Jump to content

OliverZ

Members
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    42

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von OliverZ

  6. Server Core: Keine Netzwerkkarte aktiv

    in Windows Server Forum

    Geschrieben

    Liebe Gemeinde!

     

    Ich habe einen Server Core und bekomme die Netzwerkkarte nicht zum Laufen.

     

    SCONFIG sagt, dass keine aktive Karte vorhanden ist

    "netsh interface show interface" zeigt kein NIC in der Liste

     

    Ganz ****e Frage, wie installiere ich eine Netzwerkkarte mit Treibern auf einem Windows Server Core 2008 R2?

     

    Googlen führt mich nur zu Anleitungen, wie man die Netzwerkkarten konfiguriert, aber nicht wie man sie installiert.

     

    Danke!

  8. Gesperrte Benutzer Konten

    in Windows Forum — Security

    Geschrieben

    Hi,

     

    ok, obwohl Du wieder nicht konkret beantwortet hast, was ich gefragt habe, kann man anhand der Events nun zumindest sehen, daß es sich um ein Network Logon über NTLM handelt.

     

    Noch einmal die Frage ob Du das Webinterface von OWA nutzt oder Dich etwa per Popup authentifizierst. Ich vermute letzteres.

     

    Wie oft treten die Logon Versuche bei einem konkret betroffenen Benutzer auf, zu welcher Tageszeit und wie viele Logon Versuche werden (nach der Sperrung) unternommen?

     

    Viele Grüße

    olc

     

    Tut mir leid, ich habe deine Frage anscheinend missverstanden.

     

    Wir verwenden kein HTTP AUTH sondern das HTML Formular zur Anmeldung an OWA.

     

    Ansonsten muss ich sagen, wir haben die Fälle jetzt abgeklärt und es liegen keine fremden Verursacher vor.

     

    Bei drei Usern die gesagt haben, sie hätten das PWD nicht falsch eingegeben, kamen die Sperrungen von deren eigenen Computern. Die falschen Anmeldeversuche bis zur Sperrung werde ich nach deinem Rat auf 10 hochsetzen.

     

    Bezüglich der Sperrungen vom OWA Frontend Server.

    Wenn man sich mit falschen Daten anmeldet, wird man zu 

    https://mailserver/exchweb/bin/auth/owalogon.asp?url=https://mailserver/exchange&reason=2

    redirected. Also habe ich mit Agent Ransack alle IIS Logs nach diesem String durchsuchen lassen und habe alle IP Adressen die ich einem solchen Aufruf zuordnen konnte überprüft. Es waren Ausnahmslos alle IPs von Firmenmitarbeitern.

     

    Wie auch immer, anscheinend habe ich ein Phantom gejagt, weil jeder Mitarbeiter sagte, er/sie wisse von nichts und habe nichts gemacht...

     

    Danke für die Hilfe!

  10. Remotedesktop Server und Sicherheit

    in Windows Server Forum

    Geschrieben

    Hallo!

     

    Wir haben einen RDS 2008 R2 im Einsatz.

     

    Was ich mir zur Sicherheit überlegt habe:

    * Keine durchgemappten Laufwerke

    * mit Applocker alles sperren außer das was gewünscht ist

    * nur Intranet, kein Internet

    * Desktop FW aktiviert

    * RDS Gateway

    * UAC, wobei User sowieso keine Adminrechte haben!

     

    Ich denke, AV Lösungen sollen auf RDS nicht eingesetzt werden stimmt das?

     

    Wie haltet ihr das mit der Sicherheit auf RDS Systemen?

     

    Danke!

  11. Gesperrte Benutzer Konten

    in Windows Forum — Security

    Geschrieben

    Hallo!

     

    Das Problem, ich finde nicht viel mehr, am DC finde ich nichts passendes dazu, der OWA Frontend Server (Caller Computer des Events) hat zwei Events zum Zeitpunkt des Locks.

