IThome

Verstärkte Sicherheitskonfiguration des Internet Explorers ist aktiv ?

Nochmal: was verbirgt sich hinter den verschiedenen Gateways ? Du setzt in der Regel das Default Gateway nur auf der Karte, die zum Internet zeigt, da über die 0.0.0.0 Route alles erreicht werden kann, was nicht näher bekannt ist. Führt das andere Gateway in Dir bekannte Netze, kannst Du statischen Routen arbeiten. Eine genauere Schilderung, wie Dein Netzwerk aussieht, wäre also sehr hilfreich ...

Hm, sollte das nicht auch klappen, wenn Du für "Alle anderen DNS-Domänen" einen nicht existenten DNS-Server einträgst, für Deine aufzulösenden Domänen die bedingten Weiterleiter und dann den Haken "Keine Rekursion" setzt ? Zusätzlich ´ne Regel in der Firewall, dass nur die Weiterleiter vom internen DNS-Server via DNS angesprochen werden können ... Eventuell auch was mit Loose Wildcarding, so ähnlich wie hier ... https://www.mcseboard.de/windows-forum-ms-backoffice-31/dns-alles-ip-webserver-umleiten-125369.html

Richtig ... Auch wenn der Client die 192.168.1.5 anpingt, benötigt er ein Gateway, da sich dieser Adressbereich von seinem unterscheidet. Dass man das Gateway auf dem Client nicht auf 192.168.1.1 stellen kann, sollte auch klar sein, denn dann bräuchte er ja ein Gateway, um sein Gateway zu erreichen (gateways müssen direkt erreichbar sein). Der Client schaut also nach, ob er eine Route für das Ziel 192.168.1.1 hat. Er stellt fest, dass er keine spezifische Route für dieses Ziel hat. Er hat aber eine allgemeine Route, die vom Eintrag des Default Gateways kommt (0.0.0.0, also alles, wofür es keine genauere Route gibt). Er schickt also alles, was nicht näher spezifiziert ist und sich nicht in seinem Adressbereich befindet, zu diesem Gateway (RRAS). Dieser wiederum schaut genauso wie der Client, ob er eine spezifische Route zu diesem Ziel hat. Und er hat eine spezifische Route, da er sich selbst in dem Zielbereich befindet. Er liefert das Paket aus und übersetzt die Antwort. Wenn der Client jetzt eine Adresse im Internet anspricht, verhält er sich, was die Routenprüfung angeht, genauso wie vorher. Er merkt also, er hat keine spezifische Route, schickt es zum RRAS, welcher auch prüft, ob er eine Route zum Ziel hat und diese Internetadresse wird er sehr wahrscheinlich nicht kennen. Hat der RRAS kein Default Gateway eingetragen, hat er also weder eine spezifische Route noch eine allgemeine Route (Default Gateway) zum Ziel, kann er das Paket nicht weiterleiten. Er findet einfach keinen Weg dorthin ...

Welche Karte steht in der Bindungsreihenfolge oben ? Auf welchen Adressen horcht der DNS-Server ? Ist RRAS konfiguriert ? Wenn ja, wie ? Aber mal ganz davon ab, mit Deinen 2 Default Gateways klappt das nicht. Mehrere Default Gateways funktionieren nur zu Redundanzzwecken. Anderenfalls gibt es Routingprobleme, wie Du ja selbst siehst ... Also: wo führen die Gateways hin bzw. wen willst Du mit den jeweiligen Karten erreichen ?

Du hast doch geschrieben "Das Standardgateway auf RRAS auf 192.168.1.1 stellen" ... Am Client kann es nicht liegen ...

Es geht nicht um das Gateway auf dem Client, sondern um das Gateway auf dem Server. Hat der Client kein Gateway eingetragen, kommt er aus dem lokalen Netz nicht heraus. Er MUSS also den RRAS als Gateway eingetragen haben, sonst könnte er die 192.168.1.1 nicht anpingen. Wenn er aber etwas anderes zu erreichen versucht, eine Adresse aus einem Bereich, die weder dem Client noch dem RRAS bekannt ist (das sind die Internetressourcen in der Frage), schickt er es trotzdem zum RRAS. Dieser allerdings kennt keine Route und verwirft. Deswegen muss der RRAS die Route zum Internetrouter bekommen (Default Gateway) ... der Client muss schon eins haben (den RRAS) ...

