-farbsu-ch-tt 10 Geschrieben 7. Dezember 2007 Melden Teilen Geschrieben 7. Dezember 2007 Wir hosten in unserem Serverraum einen Server einer anderen Unternehmung. Diese Unternehmung hat vier Standorte, welche über unser Glasfasernetz angeschlossen sind. Die (geographischen) Standorte sind im AD nicht angegeben. Es gibt also eine Domäne DOM-Lbr auf einem SBS 2003. Eine Mitarbeiterin (rm) hat das Unternehmen verlassen und arbeitet jetzt in einer anderen Domäne, hier mal DOM-GW genannt. Diese Person muss aber immer noch gelegentlich auf Daten und Applikationen der alten Firma zurückgreifen. Der dort verwendente Rechner ist XP Pro SP2. Es wurde zwischen einer ZyWall und einer SonicWall ein VPN-Tunnel erstellt, der funktioniert: Die Mitarbeiterin kann von der neuen Firma her den SBS anpingen, erhält Antwort. Auf beiden Seiten wird per DSL mit dem internet verbunden. Auf dem SBS habe ich folgendes konfiguriert: RRAS benutzerdefiniert (1 Netzwerkkarte) für VPN eingerichtet. Ich stelle PPTP-Verbindungen zur Verfügung, verlange im Profil der Remote Policy Verschlüsselung, MS CHAPv2 und Einwahlberechtigung vergebe ich über Gruppenzugehörigkeit, hier VPN-User. Im AD habe ich der Benutzerin das Einwählen gemäss RRAS-Policy erlaubt. Auf dem Client wurde eine VPN-Verbindung eingerichtet, die allen Benutzern zur Verfügung steht. Die Eigenschaften der VPN-Verbindung: Optionen standard, Sicherheit erweitert MC CHAPv2 und Erforderlich. VPN-Typ ist PPTP. Die IP-Adresse lasse ich automatisch beziehen. Wenn sich die Benutzerin anmelden will, wählt sie an DFÜ-Netzwerk anmelden. Die Verbindung kommt zustande, der Client wird in RRAS angezeigt. Es wird eine IP zugewiesen. Trotzdem erhält die Benutzerin die Meldung, dass der Benutzername, der Domänen-Name oder das Passwort falsch sei. Wir haben uns mehrfach überzeugt, dass beides an sich stimmt: DOM-Lbr\<Benutzername> und das Passwort wurde ja auch für das Einwählen verwendet, sollte also stimmen. Die Ereignisanzeige verrät mir folgendes mit jedem Anmeldeversuch: Ereignistyp: Informationen Ereignisquelle: IAS Ereigniskategorie: Keine Ereigniskennung: 5050 Datum: 07.12.2007 Zeit: 07:22:17 Benutzer: Nicht zutreffend Computer: SRV-WML01 Das Sicherheitslog: Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 538 Datum: 07.12.2007 Zeit: 07:22:17 Benutzer: DOM-Lbr\rm Computer: SRV-WML01 Beschreibung: Benutzerabmeldung: Benutzername: rm Domäne: DOM-Lbr Anmeldekennung: (0x0,0x1FAC8C5E) Anmeldetyp: 3 Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 540 Datum: 07.12.2007 Zeit: 07:22:17 Benutzer: DOM-Lbr\rm Computer: SRV-WML01 Beschreibung: Erfolgreiche Netzwerkanmeldung: Benutzername: rm Domäne: DOM-Lbr Anmeldekennung: (0x0,0x1FAC8C5E) Anmeldetyp: 3 Anmeldevorgang: IAS Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Arbeitsstationsname: Anmelde-GUID: - Aufruferbenutzername: SRV-WML01$ Aufruferdomäne: DOM-Lbr Aufruferanmeldekennung: (0x0,0x3E7) Aufruferprozesskennung: 1648 Übertragene Dienste: - Quellnetzwerkadresse: - Quellport: - Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: Kontoanmeldung Ereigniskennung: 680 Datum: 07.12.2007 Zeit: 07:22:17 Benutzer: DOM-Lbr\rm Computer: SRV-WML01 Beschreibung: Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Anmeldekonto: rm Arbeitsstation: Fehlercode: 0x0 Was läuft da falsch? Zitieren Link zu diesem Kommentar
