sysad
Goto Top

Wie kann ich Zugriff auf Server vorübergehend verhindern während Wartung?

Hallo,

bei einem W2003S TS würde ich gerne folgendes realisieren:

Es läuft eine Datenbank, auf die intern sowohl per RDV als auch per Freigabe zugegriffen wird. Zusätzlich ist der Zugriff von aussen per VPN/TS/RDV möglich.

Etwa einmal im Monat muss ich das Ding über RDV fernwarten. Dazu melde ich alle User ab und lege los. Leider kommt es manchmal vor, dass sich genau dann ein User wieder einloggt und den DB-Client startet, was wiederum die Wartung sehr stört weil ich dann mit offenen Dateien kämpfen muss.

Wer hat eine gute Idee, wie ich während der Wartung entweder den Login für die User sperren kann oder den DB-Client?

Vor Ort ziehe ich einfach das NW-Kabel....Nicht elegant aber schnell und leicht reversibel.

Danke!

Content-ID: 112395

Url: https://administrator.de/forum/wie-kann-ich-zugriff-auf-server-voruebergehend-verhindern-waehrend-wartung-112395.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

GuentherH
GuentherH 25.03.2009 um 22:03:19 Uhr
Goto Top
Hallo.

Vor Ort ziehe ich einfach das NW-Kabel....Nicht elegant aber schnell und leicht reversibel.

Noch einfacher und eleganter auf der Kommandozeile change logon /disable bzw. dann wieder /enable face-wink

LG Günther
St-Andreas
St-Andreas 25.03.2009 um 22:25:44 Uhr
Goto Top
Nabend face-smile


Ist man nicht vor Ort ist es dann immer sehr praktisch wenn man noch eine alternative Möglichkeit hat auf den Server zuzugreifen. Gerne wird z.B. VNC genommen.
Mit VNC kann man dann auch noch zugreifen wenn man sich mit change logon /disable selbst ausgeschlossen hat face-smile


Viele Grüße!
sysad
sysad 25.03.2009 um 22:49:17 Uhr
Goto Top
Zitat von @GuentherH:
Hallo.

> Vor Ort ziehe ich einfach das NW-Kabel....Nicht elegant aber
schnell und leicht reversibel.

Noch einfacher und eleganter auf der Kommandozeile change logon
/disable bzw. dann wieder /enable face-wink

LG Günther

Danke, das werde ich mal versuchen. Was passiert, wenn die Fern-Verbindung zum Server mal abbricht und ich mich wieder einloggen möchte?
GuentherH
GuentherH 26.03.2009 um 00:08:26 Uhr
Goto Top
Hallo.

Was passiert, wenn die Fern-Verbindung zum Server mal abbricht und ich mich wieder einloggen möchte

Dann passiert gar nichts, weil der TS keine neue Verbindung mehr annimmt face-wink

Laut deiner Ausgangssituation kommt das ja aber nicht vor, den über Fernwartung wirst du dich mit dem Ziehen des Netzwerkkabel ja auch schwer tun face-wink

LG Günther
sysad
sysad 26.03.2009 um 15:44:47 Uhr
Goto Top

Dann passiert gar nichts, weil der TS keine neue Verbindung mehr
annimmt face-wink

Das denke ich auch.


Laut deiner Ausgangssituation kommt das ja aber nicht vor, den
über Fernwartung wirst du dich mit dem Ziehen des Netzwerkkabel
ja auch schwer tun face-wink

Doch doch, kommt schon vor: Ich bin ja nur vor Ort wenn was an der HW ist, das meiste an Wartung mache ich von daheim aus (viel gemütlicher als so ein Serverkeller....).

LG Günther

Eigentlich wollte ich ja das wissen:

Wenn ich per Fernwartung drin bin und change logon /disable eingebe, klappt das solange wie das VPN steht und ich mich nicht neu einloggen muss. Wenn jetzt die Verbindung irgendwie abbricht, wie komme ich dann wieder in den Server um den Logon zu aktivieren? Hinfahren ist nicht....

Danke



gnarff
gnarff 26.03.2009 um 19:32:21 Uhr
Goto Top
Ueberhaupt nicht!
Wenn du schon mit change logon arbeiten willst, dann mit der Option /drain da koenntest du dich dann nach einem Verbindungsabbruch in die noch bestehende Session wieder einloggen.
"/drain Disables logons from new client sessions, but allows reconnections to existing sessions."

Das brauchst du aber auch nicht einmal zu benutzen, weil du im Usermanager unter Config gezielt User von Terminalsitzungen ausschliessen kannst.
In der Terminal Server Connection Configuration kannst du unter Security und Permissions ganze Gruppen ausschliessen; sodass du in Ruhe arbeiten kannst.

