzertifizierungsstellen sitzt, welches ich ja dann austauschen lassen müsste.

Hallo, ich habe hier auf Windows 7 und UMTS den Cisco VPN Client 5.0.0.7 im Einsatz. Leider scheint der Client ja Probleme mit internen WWAN Devices unter Windows 7 zu haben. Ich wollte daher mal fragen, ob jemand da einen guten Workaround kennt...

Hallo noch mal, ich konnte das Problem inzwischen einigermaßen beheben. Ich denke mal, jetzt fehlen mir irgendwo noch Rules. Das VPN Sysopt habe ich abgeschaltet, auch wenn Cisco empfiehlt, es eingeschaltet zu lassen. Mir erscheint es aber so, als wäre es besser, weil man mehr Kontrolle hat, das ganze über Access-lists selbst zu steuern. Ich versuche immer gerne die Sachen selbst zu lösen... Aber hier komme ich jetzt nach langer Zeit gar nicht weiter. 2|Aug 25 2010 16:45:43|106007: Deny inbound UDP from 192.168.1.104/54648 to 192.168.1.2/53 due to DNS Query 2|Aug 25 2010 16:45:43|106007: Deny inbound UDP from 192.168.1.104/53683 to 194.8.194.60/53 due to DNS Query 2|Aug 25 2010 16:45:43|106007: Deny inbound UDP from 192.168.1.104/53683 to 192.168.1.2/53 due to DNS Query 6|Aug 25 2010 16:45:42|110002: Failed to locate egress interface for UDP from outside:192.168.1.104/2777 to 239.255.255.250/1900 2|Aug 25 2010 16:45:41|106007: Deny inbound UDP from 192.168.1.104/54648 to 192.168.1.2/53 due to DNS Query 2|Aug 25 2010 16:45:41|106007: Deny inbound UDP from 192.168.1.104/53683 to 192.168.1.2/53 due to DNS Query Manchmal erhalte ich auch die Meldung, das es keine Überstzungsrule gibt... Die Meldungen stimmen auch. Ich habe keine NATs gebaut und keine Access-lists, weil ich da nicht weiter komme. Der Client 192.168.1.104 ist im VPN, der Client 192.168.1.2 ist ein Server hier im Testnetz, der u.a. Domain Controller mit einem DNS Server ist. Weil das Problem ist auch, ich komme zwar ins VPN aber das wars. Von da aus gehts nicht weiter. Kein Ping, kein gar nichts. Da fehlt wohl eine NAT Rule... Aber von wo nach wo? Von 0.0.0.0 0.0.0.0 nach 192.168.1.0 <- ? Dann gäbs ja ein komplett NAT von außen nach innen... Ich komme da zur Zeit nicht weiter. Danke für eine Info...