Toon posts:

[2000 Server] IAS stuk na Echange 2003 upgrade

Pagina: 1
Acties:

donderdag 19 januari 2006 11:20

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 18:44

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter
Situatie:
Iemand klopt aan op de Cisco firewall om een VPN verbinding op te zetten. De PIX vraagt aan mijn IAS sevrver (Windows 2000 Server) of dit mag. De IAS server vraag vervolgens aan een AD DC (Windows 2000 Server of Server 2003) of diegene in een bepaalde groep zit en zegt vervolgens ja danwel nee tegen de PIX.

Nu doet de IAS server het niet meer, in het event log staat het volgende event:
Event id: 3

Access request for user xxxx was discarded.
Fully-Qualified-User-Name = xxxx
NAS-IP-Address = 10.30.1.254
NAS-Identifier = <not present>
Called-Station-Identifier = <not present>
Calling-Station-Identifier = xxxx
Client-Friendly-Name = Firewall
Client-IP-Address = 10.30.1.254
NAS-Port-Type = <not present>
NAS-Port = 11
Reason-Code = 2
Reason = The service does not have sufficient access rights to process the request.
Dit gedrag wordt beschreven in dit kn artikel: Authentication request through the Windows 2000 Internet Authentication Service fails and Event ID 3 is logged in the System log. De condities die genoemd worden klopen niet helemaal, er komt namelijk geen NT4.0 server in onze omgeving voor.

De oplossing zou zijn:
To resolve this issue, you must enable pre-Windows 2000 compatible permissions on your Windows 2000 domain controllers. To do this, follow these steps on a Windows 2000 domain controller computer.

1. Click Start, click Run, type cmd, and then click OK.
2. Type net localgroup "Pre-Windows 2000 Compatible Access" everyone /add , and then press ENTER.
3. Restart the domain controller.
Dat deed mij denken aan de upgrade van Exchange 2000 naar Exchange 2003 die ik vorige week gedaan heb. Daar liet de setupprocedure me juist Everyone uit de groep Pre-Windows 2000 Compatible Access halen.

Hoe nu verder?

Exchange en Office 365 specialist. Mijn blog.

donderdag 19 januari 2006 11:35

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 18:44

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter
Jazzy schreef op donderdag 19 januari 2006 @ 11:20:
Dat deed mij denken aan de upgrade van Exchange 2000 naar Exchange 2003 die ik vorige week gedaan heb. Daar liet de setupprocedure me juist Everyone uit de groep Pre-Windows 2000 Compatible Access halen.
Iets specifieker, dat gaat dus hierom: A description of the message "The domain 'Example.com' has been identified as an insecure domain for mail-enabled groups with hidden DL membership". In die toelichting lees ik wat meer over de achtergrond en dat het (afgezien van security) geen probleem is om Everyone weer aan die groep toe te voegen. Ik heb dit gedaan en ga eerst even testen of het nu weer werkt.

Sorry voor de overlast. Zo zie je maar weer dat het soms een stuk kan helpen als je je verhaal even duidelijk op een rijtje zet. :)

[ Voor 4% gewijzigd door Jazzy op 19-01-2006 11:35 ]

Exchange en Office 365 specialist. Mijn blog.

donderdag 19 januari 2006 13:16

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

Jazzy,

Hou er rekening mee dat Exchange2003 de security strakker heeft staan dan Exchange2000!!
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq