IThome

Schau mal hier ... http://www.mcseboard.de/windows-forum-ms-backoffice-31/maximale-anzahl-gruppen-per-user-127641.html Aus welchen Gruppen fliegen die User raus (eventuell AdminSDHolder Problem, obwohl dieser Thread meines Wissens alle Stunde läuft) ?

Steht eigentlich prima in der Windows-Hilfe ;) Suche nach "Zwischenspeichern der universellen Gruppenmitgliedschaft" und lies Dir das erste Suchergebnis durch ...

Führe mal RSOP.MSC auf dem TS als User angemeldet durch, bei dem dieser Fehler auftritt. Dort sollte zu sehen sein, woher diese Einstellung kommt ... Ich habe das doch richtig verstanden, dass Du keine Ordnerumleitungen konfiguriert hast und wissen möchtest, woher die Einstellung kommt ?!

NAT könnte das Stichwort sein. Die Konfiguration des RRAS kannst Du in der RRAS-Konsole sehen. Wenn er NAT durchführt, wundert es mich nicht, dass von innen zum VPN-Client alles funktioniert, vom Client nach innen aber nicht. Wenn Du vom Client aus auf dem Router terminiert wirst, stehst Du eigentlich immer noch aussen (vom SBS aus gesehen). Wenn der SBS NAT durchführt, musst Du in der RRAS-Konsole unter "Dienste und Ports" die entsprechenden Ports nach innen leiten und vom Client aus bei Zugriff die externe Adresse des RRAS ansprechen. Der RRAS bietet auch die Möglichkeit, eine Range anzulegen und abhängig von der IP-Adresse Ports nach innen zu leiten (falls Du mehrere z.B. RDP-Server von aussen ansprechen möchtest). Die schon angesprochene Möglichkeit, dass der Server nur eine Karte hat oder das VPN selbst terminiert, macht die Sache schon einfacher ...

Mit dem Erstellen des TS-Profils aus einem vorhandenen Serverprofil haste natürlich recht. Existiert vor dem Anlegen des TS-Profils ein Serverprofil, wird dieses (oder besser gesagt dessen zwischengespeicherte Kopie) als Basis für das TS-Profil genommen. Nach dem Zurückschreiben in den Ordner des TS-Profils sind Serverprofil und TS-Profil allerdings unabhängig voneinander ...

So kenne ich das auch ... Wenn in beiden etwas steht, wird bei einer Anmeldung am Desktop-PC das Profil benutzt, welches im Profilpfad steht und bei der Anmeldung am Terminalserver das, was im Terminalprofilpfad steht ... Wenn nur im Profilpfad etwas steht, wird es bei Desktop- und TS-Anmeldung benutzt. Wenn nur etwas im Terminalprofilpfad steht, nur beim Anmelden am TS und nicht am Desktop ...

Auch die Sessions ? Und als anderer Benutzer schon das Laufwerk mappen ?

Passiert es auch, wenn Du nach dem Trennen NET SESSION /D ausführst ? Wie trennst Du ? Mit NET USE * /D /Y ? Und wenn Du mit RUNAS eine CMD erzeugst, den Buchstaben verbindest und den Befehl dann eingibst ?

Wir haben einen Kunden, der 2 DCs hat. Dieser Kunde hat einen der DCs zum Terminalserver gemacht (ich weiss, dass man das nicht machen soll). Auf diesem DC ist das Benutzerrecht "Anmelden über Terminaldienste zulassen" via lokaler Richtlinie verändert worden, so dass sich die Benutzer via Remotedesktop nur an dem einen DC und nicht an beiden anmelden können ...

Na sicher (oder secpol.msc), dann gilt es auch nur für den bearbeiteten DC und nicht für alle (vorausgesetzt es gibt keine Richtlinie auf höherer Ebene, die das wieder überschreibt, was im oben genannten Beispiel in der Regel nicht so ist) ... Oder habe ich Dich da falsch verstanden ? :D

Du fügst dort die Option Router zu und trägst aber nichts ein ...

