IThome

Backpressure wird in Halbduplex Konfigurationen eingesetzt, es wird also eine Kollision künstlich erzeugt. In Fullduplex Umgebungen wird 802.3x Flowcontrol eingesetzt, es werden Pause Frames generiert. Beides nennet man Flowcontrol und beides kann man an- oder ausschalten ... Auch im Fullduplex Modus macht es Sinn, Flowcontrol anzuschalten ... Beispiel: TechFest - Ethernet Technical Summary - Chapter 3

Je näher am Objekt, desto höher die Priorität ... Ja, das macht Sinn ...

Nein, das sollte es nicht, war ja nur ein Benutzer und keine Gruppe ... Das RSOP.MSC Bild war von einem Benutzer, bei dem es nicht klappt, richtig ? Funktioniert die Anwendung der Richtlinie auf einem anderen Computer, für den auch Loopbackverarbeitung eingestellt ist ?

Microsoft Corporation Zitat: "Das Festlegen von Loopback bewirkt, dass die Benutzerkonfigurationseinstellungen in für den Computer geltenden Gruppenrichtlinienobjekten anstelle von (im Ersetzungsmodus) oder zusätzlich zu (im Integrationsmodus) den Benutzerkonfigurationseinstellungen des Benutzers auf jeden Benutzer angewendet werden, der sich bei diesem Computer anmeldet"

Verdammt, der Post kommt einen Tag zu spät ... Hab´ mir gestern ´nen Wolf gesucht, weil ich von einem SBS aus weder mit Exchange noch mit Outlook Express Mails > 5 MB zum Provider schicken konnte ... :D Gefunden hab´ ich´s dann doch (via Registry abgeschaltet, Tip kam von einem Kollegen), aber nervig war das schon ... ;)

Sicherheitsgefiltert ist aber nichts, richtig ?

Active Directory Benutzer und Computer - Eigenschaften des Benutzers - Konto - Anmelden ...

Lokal (geringste Priorität) Standort Domäne OU (höchste Priorität)

Wenn Deine Clients als Default Gateway den SBS haben und der trotz zweier Netzwerkkarten kein NAT mehr macht (reines Routing), kann das Internet nicht mehr funktionieren. Das Problem ist in diesem Fall der Internetrouter, der den Weg in das interne Netzwerk über die externe Schnittstelle des SBS nicht kennt (es findet keine Adressumsetzung seitens des SBS statt, der Internetrouter ist an das interne Netzwerk nicht direkt angebunden). Sind die Clients und der SBS direkt via Switch mit dem Inetrouter verbunden und haben ihn auch als Deafult Gateway eingetragen, klappt es auch mit dem Internet. Wenn der SBS zwischen Clients und Router steht, nur noch routet (ohne NAT), dann muss auf dem Internetrouter eine statische Route definiert oder ein Routingprotokoll wie RIP eingesetzt werden. Du kannst beide Karten einsetzen und auch NAT, solltest dann aber auf dem SBS das VPN terminieren und nicht auf dem Inetrouter. Terminierst Du auf dem Router und setzt NAT auf dem SBS ein, musst Du so viel nach innen leiten, dass Du Dir das auch sparen kannst (ich denke, dass das ohne weiteres gar nicht durchführbar ist, da Du innen wahrscheinlich mehrere Rechner mit gleichen Ports ansprechen musst). Setzt Du im SBS beide Karten ein und führst nur LAN-Routing durch, kannst Du nur noch durch Paketfilter absichern. Und auch hier musst Du eine Menge durchlassen, damit Deine Anforderungen erfüllt werden können ...

Schau mal hier unter "Neustart eines Windows-basierten DHCP-Clients" ... Dynamic Host Configuration Protocol (DHCP) Das Ausrufezeichen bedeutet, dass die Lease ausgelaufen, aber zur Verteilung durch den DHCP-Server verfügbar ist ... Microsoft Corporation

Hast Du Meldungen in der Ereignisanzeige ? Können sich die "alten" Benutzer anmelden, wenn Du deren Konten auf "Zugriff über RAS-Richtlinien steuern" einstellst ? Die "neuen" Benutzer sind auf dem DC erstellt worden ? Hm, ziemlich ungewöhnlich ... Poste bitte noch mal den genauen Wortlaut der Fehlermeldung samt Fehlernummer ...

