todde_hb

Testweise hatte ich die Windows FW ausgeschaltet auf dem Zielhost. Hat nichts gebracht. Hatte es mit Compression und SMB probiert. Beides ohne Erfolg. Beide sind in der gleichen Domäne, lediglich der Quellhost befindet sich ausserhalb resp. jenseits des Netzwerks durch FW getrennt.

Also die VM ist augeschaltet, daher wird kein Memory kopiert. Das mit dem RPC muss ich mir noch mal anschauen. Eventuell ist da der Hund begraben. Meinst Du mit ANY<->ANY die Firwall Rules? Bei den Advanced Options hatte ich testweise jetzt Kerberos aktiviert, aber das funktioniert genauso wenig wie CredSSP Edit: RPC ist auf der FW freigeben, also Port 135 und auch die Upper Ports

Hallo zusammen, bei dem Versuch, ein VM von einem Host auf den anderen zu verschieben erscheint die Fehlermeldung aus dem Screenshot. Beide Systeme sind über eine Firewall separiert, jedoch bin ich der Meinung, alle nötigen Ports für Hyper-V freigegeben zu haben. Bin nach dieser Liste vorgegangen: Hyper-V Ports Lt. Fehlermeldung ist der Host nicht erreichbar, was ich merkwürdig finde, da alle anderen Hyper-V Operationen funktionieren, wie Replication

Ok, aber diese Konfig ist so gewünscht und ich kann das leider nicht beeinflussen.

Hallo, auf einem DC ist RRAS konfiguriert. Wähle ich einen statischen Adresspool aus, können die Clients sich einwählen und bekommen eine IP aus dem Pool. Ich möchte allerdings, dass die Clients vom DHCP eine IP bekommen. Im Log erscheint dann aber folgender Fehler Hat jemand eine Idee, woran es liegen könnte? Der DHCP Server ist vom RRAS-Server problemlos erreichbar. Der eine einwählende User hat per Dial-IN Properties eine fixe IP zugewiesen bekommen. Ciao, todde_hb

Hallo, wir haben eine Win 2012 Server der mit RDS macht. Dort wurde über den Servermanager eine Session Collection erstellt, die sich RDP nennt. Dort wurde ebenfalls die Druckerumleitung nicht aktiviert für die Gruppe, die dort eingetragen ist. Nun soll aber ein User die Druckerumleitung aktiviert bekommen. Ich dachte, ich könnte eine neue Session Collection erstellen, und den einen User dort einfügen. Dies scheitert aber daran, dass im Wizard unter "Remote Session Host" kein Server mehr auftaucht. Daraus schliesse ich, dass pro Server immer nur eine Session Collection möglich zu sein scheint. Jetzt frage ich mich, wie ich es am geschicktesten hinbekomme, dass der eine User seinen Drucker in der RDP Session nutzen kann, ohne dass alle anderen das auch können. Hat jemand eine Ahnung, wie das geht? Grüsse, todde_hb

Danke Euch!

Hi, ist es möglich und sinnvoll, den Forrest Functional Level auf 2016 zu upgraden, wenn von 3 DCs einer noch auf 2012er hängt? Die anderen beiden sind schon 2016 und der PDC gehört dazu. Müssen danach die DCs neu gestartet werden? ciao, todde_hb

Was mir jetzt noch aufgefallen ist: Die Sperrlisten URL wird gar nicht im Zerifikat gelistet. Wie kann das sein? Für die eingetragene URL aus Screenshot 1 kann ich den Punkt "Publish CRLs to this location gar nicht auswählen" Im ausgestellten Zertifikat ist lediglich der CRL im LDAP eingetragen. Denke da ist der Fehler schon zu suchen. Wie bekomem ich nun die http Adresse ins Zertifikat? Problem gelöst. Es war ein simpler Haken "Include CRLs. Client uses this to find Delta CRL locations"