     

    Ich habe selber einen Lockout ausgelöst:

    Ereignistyp:	Erfolgsüberw.
Ereignisquelle:	Security
Ereigniskategorie:	An-/Abmeldung 
Ereigniskennung:	540
Datum:		30.03.2010
Zeit:		16:35:42
Benutzer:		NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer:	SRV_PROXY
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
	Benutzername:	
	Domäne:		
	Anmeldekennung:		(0x0,0x423DD610)
	Anmeldetyp:	3
	Anmeldevorgang:	NtLmSsp 
	Authentifizierungspaket:	NTLM
	Arbeitsstationsname:	SRV-DC01
	Anmelde-GUID:	-
	Aufruferbenutzername:	-
	Aufruferdomäne:	-
	Aufruferanmeldekennung:	-
	Aufruferprozesskennung: -
	Übertragene Dienste: -
	Quellnetzwerkadresse:	-
	Quellport:	-


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter [url=http://go.microsoft.com/fwlink/events.asp]Events and Errors Message Center: Basic Search[/url].

     

    Ereignistyp:	Erfolgsüberw.
Ereignisquelle:	Security
Ereigniskategorie:	An-/Abmeldung 
Ereigniskennung:	538
Datum:		30.03.2010
Zeit:		16:35:42
Benutzer:		NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer:	SRV_PROXY
Beschreibung:
Benutzerabmeldung:
	Benutzername:	ANONYMOUS-ANMELDUNG
	Domäne:		NT-AUTORITÄT
	Anmeldekennung:		(0x0,0x423DD610)
	Anmeldetyp:	3


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

     

    Die anderen Events haben sind zwei Minuten davor oder danach geloggt worden.

  12. Frage Konfig 2 User, eine Mailaddi, 1 Postfach

    in MS Exchange Forum

    Geschrieben

    Es gäbe verschiedene Ansätze:

     

    Jeder ein eigenes Postfach mit gleichen Absender geht imho nicht. Eventuell könnte man die Absender Email einfach bei ausgehenden Emails von den beiden Absendern am Ausgangsserver umschreiben auf die von dir gewünschte Adresse und einfach eine Weiterleitung der empfangen Emails an beide Empfänger einrichten.

     

    Kontakte könnte man über public Folder oder über freigegebene Kontakte Ordner aus den Postfächern realisieren. Auch ein Postfach für beide Mitarbeiter wäre möglich, sofern diese keine privaten Emails verschicken und empfangen.

     

    Ich persönlich empfinde alles, was nicht direkt in mein Posteingang wandert als nicht so toll weil keine Hinweise auf eine neue Nachricht angezeigt werden.

  14. Frage Konfig 2 User, eine Mailaddi, 1 Postfach

    in MS Exchange Forum

    Geschrieben

    hi!

     

    Imho erstellst du am besten drei AD User!

     

    AD User Müller

    AD User Maier

    AD User "Abteilung Vertrieb" mit der Email Adresse: vertrieb@domain.local (VERWENDE NICHT .local, sonst kannst du nur intern Email Empfangen!)

     

    Ok Active directory-Benutzer und -Computer öffnen.

    AD User "Abteilung Vertrieb" öffnen und den Tab "Exchange - Erweitert" anklicken und auf Postfachberechtigungen.

     

    Dann erlaubst du Maier und Müller den Vollzugriff auf das Konto.

     

    Dann Outlook bei Maier öffnen und unter "Extras - Konteneinstellungen" den Tab "Datendateien" öffnen. Maiers Postfach doppelklicken und unter "Erweitert" kannst du zusätzlich das Postfach "Abteilung Vertrieb" öffnen.

     

    Gleiches für Müller.

     

    Nun können beide auf das Postfach zugreifen, jedoch hat diese Lösung Nachteile bei der Verwendung mit Blackberry oder Windows Mobile.

     

    Wenn beide noch unter der Email Adresse Mails versenden können sollen, musst du diese Berechtigung noch unter "AD Benutzer und Computer -> Abteilung Vertrieb -> Exchange - Allgemein -> Zustelloptionen..." vergeben.

     

    Damit das dann im Outlook funktioniert, musst du das Feld "Von" im "Neue Email Formular" aktivieren und dort musst du dann das User Objekt auswählen, in dessen Namen verschickt werden soll. Email Adresse eintragen funktioniert hier leider nicht.

  15. Xampp Apache2 Benutzerverwaltung mit AD

    in Windows Server Forum

    Geschrieben · bearbeitet von OliverZ

    Wird deine "Domäne" mit "Ä" geschrieben ?

    Ich bin nicht der beste php programmierer aber könnte es am Sonderzeichen ä im String liegen ?

     

    PHP hat sicher kein Problem damit, aber eventuell das Protokoll wohin der String übergeben wird.

     

    Zur XAMP Frage: Es ist toll wenn man schnell ein Packet mit allen drum und drann braucht.