Weil dem RRAS dieses Netz bekannt ist, er kann Pakete an das 192.168.1.0 Netz also direkt weiterleiten. Wenn er als NAT-Router konfiguriert ist (davon gehe ich mal aus), dann kommt er aus Sicht des Internetrouters mit der 192.168.1.5. Für den Internetrouter ist das lokal, er beantwortet es und der RRAS übersetzt es nach innen. Hat der RRAS kein Default Gateway eingetragen und es kommt eine Anforderung aus dem internen Netzwerk an ein dem RRAS nicht bekannten Netz, kann er es nicht weiter routen, da ihm eine Route fehlt (in diesem Fall die 0.0.0.0 Route über den Internetrouter) ...

Der RRAS sollte auf seiner äusseren Schnittstelle erstmal eine Adresse aus dem 192.168.1.0 Bereich bekommen, sonst geht da gar nix ... Dann muss der RRAS entweder NAT aktivieren oder der Internet NAT-Router muss eine Route über die externe Schnittstelle des RRAS in das 192.168.50.0 Netz bekommen. Für den Internetzugang muss der RRAS aber in jedem Fall die 192.168.1.1 als Default Gateway haben ... Wenn er einen Ping auf die 192.168.1.1 senden kann und Antwort erhält, dann muss der RRAS entweder NAT machen oder er routet nur und der Internetrouter kennt eine Route in das Testnetz ... Komische Frage oder komische Antworten ...

Genau ... :)

Nicht unbedingt, kommt ja drauf, was er von draussen anspricht und wie seine interne und externe Domäne heisst. Spricht er von aussen eine Dyndns-Adresse an, funktioniert das mit der neuen Zone und WWW nicht, da andere Dyndns-Adressen nicht mehr ansprechbar sind (der DNS-Server ist authoritativ für die neue Zone). Ebenso wenig klappt das, wenn die von extern angesprochene URL einen anderen Domänennamen (nicht Dyndns) hat als die interne Domäne (gleiches Problem wie bei Dyndns). Ist die interne Domäne so wie die externe Domäne, reicht ein Eintrag für WWW, eine neue Zone muss nicht angelegt werden ...

Diese Einstellung gilt nur für "Automatisch zwischengespeicherten Offline-Dateien", nicht für manuell verfügbar gemachte Dateien, wozu auch z.B. die Dateien zählen, die bei der Ordnerumleitung der Eigenen Dateien verfügbar gemacht werden. Automatisch zwischengespeicherte Dateien sind Dateien in Freigaben, die entsprechend konfiguriert sind und werden offline verfügbar gemacht, wenn man sie nur öffnet. Das hat nichts mit den Dateien und Ordnern zu tun, die man explizit offline verfügbar macht.

Du hast also eine Seite, die intern gehostet wird ?! Diese Seite wird von aussen mit einem gewissen URL angesprochen (DYNDNS oder wie ?) ?! Und jetzt soll diese Seite von intern genauso angesprochen werden wie von extern ?! Wenn es so ist, dann erzeuge in Deinem DNS eine Zone, die so heisst wie die URL. Wenn Du die Seite also via https://webseite.dyndns.org von aussen ansprichst, dann legst Du eine Zone webseite.dyndns.org an. In dieser Zone erzeugst Du einen Host, dem Du zwar die interne IP-Adresse zuweist, aber keinen Namen. Es entsteht dann ein Eintrag "identisch mit übergeordnetem Ordner" und der entsprechenden IP-Adresse. Geht es Dir um die Zertifikatmeldung ?

