StefanWe

frage, wie lößt du die namen der server aus? netbios namen oder dns namen? Wenn netbios, dann schau mal, ob der Winsserver bei den clients im vlan5 richtig eingetragen sind. Da die Clients im vlan4 ja die Server mittels broadcast auflösen kann. Die clients im vlan5 aber nicht, da broadcasts nicht geroutet werden.

achja. Der Grund warum das mit den GPOs nicht möglich war, ist der, das der Druckername nciht s1la ist sondern s1la auf server. Und das würde wiederum die Benutzer verwirren. Daher legen wir lokale Ports mit dem UNC Pfad des Druckers an. Damit ist es ein lokaler Drucker, wir können Berechtigungen vergeben und die Druckernamen sind kurz und nicht verwirrend.

ok, jedenfalls hab ich nun die Lösung gefunden. Ich habe das Zertifikat des Herstellers in den Store "TrustedPublisher" des Computerkontos importiert. Dann lassen sich auch die Drucker automatisch installieren.

Wenn du als authentifizierung Kerberos gewählt hast, meldet sich das Computerkonto per Kerberos unverschlüsselt am Domänencontroller an. Tauscht dann mittels IPSec die Verschlüssellungsdaten aus und ab da an ist die Verbindung verschlüsselt. Dann solltest du definitiv IPSEC Daten sehen. Nutzt du Zertifikate, sollte sich auch das Computerkonto schon über IPSEC anmelden. ( Hier bin ich mir aber nicht 100% sicher ) Vorausgesetzt du hast die GPO auch richtig konfiguriert.

ich kann dir leider gerade nicht mehr genau sagen warum nicht, aber das habe ich bereits versucht und es passte zu der restlichen Umgebung nicht.

Hi, ich habe 20 Drucker die ich auf ca. 25 Terminalserver ( Win 2008 x64) deployen muss. Nun habe ich mit printbrm oder auch printmig ein Druckermig. File erzeugt. Dieses lässt sich aber nicht installieren, da dem Treiberhersteller nicht vertraut wird. Wenn ich nun einmal einen Drucker manuell von dem Hersteller mit dem Treiber installiere, kann ich das printmig. bzw. printbrm File installieren. Soweit ich gesehen habe, kann man bei 2008 die Treibersignatur nicht mehr ausschalten. Die Drucker sind UTAX Drucker. Der Hersteller der Treiber scheint Kyocera zu sein. Das sind so OEM Drucker. Die Treiber sind auch signiert, allerdings wohl der Hersteller nicht. Kennt ihr eine Möglichkeit, die Drucker am besten zu deployen ? Bzw. dem Hersteller per Gruppenrichtlinie oder ähnlichem zu vertrauen ? Danke.

Ich glaube er meint keine VPN Verbindung sondern den internen LAN Verkehr per IPSEC zu verschlüsseln. Dies ist eigentlich ganz einfach. Die Default Domain Policy bitte nicht anfassen! In der neuen Gruppenrichtlinie dann: In der Computerkonfiguration->Windows Settings->Security->IP Security-> Die Secure Server Regel anschauen bzw. entsprechend anpassen. Wichtig achte drauf das alle Rechner die Gruppenrichtlinie ziehen. Dann sollte der gesamte Verkehr per IP Sec verschlüsselt werden. Wenn du es ohne CA machst, solltest du trotzdem die Kerberos Protokolle im Sniffer sehen, da hierüber dann die Authentifizierung der Rechner erfolgt.

kannst du mal die Logs hier reinstellen ?

Danke. Das Thema Router on a Stick ist genau das was ich wollte. Hatte es aber auch selbst schon gefunden. Aber eine Frage habe ich hier. Die Datenpakete, laufen physikalisch über den Router? Oder handdelt der Router im Zusammenhang mit dem "Client Switch" das so aus, das die Datenpakete nur am Switch bleiben ? Dies ist für mich eine Performancefrage.

