Darksun777

Hallo, Windows XP mit SP2 kann standardmäßig KEINE IPSEC Verbindungen herstellen, wenn der Server hinter einem Router (NAT) sitzt. Dazu ist ein Registryschlüssel erforderlich: REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec] "AssumeUDPEncapsulationContextOnSendRule"=dword:00000002 ^^ kopier das einfach in eine Datei und nenne sie z.b. Ipsec.reg und führe diese dann auf dem Client aus Wenn Du nach besagtem Schlüssel hier im Forum suchst oder googelst, findest Du noch jede Menge Informationen. Grüße

Cool, werd ich mir mal anschauen! Danke !

Keine Ahnung was da los ist ! Der IPCop macht NAT natürlich nur von innen nach aussen .. Ausser den Portweiterleitungen für VPN (IPSEC) wird von aussen alles gedropt... Deswegen wundert mich das ja so ! Es ist seit ueber 14 Stunden diesselbe IP die das im Sekundentakt macht ...

Würd ich gerne mal sehen/testen, haben wir hier leider nicht *sniff* :(

Hallo Forum, es ist wohl etwas OffTopic, aber ich frage trotzdem mal hier.. und hoffe jemand kann mich aufklären. Situation: Internet --> IPCop 1.4.2 --> W2k3-Terminalserver mit L2TP/IPSec VPN Seit heute Nacht läuft das IntrusionDetectionProtokoll von IPCop im sekundenabstand (!) voll mit folgenden Einträgen: Date: 03/11 00:00:42 Name: ICMP Destination Unreachable Communication Administratively Prohibited Priority: 3 Type: Misc activity IP Info: 80.132.55.71 -> 192.168.30.3 SID: 485 Refs: Die SourceIP (angreifer) ist eine Dialin-Adresse der T-COM (vermutlich DSL Anschluss) Man beachte, der Zugriffsversuch geht direkt auf die interne Adresse des Terminalservers, NICHT auf die externe IPCop-Adresse! Und das obwohl der Terminalserver (noch) niemandem bekannt ist. Ich kann mit dem Logeintrag allerdings nicht viel anfangen, vielleicht kann mir jemand von euch sagen was da passiert ? Please Help... Grüße

Du irrst Dich leider... WakeOnLan hat nicht im geringsten was mit installationen zu tun. Es dient lediglich dazu einen Rechner übers Netzwerk (ferngesteuert) EINZUSCHALTEN. Punkt ;) Alles weitere wäre RIS in Verbindung mit PXE oder Boot-CD/-Disketten ...

@7-Club: lol wie kommst Du jetzt auf Netzlaufwerke ?!? :shock: :wink2: Hm wenn du einen Regeintrag machen willst dann poppt doch so ein Nachrichtenfenster auf oder ? Das hat ja dann nix mehr mit der Shell zu tun ...

oh mann :suspect: .. das Problem ist nun gelöst... Schuld war eine "vergessene" IPSec-Richtlinie welche anscheinend mal von einer Securepoint-Software-Firewall eingerichtet wurde.. ist nur nie aufgefallen ... Richtlinie rausgeschmissen und siehe da es funzt ...

Hallo ihr, folgendes riesen-problem: Haben hier einen W2003 Server hinter einer Firewall stehen. Ein Windows XP mit SP2 Client steht hinter einer anderen Firewall. So, nun soll sich der Client mittels L2TP/Ipsec auf den W2k3-Server verbinden (VPN). Den Registryschlüssel AssumeUDPEncapsulationContextOnSendRule habe ich auf dem XP-Client hinzugefügt. (NAT-T Problem) Das Problem: Auf Clients, die bereits bei der Installation das ServicePack2 integriert hatten (Slipstream) funktioniert es wunderbar. Jedoch auf Clients, auf denen SP2 nachträglich installiert wurde, klappt die Verbindung nicht ! Es kommt der Fehler 768 " Der Verbindungsversuch ist fehlgeschlagen, da die Datenverschlüsselung fehlerhaft war" :-( Ich habe schon alles durchgegoogelt, aber nichts hat geholfen. Habe den IPSec-Dienst automatisch starten lassen, das KB-Update 884020 installiert, den besagten RegistrySchllüssel hinzugefügt .. nichts hilft! Es muss aber bis spätestens Montag funktionieren, da sich unsere Kunden einwählen wollen .. und die haben alle CLients mit nachträglich installiertem SP2 :-( Weiss jemand Rat ? Danke schonmal! Grüße

Hi Ein paar mehr Infos wären schon nicht schlecht! - Welches OS läuft auf dem Server ? - Unterstützt dein Router VPN,Portforwarding,DynDNS ?

