fly87

Hallo, das wäre ja noch nicht mal die Sache... Nur das der Online Logon direkt über VPN wohl so nicht möglich ist... Wenn der User draußen ist, dann muss er um wieder rein zu kommen zunächst mal eine UMTS Verbindung herstellen und danach eine Einwahl ins VPN durchführen. Sicher kann ich bei der Anmeldung sagen, per DFÜ anmelden. Das bringt mir aber nichts... Über diesen Punkt kann ich keine UMTS Verbindung herstellen. Und selbst wenn, dann fehlt immer noch die VPN Einwahl. So oder so müssten also zwei Verbindungen gewählt werden. Zunächst mal UMTS und dann VPN... Aber wie sollte ich das machen? Du sagst ich rede von lokalen Profilen... So meine ich das aber nicht. Wenn die Domäne nicht verfügbar ist und ich mich dennoch mit meinem Domänenprofil anmelde, dann habe ich ja eine Offline Anmeldung. Das meine ich dann mit lokalen Profilen. Viele Grüße Tom

Das tun die ja... Das geschilderte basiert auf den Domänen Accounts... Aber ohne Domäne im Rücken ist es eine Offline Anmeldung. Das geschilderte basiert auf den Domänen Accounts. Wenn ich Offline Profile sage, meine ich nicht lokale auf dem Notebook selber... Sondern schon Domänenprofile, die aber eben dann offline anmelden.

Hallo zusammen, ich würde gerne etwas mehr Sicherheit in das AD bekommen, welches ich betreue... Bisher war es so, das Passwörter wie optional behandelt wurden. Sprich man muss das nie ändern, hat keine Mindestlänge und sowas halt... Ich habe schon einiges gemacht... Konten werden bei 10 ungültigen Versuchen gesperrt... Eine solche Sperrung hat zwar nur Auswirkung auf das Domänenkonto, aber das reicht ja schon. Die Benutzer sind alle samt die meiste Zeit draußen. Das bedeutet, ich bekomme in folgenden Situationen für diese Benutzer ein Zugriffsproblem... Zur Info, VPN Zugänge werden durch den Provider gestellt und es erfolgt kein Auth am AD. Erst beim Zugriff auf Server wird das dann genutzt. a) Wenn ich das Kennwort ändere und der Benutzer per VPN mit dem alten PW per VPN rein kommt und versucht auf Recoursen zuzugreifen. Gibts die Meldung Zugriff verweigert. Kennwort kann dann auch nicht geändert werden, gibt die Meldung Domäne nicht verfügbar... b) Wenn das Kennwort abläuft und der Benutzer dadurch normalerweise bei der Anmeldung die Meldung erhält, das er sein Kennwort jetzt ändern muss. Diese Meldung gibts aber nicht, wenn man sich zwar mit dem Domänenaccount anmeldet, aber die die Domäne nicht erreichen kann... Quasi eine Offline Anmeldung... Dann gibts die selben Meldungen wie unter a. Jetzt muss ich also überlegen... Entwerder keine Änderungsrichtline oder doch eine und ich finde eine Lösung für das Problem. Ich hatte mir was überlegt... Dadurch, das der VPN Zugang vpm Provider geschaltet ist und kein Auth am AD erfolgt könnte ich doch auf dem internen IIS in Zusammenarbeit mit PHP und LDAP eine Seite bauen, die eben diese Felder zum Kennwort ändern enthält. Wie das von der Programmierung umzusetzen wäre, ist mir klar aber würde das überhaupt klappen? Diese entsprechende Seite müsste ja Berechtigungsmäßig so sein, das die jeder aufrufen kann... Im internen Netz natürlich. Aber das werde ich wohl doch vergessen können, weil dadurch würde ja bestimmt nicht das lokale Profil geupdatet werden... Das wird doch sicher erst bei der Anmeldung am AD direkt angepasst oder wie sieht das aus? Die Grundidee war, dadurch das der IIS Server ja ein Mitgliedsserver ist und damit eine ständige Verbindung zum AD hat, könnte der Benutzer sein Kennwort an dieser Stelle ändern. Aber da sind wie schon genannt, ein paar Fragen offen... Dann ist auch noch die Sache, wer macht das? Benutzer probiert, geht nicht... Ach jetzt muss ich die Seite wieder aufrufen etc. pp. Grüße Tom

Hab meinen Beitrag mal editiert... Ich kann im AD einem Benutzer doch zuweisen, an welchen Maschinen er sich anmelden darf... Wenn ich da eine Maschine eintrage, warum werden dann trotzdem Laufwerke verbunden, die auf einem Server liegen, der aber gar nicht in der Liste zur Anmeldung eingetragen ist... Edit: Zu langsam... Danke Daim für die Antwort... Das wollte ich wissen.

Hallo, ihr könnt mir doch bestimmt bei folgender Frage helfen... Wenn ich im AD hinterlege, das ein User sich nur an einer bestimmten Workstations anmelden darf, warum kann er dann mit seinen Anmeldeinformationen immer noch Laufwerke verbinden, die auf den Fileservern liegen, die aber gar nicht in der Liste stehen... Danke...