Ja sicher kann man das und sollte es auch, wenn alles gleich sein soll. Wenn aber nicht, dann in der lokalen Richtlinie ... :)

Es gibt ja einige Einstellungen auf einem DC, die per Default lokal festgelegt werden und diese Einstellungen sind ja auch sinnvoll (z.B. Anmelden über Terminaldienste zulassen) ...

Hey Grizzly, warum eigentlich bei einem NAT ? Wenn kein NAT vorhanden ist, ist das eigentlich klar (naja, dann gibt´s ja auch kein Portforwarding), aber wenn ein NAT vorhanden ist, wird in der Phase 1 auf UDP 4500 umgeschaltet und sämtliche IPSec-Pakete werden in solchen Paketen gekapselt. Im Grunde sieht der Router ja nur IKE Pakete beim initialen Verbindungsaufbau, danach nur noch NAT-T Pakete. Ich musste bisher (im Falle von IPSec oder L2TP/IPSec) bei noch keinem Router, der zu einem internen VPN-Server weitergeleitet hat, explizit ESP angeben oder irgendein Passthrough einschalten. Gruss Sven

Bei L2TP/IPSEC benötigst Du UDP 500 und UDP 4500, den Regkey auf dem Client auf 1 oder 2, einen Preshared Key (konfiguriert auf dem Client und dem RRAS) oder Zertifikate. Für PPTP benötigst Du TCP 1723 und GRE ... Wenn Du lieber PPTP benutzen möchtest, dann muss der Router mit der GRE Durchleitung klar kommen ... Funktioniert der Verbindungsaufbau, wenn sich der Client im Netz des RRAS befindet ?

Baust Du PPTP oder L2TP/IPSec Verbindungen auf ? Bei PPTP muss GRE durchgeleitet werden (IP-Protokoll 47 bzw. PPTP-Passthrough, VPN-Passthrough oder wie auch immer das bei dem Router heissen mag). Im Falle von L2TP/IPsec die Ports UDP 4500 und UDP 500, UDP 1701 in der Regel nicht (ausser wenn Du nur L2TP benutzt oder der RRAS auch NAT macht, dann auf dem RRAS). Weiterhin muss auf dem Client ein Regkey gesetzt sein ("AssumeUDPEncapsulationContextOnSendRule") ...

Was ich nicht so ganz verstehe: Wieso hat ein User diese Schreibrechte nicht ? Normalerweise scheint er sie ja zu haben, aber manchmal eben auch nicht. Ist das ein Fehler in der Setuproutine der eingesetzten Anwendung ?

Wie Stevie schon geschrieben hat, mit SUBINACL kann man sowas machen ...

Das ist wohl war, zumindest die falsche IP ist schlechter Stil (obwohl es gut funktioniert :D). Die Firewalleinschränkungen dagegen halte ich für sehr sinnvoll, nicht nur in Deiner Umgebung (soviel wie nötig, so wenig wie möglich) ...

Solche Geräte gibt es schon. Sie beherrschen Policy Based Routing und Failover. Mit einem einfachen Router bekommst Du sowas nicht hin, da Router Zielnetzinformationen verarbeiten, keine Zielportinformationen ...

Ne, sauber ist das in der Tat nicht ... Allerdings wüsste ich nicht, dass man "Alle anderen DNS-Domänen" entfernen kann. Und wie sieht es mit Firewallregeln aus ?

Ich beziehe mich auf den Punkt 3 Deiner Frage. Dieser Haken sagt ja aus, dass ausschliesslich Weiterleiter benutzt werden und keine Root-Server ... Naja, vielleicht reden wir auch irgendwie aneinander vorbei :D

Und das klappt nicht mit gesetztem "Keine Rekursion" Haken ?

Beantworte bitte die Fragen von mir und Grizzly ...

Genau, so sehe ich das auch ...