Hi, versuche in einer Testumgebung SSTP zum laufen zu bekommen. Habe auf DC1 AD CS, NPS, RRAS, IIS. Im certmgr habe ich die URL zur Sperrliste eingetragen( im Screenshot der letzte Eintrag). Der DC1 ist über dyndns auf Port 80 und 443 erreichbar. Habe dann im IIS ein CSR erstellt, die bei der CA eingereicht und dann wieder im IIS eingebunden und das Certificate in den Bindings auf Port 443 zugewiesen. Im RRAS ebenfalls dieses Certificate unter Security ausgewählt. Dann NPS konfuguriert, dass VPN einwahl erlaubt ist, erstmal ohne Einschränkungen von Benutzern etc. Auf dem Client habe ich dann http://meine.dyndnsadresse.eu/Certsrv aufgerufen, um das CA Certificate herunterzuladen. Es ist "Vertrauenwürdige Stammzertifikate" installiert. Starte ich dann die VPN auf dem WIN10 Client. dann erscheint dieser Fehler: "Die Sperrfunktion konnte die Sperrung nicht überprüfen, dass der Sperrserver offline war" Habe schon ohne Ende geggogelt, aber eine Lösung dazu habe ich nicht gefunden. Testweise habe ich sogar in der Registry einen Eintrag gemacht, die Überprüfung der CRL komplett abzuschalten, aber selbst das funktioniert nicht. Im Wireshark habe ich mal geschaut, was während der Verbindung passiert. So wie ich das interpretiere, fragt der SSTP Client gar nicht die Sperrliste auf Port 80 ab, zumindest sehe ich dazu keinen Eintrag. Was habe ich übersehen bzw. wo ist der Fehler zu finden. Wenn es gar nicht anders geht, dann würde ich auf eine öffentliche CA umsteigen, aber das ist nur die Notlösung. ciao, todde_hb

@testperson Die Überlegung stand im Raum, aber wir müssen zwingend auf dem Hyper-V hOst IPSec machen. Ich vergass zu erwähnen, das ich im RRAS NAT schon aktiviert hatte. Dort als WAN Interface den IPSec Adapter gewählt und als LAN die vNIC, die an vSwitch 2 angebunden ist

Hallo zusammen, stehe gerade vor einer etwas kniffligen Aufgabe. Ziel ist es, auf einem Hyper-V Host Routing auf einen IPSec Adapter zu machen. Ich habe mal eine Grafik erstellt, um das ganze etwas zu veranschaulichen. Der Hyper-V Host hat eine physische ( eigentlich vNIC) NIC mit einer public IP und hängt direkt am Internet. Er baut mit einer Drittherstellersoftware eine IPSec-Verbindung zu einer Firewall auf, hinter der ein LAN liegt. Ebenfalls hat der Hyper-V host eine vNIC, die an den vSwitch2 angebunden ist. Auf dem Hyper-V Host wurden 2 vSwitche erstellt, 1x "external network" und 1x "internal network" Auf dem Hyper-V Host existiert eine VM mit 2 Netzwerkadapern. Einer davon ist an den vSwitch1 "external network" angebunden und hat ebenfalls eine public IP, der andere Adapter ist an den vSwitc2 "internal network" angebunden. Ziel der ganzen Übung ist, Das die VM1 über den vSwitch2 auf den IPSec-Adapter und demnach auch auf das external Ntework zugreifen kann. Dazu habe ich auf dem Hyper-V einmal DirektAccess installiert, obwohl ich dachte, dachte, dass ich nur RRAS benötige, aber bei der Rolleninstallation geht das wohl nicht separat. Nun gut. Leider habe ich mit dem RRAS bzw. DirectAccess von MIcrosoft absolut keine Erfahrung. Ich habe in der Serverwaltung schon die RRAS Einstelllung gefunden und dort IPv4 Routing aktivieren können, aber VM1 kann den IPSec-Adapter nicht anpingen. Wäre ja auch zu schön gewesen. Stimmt mein Szenario bzw. das Setting überhaupt so? Kann man über vSwitch2, was ja nur ein "internal network" ist, auf den IPSec-Adapterzugreifen? In der Beschreibung im Hyper- Manager stand, dass VMs im "internal network" auf andere VMs und den Host zugreifen können. Mir ist nicht ganz klar, ob der Zugriff auch den IPSec-Adapter beinhaltet. Ciao, todde_hb

Würde es eventuell helfen, die rasphonebook.pbk zu löschen?

Hallo, ich habe ein merkwürdiges Problem. Auf einem w2k16 Server hatte ich als lokaler Admin eine VPN Verbindung zum Firmenstandort konfiguriert. Über die Gui lies sie sich starten, auch über "rasdial.exe "connection name" war kein Problem. Danach wollte ich den automatischen Start testen, per task scheduler und Batchdatei. Das ging auch einmal gut. Danach aber nicht mehr. Den Task hatte ich ebenfalls als lokaler Admin angelegt. Nun habe ich aber das Problem, dass ich die VPN-Verbindung nur noch per GUI starten kann. Rasdial.exe bringt mir immer diese Meldung, wie im screenshot zu sehen. Wie gesagt, über die Gui ist alles gut. Hat jemand eine Idee, woran das liegen könnte? Ciao, todde_hb

@NorbertFe Im Prinzip gebe ich da da absolut recht Aber, learning by doing ist doch nicht ganz so schlecht Den certreq Befehl hab ich tatsächlich auch gerade bei google gefunden und konnte so ein Certificate ausstellen und es auf dem Hyper-V Client importieren, jedoch findet Hyper-V es nicht, obwohl es sich im personal store befindet. Ich nehme mal an, dass das Template, welches ich zum signieren benutzt habe, also "WebServer" nicht ganz das richtige ist. Bietet dies überhaupt Client/Computer Authentifizierung? Welches muss/soll man denn da nehmen? Nehme ich das gleiche Template, welches Domänenclients verwenden, dann erhalte ich beim signieren einen Fehler, wie im Screenshot zu sehen ist.