Hallo, das stimmt aber so nicht... Es ist richtig, das man erst mal das MSI Paket einbindet. Dadurch wird Office 2007 zunächst Voll installiert. Nachdem der Benutzer sich aber dann angemeldet hat, laufen die entsprechenden Config Scripte, also die Config.XMLs und konfigurieren Office entsprechend. Werfen das nicht benötigte wieder weg und du hast das Paket so, wie es vorher definiert war... Das habe ich alles mit Boardmitteln gemacht... Klappt 1A... Die User kriegen gesagt, pass auf das ist hier was anders... Das konfiguriert sich nach deiner Anmeldung erst mal... Das sieht man per Fenster mit Fortschrittsbalken.

Hallo zusammen, im Windows internen DNS Server, also der DNS Server, der mit dem AD zusammen installiert wird müsste der nicht eigentlich für jeden Client einen A Eintrag erzeugen, wenn sich dieser Morgens meldet? Also ich verstehe das nicht. Mein DNS Server ist so leer. Zwischendurch gibts mal Einträge. Die Einträge, die ich dauerhaft sehen kann sind Servereinträge. Jetzt habe ich gesehen, man kann in der GPO unter Computerconfig -> Netzwerk -> DNS-Client ein Dynamisches Update aktivieren. Könnte das evtl. etwas bringen? Ich hab mir mal das Log angeschaut, wo ich denke, daher könnte auch etwas kommen. Ich weiß allerdings bisher noch nicht warum es diese Meldung gibt. Die Meldung lautet: DNS-Server hat einen kritischen Fehler im Active Directory ermittelt. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert. Aber warum weiß ich nicht. Ich kann keinen Fehler im AD feststellen. Das läuft ohne Probleme... Ich finde die Meldung irgendwie unschlüssig. Weil ich gar nicht weiß, wo ich ansetzen soll, weil im Betrieb kein Fehler aufläuft.

Hallo... Keiner weiß was zu dem EAP Zertifikat?

Hallo zusammen, ich würde gerne mal testweise eine WLAN Authentifizierung über EAP und IAS durchführen. Die Konfiguration des ganzen ist dabei nicht einmal das schwere. Was ich mich aktuell frage ist, wie komme ich an das EAP Server Zertifikat? Das ganze soll auf PEAP mit EAP-MS-CHAPv2 basieren. Soweit ich gelesen habe, soll es möglich sein, dadurch eine AD basierte Authentifizireung durchzuführen. Die Frage ist nur, wie stelle ich das EAP Serverzertifikat aus? Kann ich dafür die W2K3 hauseigene Zertifizierungsstelle nutzen?

Hallo zusammen, ich habe hier ein Netzwerk, welches ich seit etwa einem halben Jahr am säubern bin. Wir betreuen einige kleinere Unternehmen in Sachen IT. Jetzt habe ich hier eine Fimra, welche sich nie um Infrastruktur oder ähnliches gekümmert hat. Daher habe ich auch schon vieles in dieser Richtung gemacht. Was mir aber immer noch ein Riesendorn im Auge ist, ist der verkonfigurierte Primary DC. Da gibt DNS tausende Fehler aus, das Ding ist lahm, die Default Domain Policy ist sowas von verbastelt.... Da ich das AD aber nicht komplett neu aufsetzen will, dachte ich an folgendes: Ich habe einen zweiten DC... Dieser übernimmt zunächst alle FSMO Rollen. Dieser wird auch DHCP... Damit kann ich dann alles an den zweiten DC geben. Denn auf dem zweiten DC gibt es keine Probleme mit dem DNS, jedenfalls sehe ich nichts im Log. Daher würde ich gerne ein paar Dinge klären, die mir nicht ganz klar sind , bevor ich den ersten DC neu aufsetze... Als ich den zweiten DC installiert habe, hat dieser alles (AD, DNS) als Replikation erhalten. Allerdings sehe ich hier in den DNS Logs keine Fehler wie das AD hat einen schweren Fehler festgestellt oder AD kann nicht zugreifen etc. Heißt das, diese Fehler beziehen sich nur auf den DC1, weil verkonfiguriert oder sehe ich das auf dem DC 2 nicht, weil er nicht der HauptDC ist? Obwohl der ja eigentlich gleichberechtigt ist... Soweit ich nämlich weiß fungiert ein zweiter DC gar nicht mehr als BDC... Nach der Neuinstallation des Primary oder vorher, würde ich gerne das Tool nutzen um die Default Domain Policys (DC und Domäne) wiederherzustellen. Hat das irgendwelche Auswirkungen auf den Betrieb? Es gibt inzwischen eine eigene Policy für das Unternehmen und ein Exchange ist auch nicht vorhanden... Ich glaube nämlich, der setzt sich auch in der Default Domain Policy fest... Da ich ja im W2K3 nur eine PW Richtline vergeben kann, was würdet ihr empfehlen? Diese Einstellungen in der Default Policy zu machen oder lieber die eigene über die Default setzen? Alles gute und viele Grüße Tom