3
VPN - Einwahl überwachen
Hallo Leute,
ich weiß, am Freitag um 1 macht Jeder seins. 
Aber das muss ich noch los werden.... 
Ich habe hier einen Server eines Kunden. Auf diesem läuft Windows Server 2k3 Standard mit SP2. Das Netzwerk sieht so aus:
Internet => Router => Server
=> Clients
Die Clients gehen über den Router ins Internet. Auf dem Server ist natürlich eine Domäne aufgesetzt. Nun wurde vor 2 Monaten der Routing- & RAS Dienst installiert und für die VPN-Einwahl konfiguriert.
Anforderung:
Heute Mittag erhielt ich eine Mail, dass wir doch bitte den Server so konfigurieren sollen, dass wenn sich ein Mitarbeiter per VPN erfolgreich eingewählt hat, eine Mail an User "x" geht. In der Mail soll das Datum, die Zeit und die zugeordnete IP - Adresse drin stehen.
Bisherige Überlegungen:
Mein 1. Ansatz war, ich checke in der Ereignisanzeige den Bereich "Sicherheit" und dort über ein VBS - Script den entsprechenden Eintrag zufiltern. Jedoch wie stelle ich fest, ob es um eine VPN-Einwahl des Users handelt oder doch ein LAN - Login ist?? Desweitern müsste ich das Script dann in eine Endlosschleife schicken?!
Die E-Mails hätte ich mit Blat.exe verschickt. Da dort auch eine Exchange 2003 + SP2 im Einsatz ist, wäre das kein Problem.
Desweitern müssste ich dann nachdem die E-Mail verschickt worden ist, diesen Eintrag löschen da er sonst immer wieder zu Diesem eine E-Mail verschickt.
Zielsetzung:
Die Lösung des Produktes sollte am Besten kostenlos und natürlich bis Montag implementiert sein. *g*
Wie würdet ihr das Problem angehen bzw. lösen??
Grüße
Dani
Internet => Router => Server
=> Clients
Die Clients gehen über den Router ins Internet. Auf dem Server ist natürlich eine Domäne aufgesetzt. Nun wurde vor 2 Monaten der Routing- & RAS Dienst installiert und für die VPN-Einwahl konfiguriert.
Anforderung:
Heute Mittag erhielt ich eine Mail, dass wir doch bitte den Server so konfigurieren sollen, dass wenn sich ein Mitarbeiter per VPN erfolgreich eingewählt hat, eine Mail an User "x" geht. In der Mail soll das Datum, die Zeit und die zugeordnete IP - Adresse drin stehen.
Bisherige Überlegungen:
Mein 1. Ansatz war, ich checke in der Ereignisanzeige den Bereich "Sicherheit" und dort über ein VBS - Script den entsprechenden Eintrag zufiltern. Jedoch wie stelle ich fest, ob es um eine VPN-Einwahl des Users handelt oder doch ein LAN - Login ist?? Desweitern müsste ich das Script dann in eine Endlosschleife schicken?!
Die E-Mails hätte ich mit Blat.exe verschickt. Da dort auch eine Exchange 2003 + SP2 im Einsatz ist, wäre das kein Problem.
Desweitern müssste ich dann nachdem die E-Mail verschickt worden ist, diesen Eintrag löschen da er sonst immer wieder zu Diesem eine E-Mail verschickt.
Zielsetzung:
Die Lösung des Produktes sollte am Besten kostenlos und natürlich bis Montag implementiert sein. *g*
Wie würdet ihr das Problem angehen bzw. lösen??
Grüße
Dani
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 66479
Url: https://administrator.de/contentid/66479
Printed on: April 18, 2024 at 03:04 o'clock
3 Comments
Latest comment
Hi Dani
Also um deine Frage mit der Protokolierung zu beantworten geh in Routing und Ras mach nen rechtsklick auf Rechnername (lokal) und dort unter Protokollierung "Alle Ergebnisse protokollieren".
Und im Windows Ordner findest du dann den Ordner \tracing wo alle Logfiles (*.txt) sind voll mit RAS und VPN.
In der Ereignisanzeige findest du unter System, dann auf Quelle und dort zu RemoteAccess
Dort wird das ganze dann so ausgegeben:
Dem mit Port VPN5-4 verbundenen Benutzer "Domain\Username" wurde die Adresse 192.168.12.*** zugewiesen.
2te Meldung:
"Der Benutzer "domain\user" hat eine Verbindung mit Port VPN5-4 hergestellt und wurde authentifiziert. Über diese Verbindung gesendete bzw. empfangene Daten werden stark verschlüsselt."
