IThome

Teste, was die FIrewall blockiert ... How to Use Portqry to Troubleshoot Active Directory Connectivity Issues

Das sieht man in der GPMC an dem blauen Symbol der Domäne ...

Hm, wüsste ich jetzt nicht (aber wir haben hier erstklassige AD-Experten, die sich sicher auch noch melden) ... Active Directory Maximum Limits

Dann werden sie sehr wahrscheinlich verschoben und nicht kopiert ... Probiere das selbst mal aus oder lass Dir zeigen, wie die Dateien an den Zielort gebracht werden ...

Ja, das ist möglich ... Das kannst Du über die Terminaldienstekonfiguration - Servereinstellungen oder via Gruppenrichtlinie einstellen ...

Watchguard Logging ?

Das Problem sind die alten Vorlagen, dessen Speicherort in jeder Datei hinterlegt ist und nach denen sich ein Wolf gesucht wird. Zu diesem Thema findest Du hier im Board aber auch eine Menge ... ;)

Mit entsprechenden Gateways kann man auch ein IPSec VPN/Mobile User VPN natten. Der Client verbindet sich also, bekommt genauso eine Adresse zugewiesen und spricht dann eine interne Adresse an. Diese Adresse allerdings ist 1-to-1 zu der eigentlich anzusprechenden, internen Adresse genattet. Du machst natürlich keine Portweiterleitung nach innen (wozu dann ein VPN ?) ... Die Frage ist, ob Euer VPN-Gateway so etwas kann. Der SBS kann es nicht. Es ist sowieso viel einfacher, wenn der Mitarbeiter seinen IP-Kreis verändert ... Wenn das VPN auf dem Router enden würde, könnte man in den SBS eine zweite Karte einbauen und dann nach innen leiten. Ist aber meiner Meinung nach viel zu viel Aufwand ...

Du lässt ihn die Zeit beispielweise von einem externen Zeitserver abholen und die Clients holen sich die Zeit vom DC. Achte auch auf die Zeitzone ... How to configure an authoritative time server in Windows Server 2003 Das mit NET TIME solltest Du generell lassen (in Zukunft), das kann man mal zwischendurch machen, aber nicht, um die Zeit aktuell zu halten (via Script oder so) ...

Wird die vielleicht per Batch gesetzt ? Poste doch mal die Ausgabe von ROUTE PRINT nach dem Neustart ...

Naja, dann ist aber auch nicht schwer, dem Kunden zu erklären, dass man für die alten Dinger eben nicht mehr alles an Hardware verbauen kann ...

Hm, weiss nicht, ob man das ändern kann. Allerdings kann man auch mit DSQUERY nach solchen Objekten suchen ...

Off-Topic: Er war einsam, aber schneller ... :D

Mir würden da schon ein paar Gründe einfallen, die den Kunden zum Kauf eines neuen Systems überzeugen könnten ... :)

Suche im Board mal nach "Userinit" und schau auch hier mal ... Unable to log on if the boot partition drive letter has changed

Hm, grundsätzlich sieht das nicht schlecht aus. Aber warum ist auf Domänenebene die Vererbung deaktiviert ?

Der Client fragt rekursiv (erwartet eine vollständige Auflösung). Fragt der Server einen Weiterleiter, erwartet auch er eine vollständige Auflösung. Ist kein Weiterleiter konfiguriert, wird über die Rootserver aufgelöst und nur mit Verweisen geantwortet (iterativ). Vom Standpunkt der Clients ist der interne Server für die Auflösung verantwortlich, vom Standpunkt des Servers aus gesehen kommt es darauf an, wie er konfiguriert ist.

Naja, wenn es sowas nicht mehr gibt, dann wird das wohl nichts. NT hat nun mal noch keine native USB-Unterstützung. Wäre ein weiterer Grund, dieses uralte System auszutauschen ...

Lösen kannst Du das "Problem" nur (wenn der IP-Bereich nicht umgestellt werden darf), in dem Du NAT einsetzt, also eine weitere Adressübersetzung. Sowas macht man in der Regel auf dem VPN-Gateway, wenn es diese Einstellung zulässt ...

Du musst nichts erzwingen , das muss auch so klappen ... Der TS ist also der "SERVER2" und Du meldest Dich mit TEST2 an ihm an ?

Klick im Reiter "Delegierung" unten mal auf "Erweitert". Ist für SERVER2 und den Benutzer "Lesen" und "Gruppenrichtlinie übernehmen" angehakt ? Schon mal SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE auf dem TS (Windows 2000) oder GPUDATE (Windows 2003) durchgeführt ?

Ist natürlich auch ´ne klasse Idee ... Aber warum einfach, wenn es auch kompliziert geht ... :D

"Lesen" und "Gruppenrichtlinie übernehmen" für die Benutzer und das Computerkonto des TS auf Erlauben. Die Authentifizierten Benutzer raus. Welche Einstellungen im GPO hast Du denn vorgenommen ?

Wenn es nur das Benutzerrecht ist, geben ich Dir recht ... "Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern" ist eine Einstellung der Benutzerkonfiguration. Das Benutzerrecht muss auf einem Server eigentlich nicht eingestellt werden, zumindest nicht, wenn die Benutzer als Benutzer zugreifen und nicht als Mitglieder höherprivilegierter Gruppen ... Da sich die Ausgangslage auch ein wenig verändert hat, müsste man auch prüfen, ob man auf "Zusammenführen" oder "Ersetzen" stellen muss ...

Ach herrje, ein Exchange, der auch als Terminalserver im Anwendungsmodus arbeitet (da sage ich jetzt mal gar nichts zu :D) ... Wie auch immer, so, wie schon beschrieben ...