Bevor die Sitzungen gekappt werden, bekommt der Benutzer einen Maintenancescreen mit Informationen ueber die voraussichtliche Dauer der Wartungsarbeiten gezeigt.
Nachher eingehende connection requests kann man redirecten sodass der User einen lediglich einen Infobildschirm gezeigt bekommt.

Saludos
gnarff
sysad
sysad 26.03.2009 um 21:24:45 Uhr
Goto Top
Das brauchst du aber auch nicht einmal zu benutzen, weil du im
Usermanager unter Config gezielt User von Terminalsitzungen
ausschliessen kannst.

Wo finde ich das? Ich habe keinen 'Usermanager', oder doch?

In der Terminal Server Connection Configuration kannst du unter
Security und Permissions ganze Gruppen ausschliessen; sodass du in
Ruhe arbeiten kannst.

Das geht, löst aber nicht alle Probleme, s.u.


Bevor die Sitzungen gekappt werden, bekommt der Benutzer einen
Maintenancescreen mit Informationen ueber die voraussichtliche Dauer
der Wartungsarbeiten gezeigt.
Nachher eingehende connection requests kann man redirecten

Das hört sich gut an, ich habe das aber noch nie gemacht. Wie geht das genau?

sodass der
User einen lediglich einen Infobildschirm gezeigt bekommt.


Das könnte sein was ich brauche. Es beschränkt sich aber leider nicht nur auf TS-User, sondern auch auf die Mitarbeiter, die beim Kunden im Büro sind (manchmal auch der Chef persönlich spät abends) und über Netzwerk arbeiten. M.E. ist es daher schon besser, den Logon abzuklemmen. ICh will halt nur sicher sein, dass ich wieder rein kann nach einem VPN-Abbruch und die Wartung zu Ende bringe und die Logins wieder zulasse.

Phhh, ich hatte mir das einfacher vorgestellt. Gibt es eine Möglichkeit, den Login so zu beschränken, dass nur Admins (=ich) rein können? Das wäre mir am liebsten und klingt auch sicher, so dass ich nicht ausser der Reihe dort selber physisch antanzen muss weil ich mich 'ausgesperrt' habe.

Danke für Deine ausführliche Antwort!
DerWoWusste
DerWoWusste 26.03.2009 um 21:39:03 Uhr
Goto Top
Ich hab noch nicht begriffen, wie change logon /disable einen Zugriff auf Freigaben verhindern soll, wer erklärt's mir?
Speziell dazu würde ich per Policy Folgendes für die Zeit der Wartung einstellen: http://technet.microsoft.com/en-us/library/cc740196.aspx
Mexxis-IT
Mexxis-IT 02.04.2009 um 05:37:48 Uhr
Goto Top
anderer Ansatz:
-2. LAN-Adapter nutzen auf welcher die dateifreigabedienste deaktiviert sind
-Wartungslogin über die IP der 2. netzkarte
-1. LAN-Adapter deaktivieren (also quasi virtuell das NW-Kabel ziehen)
-Wartungsarbeiten durchführen
-1. LAN-Adapter wieder aktivieren
sysad
sysad 04.09.2009 um 21:01:49 Uhr
Goto Top
Zitat von @Mexxis-IT:
anderer Ansatz:
-2. LAN-Adapter nutzen auf welcher die dateifreigabedienste
deaktiviert sind
-Wartungslogin über die IP der 2. netzkarte
-1. LAN-Adapter deaktivieren (also quasi virtuell das NW-Kabel
ziehen)
-Wartungsarbeiten durchführen
-1. LAN-Adapter wieder aktivieren

Das klappt gut! Danke, ich hatte nur vergessen, den Post auf gelöst zu setzen.
GuentherH
GuentherH 05.09.2009 um 12:34:28 Uhr
Goto Top
Hallo.

Ich hab noch nicht begriffen, wie change logon /disable einen Zugriff auf Freigaben verhindern soll, wer erklärt's mir?

Change logon hat nichts mit Freigaben zu tun, sonder mit der direkten Anmeldung auf einem Terminalserver. Wenn du den Zugriff auf Freigaben sperren willst, dann ist das der falsche Ansatz. In deinem Fall musst du die Datei- und Druckfreigabe beenden.

LG Günther
81825
81825 05.09.2009 um 12:39:34 Uhr
Goto Top
Hallo,

jetzt freut sich aber DerWoWusste bestimmt, dass du gerade ihm das erklärt hast, wie man sperren könnte, zumal es garnicht sein Fall ist. face-big-smile