Jump to content

_Lars_

Members
  • Posts

    46
  • Joined

  • Last visited

Everything posted by _Lars_

  1. Ich möchte VPN-User soweit einschränken, wie es möglich ist. Dabei stelle ich mir folgende Frage: Wenn ein User über VPN auf einen Member-Server der AD (Dateiserver, Exchange, usw.) zugreift, benötigt er auch direkten Zugriff auf die Domaincontroller selbst? simples Beispiel: DC01: 192.168.1.10 (erster Domaincontroller) DC02: 192.168.1.11 (zweier Domaincontroller) FS01: 192.168.1.20 (erster File-Server) EX01: 192.168.1.30 (erster Exchange-Server) Die VPN-User bekommen als DNS-Server das VPN-Gateway propagiert, welches transparent die interne Domain auflösen kann und nur Zugriff auf die jeweilige IP des File- und Exchange-Servers (.20 und .30), aber nicht auf die IPs der DCs (.10 und .11). Funktioniert das?
  2. Dank' euch für die nette und kompetente Hilfe.
  3. Danke für die netten schnellen Antworten, so hatte ich mir das auch erhofft. Und ja, die Named Users lassen sich auch eindeutig Accounts zuordnen. Zur Problematik des RDS-Lizenzservers, wie löst man das clever? Je AD einen und die Lizenzen doppelt registrieren (wenn das überhaupt möglich ist) oder kann man den Lizenzserver so integrieren, daß er CALs für beide austellt (in dem Fall dürfen die beiden ADs aber nicht miteinander interagieren)?
  4. vereinfachtes Beispiel: In einem Unternehmen gibt es zwei ADs, bestehend jeweils aus AD-DC und Terminalserver. Aus Datenschutz- und Sicherheitsgründen sind beide ADs voneinander getrennt. Über Firewall und Zugangsberechtigung wie SmartCard bekommen Mitarbeiter Zugriff auf eines der Systeme, ggf. auch auf beide. Die Mitarbeiter nutzen ThinClients für den Zugriff auf das jeweilige System. Die Lizenzierung soll auf User-Basis erfolgen. Muß ich die Systeme in Bezug auf Server-User-CALs, RDS-User-CALs und Office-CALs voneinander getrennt lizenzieren, also praktisch alles doppelt lizenzieren oder kann ich das aus Lizenzierungssicht so betrachten, als wäre das ein System: - für die Office-Lizenzen alle möglich Clients kalkulieren - für Server und RDS-Lizenzen alle Mitarbeiter (Named User)?
  5. Den richtigen Inhalt von "proxy-pac" kann ich aus Datenschutzgründen hier nicht wiedergeben. Die ist aber auch nicht das Problem, weil das Script ja funktioniert. Sinngemäß sieht es so aus: function FindProxyForURL(url, host) { if (shExpMatch(host,"*.vpn.domain")) { return "PROXY vpn-proxy:3128"; } return "DIRECT"; } Jetzt hab ich mal testweise die If-Abfrage herausgenommen, so daß das Skript immer "DIRECT" zurückgibt und damit sehen die Seiten wieder normal aus. Ich möchte erreichen, daß wenn im Browser "http(s)://irgendetwas.vpn.domain/usw/" eingegeben wird (und nur dann), das Skript den Proxy "vpn-proxy:3128" zurückliefert. Was mache ich falsch? Ich finde irgendwie keine Doku, die mir genau beschreibt, was die Parameter "url" und "host" in der Funktion "FindProxyForURL(url, host)" genau beinhalten.
  6. Wegen eines Parent-Proxy, der zwingend für den Zugriff auf bestimmte Seiten benötigt wird, sind für den noch im Einsatz befindlichen IE11 die Proxyeinstellungen per GPO wie folgt konfiguriert: Der Inhalt von "proxy.pac" ist ziemlich trivial: function FindProxyForURL(url, host) { if (shExpMatch(host,"%DOMAIN%")) { return "PROXY %PROXY%.%PORT%"; } return "DIRECT"; } Die Konfiguration hat nun zur Folge, daß bestimmte Seiten, wie z.B. "unternehmensregister.de" oder auch "wetteronline.de" nicht mehr richtig angezeigt werden. Die Seiten sehen aus, als hätten sie ein kaputtes Layout (CSS nicht nachgeladen?) oder deaktiviertes JavaScript. Ich weiß, IE11, aber ich kann ihn noch nicht gegen Chromium-Edge tauschen. Außerdem weiß ich nicht, ob das Problem dann nicht immer noch existent ist. Ändert sich durch die Proxy-Konfiguration irgendeine Sicherheitseinstellung (Zone) oder wo könnte ich den Fehler suchen? Danke Lars