Hi, ja, die beiden Server sind durch ein unsicheres Netz separiert. Ich bin mal nach der Anleitung aus obigen links vorgegangen und habe auf dem Replication-Client (nicht in der Domäne) Eine CSR erstellt. Diese ist auch gültig lt. https://cryptoreport.websecurity.symantec.com/checker/views/csrCheck.jsp . Reiche ich nun das CSR auf der Domänen CA ein, erhalte ich diese Fehlermeldung. Habe mal nach dem Fehler geggogelt und bin hierauf gestossen https://www.experts-exchange.com/questions/28217522/Issue-certificate.html Dort heisst es , man solle bei den Certificate Templates das Webserver Template anpassen, nämlich den Computer unter dem Tab Security eintragen. Welcher Computer ist den damit geimeint? Der Server auf dem die CA läuft? Habe diesen mal eingetragen, wie im Screenshot 02 zu sehen, aber der Fehler bleibt bestehen.

@NilsK Ok, aber vom Hyper-V Client ist die CA nicht erreichbar und daher ist Webenrollment nicht verfügbar. Wie kann ich denn manuell in eine Textdatei ein CSR generieren?

Danke. Das lese ich mir mal durch.

Hi, Das dumme ist, dass der Replikation Host in der Domäne mit CA ist, der Replication Client nicht. Das lässt sich wohl auch nicht ändern.

Also hat P1 bei tagged VLAN10 die "Freigabe", Pakete mit VLAN ID10 und VLAN ID1 durchzulassen? VLAN ID1 ist quasi per Default immer zugewiesen bzw. untagged VLAN1 ist auf jedem Port per Default aktiv?

Hi zusammen, unter den Replikationseinstellungen kann ich ja zwischen Kerberos http Port 80 und Zertifikat 443 auswählen. Jetzt stellt sich mir die Frage, welches Zertifikat ich da nehmen kann, bzw. muss. Klicke ich auf "select certificate" bekommen ich die Meldung wie im Screenshot. Muss ich dann nicht nur in dem Quell Hyper-V ein Zertifikat installieren, sondern auch auf dem Target Hyper-V? Ciao, todde_hb

@magheinz Ja, 2 VLANS. So ist es gedacht, aber ich ging davon aus, wenn die Ethernetframes des GUEST Wifi ein VLAN 10 Tag bekommen, dass sie dann nicht auf die anderen Resourcen zugreifen können. Ist dem nicht so? @mwiederkehr Wieso tagged VLAN10 an Port1 an SW1? Würde das nicht bedeuten, das z.B. Client1, der ja vom AP keine VLAN ID zugewiesen bekommt, über den Port nicht mehr rauskommt? Mein Kollege sagt, dass die Firewall, also USG310 kein VLAN kann, daher diese verkabelung

Hallo, habe mal eine Grafik erstellt zur besseren Übersicht. Ciao, todde_hb

Hallo, danke, dass ihr versucht, mir das zu erklären. Ist für mich immer noch nicht ganz so einfach zu verstehen. Ich werde demnächst mal versuchen, es grafisch darzustellen, so wie ich es jetzt verstanden habe.

Hallo, ich würde gerne mal wissen, wie sich Datenpakete beim Switching verhalten, wenn sie mit einer VLAN ID versehen werden. Wenn ich z.B. auf einem WIFI AP VLAN für die WIFI-Clients aktiviere, z.B. VLANID-ID 10, dann bekommt das TCP-Paket ja einen zusätzlichen Eintrag für VLAN. Mein Frage: 1.) Kann dieses Paket dann nur Ports auf den Switches durchlaufen, wenn diese ebenfalls als VLAN-MemberID 10 eingetragen haben? 2.)Im Falles des APs:Ist es richtig, dass der Ethernetport des Switches, an dem der AP hängt zwingend VLAN konfiguriert haben muss? Sorry, hab von VLAN absolut keinen Plan. Ciao, todde_hb