Dann sollte der Client, wenn er den DC als DNS eingetragen hat, auch in der Lage sein, in die Domäne zu joinen. Beim Joinen gibst Du den DNS-Domänennamen an (also DOMAIN.LOCAL z.B.). Auf dem DNS-Server kannst Du (musst aber nicht) noch eine Reverse Lookup Zone für das Zweigstellennetz erstellen. Du schreibst, dass die Namensauflösung nicht funktioniert. Wie hast Du das getestet und mit welchem Ergebnis bzw. welchen Fehlermeldungen ? Poste auch mal IPCONFIG /ALL des Clients in der Zweigstelle und des DCs ...

Also ist die Richtlinie, in der die Loopbackverarbeitung in der Computerkonfiguration und der Bildschirmschoner in der Benutzerkonfiguration eingestellt ist, auf die OU gelinkt, in der sich die Computer (und nur Computerobjekte) befinden, an denen sich die Benutzer anmelden ? GPUPATE auf dem Client noch mal durchgeführt ?

Schau mal hier ... Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS

Definiere mal eine RAS-Richtlinie mit der Bedingung "VPN" (mir fällt der genaue Wortlaut jetzt nicht ein) und Benutzer via Assistent, setze sie an die erste Stelle und auf "Erlauben". Dann konfiguriere bei einem neuen Benutzer "Zugriff über RAS-Richtlinien steuern" und probiere es erneut (erstmal intern) ...

Wenn Du willst, dass die sonst angewendeten Richtlinien zusätzlich zu den per Loopbackverarbeitung angewendeten Richtlinien angewendet werden (die Loopbackrichtlinien haben Vorrang), dann musst Du auf "Zusammenführen" stellen. Oder habe ich Dich da falsch verstanden ?

Vielleicht ja so ... https://www.microsoft.com/technet/scriptcenter/scripts/network/client/modify/nwmovb13.mspx

Können die sich von innen via VPN verbinden ? Ist eine RAS-Richtlinie definiert ?

Loopbackverarbeitung auf "Zusammenführen" ? Loopback wirkt aber nicht Terminalservern oder ?

Loopbackverarbeitung bedeutet, dass auf einem so konfigurierten Computer auch Benutzerrichtlinien angewendet werden, obwohl sich in der Richtlinienreichweite keine Benutzerobjekte befinden. Das bedeutet im Klartext, dass Benutzerrichtlinien abhängig davon angewendet werden, an welchem Rechner man sich anmeldet (Beispiel:Terminalserver oder Kiosk-PC). Stellt man auf "Ersetzen", werden die normalerweise auf den Benutzer angewendeten Benutzerrichtlinien durch die ersetzt, die durch Loopbackverarbeitung definiert wurden. Stellt man auf "Zusammenführen", werden die üblicherweise angewendeten Richtlinien mit den Loopbackrichtlinien kombiniert, wobei die Loopbackrichtlinien Vorrang haben ... Schau auch mal hier ... http://www.mcseboard.de/windows-forum-ms-backoffice-31/loopbackmodus-102768.html

Ist vielleicht die Funktionsebene angehoben worden und es existiert keine geeignete RAS-Richtlinie ? Was ist denn bei den Usern, die funktionieren, im TAB Einwählen in Active Directory Benutzer und Computer konfiguriert (Zugriff gestatten, Zugriff über RAS-Richtlinien steuern) ? Was ist bei neuen Benutzern eingestellt, etwas anderes ?

GPOs auf Gruppenobjekte anwenden klappt zwar nicht, aber mit Gruppen kann man sicherheitsfiltern (die GPOs werden dann hoch gelinkt, in die Domäne zum Beispiel) ... Ich denke, ich würde das eher mit der Loopbackverarbeitung (Zusammenführen) und einem Anmeldescript für Benutzer machen ...

Ist alles erlaubt, in beide Richtungen ?

Trage auf dem Client als bevorzugten DNS-Server die IP-Adresse des DCs ein (und nur die). Ist das ein ANY-Tunnel ?

Hört sich nach Firewall-Problem oder falschem Gateway auf dem Zielrechner an ... Ich würde im Zweifel die Firewall komplett deinstallieren und erneut testen ...