Ich denke mal ... erstmal nichts ... Allerdings ist das alles erstmal nur eine Vorabklärung. Eine konkrete Anforderung scheint noch gar nicht zu existieren. Ich denke, dass erstmal nur aufgezählt werden kann, was man machen könnte. Was auch immer dann in die zukünfitige Umgebung passt ... :)

Der Weg über GPO funktioniert nicht, denn dort kann man nur zusätzlich zu den Default-Ausschlüssen weitere Ausschlüsse zufügen. Diese Richtlinie bearbeitet den folgenden Wert in der Registry ... HKCU/Software/Microsoft/Windows NT/Currentversion/Winlogon/"ExcludeProfileDirs" Microsoft Corporation

Hm, ich mache sowas mit Acronis und vorheriger Datensicherung. Ich kann Dir da gar keinen richtigen Tip geben. Ausser vielleicht von einem anderen Server aus, der diese Partitionen ja nicht als Systempartion ansieht. Aber ehrlich gesagt würde ich das eher nicht ausprobieren (obwohl eigentlich ja gilt: No Risk No Fun :D). Auch ein Starten mit PE wäre eine Möglichkeit ...

Es ist via GPO einstellbar, ob ein serverbasiertes Profil geladen wird oder nicht ("Nur lokale Benutzerprofile zulassen"). Allerdings ist das eine Einstellung, die für Computerobjekte gilt, was bedeutet, dass auf einem so eingestellten Computer keine Serverprofile möglich sind. Es ist natürlich die Frage, ob sowas in Deiner zukünftigen Umgebung überhaupt möglich ist. Ebenfalls sollten in Deinen Überlegungen auch die Ordnerumleitungen berücksichtigt werden. Hat sich ein Benutzer an einem bestimmten Rechner noch nie angemeldet, wird tatsächlich erstmal das gesamte Profil übertragen, was sehr lange dauern kann. Weiterhin kommen ja auch noch die Einstellungen zur Erkennung von langsamen Verbindungen (ebenfalls via GPO) zum Tragen und diese wirken sich auf die Serverprofile und Ordnerumleitungen aus.

Microsoft Corporation Zitat: "You cannot extend the current system or boot partitions" ...

Die Profile werden nicht immer komplett übertragen (wie kommst Du auf die Werte 50-400 MB). Es werden nur Änderungen übertragen, zeitstempelbasiert. Weiterhin können auch Ordnerumleitungen definiert werden, um das Profil schlank zu halten. Gibt es in beiden Standorten Server ? Müssen die wechselnden Benutzer ihr Serverprofil in der Zweigstelle aufrufen ?

Du arbeitest mit Multi-WAN (welcher Modus) und Policy Based Routing für POP3 (mit Failover oder ohne) ? In welches WAN ist keine Verbindung möglich, in keins ? Mit keinem Protokoll oder nur via POP3 nicht ?

Oder setze die Policy wieder auf aktiv, konfiguriere aber "Only connect manually" ... Du kannst auch im Log des Cleints sehen, ober eine Verbindung aufzubauen versucht ...

Meinst Du die IPs, die im DHCP-Manager unter Leases angezeigt werden oder die, die im DNS registriert werden ?

Weil mehrere Gateway Redundanz bedeuten, die nur dann genutzt wird, wenn das erste Gateway ausfällt (welches das erste ist, regelt u.a. die Bindungsreihenfolge und die automatische Metrik). Also wenn keine Redundanz erwünscht ist, wird das so nichts. Es wird in solchen Fällen nur auf einer Karte ein Gateway konfiguriert und der Rest mit statischen Routen erledigt, womit Du aber nur Zielnetze und keine Protokolle definieren kannst ...

Mit statischen Routen zum Beispiel. In der Regel aber nicht so, dass man auf jeder Karte ein Default Gateway einträgt ...

In den IP-Sicherheitsrichtlinien brauchst Du gar nichts einstellen. Die von Dir getätigten Einstellungen benutzt man nicht beim Einsatz eines RRAS. Du musst lediglich im RRAS und im Client den PSK hinterlegen. Versuchst Du den Zugriff erstmal intern oder befindet sich ein NAT-Router zwischen Client und Server ? Wenn Du mit Zertifikaten arbeiten möchtest, dann schau mal hier ... Windows Server How-To Guides: Einrichten einer L2TP/IPSec Verbindung mit Zertifikaten - ServerHowTo.de