Anmeldebeschränkugen (Externer Zugriff nicht möglich)

[fersn 10]

Hallo die Herren und Herren!

 

Ich stehe derzeit vor einem Problem, dass ich bis jetzt noch nicht selbst lösen konnte.

 

Wir haben eine W2k3 Domäne mit Active Directory.

 

Diverse Personen (Externe oder Interne) in unserem Unternehmen dürfen sich nur an gewissen PCs anmelden. (Dies wurde über die Anmeldebeschränkungen im AD gelöst, und funktioniert auch.)

 

Wir haben auch ein Ticketingsystem im Einsatz (I-Net Helpdesk --> IIS beeinflusste Java Anwendung), welches welches nur funktioniert, wenn es von dem PC aufgemacht wird, bei dem sich der jeweilige Benutzer anmelden darf.

Insofern nicht so problematisch, aber wir beschäftigen auch Externe Personen die auf dieses Ticketingsystem zugreifen sollen. Wenn sich diese von einem PC anmelden der nicht in der Domäne ist kommt immer die Fehlermeldung HTML 500 (Seite kann nicht angezeigt werden.) oder "Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar."

 

Wenn ich in Eventlog am entsprechenden Server gehe habe ich folgende Fehlermeldung:

Unter Sicherheit:

Fehlgeschlagene Anmeldung:

Grund: Benutzer darf sich an diesem Computer nicht anmelden

Benutzername: max.mustermann

Domäne: hagleitner

Anmeldetyp: 3

Anmeldevorgang: NtLmSsp

Authentifizierungspaket: NTLM

Name der Arbeitsstation: ATZLPP102

Aufruferbenutzername: -

Aufruferdomäne: -

Aufruferanmeldekennung: -

Aufruferprozesskennung: -

Übertragene Dienste: -

Quellnetzwerkadresse: 89.26.106.165

Quellport: 33272

 

Da ich mich bei dem Benutzer laut Domäne bzw. PC Namen nicht anmelden darf, kommt diese Fehlermeldung... Ich kann aber NIE herausfinden, welchen PC Namen die Externen Personen haben. :mad:

 

Könnt ihr mir vielleicht helfen?

 

Ich weiß nicht mehr weiter...

 

Vielen Dank in voraus.

 

mfg Fersn

[fersn 10]

Hat von euch niemand eine Idee, was man hier machen könnte?

[iDiddi 27]

Wie richtet Ihr denn Eure IP-Adressen ein? Falls das über DHCP erfolgt, schau einfach nach, welcher Client die IP

89.26.106.165

hat ;)

 

Andere Möglichkeiten:

 

-DNS

-Netzwerk-Abfrage-Tools (Advanced IP Scanner etc.)

 

EDIT: Aaarghh! Wer lesen kann, ist klar im Vorteil. Sind ja externe PCs. Ist also Quatsch! Wüsste nicht, wie Du da ran kommen kannst, sorry.

 

Erkläre aber mal bitte, wie genau die externen auf Euer Netz zugreifen. Hab ich noch nicht so verstanden. Die Arbeitsstation siehst Du ja ausserdem im Protokoll: ATZLPP102.

[fersn 10]

Wie gesagt... Das sind Externe IP Adressen, die ich nicht kontrollieren kann.

Ich habe das nur mit einem PC in einem Externen Netz getestet...

[iDiddi 27]

Ja. OK. Aber wo steht der betreffende PC denn?

 

Wenn sich diese von einem PC anmelden der nicht in der Domäne

Steht der bei denen zu Hause und die wählen sich über VPN ein? Oder grefen die nur auf eine Webseite zu? Oder steht dieser PC, der nicht in der Domäne ist, bei Euch rum?

 

Wie gesagt: Beschreibe mal etwas präziser.

[fersn 10]

OK.

Hier sind folgende Szenarien möglich:

1. Die Externen wählen sich per VPN am ISA ein und arbeiten am TS und Paralell ist lokal die Website über "HTTPS://" geöffnet.

2. Die Externe Person ist nicht per VPN eingewählt und hat nur die Website offen.

3. Die Externe Person ist bei uns im Haus, steckt sich ans Netzwerk und will auf das Helpdesktool, sollte sich aber an keinem anderen PC anmelden können. (Nur am TS und am Helpdesktool)

 

Ich hoffe das reicht dir.

 

Gruß Fersn

[iDiddi 27]

Mein Gott! Das ist aber eine Ausführliche Beschreibung :rolleyes:

 

Ich versuch es trotzdem mal:

 

HTML 500 (Seite kann nicht angezeigt werden.) oder "Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar."

Eure Website wird so eingerichtet sein, dass sie nur Zugriff eines Domänen-Benutzers erlaubt. Da max.mustermann nicht in der Domäne ist, kann er auch nicht drauf zugreifen.

 

Um genauere Aussagen zu machen, braucht man mehr Infos!