  7. Kann man einem Terminalserver (2012 Standard R2), welcher im Einzelhandel erworben wurde (also keine Volumenlizenzierung) RDS-User-CALs zuordnen, die aus einem Volumenlizenzprogramm stammen?
  8. Danke für eure Hilfe, sehr schön erklärt. Ich war bisher der Auffassung, das Mensch=Account...
  9. D.h. also, daß sich mehr verschiedene accounts real anmelden können, als ich Lizenzen zu Verfügung habe?
  10. Auf einem W2K16-RDS-Server zeigt mir der "Remotedesktoplizenzierungs-Manager" folgendes: Gesamte-Lizenzen: 15 Ausgestellt: 16 (alle innerhalb der zeitlichen Gültigkeit und im Status "aktiv") Da die Lizenzen ja "named" sind, wie kann der RDS mehr Zertifikate austellen, als ihm zur Verfügung stehen?
  11. Ein Firmen-Laptop hängt an einem externen (W)LAN und verbindet sich via OpenVPN ins Firmennetz. Dabei hat das Notebook dann zwei DNS-Server-Settings: C:\>ipconfig /all Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : Laptop15 Primäres DNS-Suffix . . . . . . . : firma.intern Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : firma.intern fritz.box weiteres-suffix.intern Ethernet-Adapter Ethernet: Verbindungsspezifisches DNS-Suffix: fritz.box Beschreibung. . . . . . . . . . . : Realtek PCIe GbE Family Controller Physische Adresse . . . . . . . . : xx-xx-xx-xx-xx-xx DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.178.106(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Lease erhalten. . . . . . . . . . : Montag, 23. März 2020 13:10:49 Lease läuft ab. . . . . . . . . . : Donnerstag, 2. April 2020 13:10:49 Standardgateway . . . . . . . . . : 192.168.178.1 DHCP-Server . . . . . . . . . . . : 192.168.178.1 DNS-Server . . . . . . . . . . . : 192.168.178.1 NetBIOS über TCP/IP . . . . . . . : Aktiviert Unbekannter Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: weiteres-suffix.intern Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9 Physische Adresse . . . . . . . . : xx-xx-xx-xx-xx-xx DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja Verbindungslokale IPv6-Adresse . : xxxx::xxxx:xxxx:xxxx:xxxx%3(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 10.1.1.161(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.252 Lease erhalten. . . . . . . . . . : Montag, 23. März 2020 13:12:37 Lease läuft ab. . . . . . . . . . : Dienstag, 23. März 2021 13:12:37 Standardgateway . . . . . . . . . : DHCP-Server . . . . . . . . . . . : 10.1.1.1 DHCPv6-IAID . . . . . . . . . . . : 123456789 DHCPv6-Client-DUID. . . . . . . . : xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx DNS-Server . . . . . . . . . . . : 172.16.1.10 NetBIOS über TCP/IP . . . . . . . : Aktiviert Der Client befragt bei aktiver VPN-Verbindung für "firma.intern" den DNS-Server 10.1.1.1, allerdings für alle anderen domains, auch "weiteres-suffix.intern", den DNS-Server, den er über die LAN-Verbindung bekommen hat. Mir erschließt sich nicht, wie bei diesem Setup der "richtige" DNS-Server ausgewählt wird, vorallem, weil gerade für das verbindungsspezifische Suffix "weiteres-suffix.intern" der DNS-Server der LAN-Verbindung befragt wird. Wie kann ich dem Client beibringen, daß er bei aktiver VPN-Verbidung ausschließlich den DNS-Server der VPN-Verbindung nutzen soll? Danke Lars
  12. Ich habe eine Verständnisfrage. Gegeben: - Server1 ist AD-DC und Fileserver - Server2 ist RDS-Server und AD-Member - beide Windows Server sind Standard-Editionen - 10 Benutzer - Entscheidung für User-CALs (Server als auch RDS) Im Beispiel existieren 10 Server-User-CALs für den DC/Fileserver und 10 RDS-User-CALs für den RDS-Server. Jetzt stellt sich mir die Frage, ob für den RDS-Server auch noch 10 zusätzliche Server-User-CALs notwendig wären und wenn ja, warum (welche Dienste/Ressourcen stellt der RDS-Server bereit, die diese CALs notwendig machen)? Danke für die Hilfe Lars
