stefan.macke

Das werde ich mal ausprobieren... ich weiß einfach nicht mehr weiter :-(

Ja, Gruppenrichtlinien setze ich ein, aber ich wüsste nicht, welche solch eine "Replizierung" der VPN-Verbindungen zur Folge hätte. Im Startscript wird auch nichts kopiert oder so...

Jo, die Antivirensoftware läuft zuverlässig. Und es ist ja auch eine von mir manuell erzeugte Verbindung zu einem verlässlichen Host, nichts Verdächtiges...

Hallo zusammen. Ich habe ein sehr seltsames Problem mit einer VPN-Verbindung unter Windows XP: sie kopiert sich selbstständig auf alle Clients im Netzwerk und ich werde sie nicht wieder los. Ich habe vor einiger Zeit eine VPN-Verbindung auf meinem XP-Client angelegt. Nach einigen Tagen habe ich sie durch Zufall auf einem anderen XP-Client in unserem Netzwerk entdeckt. Eine kurze Suche ergab dann, dass die Verbindung auf allen XP-Clients im Netzwerk vorhanden war. Nachdem ich herausgefunden hatte, dass die VPN-Verbindungen in der Datei %USERPROFILE%\Anwendungsdaten\Microsoft\Network\Connections\Pbk\rasphone.pbk gespeichert werden, habe ich einfach auf allen Cients in allen Benutzerprofilen (inkl. All Users) diese Datei gelöscht bzw. geleert. Auch in den servergespeicherten Profilen auf dem Server habe ich die Dateien entfernt. Heute habe ich mal wieder eine Suche gestartet und festgestellt, dass die Datei (noch nicht auf allen Clients, aber auf vielen) wieder da und die VPN-Verbindung wieder verfügbar ist. Ich habe absolut keine Ahnung, woher diese Verbindungsinformationen kommen können. Im Default User des Domänencontrollers gibt es die Datei nicht. In unseren Client-Images ist sie auch nicht enthalten. Kann mir bitte jemand helfen, die Zombie-VPN-Verbindung loszuwerden? ;) Viele Grüße Stefan

Hallo erstmal. Also das Kopieren etc. sollte wohl das geringste Problem darstellen. Da kannst du ja sogar eine einfache Batch-Datei verwenden (xcopy etc.). Ich weiß jetzt nicht, welches Umfeld du hast, sonst würde sich natürlich auch die neue Powershell für solche Aufgaben anbieten, oder VBScript. Zum Problem an sich: Vielleicht kannst du zunächst einmal eine Kopie des gesamten Verzeichnisses erstellen, bevor du dieses dann packst. Dadurch kannst du das Problem mit Dateien im Zugriff evtl. umgehen. Du packst dann das kopierte Verzeichnis erst, wenn du sicher bist, dass alles einwandfrei kopiert wurde. Vielleicht kann man mit der Powershell sogar herausfinden, ob Dateien gerade im Zugriff sind. So genau kenne ich mich damit noch nicht aus. Sie bietet aber Einiges, also vielleicht auch das. Links: Windows PowerShell - Wikipedia (was ist die Powershell) Microsoft Corporation (Beispielscripts)

Also ich bin zwar FIAE, habe aber mit einem FISI zusammen die Abschlussprüfung gemacht. Ich fand den bloßen Umfang seiner Prüfung recht heftig. Man musste ja wirklich alles wissen, von VoIP bis Windows Server 2003. Und dann kamen in seiner Prüfung (Frühjahr 2006) auch sehr viele Nischengebiete vor... Anwendungsentwickler haben es da meiner Meinung nach leichter: UML, Datenbanken. Das war's :) Aber die wichtigsten Bereiche dürften mit Hilfe des Handbuchs (das man ja in die Prüfung mitnehmen darf) zu machen sein. Ein bisschen Rechnen und Übersetzen im Allgemeinen Teil und dann noch die Fragen für WiSo auswendig gelernt und schwupps ist man FISI ;) Das sollte durchaus mit Realschulabschluss zu machen sein!

Ok, danke für die Antwort. Dann müssen sich die Benutzer wohl einmal abmelden. Sinn und Zweck der Übung ist, Programme unter "temporären" Admin-Rechten installieren zu können, die ich anhand der beschriebenen Vorgehensweise gewähre. Da wäre es schön gewesen, wenn die Benutzer sich nicht abmelden müssten... Aber jetzt weiß ich wenigstens, dass es halt nicht anders geht (abgesehen von anderen Möglichkeiten, den Benutzern kurzzeitig Admin-Rechte zu gewähren :) Danke! Stefan

Hallo zusammen! Vielleicht ist meine Frage recht schnell beantwortet: Benötigt Windows einen Neustart bzw. das Abmelden des Benutzers, nachdem Änderungen an den "Sicherheitseinstellungen" (z.B Gruppenzugehörigkeit des Benutzers) durchgeführt wurden? Szenario: Ich vergebe lokale Berechtigungen auf den Clients per GPO ("Eingeschränkte Gruppen"). Der entsprechenden GPO wird nun eine neue Gruppe (nennen wir sie "DOM\Test") hinzugefügt, die Mitglied der lokalen Administratoren auf den Clients werden soll. Auf dem Client aktualisiere ich die Gruppenrichtlinie ("gpupdate /force"). Schaue ich mir nun z.B. die Sicherheitseinstellungen eines Ordners auf der lokalen Festplatte des Clients an, hat ein Benutzer (der in Gruppe DOM\Test ist) dank der neuen Richtlinie "Vollzugriff" (die GPO greift also, da er vor der Aktualisierung der Gruppenrichtlinie nur "normalen" Zugriff hatte). Dennoch kann der Benutzer z.B. keine Dateien in dem Ordner anlegen etc. Erst nach einem Neustart (bzw. einer Abmeldung) funktioniert es wie gewünscht. Gibt es eine Möglichkeit, die offensichtlich schon vorhandenen Sicherheitseinstellungen auch tatsächlich anzuwenden bzw. irgendwie zu aktualisieren, ohne den Benutzer abmelden zu müssen? Danke schonmal für eure Antworten! Stefan

