IThome

Liegt auf dem Client wahrscheinlich daran, dass der Haken "Standardgateway im Remotenetzwerk verwenden" aktiv ist ...

Ist schon merkwürdig, sowas kenne ich auch ...

Wo steht; ? Was heisst, Du glaubst ? Läuft es oder nicht ? Wenn es intern läuft, dann probiere es von aussen. Wenn es von dort aus nicht läuft, dann ist wahrscheinlich Dein Router das Problem ...

Was für eine ISDN-Karte ist das und hast Du Software für diese Karte installiert ?

Entferne als erstes die Paketfilter. Die kannst Du immer noch einrichten, wenn das VPN erstmal läuft. Der Router muss nicht nur TCP 1723 nach innen leiten, er muss auch das IP-Protokoll 47 richtig erkennen und behandeln müssen. Dafür gibt es oft Funktionen wie PPTP-Passthrough, VPN-Passthrough oder ähnlich. Bei Home Routern ist diese Funktion aber nicht immer auch eingehend implementiert. Teste also zuerst, ob die VPN-Verbindung intern hergestellt werden kann, dann testest Du sie von extern und dann erst kommen Paketfilter. Wenn Du dem Server eine 2. Karte spendierst, kannst Du ihn zusätzlich zum NAT-Router machen und der Assistent konfiguriert Dir Deine Paketfilter gleich richtig ;).

Sag mal, kannst Du als Hauptbenutzer den Server anpingen oder via \\<Adresse des Servers> die Freigabeliste sehen ? Wie verhält es sich, wenn Du intern auf irgendeiner XP-Maschine diesen Hauptbenutzer anlegst, Dich mit ihm anmeldest und dann auf den Server zugreifst (also ohne VPN) ?

SMTP wird für das Verschicken der Mails benutzt, nicht für das Abholen. Du benötigst ein Programm, was die POP-Mails abruft. Ein sehr gutes ist dieses ... POPBeamer for Microsoft Exchange Der Exchange selbst kann keine Mails via POP3 abrufen ...

Der Ordner in NETLOGON muss "Default User.v2" heissen und das Profil muss von einer Vista Maschine aus kopiert worden sein, also ein Vista-Profil sein...

Du kannst mit der MMC-Konsole "Sicherheitskonfiguration- und Analyse" und der ROOTSEC.INF überprüfen, ob die Rootsecurity verändert wurde ...

Naja, das ist ´ne Home-Version, was aktive "Einfache Dateifreigabe" bedeutet, also Gastauthentifizierung. Da spielt es eigentlich keine Rolle, wer da welches Kennwort hat. Und da man für das Remoteherunterfahren ein gewisses Benutzerrecht benötigt, was man auf bei einer Home-Version gar nicht einstellen kann, weiss ich nicht so recht, ob das überhaupt Früchte tragen wird. Sowas gehört einfach nicht in ein Firmennetzwerk ...

Das sind Systemgruppen, deren Zugehörigkeit man nicht verändern kann. Es sind Stellvertreter für spezielle Klassen von Benutzern (z.B. die, die sich interaktiv an einem Rechner angemeldet haben, also "INTERAKTIV") oder sie stellen das Betriebssystem dar (die Gruppe "SYSTEM"). Keine dieser Gruppen kannst Du im Benutzermanager (weder in Domänen noch auf lokalen Rechnern) sehen. Beispielsweise kann "INTERAKTIV" eine Berechtigung oder Recht auf dem lokalen System gewährt oder verweigert werden, was dann stellvertretend für denjenigen gilt, der sich via STRG-ALT-ENTF oder automatischer Anmeldung oder wie auch immer lokal am System angemeldet hat. Schau Dir beispielsweise mal die Berechtigungen der CMD.EXE eines 2003 Servers an und vergleiche es nit den Berechtigungen auf die CMD.EXE einer XP-Maschine. Dort wirst Du sehen, dass diese Datei auf dem Server zusätzlich zu den Administratoren auch mehrere Systemgruppen eingetragen sind. Eine davon ist "INTERAKTIV", also jeder, der sich lokal am Server anmelden darf (dieses Recht ist per Default wesentlich eingeschränkter als auf einer XP-Maschine).

Man kann schon eine Zone anlegen, die den Namen des anzusprechenden Hosts hat (den FQDN). Dort wird dann ein A-Eintrag OHNE Namen erzeugt ...

Schau mal hier ... http://www.mcseboard.de/windows-forum-allgemein-28/freigaben-uebernehmen-135709.html

Wenn der Administrator eine Abfrage bekommt, dann ist Benutzername/Kennwort aber wahrscheinlich nicht gleich. Poste bitte mal IPCONFIG /ALL bei Verbindung und angemeldet als Administrator sowie angemeldet als Hauptbenutzer ...

Du hast es also schon fehlerfrei als GPO-Script durchlaufen lassen (offensichtlich funktioniert es ja nicht) und hast auch gesehen, was da passiert ? Ich rede nicht davon, dass Du es als Benutzer durch Doppelklick ausführst. Warum sollte es am Hub liegen, dass ein Laufwerk verbunden wird und alle anderen nicht ?!

Auch ´ne gute Idee ... :) , aber dann auch ein neues GPO ...