Hi, hm also der IIS schreibt da noch rein, mehr weiss ich jetzt auch nicht. Da es sich nur um Log-Files handelt kannst Du die problemlos löschen. Ich würde das wöchentlich oder monatlich tun. Gruß

Ja das geht so: echo Y| <befehl> Damit könntest Du die Y/N Abfrage eines nachfolgenden Befehls beantworten.. Wie man ein "Enter" schickt weiss ich leider nicht,. Gruß

Warum so umständlich .. geht doch ueber GPO, zumindest bei W2k3 :D Computerkonfiguration --> Administrative Vorlagen --> Windows Komponenten --> Terminaldienste --> Remotverbindungen für Benutzer mit Hilfe der Terminaldienste zulassen auf "Aktiviert" setzen. Grüße

Hi, Wake on lan ?? Ich glaube Du verwechselst da was Vermutlich meinst Du RIS ? In Verbindung mit einem 2k oder 2k3 Server ?

also wir setzen immer noch version 5.1 ein ... alle höheren versionen sind mir persönlich zu langsam / ressourcenfressend geworden.

Wäre es im obigen Szenario möglich, zwei getrennte DNS-Zonen für die beiden Standorte zu verwenden ? Mit nur einer Domäne ? also z.b. Standort1.domäne.local und Standort2.domäne.local`?

Hallo zusammen, habe eine Frage bezüglich DNS.. folgende Situation: Eine Win2003-Domäne mit 2 Standorten (jeweils ein DC mit DNS,DHCP) Am Standort 1 ist das Netz 192.168.0.0 Am Standort 2 ist das Netz 192.168.15.0 DNS ist ActiveDirectory-integriert. So, bisher ist es so, das alle Clients in einer DNS-Zone zusammen sind. Also alle Clients aus beiden Netzen (192.168.0.0 und 192.168.15.0) stehen zusammen in einer DNS-Zone. (testdom.local) Ich habe mir überlegt das es doch "schön" wäre, das DNS etwas aufzuteilen ... also z.b. zwei Zonen zu machen .. eine für jeden Standort. Natürlich sollten die Clients auch jeweils die Namen des anderen Standortes noch auflösen können. Wie gehe ich hier am besten vor ? Macht das überhaupt Sinn ? Erstelle ich dann am besten eine komplett neue Zone oder wie ? Und wie bringe ich die Clients dazu sich in der einen bestimmten Zone zu registrieren ?` Oder müsste ich eine zweite Domäne erstellen ?! Ich habe es schon mal so versucht: bisherige, einzigste Zone: testdom.local Eine neue Zone erstellt --> Standort1.testdom.local Im DHCP habe ich bei den Bereichsoptionen angebeben: 015 DNS Domain Name = Standort1.testdom.local Trotzdem registriert sich der Client nach wie vor in der Hauptzone testdom.local und nicht in der neuen. Vielleicht hat jemand ein paar Tips für mich, kann ja sein das ich auf dem völlig falschen Weg bin .. Grüße!

Hallo! Aaaalsoo..ich würde Dir auf jeden Fall raten eine Firewall vor deinem Rechner zu haben. Den Rechner direkt per RDP zugänglich zu machen ist ein hohes Risiko, da dann jeder unlimitiert Brute-Force attacken auf deine Windows-Konten machen kann. Ich habe es bei mir zu hause so gemacht: 1. Hab einen Router mit Firewall und integriertem DynDNS-Client Auf meinem Rechner habe ich OpenVPN installiert (einfach googlen). OpenVPN ist einfach zu konfigurieren, einfach die Doku durchlesen. In der Firewall habe ich dann lediglich die beiden Ports für OpenVPN an meinen Rechner weitergeleitet. So, wenn ich nun auf meinen Rechner zu Hause connecten will, dann starte ich einfach OpenVPN auf meinem FirmenPC und logge mich dann via Remotedesktop auf meinen HomePC ein .. das wars! Sicher und einfach... Greetz

oh :shock: , ich hatte wohl überlesen das alles gelöscht wurde .. ich ging davon aus das nur die älteste kopie gelöscht wurde.

Der LANGuard Network Security Scanner ist auch super dafür geeignet. Nur leider nicht umsonst. Google mal danach und probier die Trial aus .. ich setze das Tool schon seit jahren ein und bin begeistert :)

^^ genau so hab ichs auch gemacht, einfach Zugriff verweigern auf \System32\Grouppolicy Zum bearbeiten der Richtlinie brauchst Du dann allerdings noch einen zweiten Adminaccount der noch den Zugriff auf den Ordner hat. Hatte bisher keine Probleme damit.

Steht doch alles da :wink2: Du hast z.B. 10Gigabyte für Schattenkopien reserviert .. die 10GB wurden erreicht .. und dann wurde gelöscht um wieder Platz zu schaffen. Gruß

Hallo, Punkt 2 kannst Du lösen, in dem Du die UNC-Pfade deiner Netzlaufwerke in die "Trusted Sites" in der GPO einträgst. Benutz mal die SuFu, da gabs gestern grad einen Thread dazu .. weiss nicht mehr genau wo, ich glaube im Backoffice-Forum. Gruß

Schau dir mal den Befehl Eventcreate an. Gruß

Nein ... der Hostname wird am Client festgelegt.