-farbsu-ch-tt 10 Geschrieben 7. Dezember 2007 Autor Melden Teilen Geschrieben 7. Dezember 2007 Ich frage mich gerade, ob ich wohl zuviele Angaben gemacht habe und das Problem dadurch enorm kompliziert erscheint.. Oder ob die Lösung absolut klar ist. Fakt ist: Ich hatte mit VPN bis anhin nichts zu tun und habe mir in dieser Woche alles erarbeitet. Ich sehe im Moment vor lauter Bäumen den Wald nicht mehr und bin echt gespannt, an welchem Denk-/Konfigurationsproblem ich gescheitert bin. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. Dezember 2007 Melden Teilen Geschrieben 7. Dezember 2007 Die beiden Domänen sind per LAN-LAN VPN "physikalisch" miteinander verbunden, haben logisch aber nichts miteinander zu tun ? Trotz der schon bestehenden VPN-Verbindung wird zusätzlich ein PPTP-Tunnel aufgebaut ? Der Client der fremden Domäne soll sich bei der interaktiven Anmeldung schon per VPN mit dem SBS verbinden (wozu das denn ?) . Ehrlich gesagt verstehe ich den Sinn dieses Konstruktes nicht (wenn ich das Geschriebene überhaupt richtig verstanden habe) ... Wenn sie schon physikalischen Zugriff auf den Server hat , warum greift sie nicht direkt zu ? Credentials für den Zugriff auf fremde Ressourcen kann man speichern ... Zitieren Link zu diesem Kommentar
-farbsu-ch-tt 10 Geschrieben 9. Dezember 2007 Autor Melden Teilen Geschrieben 9. Dezember 2007 Danke für die Antwort. Wie ich es schon ahnte: Ich habe mich verrannt! Also: Die Benutzerin darf nicht unter Verwendung ihres neuen Kontos (oder darin zugelassene Verbindungen) auf die Buchhaltungsapplikation und ihre eigenen Daten zugreifen. Sie muss sich also in der neuen Umgebung abmelden und an der alten anmelden. Reicht es denn, wenn sie sich bei der Anmeldung mit DOM-WMLT\benutzername anmeldet? Wie gesagt, ich mache sowas zum ersten mal. In der Ausbildung war mir alles klar und jetzt blicke ich überhaupt nicht mehr durch. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 10. Dezember 2007 Melden Teilen Geschrieben 10. Dezember 2007 Sie kann sich mit dem Benutzernamen in ihrer Domäne anmelden und sich dann mit einem anderen Benutzernamen mit den Ressourcen der alten Domäne verbinden. Unter CONTROL USERPASSWORDS2 z.B. kann man diese Credentials speichern ... Zitieren Link zu diesem Kommentar
-farbsu-ch-tt 10 Geschrieben 10. Dezember 2007 Autor Melden Teilen Geschrieben 10. Dezember 2007 Hallo Ich weiss echt nicht was ich genau gedacht habe. Gelöst wurde das Problem mit Remote Desktop und dem bestehenden alten Profil. Die Benutzerin muss lediglich ihr Profil schmälern und ich auf dem alten Server einen Druckertreiber installieren, damit sie Remote drucken kann. Beim nächsten mal kann ich mich also nicht mehr auf fehlende Erfahrung berufen ;) Viel Dank für deine Hilfe! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 10. Dezember 2007 Melden Teilen Geschrieben 10. Dezember 2007 So geht es natürlich auch, allerdings muss aus lizenzrechtlichen Gründen der Server als Terminalserver arbeiten oder der Benutzer verbindet sich mit einer XP-Maschine via Remotedesktop ... Zitieren Link zu diesem Kommentar
-farbsu-ch-tt 10 Geschrieben 10. Dezember 2007 Autor Melden Teilen Geschrieben 10. Dezember 2007 Danke für den Hinweis! Es sind ja zwei Sitzungen möglich, ohne weitere Lizenzierung. Die Verwendung dieser zwei möglichen Sitzungen ist aber offenbar beschränkt. Beschränkt auf was? Ich darf mich als Admin am Server anmelden, um Verwaltungstätigkeiten zu erledigen, innerhalb der eigenen Domäne. Die Benutzerin darf sich nicht an der Domäne einer Firma anmelden, für die sie noch Gewisse arbeiten erledigt.. Kannst Du mir entsprechende Hinweise geben? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 10. Dezember 2007 Melden Teilen Geschrieben 10. Dezember 2007 Diese Sitzungen sind ausschliesslich für die Administration des Servers gedacht, nicht für das Ausführen von Anwendungen wie Office z.B. ... Schau mal in die EULA, da steht es drin ... Das hat nichts damit zu tun, in welcher Domäne sich der Benutzer momentan befindet ... Zitieren Link zu diesem Kommentar