     

    Versuche die einzelnen Programme die du aus dem XAMP Packet benötigst, selber zu installieren und zu konfigurieren.

     

    Wohin dürfen die PHP Skripte zugreifen? Es gibt einiges worüber du dir Gedanken machen sollest und meistens braucht man ja auch nicht alles.

     

    Wir haben lange Apache verwendet und verwenden jetzt den IIS mit ISAPI Filtern bzw FastCGI. In einer Windows Umgebung hat IIS mit php.exe doch gewisse Vorteile.

     

    Damit ich aus PHP gegen das AD authentifizieren kann habe ich diese Funktion:

    $config['DEFAULT_AD_DOMAIN'] = "domain";
$config['LDAP_SERVER'] = "srv-ldap.local";

function authUser($username, $password) {
// User gegen AD authentifizieren
global $config;
$ds = @ldap_connect($config['LDAP_SERVER']);
if ($ds) {
	$authenticated = false;
	$bind = @ldap_bind($ds, $config['DEFAULT_AD_DOMAIN'] . "\\" . $username, $password);
	if ($bind) {
		$authenticated = true;
	}
	ldap_close($ds);
	return $authenticated;
} else {
	$err = 'Verbindung zum LDAP-Server nicht möglich: ' . $config['LDAP_SERVER'];
	throw new Exception($err);
}
}

     

    oder um Informationen aus LDAP auszulesen:

    $config['LDAP_SERVER'] = "srv-ldap.local";
$config['LDAP_USER'] = "ServiceAccount";
$config['LDAP_PWD'] = "Blah"; 

function getUserInfo($username) {
// User gegen AD authentifizieren
global $config;

$connect = ldap_connect($config['LDAP_SERVER']);
// Diese Parameter sind nötig für den Zugriff auf ein Active Directory:
ldap_set_option($connect, LDAP_OPT_PROTOCOL_VERSION, 3);
ldap_set_option($connect, LDAP_OPT_REFERRALS, 0);
if ($connect) {
	$bind = ldap_bind($connect, $config['DEFAULT_AD_DOMAIN'] . "\\" . $config['LDAP_USER'], $config['LDAP_PWD']);
	if ($bind) {
		// BaseDN festlegen:
		$base_dn = "DC=domain,DC=local";
		// LDAP filter setzen: Nur Kontakt- und Benutzer-Objekte sollen zurückgegeben werden
		$filter = "(&(objectCategory=Person)(objectClass=User)(sAmAccountName=" . $username . "))";

		// Suche starten:
		if (! ( $search = ldap_search($connect,$base_dn,$filter) ) ) {
			 die("Durchsuchen des LDAP-Servers fehlgeschlagen.");
		}
		$info = ldap_get_entries($connect, $search);
	}
	ldap_close($connect);
	return $info;
} else {
	return FALSE;
}
}

  16. Hackerangriffe ?

    in Windows Forum — Security

    Geschrieben

    Firewall Firmware Update machen. Hast du AdminInterface im Internet offen?

     

    WPA und WEP sind knackbar!

     

    Ansonsten klingt das für mich nach einem Trojaner den du dir eingefangen hast.

     

    Ich würde mir mal alle meine Daten sichern und offline wegsperrren. Router absichern. Alle PCs vom Netz und einen nach dem anderen wieder sauber aufsetzen. Verwende UAC, Desktop Firewall und patche alles. Deine Daten (Outlook PST, Videos, Musik, etc) würde ich mal weggesperrt lassen, eventuell schleppst du dir von dort wieder was ein.

  17. Gesperrte Benutzer Konten

    in Windows Forum — Security

    Geschrieben

    Definitiv sperrt OWA bei uns (Ex2003 alle Updates auf WinSrv2003R2 alle Updates) die Konten, ich habe es jetzt ein paar mal getestet und auch die erzeugten Events beobachtet! Auch der Counter für Fehleingaben im Programm "lockoutstatus" wird hochgezählt.

     

    Ich habe einen Testuser angelegt namens btm, das ist die Eventmeldung die erscheint, wenn der User druch fehlerhafte OWA Anmeldungen gesperrt wird:

    Log Name: Security

    Source: Microsoft-Windows-Security-Auditing

    Date: 24.03.2010 09:35:18

    Event ID: 4740

    Task Category: User Account Management

    Level: Information

    Keywords: Audit Success

    User: N/A

    Computer: SRV-DC01.***.local

    Description:

    A user account was locked out.

