nobex

Ich denke, mit lokalen Admin-Rechten könnte man auch da was tricksen ...

Denke, solange die Rechner noch in den Browserlisten geführt werden, versucht der Explorer diese zu finden und fährt sich für diese Zeit fest. Dies kann man gut mit browmon oder browstat nachverfolgen. Btw, sollten die Rechner bzw. der Server-Dienst sich beim runterfahren nicht beim Master- oder Backupbrowser 'abmelden'?

Hallo, Ja, es kann. Gruß Robert

Um nochmal auf das ursprüngliche Szenario zurückzukommen: Ich finde es in diesem Fall doch sehr kritisch, mit domänenweiten Admin-Accounts zu arbeiten denn wenn der User einen Keylogger installiert hat, braucht er gar nicht erst nach verschlüsselt hinterlegten Kennwörtern zu suchen.

Vielleicht könntest Du diese Aussage dann doch noch mal genauer erläutern. Ich verstehe es bis jetzt so: Die Hardwarefirewall protokolliert bei erfolgreichen Verbindungen NICHTS. Bei Fehlschlag wird aber ein Zugriff protokolliert? Dann treten doch 2 verschiedene Regeln in Aktion (sonst würde immer bzw. nie protokolliert werden), was ich verwunderlich finde.

Hallo, der DNS-Server löst nur Namen in IP-Adressen auf und umgekehrt. Ob ein Rechner 'existiert', kann er nicht sagen. Hast Du evtl. noch andere Protokolle außer IP und/oder andere Clientsoftware (z.B. Netware-Client) im Einsatz? Gruß Robert

Hallo, Nein, die Zeit holen die Domänen-Mitglieder vom PDC-Emulator. Nein, siehe oben. Am besten, Du baust den Empfänger in den PDC-Emulator und hast damit die ganze Domäne automatisch 'richtiggestellt'. Gruß Robert

Ist vielleicht mal das IEAK im Einsatz gewesen und wurde ein angepasster IE installiert? Könnte mir vorstellen, dass der seine Einstellungen hartnäckig zurücksetzt oder von anderer Stelle zieht. Werden denn Deine Werte aus dem GPO unter 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings' eingtragen? Versuche doch mal testweise mit Regedit dort die Einstellungen zu korrigieren.

Ich habe hier auch alle paar Tage über mehrere Stunden Bruteforce-Attacken (3-4 Versuche pro Sekunde zu erkennen an den riesigen Logs) auf meinen Server aber dank umbenannter Standardaccounts und langer/komplexer Passwörter kann ich trotzdem ruhig schlafen. Eine Firewall, die solche Angriffe erkennt und dann die Quelle blockt wäre schon fein aber es geht auch ohne.

Wie beschrieben kann man das nur manuell, durch einen Gegenpolicy oder im Falle von Sicherheitseinstellungen (gabs die in den Systemrichtlinien?) durch Rücksetzen auf Standardwerte mit 'Sicherheitskonfiguratuion- und Analyse' korrigieren. Darum meine Frage, welche Einstellungen denn betroffen sind.

Guten Morgen, der geht jetzt ins Blaue: Wird beim Zugriff auf die Seite eine Beglaubigung durchgeführt und schaltet vielleicht auf der Firewall ein IDS/IPS-System bei zu häufigem Zugriff den Verkehr ab, um Bruteforce-Angriffe zu verhindern? Betreust Du selbst die Firewall? Was steht dort in den Logs? Gruß Robert

Hallo Joe, um welche Einstellung handelt es sich denn? Btw, NT-Richtlinien haben sich übrigens wirklich solange ins System geschrieben, bis eine 'Gegenpolicy' zum Einsatz kam. Das ganze wurde Tattooing genannt und ist seit 2000er-GPOs Geschichte. Gruß Robert

Ich meinte nicht über das Sicherungsprogramm, sondern den Task aus dem Taskplaner (Systemsteuerung -> Geplante Tasks) per Hand starten, dort steht dann auch ein Fehlercode

Nein, außer Du nimmst in dem Fall die Remote-Unterstützung und lässt den User zustimmen (Bedingung: Domäne).

Was sagt den rsop.msc an den beschriebenen Stellen?

Hallo Daniel, kannst Du den Task manuell aus dem Taskplaner starten? Hat der Account, unter dem der Task läuft, genügend Rechte? Steht etwas in der Ereignisanzeige? Gruß Robert

Hallo Edgar, Btw, was nimmst Du denn mit über Remotedesktop für Stichproben? Gruß Robert

Ist die Firewall ein eigenes Gerät oder lokal auf dem W2K-Server?

Ich würde testweise die Firewall komplett deaktivieren. Funktioniert ein ping auf die Ziel-IP, wenn nein, welcher Fehler wird ausgegeben?

Fehlen Dir evtl. Adminrechte? Du schriebst ja Das Schloss kannst Du ignorieren. Wenn Du die entspr. Rechte hast, kannst Du die Einstellungen auch ändern.

Na dann ist ja der Fall eindeutig (SPF hatte ich nicht bedacht) und Du kannst nicht über andere Relays mit GMX-Absender senden. Bietet GMX keinen SMTP-Zugang den Du evtl. zum Versenden nutzen kannst?

Hallo, es könnte sein, dass Deine Mails als Spam klassifiziert werden, weil sie von einem Dial Up-Zugang versendet wurden. Dann hätte Dein Server allerdings direkt (ohne Smarthost) ausgeliefert. Weiterhin könnte der Relay-Server Deines Providers in einer Openrelay-Datenbank im Internet geführt werden und deshalb die Spam-Filter auslösen. Das die Mails nicht über einen GMX-Server kommen, halte ich als Grund für die Markierung für unwahrscheinlich. Gruß Robert

Hallo, btw, über 30 Grad Außentemp., Schalldämmung, Hitzetod ... besteht da vielleicht ein Zusammenhang bzw. ein konzeptionelles Problem beim Aufbau des PC? Gruß Robert

Hallo, Starten würde ich alles über einen kompletten Systemneustart da u.U. abhängige Dienste, welche mit 'net stop Dienst /Y' mitgestoppt wurden, sonst nicht wieder anlaufen. Gruß Robert

Hallo, Du könntest über die Dienste-Verwaltung des Servers alle Dienste, die mit 'Microsoft Exchange' beginnen und den 'Simple Mail Transfer Protocol (SMTP)' auf 'deaktiviert# setzen. Vorher solltest Du Dir den ursprünglichen Zustand notieren. Danach kannst Du die Dienste stoppen, den Server patchen, neu starten und bei Erfolg die Dienste wieder zurückkonfigurieren. Gruß Robert