  13. Ein Kollege hatte gerade das Problem auf einem Windows 2012 R2-Server AD-DC, daß dieser nach einem Neustart sein Netzwerkprofil von "Domain" auf "Öffentlich" geändert hat. Wenn man danach sucht, findet man dieses Problem in Zusammenhang mit dem Dienst "NlaSvc" (Network Location Awareness). Diese automatische Erkennung mag ja bei einem Notebook nützlich sein, aber bei einem DC? Der DC wird seine "Location" nicht ändern, sprich sein Netzwerk bleibt fest beim Typ "Domain". Kann man das nicht einfach fest verdrahten?
  14. Wir reden vermutlich aneinander vorbei. Ich meine keinen verschlüsselten Stick, sondern nur eine verschlüsselte Datei... Aber egal, mir reicht die Antwort, daß es nicht geht. @Weingeist: Der Datatraveller 2000 klingt interessant, werde ich mir mal anschauen. Danke.
  15. Das System lädt den Klartext-Key vom USB-Stick, um die Systempartition zu entschlüsseln. Es weiß also, wie die Partition zu entschlüsseln ist. Warum sollte es dann nicht mit der gleichen Methode den verschlüsselten Key vom Stick holen können und wiederum dessen Key (die Passphrase) von der Tastatur?
  16. Wenn ich das richtig verstehe, benötigt auch Bitlocker eine unverschlüsselte Bootpartition, die sich um den Zugriff auf den Stick und die Entschlüsselung der Systempartition usw. kümmert. Warum sollte hier keine Tastatureingabe möglich sein?
  17. Kann man wenigstens eine Passphrase für den Schlüssel vergeben?
  18. Ein Bekannter, dessen Notebook kein TPM hat, fragte mich nach diese Variante. Da ich das selbst noch nicht ausprobiert habe, kommen mir einige Fragen in den Sinn? Läßt sich der Schlüssel mit einer Passphrase sichern? (Die Gefahr ist ja recht groß, daß man während der Arbeit den Stick am Notebook beläßt und wenn es dann abhanden kommt, ist die Verschlüsselung nutzlos. Weiterhin wäre ein Stick mit Schlüssel im Klartext ebenfalls sehr gefährlich, weil er wohl meisten mit in der Laptoptasche landen wird.) Wann wird auf auf den Stick zugegriffen? (Also wann im Bootprozess muß er am Gerät stecken und wann kann er abgezogen werden?) Danke für die Hilfe Lars
  19. Weil ich gerade vor dem gleichen Problem stand: - Outlook 2013 - Mitarbeiter macht Urlaub, möchte Postfach nicht freigeben sondern während Abwesenheit E-Mails weiterleiten (wie RobertWi im zweiten Post schon schrieb) Lösung: Outlook-Regel, "umleiten" statt "weiterleiten", dann bleibt der originale Absender erhalten ----- Off-Topic: "Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist, ein neues Thema zu erstellen." IMHO ist gerade das Gegenteil der Fall: warum die gleichen/selben Informationen auf zig Threads verteilen und zukünftigen Hilfesuchenden das Leben erschweren?
  20. [bin nicht sicher, ob das die richtige Gruppe ist, falls nicht, bitte um passende Verschiebung; das Thema wurde bestimmt schon x-mal durchgekaut, ich finde aber gerade nicht die Antwort] gegeben: - Terminalserver Windows Server 2008 R2/2012 R2 - Client Windows 7 Ich möchte, daß in einer Terminalserver-Sitzung der Standarddrucker, der vom Client via RDP durchgeleitet wird, auch in der TS-Sitzung immer als Standarddrucker gesetzt wird. Danke für euere Hilfe Lars
  21. Ja, das war mein Fehler: hab die Struktur dann 1:1 kopiert und bingo.
  22. Das hab ich erfolgreich getest. Ziel ist aber die Wiederherstellung vom Netzlaufwerk. Ich finde leider auch nur vage Doku dazu. Das Wurzelverzeichnis der Freigabe ist bzgl. der Ordnerstruktur identisch zur Sicherungsfestplatte (hab's 1:1 kopiert). Kann es sein, daß die Windows Server-Sicherung nur für ein lokales Backup und dessen Wiederherstellung gedacht ist? Nach dem x-ten Anlauf hat's plötzlich funktioniert. Keine Ahnung, was ich falsch gemacht hatte. OK, das lag an irgendeinem Fehler meinerseits. Aber die ursprüngliche Frage würde mich trotzdem noch interessieren, also statische IP ohne DHCP.
  23. @plastikjoe: Wie zahni schon schrieb, mußt Du Deinem PHP-Skript die Kodierung mitgeben: <?PHP header('Content-Type: text/html; charset=UTF-8'); ?> Wichtig ist aber auch, daß Du den benutzten Editor auf UTF-8 stellst, damit er die Umlaute, die Du dort eingibst, auch UTF-8 kodiert speichert.
×
×
  • Create New...