     

    Subject:

    Security ID: SYSTEM

    Account Name: SRV-DC01$

    Account Domain: ***

    Logon ID: 0x3e7

     

    Account That Was Locked Out:

    Security ID: ***\btm

    Account Name: btm

     

    Additional Information:

    Caller Computer Name: SRV-PROXY

    Event Xml:

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

    <System>

    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />

    <EventID>4740</EventID>

    <Version>0</Version>

    <Level>0</Level>

    <Task>13824</Task>

    <Opcode>0</Opcode>

    <Keywords>0x8020000000000000</Keywords>

    <TimeCreated SystemTime="2010-03-24T08:35:18.176500000Z" />

    <EventRecordID>606739</EventRecordID>

    <Correlation />

    <Execution ProcessID="516" ThreadID="1796" />

    <Channel>Security</Channel>

    <Computer>SRV-DC01.***.local</Computer>

    <Security />

    </System>

    <EventData>

    <Data Name="TargetUserName">btm</Data>

    <Data Name="TargetDomainName">SRV-PROXY</Data>

    <Data Name="TargetSid">S-1-5-21-1123561945-1343024091-854245398-3300</Data>

    <Data Name="SubjectUserSid">S-1-5-18</Data>

    <Data Name="SubjectUserName">SRV-DC01$</Data>

    <Data Name="SubjectDomainName">***</Data>

    <Data Name="SubjectLogonId">0x3e7</Data>

    </EventData>

    </Event>

     

    SRV-PROXY ist der OWA Frontend Server.

     

    Die IIS Logs zeigen dann die IP, mir ist nur jetzt erst aufgefallen, dass die Zeit in den IIS Logs um eine Stunde zurückgeht. Weltzeit.

     

    Danke für eure Unterstützung!

  18. Gesperrte Benutzer Konten

    in Windows Forum — Security

    Geschrieben

    Con****er ist es glaub ich nicht!

     

    USB, CDRom, Bluetooth, Infrarot, SD-Karten sind bei uns gesperrt. User bekommen nichts in den PC hinein.

     

    Per SMTP und HTTP(S) kommen auch keine ZIP, Exe, MSI und sonst etwas in unser Netz. Firewall läßt FTP, HTTP+S und SMTP durch, sonst nichts.

     

    Laut Wikipedia kommen die gesperrten Konten beim con****er durch bruteforcen von geschützten Shares, welche bei uns aber nur im LAN erreichbar wären, nicht über die Firewall aus dem Internet. Jeder Rechner ist mit einem KAV Client ausgestattet + aktiver Desktop FW.

     

    Kaspersky kennt Con****er, imho, schon lange.

  19. Gesperrte Benutzer Konten

    in Windows Forum — Security

    Geschrieben

    OK, ich habe getestet, ob OWA Accounts sperrt und dem ist so.

     

    In den Events am DC (alle FSMO Rollen als Master) kommt das Event mit der ID 4740 wenn ein User gesperrt wird. Als Melder wird immer der Frontend Server von OWA angegeben. Ich werde jetzt noch die IIS Logs auf Zugriffe prüfen, die während der Kontensperrung statt fanden.

     

    Wir hatten früher 7 falsche PW Eingaben erlaubt. Der Counter wurde nach 120 Minuten resetet. Jetzt haben wir es auf 3 herunter gesetzt.

     

    Früher gab es solche Sperrungen nur einmal im Jahr. Jetzt im zwei Tagesabstand.

     

    Danke für die vielen und auch sinnvollen Antworten!!!

  20. Gesperrte Benutzer Konten

    in Windows Forum — Security

    Geschrieben

    Hallo!

     

    Derzeit werden täglich Benutzerkonten bei uns gesperrt, wir vermuten, dass jemand über unseren OWA Passwörter testet.

     

    Wie oder Wo kann ich einen Eintrag finden, bezüglich fehlgeschlagener OWA Logins bzw noch besser, den Grund warum das Konto gesperrt wurde.

     

    Auf dem OWA Frontend Server habe ich nichts gefunden, auf den Domaincontrollern auch nicht.

     

    Gibt es eine GPO die ich aktivieren muss?

     

    Wenn jemand über OWA Passwörter testet, hätte ich gerne seine IP Adresse, welche Tipps habt ihr für mich?