Und am Ende hast du dann das stehen:
Der Benutzer "domain\user" hat eine Verbindung mit Port VPN5-4 am 16.08.2007 um 16:28 hergestellt und diese am 16.08.2007 um 17:20 getrennt. Verbindungszeit: 51 Min. 46 Sek., 1439587 Bytes wurden gesendet und 583769 Bytes empfangen. Der Grund für das Trennen war: Benutzeranforderung.
Du siehst die IP die er im VPN bekommt du siehst welcher User es ist und vielleicht auch ganz schön die Uhrzeiten von wann bis wann + Datenvolumen.
MFG NEMESIS
Also um deine Frage mit der Protokolierung zu beantworten geh in Routing und Ras mach nen rechtsklick auf Rechnername (lokal) und dort unter Protokollierung "Alle Ergebnisse protokollieren".
Und im Windows Ordner findest du dann den Ordner \tracing wo alle Logfiles (*.txt) sind voll mit RAS und VPN.
In der Ereignisanzeige findest du unter System, dann auf Quelle und dort zu RemoteAccess
Dort wird das ganze dann so ausgegeben:
Dem mit Port VPN5-4 verbundenen Benutzer "Domain\Username" wurde die Adresse 192.168.12.*** zugewiesen.
2te Meldung:
"Der Benutzer "domain\user" hat eine Verbindung mit Port VPN5-4 hergestellt und wurde authentifiziert. Über diese Verbindung gesendete bzw. empfangene Daten werden stark verschlüsselt."
Und am Ende hast du dann das stehen:
Der Benutzer "domain\user" hat eine Verbindung mit Port VPN5-4 am 16.08.2007 um 16:28 hergestellt und diese am 16.08.2007 um 17:20 getrennt. Verbindungszeit: 51 Min. 46 Sek., 1439587 Bytes wurden gesendet und 583769 Bytes empfangen. Der Grund für das Trennen war: Benutzeranforderung.
Du siehst die IP die er im VPN bekommt du siehst welcher User es ist und vielleicht auch ganz schön die Uhrzeiten von wann bis wann + Datenvolumen.
MFG NEMESIS
Hallo NEMESIS,
auf die Protokollidee bin ich noch gar nicht gekommen. Ich habe jetzt in den Eigenschaften des Routing- RAS Dienstes "Alles protokollieren" aktiviert und unter "Protokoll (links im Menü) den Pfad angepasst und Protokollführeung unter "Lokale Datei" aktiviert.
Somit stehen in der Log wirklich nur noch die erfolgreichen Logins (Testet!).
Der Anmeldeeintrag sieht so aus:
Abmeldeeintrag:
Nun wird aber für den Logout auch wieder ein Eintrag erzeugt. Die Einträge sehen identisch aus! Was nun??
Grüße
Dani
auf die Protokollidee bin ich noch gar nicht gekommen. Ich habe jetzt in den Eigenschaften des Routing- RAS Dienstes "Alles protokollieren" aktiviert und unter "Protokoll (links im Menü) den Pfad angepasst und Protokollführeung unter "Lokale Datei" aktiviert.
Somit stehen in der Log wirklich nur noch die erfolgreichen Logins (Testet!).
Der Anmeldeeintrag sieht so aus:
"Servername","RAS",08/17/2007,17:01:21,4,"Domäne\User",,,"192.168.0.10",,"192.168.0.106",,"192.168.0.5",6,,"192.168.0.5",,1187362881,1,5,,1,2,,,0,"311 1 192.168.0.5 08/17/2007 14:48:28 10",,,,,1,,,,"140",2,,,,,"43",1,,1,1,"192.168.0.10",,,,,,,,"MSRASV5.20",311,,"0x0046414D494C49452D5759444C4552",4,,"Windows-Authentifizierung für alle Benutzer verwenden",,,,"MSRAS-0-Client","MSRASV5.10" "Servername","RAS",08/17/2007,17:01:37,4,"Domäne\User",,,"192.168.0.10",,"192.168.0.106",,"192.168.0.5",6,,"192.168.0.5",,1187362895,1,5,,1,2,,,0,"311 1 192.168.0.5 08/17/2007 14:48:28 10",,,,,2,,2092,2213,"140",2,14,25,29,1,"43",1,,1,1,"192.168.0.10",,,,,,,,"MSRASV5.20",311,,"0x0046414D494C49452D5759444C4552",4,,"Windows-Authentifizierung für alle Benutzer verwenden",,,,"MSRAS-0-Client","MSRASV5.10" Grüße
Dani