Also ich tendiere ganz stark zu Trendmicro. Das deployen ist super einfach. Zudem würde ich auch auf eine Interne Firewall auf den Clients verzichten. Die XP Firewall reicht da vollkommen aus. Da ihr ja sicherlich noch eine Firewall für das gesamte Netz habt, kann also kein Client unbemerkt irgendetwas ins Internet schicken. Avira und Symantec würde ich nicht nehmen. Symantec ist zu langsam und Avira ist meiner Meinung nach immer noch ein Homeuserprodukt.

Guten Morgen, ich bin gerade dabei, mir eine nette Testumgebung aufzubauen, um mich ein wenig in die Cisco Switche und Router einzuarbeiten. Nun habe ich hier einige 2800er und 3524er. Leider sind die 3524er keine Layer 3 Switche und können kein InterVLAN Routing. Der 2800er hat aber auch leider nur 2 Ethernet Ports. Sehe ich das richtig das der 3524 kein intervlan kann, oder habe nämlich mehrfach zweideutige Aussagen gefunden. Die einen sagen ja und die andern nein.

Hi, ich habe heute geschlagene 50Minuten gesucht wie man den Timestamp für AD Objekte berechnet. Z.b. pwdlastset oder lastlogon. Auf dieser seite ist dies möglich. Timestamp: Convert Unix- and Microsoft Windows / Active Directory (LDAP)-Time

Guten Morgen, die Woche beginnt gut. Ich habe einen Exch 2007, auf welchem Transportregeln eingerichtet wurden. Regel1: Interne Mitarbeiter einer bestimmten Gruppe dürfen keine Mails nach extern senden. Wenn sie dies tun, wird die Mail in einen Öffentlichen Ordner umgeleitet und die Person bekommt eine unzustellbarkeitsmail. Alles bis auf den Unzustellbarkeitsbericht funktioniert. Das komische an der Sache, es hat bei der Ersteinrichtung einwandfrei funktioniert und von heute auf Morgen nicht mehr. Dann haben wir noch eine zweite Regel und zwar, das diese Personen auch von extern nicht erreichbar sein sollen. Und die dritte Regel, das jede nach extern gesendete Mail als Kopie in einem Ordner landet.

Hi, ich plane derzeit ein Projekt bei einem Kunden(Steuerberater) mit 70 Mitarbeiter, welcher nun seine Mails signiert verschicken möchte. Natürlich möchte er ebenfalls mit seinen Mandanten Mails auch verschlüsselt versenden. Nun ist das Problem, das die Mandaten keine fähigen Systemhäuser oder Berater haben, welche sich mit dem Thema PKI Ansatzweise auskennen. In dem Zuge haben wir uns überlegt, für die Mandanten SmartCards mit eigenen Zertifikaten auszustellen. Welche Frage ich mir derzeit stelle ist, was sinnvoller ist, "öffentliche Zertifikate von z.B. Verisign zu ordern, oder eine eigene PKI aufbauen, welche aber nicht öffentlich vertrauenswürdig ist. Ersteres hat natürlich den Vorteil, dass die Zertifikate auf jedenfall vertrauenswürdig sind. Nachteil: Das zustellen der Zertifikate ist deutlich aufwendiger. Bei der eigenen PKI wäre es ja möglich, die Root Zertifikate direkt beim Mandanten und Kunden zu importieren, damit wären sie ja auch vertrauenswürdig. Allerdings, wenn der Kunde nun signierte Mails ans Finanzamt sendet, ist ein öffentlich zertifiziertes Zertifikat schon besser. Würdet ihr in jedem Fall auf eine Öffentliche CA setzen, oder käme auch eine eigene PKI in Frage.

ok problem behoben. die anwendung läd plugins *.4dx dateien nach, was auch einwandfrei funktioniert und startet dann diese. Da die TS Server aber mit AppSense eingedämmt sind, werden die 4dx Dateien gesperrt und daher lief die Anwendung nicht mehr. Nun ist alles wieder OK. Danke

nein, weil es keine bedeutung hat, ob es ein TS ist oder nicht bei der Applikation.

Guten Morgen, eine Log Datei existiert leider nicht. Dem user habe ich sowohl auf dem Server als auch auf dem Client Vollzugriff gegeben. Dies hat zu keinem Erfolg geführt. Wenn der Benutzer Hauptbenutzer ist, geht es immenroch nicht. Erst wenn er zu den lokalen Administratoren hinzugefügt wurde. Ich habe derzeit eine Vermutung, das es an appsense liegen könnte, hier muss ich aber erstmal rücksprache mit einem Kollegen halten, der das eingerichtet hat. Da ich den Client auf einem anderen TS installiert habe und der benutzer sich ohne weitere Berechtigungen anmelden konnte und die applikation einwandfrei nutzen konnte.

ansonsten könntest du mal nach iworxs suchen. hat einen java client und ist platformunabhängig

Betriebssystem ist Windows 2003 Server. Der server steht inhouse in unserem Rechenzentrum. Die Anwendung ist von 4DServer. Das scheint so eine RAD Anwendung zu sein, womit man einfach SQL basierte Anwendungen erstellen kann. Auf das protkoll hat wohl nur der Hersteller selbst zugriff und der weiß leider über seine Software nicht bescheid. Die eingesetzte Anwendung die das problem macht heißt intercash. Im Ereignislog steht leider nichts. Wie gesagt ich vermute das hier eine oder 2 Dateien irgendwo liegen, wo der Benutzer keinen Zugriff drauf hat.

Hi, ich habe hier eine ziemlich hässliche Anwendung. Diese Anwendung baut eine TCP Verbindung zu seinem Server auf. Nach anmelden am Server bekomm ich dann die Fehlermeldung, das eine Externe Routine nicht ausgeführt werden kann. Füge ich den Benutzer zu den lokalen Administratoren hinzu, funktioniert die Anwendung ohne Probleme. Auf dem Verzeichnis hat der Benutzer Schreib und Lese Zugriff. Doch trotzdem funktioniert die Anwendung nicht. Hab mit den sysinternals Tools procmon die Programm.exe datei protokolliert und ich finde keine DENIEDs die darauf schließen, das irgendwo noch etwas gesperrt wird. Habe heute 3 Stunden mit der Auswertung der procmon Protokollierung zugebracht. In der Registry schreibt die Software auch nicht rum. Selbst der Hersteller mein, er wüsste es nicht, da er noch aus den WindowsNT zeigen kommt und sich überhaupt nicht mit Rechtevergabe auskennt. Jemand eine idee, wie oder mit welchem weiteren nützlichen Tool ich dieser Anwendung auf die Pelle rücken kann, damit ich sehen kann, was die Software wirklich braucht? Achja, mit runas kann ich die Anwendung nicht ausführen, da dies zu kritisch in der Systemumgebung wär.

Bzgl. der Verteilung von Zertifikaten habe ich noch eine Frage. Man kann ja nun über die Gruppenrichtlinie "Vertrauenswürdige Stammzertifikate" verteilen. Ich habe hier nun ein Class 1 Verisign Zertifikat, das in den Benutzer Store unter Vertrauenswürdige Stammzertifikate muss. Nun habe ich den GPO Editor geöffnet und möchte unterhalb von Benutzerkonfiguration->WindowsEinstellungen->Sicherheitseinstellungen->RichtlinienÖffentlicherSchlüssel->Unternehmensvertrauen das Verisign Zertifikat einbinden. ****erweise kann ich dort keine cer Dateien einbinden. In der Computerkonfiguration funktioniert dies aber schon. Welche Möglichkeit habe ich denn hier, das Zertifikat per GPO in den Store zu schieben ?

ok gewonnen ;)

ähm nö ;)

Mh, nun soll man sich aber mal ein Unternehmen mit mehreren 100 Usern vorstellen. Und jeder soll sich selbst darum kümmern, sich das CA bei der Internen CA zu registrieren und zu installieren? Das wird ja nie bei der Menge funktionieren...

OK, das Outlook Problem hat sich entsprechend auch erledigt. Es sollten schon die Stammzertifizierungszertifikate installiert sein. Dann legt Outlook beim ersten Versenden einer signierten Nachricht ein Sicherheitsprofil für das eigene Cert an. Funktioniert hervoragend. Jetzt nur noch die Frage: Wie sollte ich am Sinnvollsten die Benutzer Certs automatisch und vor allem "sicher" ausrollen ?