Mausschubser443 11 Geschrieben 27. Februar 2007 Melden Teilen Geschrieben 27. Februar 2007 Hallo, ich habe auf unserem Server eine neue IPSec Richtlinie eingetellt, die nur für Web(80) greift. Lokal kann vom Server der den IIS Betreibt kann ich auf die Webseite zugreifen. Wenn ich einen Client Manuel auf "Client (Respond Only)" stelle läuft es ... dann habe ich eine neue Gruppenrichtlinie gemacht, die nannte ich IPSec habe Sie auf die OU="Netzwerk\Computers" gelegt, sodas alle Computer Konten das mit kriegen. Die GP Auswertung zeigt auch an, das es in er GPO aktiviert ist. Wenn ich dann aber auf einem Lokalen Computer auf IP-Sicherheitsrichtlinien gehe, ist "Client (Respond Only)" nicht aktivert. Und zugriff auf die Webseite habe ich auch nicht.. (außer ich mache "Client (Respond Only)" selber lokal an... ist bei 150 Computern aber einwenig aufwändig). Auf die Domain GPO kann ich das nicht legen, da es noch IIS und Apache gibt die nicht verschlüsselt werden sollen, da diese über das Intenert erreichbar sein sollen. Hat jemand eine Idee wie ich das übers Komplette AD verteilen kann? vielen dank für die Hilfe.. gruß, Dustin781 Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 27. Februar 2007 Melden Teilen Geschrieben 27. Februar 2007 Ich weiss jetzt nicht ob ich dir hiermit weiterhelfe aber, hast du zb. die Berechtigung "Authentifizierte Benutzer" Lesen Gruppenrichtlinie übernehmen? Dh. wenn Du Dich danach, nach dem Reboot, auf dem Rechner einloggst, sollte die Richtlinie übernommen werden?! :suspect: Zitieren Link zu diesem Kommentar
Mausschubser443 11 Geschrieben 28. Februar 2007 Autor Melden Teilen Geschrieben 28. Februar 2007 HI, an den Berechtigungen zum lesen der GPO habe nicht geändert. Zugriff auf die OU ist. Und andere GPO's die mit der OU verknüpft sind greifen auch... gpupdate /force habe ich schon 2000 mal gemacht.. bringt nix... wenn ich z.B. in der GPO die Windows Firewall an oder aus mache, ändert sich das status ja auch mit jedem gpupdate.. also denke ich mal das das soweit ok ist... Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 28. Februar 2007 Melden Teilen Geschrieben 28. Februar 2007 Dass die GPO nich greift finde ich komisch. Stehen da Einstellungen in Konfikt? Hast Du GPMC? Schau Dir mal trotzdem die Berechtigungen an.. Eventuell könntest Du probieren alle 150 Computer Gruppen in eine DL Gruppe zusammenzufassen und denen die Berechtigung zu erteilen die GPO zu übernehmen.. Zitieren Link zu diesem Kommentar
Mausschubser443 11 Geschrieben 28. Februar 2007 Autor Melden Teilen Geschrieben 28. Februar 2007 hi, rechte sind alle super... hab ja auch testweise andere einst. gemacht die übernommen werden.. (in der GP). Wie soll ich der DL Group die Rechte geben? Meinst Du auf die OU oder direkt von GP-Objekt? Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 28. Februar 2007 Melden Teilen Geschrieben 28. Februar 2007 Direkt der GPO das Recht vergeben.. Teste gerade.. Hab irgendwie dasselbe Problem. Das sie für nur Client nicht zieht.. :suspect: Zitieren Link zu diesem Kommentar
Mausschubser443 11 Geschrieben 28. Februar 2007 Autor Melden Teilen Geschrieben 28. Februar 2007 ohh.. das ja nett von Dir! hab in meiner VMware umgebung auch nicht hinbekommen.. bin ja froh das es bei Dir auch nicht geht *g*.. sorry.. .. ich saß schon stunden dran und habe alles versuch.. bin total verzweift. .. hab mein 70-293 komplett auf gefressen, jede Seite gelesen.. und es geht nicht.. im WalkIN War bezüglich dem auch nur eine Info.. verteilen mit GPO... toll was... ? ich teste morgen weiter.. aber ich hatte schon mal überlegt über die Domain Policy zu gehen.. aber dann würde die DCs das ja mit kriegen.. und eigentlich war der Plan Prodktiv System auf Requiere zu stellen, und einen DCs so einzustellen das er nur wenn möglich.. sonst kann ich ja keine Client mehr in die Domäne bringen.. undwenn ich das über DC auf Requiere stelle dann hat sich das theme erledigt *g*... Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 28. Februar 2007 Melden Teilen Geschrieben 28. Februar 2007 Microsoft Corporation Noch gut zu lesen vorallem unter Active Directory basierte Richtlinien.. So als Info Mache die Übung auch da man das ja irgenwann sowieso mal braucht.. ;) Mal sehn ob ich die Nuss knacke.. Lach... Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 28. Februar 2007 Melden Teilen Geschrieben 28. Februar 2007 Also, unter Computerkonfiguration in der GPO habe ich bei Internetexplorer die Seite Allgemein ausgeblendet. Der GPO die ich IPSec nannte haben "Authentifizierte Benutzer" Gruppenrichtlinie übernehmen als Recht. Das funktioniert also. Aber das mit den IPSec Richtlinien geht weder in der Default Domain Policy noch bei der selbst erstellten "IPSec".. Total Strange.... :suspect: Zitieren Link zu diesem Kommentar
Mausschubser443 11 Geschrieben 1. März 2007 Autor Melden Teilen Geschrieben 1. März 2007 HI, den Artikel von MS habe ich gestern nur überflogen, ab da steht so ja eigentlich nichts drin was ich nicht schon getestet habe.. Aber wenn es bei Dir auch ist und bei mir in zwei Umgebungen könnte es doch sein das es über irgendwie ne andere Richtlinie rübergebracht werden muß, was MS aber nicht Preis gebenwill. *grrr*... Oder haben wir das gleiche Netzwerk?? Alle Config ab 70-290 komplett eingespielt und das Netzwerk in jede neue Prüfung übernommen ..? Wäre ja witzig.. Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 1. März 2007 Melden Teilen Geschrieben 1. März 2007 Ich habe die 180days Eval Enterprise 2003 Server.. Frische Installation mit allen Patches etc.. Komisch.. Weiss wohl niemand genau Bescheid. . Hmmm . . Zitieren Link zu diesem Kommentar
omniafluxit 10 Geschrieben 1. März 2007 Melden Teilen Geschrieben 1. März 2007 Habt ihr mal versucht, die Secure Server Pol mit einzubinden? Es sollte ja eigendlich so sein, dass der Server dann nur sichere Verbindungen annimmt, die andere GPO also erst dann wirklich zieht. Sonst würde ja nur der Client IPSec initialisieren. Stell das aber morgen auch mal nach. Zitieren Link zu diesem Kommentar
Mausschubser443 11 Geschrieben 2. März 2007 Autor Melden Teilen Geschrieben 2. März 2007 Hi, wenn ich den Server auf anfordern stelle, und der Client die response drin hat sollte es schon klappen, tut es auch wenn ich es im Client selber einstelle (also per hand im IPSec). Wenn ich den Server auf Sec.Server stelle, also erzwungen ist keine kommunikation mehr möglich.. ich brauche rein logisch gesehen einen Domänen Controller der nicht mit IP Sec arbeitet damit die Client erstmal rausfinden das Sie es nutzen dürfen und dann auf den anderen servern mit IPSec arbeiten. Wenn du deinen DC auf IPSec requiere stellst, kannst du keine PC mehr in die Dombringen... sehr seltsam alles.. Zitieren Link zu diesem Kommentar
Mausschubser443 11 Geschrieben 3. März 2007 Autor Melden Teilen Geschrieben 3. März 2007 Hat mal jemand von euch den Richtlinienergebnissatz auf dem Client ausgeführt? Wird da irgedwas von IP Sec angezeigt? Bei mir wird nicht mal der GP-Baum für IPSec eingeblendet.. ??? total strange.. PS. Guck mal ins Grüne Bibelbuch auf Seite 830 Frage 3 bla bla bla.. wie verteilen Sie IPSec .. ? ... = OU für alle WS's machen, GPO drauf mit Client nur Antwort... Seite 858 geht es weiter.. da sind dann auch wieder die Fragen, die auf GPO und OUs aufbauen.. ... *grrr* geht aber nicht.. ****es Buch... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.