Was passiert noch mal genau, wenn Du es als Hauptbenutzer probierst ? Laut Deiner Beschreibung eingangs ist das kein Berechtigungs-, sondern ein Namensauflösungsproblem (habe ich irgendwie überlesen). Wie greifst Du auf die Freigabe zu ?

Die untere Richtlinie bezieht sich aber nicht auf das Installieren von lokalen Druckern, sondern auf das Mappen und dem damit verbundenen Übertragen von Treiberdateien auf den Rechner ... Mir persönlich ist kein Weg bekannt, Benutzern das Installieren von lokalen Druckern zu erlauben ... Devices: Prevent users from installing printer drivers: Security Configuration Editor

Ähm, ja, von Gateway 1 aus gesehen natürlich über Gateway 2 ins Intranet, nicht über Gateway 3. Voraussetzung dafür ist allerdings, dass Pakete für das Intranet überhaupt durch den Tunnel geroutet werden, wofür die Tunneleinstellungen verantwortlich sind (IPSec, falls das benutzt wird) ...

Erhöhe auf dem Server mal diesen Parameter ... Description of the IRPStackSize parameter in Windows 2000, in Windows XP, and in Windows Server 2003

Delegierungen sind in der DNS-Verwaltungskonsole als "ausgegraute" Einträge unterhalb der jeweiligen Zone sichtbar und die kann man auch löschen. Da Du eine Zone XY.LOC hast, muss dann ja an eine Unterdomäne wie z.B. SUB.XY.LOC delegiert worden sein, für die ja auch irgendein DNS-Server zuständig sein muss (was ja der Sinn einer Delegierung ist). Wenn Du aber nur eine Domäne XY.LOC hast, wofür dann die Delegierung ? Die Clients registrieren sich zuallererst an dem bevorzugten DNS-Server, der bei ihnen eingetragen ist. Damit sie das tun, muss die Zone dynamische Updates zulassen und der Client muss so konfiguriert sein, dass er auch dynamisch updatet (DHCP berücksichtige ich jetzt nicht). Per Default registriert er nur seinen primären Suffix, der bei Domänenbeitritt auf den Domänennamen der Active Directory Domäne gesetzt wird. Ist also der primäre DNS-Suffix des Clients XY.LOCAL und hostet der als bevorzugte DNS-Server eingetrage Server diese Zone und lässt diese Zone dynamische Updates zu, dann wird der Client sich dort registrieren. Wie heisst also Deine Active Directory Domäne, wie die Forward Lookup DNS-Zone, welchen Namen hat der ausgegraute Eintrag unterhalb dieser Zone und welchen primären DNS-Suffix haben die Clients ? Welcher Server ist bei den Clients als bevorzugter DNS-Server eingetragen ? Wie sind die Einstellungen bezüglich der dynamischen Updates der Zonen und auf dem Client ? Beziehen die Clients ihre Adressen vom DHCP ? Registriert der für die Clients ? Wenn ja, registriert er A-Einträge und PTR-Einträge ? Ist eventuell der DHCP-Server auf einen anderen Rechner umgezogen worden ? Poste bitte beispielhaft mal die Ausgabe von IPCONFIG /ALL eines DCs/DNS und eines Clients, der diesen Server als bevorzugten DNS-Server eingetragen hat und sich nicht registriert ...

Ohne weitere Konfiguration greift der Benutzer mit seinen Anmeldedaten auf Ressourcen jenseits des VPNs zu und nicht mit den Benutzerdaten, die beim VPN angegeben werden. Soll mit diesen Daten zugegriffen werden, muss der Haken "Anmeldedomäne einbeziehen" gesetzt werden, was zur Folge hat, dass diese Credentials so lange unter "Gespeicherte Benutzernamen und Kennwörter" gespeichert werden, wie die VPN-Verbindung läuft. Hast Du keine Domäne, solltest Du auf dem VPN-Server Benutzer inklusiv Kennwort anlegen, wie die, die sich auf dem Notebook anmelden und dann das VPN herstellen. Ebenso kannst Du natürlich auf dem Notebook die Benutzer samt Kennwort anlegen, wie sie auf dem Server für den VPN-Zugriff konfiguriert sind.

Was ist das für ein VPN, was sind das für Gateways ? Das VPN muss so konfiguriert werden (natürlich auf beiden Seiten), dass es auch Pakete für das Intranet durch den Tunnel routet. VPN-Gateway 1 muss die Route in das Intranet über die 192.168.2.10 kennen und natürlich durch den Tunnel schicken und nicht über sein Default Gateway routen. Ebenfalls muss VPN-Gateway 2 eine Route in das Intranet kennen, was über Gateway 3 zu erreichen ist. Das Gateway 3 benötigt eine Route in das 192.168.1.0 Netz über 192.168.2.1. Eigentlich muss auf dem Client keine Route gesetzt werden, das sollten die Router unter sich ausmachen ...

Mit einem Anmeldeskript, welches REG.EXE ausführt z.B. ... Wie macht Linux es denn mit den Berechtigungen, wenn von dort aus etwas verschoben wird und lässt sich dieses Verhalten beeinflussen ?

Du musst die Anmeldeskripts aber auch sichtbar ausführen lassen, sonst kannst Du soviele Pausen einbauen, wie Du willst ;)