-farbsu-ch-tt 10 Geschrieben 10. Dezember 2007 Autor Melden Teilen Geschrieben 10. Dezember 2007 Ich finde folgenden Passus in dem SBS 2003 Standard / Premium Edition EULA: Auszug aus 2, a: You do not need to acquire an SBS CAL for any User or Device that accesses the Server Software solely htrough the Internet and is not authenticated or ohtherwise distinguished by the Server Software or a Multiplexing Service. Da sich die Person aber anmeldet, authentifiziert, brauche ich eine CAL (da wir die Umgebung frisch übernommen haben weiss ich noch nicht, ab es sich um USER oder DEVICE CALs handelt). Spielt aber keine Rolle, da: Auszug aus 2, d, (iii) Administration. Up to two Users or Devices may simultaneously access or use the Server Software solely for administration of the Server Software without acquiring any CALs. Es ist nicht definiert, wie administriert wird. Für mich bedeutet das: ganz egal wie ich zugreiffe, administrieren dürfen bis zu zwei Personen / Maschinen. Es spielt in dem Fall auch keine Rolle, wie ich zugreiffe, wenn ich NICHT administriere? Oder gibts da noch Unterschiede? Ich bin beim Benutzung der Suche auf den Thread zur Client CAL bie der Verwendung eines 2003 Servers als Memberserver in einer SBS 2003-Domäne gestolpert und erneut ziemlich verunsichert. Ich möchte auf keinen Fall irgendwas konfigurieren, was später weitere Kosten verursacht weils nicht korrekt war. Es ist das erste projekt dieser Art für mich. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 10. Dezember 2007 Melden Teilen Geschrieben 10. Dezember 2007 Da steht´s doch, "solely" = einzig für die Administration der Serversoftware. Oder administriert die Benutzerin den Server. Mit einer SBS-CAL (was etwas anderes ist als eine Terminalserver-CAL) kannst Du die Serversoftware wie Exchange oder Datei- und Druckdienste des SBS nutzen. Du benötigst beispielsweise keine SBS-CAL, wenn Du auf eine eventuell konfigurierte, selbst erstellte Webseite zuugreifst. Wenn Du allerdings Terminaldienste nutzen willst (nicht Remotedesktop für die Administration), benötigst Du einen Terminaldienste-Lizenzserver, einen Terminalserver (kann nicht der SBS sein, SBS unterstützt keine Terminaldienste) und die entsprechenden Terminalserver-CALS. Zitieren Link zu diesem Kommentar
-farbsu-ch-tt 10 Geschrieben 10. Dezember 2007 Autor Melden Teilen Geschrieben 10. Dezember 2007 Was die Administration anbelangt, habe ich es verstanden. Und jetzt ist auch klar: als Benutzer mit nicht administrativem Zugriff spielt es KEINE Rolle, WIE zugegriffen wird, es braucht so oder so einen TS und entsprechende Lizenzen. Erneut vielen Dank! Zitieren Link zu diesem Kommentar
-farbsu-ch-tt 10 Geschrieben 12. Dezember 2007 Autor Melden Teilen Geschrieben 12. Dezember 2007 Mein Problem kann gemäss Auskunft vom Kundendienst von Microsoft Schweiz GmbH mit Remote Web Workplace gelöst werden. Dazu wird eine CAL für SBS (eben keine CAL für TS) benötigt, die in diesem Fall aus der alten Umgebung vorhanden ist. Wie das ganze gelöst wird (sichere Veröffentlichung) ist mir noch rätzelhaft, scheint aber in Richtung Veröffentlichung OWA zu gehen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.