IThome

Nach Ab- und Anmeldung (neuer Token mit der neuen Gruppenmitgliedschaft) ...

Kann die Firewall so konfiguriert werden, dass sie Anforderungen nach Adressen zum Microsoft DHCP-Server weiterleitet, damit der verteilt, registriert und auch wieder löscht ? So wie ich es verstanden habe, klappt das ja wunderbar mit den Clients, die auch von dem Microsoft Server die Adressen beziehen. Was sind das für VPN-Clients ?

Naja, der registriert ja auch wahrscheinlich nichts im DNS, gell ? Das machen die Clients dann selbst, richtig ? Was für eine DNS-Zone ist das ? Lässt sie auch unsichere Updates zu ?

Ähm, die Firewall gibt die Adressen gleich wieder frei ? Die VPN-Clients verbinden sich also und bekommen dann die Adressen von der Firewall und nicht vom internen DHCP-Server ?

Das regelt der Spoolerdienst ...

Wenn auf den Clients eingestellt ist, dass sie automatisch aktualisieren sollen, dann können sie es grundsätzlich auch. Bekommen diese Clients die Adressen vom DHCP und ist der so eingestellt, dass er an Stelle der Clients registriert, dann macht es eben der DHCP. Wird auf dem Client die Möglichkeit der dynamischen Registrierung abgeschaltet, dann macht es auch der DHCP-Server nicht für ihn. Bekommen die Clients ihre Adresse nicht vom DHCP und ist die dynamische Aktualisierung der LAN-Karte aktiv, dann wird der Client es selbst versuchen und auch erfolgreich sein, wenn die Zone entsprechend eingestellt ist und auf dem Client die richtigen Einstellungen vorgenommen wurden. Einen Administrator würde ich nicht nehmen, dann kannst Du die Anmeldeinformationen auch gleich ganz weglassen. Warum willst Du verhindern, dass Clients sich selbst registrieren und vor allem, von welchen Clients sprichst Du eigentlich ? Domänenmitglieder oder nur Nicht Domänenmitglieder oder keiner ?

Deswegen der Hinweis mit dem Haken "Standardgateway im Remotenetzwerk verwenden" ... Funktioniert der Zugriff in das 172er Netz damit ?

Wenn die Clients auf dem VPN-Server terminiert werden, der sich physikalisch im selben Netz wie der zu erreichende Rechner befindet und diese Clients auch eine Adresse aus diesem Bereich bekommen, dann muss eigentlich nirgendwo eine Route erstellt werden, der VPN-Server muss nur routen. Ist der VPN-Server auch als NAT-Router konfiguriert ? Kann die 192.168.4.1 oder die 192.168.4.4 angepingt werden. Kann der VPN-Server den Rechner im 172er Netz erreichen ? Erreichen die Clients den Rechner im 172er Netz, wenn der Haken "Standardgateway im Remotenetzwerk verwenden" aktiviert ist ?

Und IPCONFIG vom Client und VPN-Server ?

Das ist ´ne PPP-Verbindung, also ist die 32er Maske in Ordnung. Die PPP-Verbindung bekommt kein Gateway, also muss die Funktion "Standardgateway im Remotenetzwerk verwenden" auf dem Client ausgeschaltet worden sein. Was man jetzt wo einstellen muss, hängt davon ab, welche Netzwerk-ID das zu erreichende, interne Netzwerk hat. Poste mal IPCONFIG /ALL (vollständig) von einem zu erreichenden Gerät im internen Netzwerk, dem VPN-Server und von dem Client, während er verbunden ist ...

2 Netzwerkkarten im gleichen IP-Bereich ? Ändere die WAN-Karte auf eine anderen Adressbereich und konfiguriere den Server als NAT-Router z.B. oder lasse die zweite Karte ganz weg (welchen Grund hat die zweite Karte ?) Weiterhin musst Du folgendes beachten ... Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS

War eigentlich nur eine Antwort auf die Frage des TO, ohne Bewertung ... ;)

Erzeuge auf dem 2000er einen Benutzer, der so heisst wie der auf der Home-Maschine und der das gleiche Kennwort hat ... Der User kann auch (sollte aber nicht) ein leeres Kennwort haben, da die entsprechende Richtlinie, die Anmeldungen mit leeren Kennwörter auf die Konsolenanmeldung beschränkt, erst ab XP gesetzt ist.

Ja, der Container befindet sich unterhalb der Domäne, also auch im Wirkungsbereich der Richtlinien, die dort verknüpft sind ...

Warum über Secondary Network ? Benutze doch die optionale Schnittstelle, sofern sie noch nicht belegt ist. Alles andere kannste dann über Filter regeln ...

Mach ´ne Pfadregel, dann klappt es wie erwartet ...

Das macht er ja auch, aber nicht, wenn auf dem Client die dynamische Aktualisierung abgeschaltet ist. Dann registriert niemand etwas. Probier´s doch einfach mal aus ...

Es wird nichts mehr registriert, wenn dem Client das dynamische Update verboten wird, egal ob er es selbst machen soll oder der DHCP-Server ... Microsoft Corporation

Was zur Folge hat, dass gar nichts mehr registriert wird, auch nicht, wenn der DHCP-Server es eigentlich machen soll (die Anforderung fehlt) ...

Mit einer Karte nicht, mit 2 Karten schon. Du kannst auch mit einer IP-Adresse und 2 verschiedenen Scopes auf dem DHCP arbeiten, musst dann allerdings ein Superscope erstellen. Alle Adressen des "fremden" Bereiches müssen dann allerdings reserviert sein, sonst bekommt u.U. ein "bekannter" Client solch eine Adresse ... Oder so ... Custom DHCP Client Identifiers for Windows NT

Du benötigst keinen Dienst, Regkey reicht ... HKLM/Software/Microsoft/Windows NT/Currentversion/Winlogon/"KeepRasConnections" (REG_SZ) auf 1

Du übergibst die Option 015 - DNS-Domänenname. Ich würde die DNS-Namensauflösung bevorzugen ...

:D :D :D

Das ist die Suffixsuchliste und beim Server ist das auch uninteressant ... Den Suffix verteilst Du entweder via DHCP oder Du trägst ihn unter "DNS-Suffix für diese Verbindung" auf dem Client ein (das Verbindungssuffix des Clients stimmt nicht). Zusätzlich musst Du noch den Haken "DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden". Der Suffix muss vollständig sein und den Namen der Zone haben, in der registriert werden soll, also farpointe.local ...

Wie ist die IPCONFIG des Clients, der nicht in der Domäne ist ? Hat der Nicht Domänenclient nur einen Verbindungssuffix, den er vom DHCP bekommt, registriert er diesen per Default nicht (dafür muss man einen Haken setzen) ...