Also ich glaube ich habe die Lösung für mein Problem gefunden... Und zwar blockiert unsere Firewall die Pings, mit denen Windows versucht herauszufinden, ob eine langsame Netzwerkverbindung besteht. Wie man in der Microsoft Knowledge Base nachlesen kann, werden 2KB große ICMP-Pakete verwendet, die unsere Firewall laut deren Log als verdächtig einstuft und nicht durchlässt. Dadurch bricht die Erkennung langsamer Netzwerke ständig mit der folgenden Meldung in der userenv.log ab: PingComputer: Second send failed with 11010 Werde mal versuchen, die Pakete an der Firewall durchzulassen und hoffe, dass ich so irgendwie weiterkomme...

Mhh... das dachte ich mir auch schon. Aber ich habe einen Test gemacht, bei dem ich den VPN-Client dauerhaft angepingt habe. Der Client antwortet bis kurz vor der Meldung "Windows wird heruntergefahren", also hat er beim Ausführen der Scripts zumindest noch eine Netzwerkverbindung...

Hallo zusammen! Erstmal vorweg: Alle gut festhalten heute nachmittag, damit mir keiner wegweht :D Nun zu meinem Problem: Unsere Benutzer bekommen per Gruppenrichtlinie Abmeldeskripts zugewiesen, die unter "normalen" Bedingungen (Anmeldung am physikalischen Netz) auch reibungslos funktionieren und innerhalb weniger Sekunden durchlaufen. Ist der Benutzer aber per VPN angemeldet (das läuft über eine Checkpoint VPN-Appliance) werden die Scripts nicht ausgeführt und nach ziemlich genau 10 Minuten (rein zufällig der Windows-Standardwert, wie lange auf Scripts gewartet werden soll!?) geht es dann mit dem Herunterfahren weiter. Ich habe schon rumprobiert und zunächst die Wartezeit für Scripts herabgesetzt, in der Hoffnung, dass wenn die Scripts schon nicht ausgeführt werden wenigstens die Abmeldung schneller läuft. Mit einem Testscript, das länger braucht als die vergebene Zeit, und mit Anmeldung direkt am Netz funktionierte die Einstellung auch: Das Script wurde einfach nach Ablauf der vergebenen Zeit von Windows beendet und fertig. Anders jedoch beim Anmelden via VPN: Das Script wird weder aufgerufen noch vorzeitig beendet. Eine Überprüfung des RSOP zeigt aber, dass alle Richtlinien richtig greifen. Der Client steht einfach so 10 Minuten auf der Ausgabe "Abmeldescripts werden ausgeführt". Laut %SYSTEMROOT%\Debug\UserMode\userenv.log braucht der Prozess userinit.exe so lange. Was kann man da tun? Die Scripts müssen ausgeführt werden (was im Moment per VPN ja gar nicht klappt) und dann auch noch schnell. Vielleicht weiß ja jemand was dazu :) Danke schonmal! Stefan

Also wenn du per Hostnamen auf deinen Server zugreifen willst, brauchst du DNS. Sonst musst du über die IP-Adresse die Netzlaufwerke verbinden... (den PC siehst du gar nicht in der Netzwerkumgebung, das läuft alles über Netzlaufwerke) Das mit deinen IP-Adressen habe ich aber nicht ganz verstanden... Deine Clients bekommen vom Server den Bereich .70-.90 zugewiesen. Dann kannst du .71 anpingen, also wird das wohl der erste Remote-Host sein. Aber der Server hat doch .99, wie du schreibst. Versuch mal die .99 anzupingen und wenn's klappt ein Netzlaufwerk zu einer Freigabe auf dem Server anhand der IP-Adresse einzurichten (die Berechtigungen müssen natürlich für den Benutzer eingerichtet sein!) Bsp: "net use z: \\192.168.6.99\Freigabe" in der Eingabeaufforderung oder im Explorer mit "Extras/Netzlaufwerk verbinden" Vielleicht konnte ich ja helfen... Stefan

So ein Mist... Es gibt noch ein Problem... Und zwar komme ich bei angeschalteter NAT vom x.x.7.0 Segment ins Internet, aber vom x.x.6.0 Segment nicht mehr. Genauso ist es umgekehrt, wenn ich NAT abstelle... Irgend ne Idee? Ich habe per DHCP den Standard-Gateway im x.x.6.0 Segment auf den Router (x.x.6.1) gelegt und dann mit "route add 192.168.7.0 mask 255.255.255.0 192.168.6.2" den Server als Gateway ins x.x.7.0 Segment eingerichtet, aber dann kommt bei Ping nichtmal die erste Zeile, sondern alles bleibt schwarz... Stefan

Verdammt, der Kerl hat's drauf ;) Geht wirklich! Und damit habe ich sogar ein weiteres Problem gelöst, nämlich, dass ich dem x.x.7.0 Segment jederzeit das Internet abstellen kann. HA! Danke schön! Stefan

Sowas ähnliches habe ich mir auch gedacht... ;) Nur b***d, dass ich nen billigen Router habe, dem ich sowas nicht reinhämmern kann... Aber danke trotzdem, ich fürchte, ich muss mal was investieren! Stefan