     

    Danke!!!

  23. Remotedesktop Server und Office 2007 Enterprise

    in Windows Server Forum

    Geschrieben

    Hallo!

     

    Ich bekomme Office 2007 auf einem Windows Server 2008 R2 - RDS nicht zum Laufen:

     

    - Ich habe erst RDS installiert, dann erst Office 2007

    - Ich habe "change user /install" vor und "change user /execute" nach der Officeinstallation ausgeführt.

    - Ich habe Office direkt am Server installiert und über Remotedesktop

    - Ich habe Office gepatcht mit SP2

    - Word, Outlook und Co starten fast vollständig, dann erscheint eine MsgBox mit dem Text: "Dieses Feature ist nicht verfügbar. für weitere Informationen wenden Sie sich an Ihren Systemadministrator." Nach dem Ok klicken ist das Programm geschlossen.

    - EventId "7003", Quelle "Microsoft Office 12 Sessions", Text "ID: 6, Application Name: Microsoft Office Outlook, Application Version: 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session was terminated unexpectedly."

    - EventID "7000", Quelle "Microsoft Office 12 Sessions", Text "ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 14 seconds with 0 seconds of active time. This session ended normally.

    - Sinnvolles im Internet gesucht, aber leider nicht gefunden.

    - Andere Programme funktionieren einwandfrei.

    - Office habe ich jetzt schon ca 10 mal installiert und wieder deinstalliert. Ich finde nichts bei meinen Recherchen was mir weiterhilft.

    - Fehler kommt als Admin und User

     

    Hab ich etwas übersehen? Gibt es einen Hotfix?

     

    Danke für eure Hilfe!

     

    LG Oliver

  24. Neuer Forest

    in Windows Server Forum

    Geschrieben

    Moin,

     

    das stimmt so nicht. Du kannst dem DirectAccess-Client einen Server angeben, den er erreichen soll (sog. "Network Location Server") - keine Domain.

     

    ... du willst wirklich wegen Hörensagen deine Domain umbenennen?! Und wenn dir morgen jemand sagt, man solle sein Adminkennwort auf einer öffentlichen Webseite ablegen?

     

    Gruß, Nils

     

    echt? das wußte ich nicht, das man Network Location Server angeben kann. danke für die info!

     

    ich hätte direct access demnächst bestimmt noch getestet bevor ich eine umbenennung gemacht hätte, aber wenn ich zur "umbenennung" übergegangen wäre, hätte ich vorher viel darüber lesen und es testen müssen, deshalb habe ich jetzt mal mit informationen sammeln begonnen, damit ich dann gleich zu werke gehen kann. immerhin habe ich die information von zwei MCT die als Senior Consultants arbeiten....

     

    und wegen adminkennwort, das steht bei uns sowieso schon lange in den news auf der ersten seite unserer website! :p

  25. Neues Projekt zu Server/Netzwerk Überwachung

    in Windows Forum — Scripting

    Geschrieben

    Wie gesagt kann ich mir auch vorstellen eine xml Datei erstellen zu lassen und per ftp hoch schieben - xml läßt sich auch besser auswerten als Email.

     

    Wie meinst du Das mit http ?

     

    wenn jetzt soviele nach security schreien dann kann man ja noch auf https ausweiten. https wird imho auch in mehr umgeben erlaubt sein als ftp. bei uns darf keiner ftp verbindungen von seinem client öffnen.

     

    mit http(s) fallen mir verschiedene möglichkeiten ein. zum einen könntest du eine xml datei einfach auf den webserver über ein php skript hochladen. oder du übergibst einfache werte über den http-query-string zb. /setvalue.php?kundenID=1&variable=MailServerStatus&wert=aktiv

     

    oder mit php kannst du auch die eingabe der BASIC AUTH am Webserver abfangen und selber gegen eine datenbank prüfen, der link wäre dann zb: 

    https://user:passwort@www.blah.com/setvalue.php?kundenID=1&variable=MailServerStatus&wert=aktiv

     

    du kannst mit php über den query auch arrays übergeben!

     

    mit der XML datei hochladen könntest du genauso eine authentifizierung durchführen, über SSL gehen, das XML file parsen und in die Datenbank schreiben.

     

    Mit PHP, SQL und Webservern kenne ich mich sehr gut aus, wenn du dazu speziellere fragen hast kann ich dir gerne helfen!

×
×
  • Neu erstellen...