 

Nenne uns doch mal Eure Domäne. Was ist ATZLPP102 genau für ein System? Und wann kommt wo welche Fehlermeldung?

[fersn 10]

Na gut, dann fangen wir noch einmal von vorne an:

 

Umgebung:

- Domäne: Hagleitner

o DCs: Win2003R2

o AD

- Webserver für Ticketingsystem: Win2003R2

o IIS V 6.0

o LDAP Abfrage zum Importieren der Benutzer aus AD (Passwörter werden direkt übernommen)

o Benutzer authentifizieren sich am IIS (Domänenkonten)

 

Natürlich habe ich auch berücksichtigt, dass ich mich am Ticketingsystem nur mit einem Domänenkonto anmelden kann….

 

max.mustermann ist ein Domänenbenutzer der Domäne Hagleitner (Anmeldebeschränkungen auf TS, Ticketingsystem und ISA --> Da das auch von Extern funktionieren sollte.)

ATZLPP102 ist ein Tablet PC den ich für Testzwecke verwendet habe. (Windows XP Pro Tablet PC Edition, nicht in die Domäne integriert.)

 

Wenn ich die Website https://helpdesk..... eingebe kommt die Passwortabfrage. Dann gebe ich den Benutzernamen und das Passwort ein.

 

Dann erscheint sofort die Fehlermeldung "Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar."

 

Ich habe es soeben auf dem privat PC von einer Kollegin (Win7 Home Premium, Firefox) probiert… Natürlich wieder im „Externen“ Netzwerk, also reine Internetverbindung.

Auch keine Chance…

 

Ich wüsste nicht, was ich dir hierzu noch sagen könnte….

 

Mfg Fersn

[iDiddi 27]

Na also. Damit kann man doch schon mal mehr anfangen ;)

 

Hmm... Liegt höchstwahrscheinlich am IIS im Zusammenhang mit der Windows-Authentifizierung:

 

HTTP 500 - The local Security Authority cannot be contacted - Dev Shed

 

Hier wurde als Lösung genannt, dem Benutzer nicht nur Zugriff auf dem Webserver zu erlauben, sondern direkt auf allen Clients:

 

http://www.google.com/url?sa=t&source=web&cd=8&ved=0CGcQFjAH&url=http%3A%2F%2Fwww.experts-exchange.com%2FSoftware%2FServer_Software%2FWeb_Servers%2FMicrosoft_IIS%2FQ_23514159.html&rct=j&q=The%20Local%20Security%20Authority%20cannot%20be%20contacted&ei=-MLTTcPQL8f1sgb8j_TeAg&usg=AFQjCNESv5xMa5yUVylrGw-DYKcd6StA_g&cad=rja

 

Hier der entscheidende Beitrag:

 

blaadje:

03/07/08 01:17 AM, ID: 21923565

I found where the problem comes from. When i limit the user to only logon to the webserver it gives this error. When i let the user logon to all computers it works...

 

Oder hast Du einen ISA im Einsatz:

 

"The Local Security Authority Cannot Be Contacted" (Error 0x80090304) When You Try to Connect to a Remote Access Server

 

Mehr kann ich Dir dazu auch nicht sagen.

[fersn 10]

Das ist ja mein Problem….

Ich will nicht, dass sich diese Personen an allen Clients anmelden können…

Ich möchte, dass Externe Personen zwar auf das Ticketingsystem zugreifen können, aber sich nicht auf einem anderem Rechner anmelden können.

 

Ich komme schon fast hin.

Ich bekomme am Webserver direkt im Eventlog/Sicherheit den Eintrag (Wie im vorherigen Post erwähnt, ist das der PC von meiner Arbeitskolegin):

 

 

Ereignistyp: Fehlerüberw.

Ereignisquelle: Security

Ereigniskategorie: An-/Abmeldung

Ereigniskennung: 533

Datum: 18.05.2011

Zeit: 14:22:39

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: ATZLBL230

Beschreibung:

Fehlgeschlagene Anmeldung:

Grund: Benutzer darf sich an diesem Computer nicht anmelden

Benutzername: max.mustermann

Domäne:

Anmeldetyp: 3

Anmeldevorgang: NtLmSsp

Authentifizierungspaket: NTLM

Name der Arbeitsstation: KLAUDI-VAIO

Aufruferbenutzername: -

Aufruferdomäne: -

Aufruferanmeldekennung: -

Aufruferprozesskennung: -

Übertragene Dienste: -

Quellnetzwerkadresse: 89.26.106.165

Quellport: 33431

 

Derzeit ist das Gott sei Dank nicht Zeitkritisch, da sich die User derzeit an jedem Gerät anmelden können.

Aber wir wollen das Ticketingsystem unternehmensweit einsetzen. Hier sind aber einige Benutzer mit Anmeldebeschränkungen im Einsatz…

 

Zur Info:

Habe auch bei Outlook Web Acces die selbe Meldung erhalten… Konnte diese aber durch hinzufügen des ISA Servers beheben…

 

Mfg Fersn