IThome

Lass das den DHCP-Server machen. Definiere ein Benutzerkonto, mit dem die Updates durchgeführt werden und konfiguriere dieses Benutzerkonto in der DHCP-Konsole unter Anmeldeinformationen. Danach den DHCP-Serverdienst neu starten. Alternativ kannst Du auch auf Nicht sichere und sichere umstellen. Einen primären Suffix oder Verbindungssuffix benötigt der Client trotzdem, im Falle des Verbindungssuffixes muss zusätzlich ein Haken beim Client gesetzt werden ...

ISA weiss ich nicht genau, beim RRAS passiert sowas, wenn der Haken "Client kann eine IP-Adresse anfordern" in der RAS-Richtlinie nicht gesetzt ist oder im Benutzerkonto keine statische Adresse zugewiesen ist ...

Die Richtlinie wird schon angenommen, da Du sie ja lokal eingestellt hast (an die andere kommt er ja nicht ran, diese würde die lokale Richtlinie allerdings überschreiben). Du hast im ersten Post geschrieben, dass sie sich mit Cached Credentials anmelden, obwohl ein Site-to-Site VPN vorhanden ist. Warum melden die sich nicht direkt an ?

Das ist der Verbindungssuffix, der nur registriert wird, wenn auf dem Client auch der entsprechende Haken gesetzt ist. Der Client hat entweder kein primäres DNS-Suffix, der Haken zum Registrieren des Verbindungssuffixes ist nicht gesetzt oder es ist eine AD-integrierte Zone, die nur sichere Updates zulässt ...

SIS 900 Chipsätze haben dieses Problem auch. Ist ein Treiber von SIS installiert (Karte meldet sich mit SIS 900 based ...), tritt dieser Fehler auf und beim Start werden keine Computerrichtlinien übernommen. Nimmt man aber den Windows Treiber (meldet sich mit SIS 900 basierter ...), klappt alles reibungslos. In diesem Fall also ein Treiberfehler ... Dort kann man keine GPOs linken, angewendet werden übergeordnete Richtlinien natürlich schon ... ;)

Mache ihn zum NAT-Router (Assistent), wobei Du das C-Netz als privat und das B-Netz als öffentlich deklarierst. Dem Test DHCP-Server konfigurierst Du so, dass er nur im C-Netz "horcht" ...

Entferne mal die Secondary und hänge den Server alleine an den zusätzlichen Trusted. Klappt das ? Warum ist das eigentlich ein öffentlicher Adressbereich in dem zusätzlichen Netzwerk ?

Wie sieht eine Beispielregel aus ... ANY-Trusted - ANY-External für HTTP z.B. ? Aktiviere mal die LOG-Allows und schau Dir den Vorgang im Traffic Monitor an. Ist Policy based Routing aktiviert ? Welche Art von Multi-WAN ist definiert ? Ist das Fireware oder Fireware Pro ? Warum benutzt Du für die unabhängige Domäne keinen von den 8 Ports der Box und deklarierst ihn als Trusted ?

Benutzt man, wenn nur eine Karte im Server ist. Einige Dinge kann man nicht mit einem passenden Assistenten installieren, wenn der RRAS nur eine Karte hat ...

Ich hab auch schon mehr als 1000 Punkte gehabt und auch schon Prüfungen, die weniger als 1000 Punkte maximal hatten ...

Naja, es gibt wahrscheinlich so viele Meinungen, wie es Leute gibt. Wir setzen Trendmicro ein . Norman habe ich einmal installiert, dann wieder deinstalliert und gegen Trendmicro ausgetauscht. Ich persönlich kann nur abraten von diesem Produkt (Du siehst, viele Leute, viele Meinungen) ...

Im DNS-Manager rechte Maustaste auf den Server - Eigenschaften - Forwarder ...

Wird nur die Computerrichtlinie nicht angewendet oder beide nicht ? Hast Du die Abschaltung der langsamen Verbindungen in der lokalen Policy des Clients eingestellt ? Was steht nach einem GPUPDATE in der Ereignisanzeige des Clients ?

Sicher kannst Du das ...

Das tut er nur, wenn die Konflikterkennung (im Gegensatz zum Gratuitous Arp eines Clients) aktiviert ist, was per Default nicht so ist. Und für solch einen Zweck ist diese Funktion auch nicht gedacht. Wenn 2 DHCP-Server in einem Netz arbeiten, hat einer der Server einen Teil des lokalen IP-Bereiches, der andere Server den anderen Teil. Jeder der Server schliesst den Teil des anderen Servers aus. DHCP-Server synchronisieren sich NICHT ! Beispiel: Adressbereich 192.168.1.0/24, verteilt wird von 192.168.1.10 - 192.168.1.254. Beide Server haben diesen Bereich definiert. Auf dem einen Server wird von 192.168.1.10 - 192.168.1.122 aus geschlossen (er verteilt also von 192.168.1.123 - 192.168.1.254), der andere hat von 192.168.1.123 - 192.168.1.254 ausgeschlossen (er verteilt also von 192.168.1.10 - 192.168.1.122). So können keine doppelten Adressen verteilt werden, egal an wen sich der Client initial wendet. Ebenso klappt es mit den Erneuerungen der Leases, selbst wenn einer der Server über eine längere Zeit nicht verfügbar ist (der Client bekommt dann irgendwann eine Adresse des anderen Servers) ... edit: öhm, das ist ja schon im vierten Post in dem dortigen Link erklärt ... :rolleyes: :D

Hm, alles auf einem Server, sollte der ausfallen, soll der zweite einspringen ... Naja, da bleibt wohl nur ein Cluster (mit Skripten willst Du ja nicht arbeiten). Gibt es einen Grund, warum Du nicht 2 DHCP-Server laufen lassen willst (Du hast in der Eröffnung danach gefragt und jetzt willst Du es nicht), die jeweils 50% eines IP-Bereiches vorhalten und den jeweils anderen ausschliessen ?

Wieso Scripts, musst Du ja nicht. Es muss ja keine 80/20 Regel sein, kann ja auch 50/50 sein. Aufpassen musst Du nur bei dynamischen Registrierungen in AD-Zonen, die nur sichere Updates zulassen. Hierfür solltest Du einen Benutzer auf beiden DHCP-Servern definieren, die die Updates durchführen ...

Computerkonto im AD gelöscht/zurückgesetzt , den Rechner zurück in eine Arbeitsgruppe gejoined und dann wieder der Domäne zugefügt ? Oder wie hast Du das gemacht ?

Welche Ordner ?

http://www.mcseboard.de/windows-forum-ms-backoffice-31/servergespeicherte-profile-94173.html

... und wenn er sich selbst einen DNS-Server einträgt ?

Schön, dass es funktioniert, aber was zum Himmel soll das ? :)

Lege mal Zonen für DE, COM usw. an und erzeuge in jeder Zone einen * . Die GOOGLE.DE und *-Zone kannste wieder löschen ...

Ich lese gerade, Du möchtest, dass bei allen URLs die IP-Adresse zurückgeliefert wird ? Das funktioniert allerdings nicht mit dem oben genannten Vorschlag. Ob das überhaupt mit DNS zu machen ist, wage ich jetzt mal zu bezweifeln. Was für einen Zweck soll das haben ?

Habe ich doch geschrieben, wie es geht ... :) Den Punkt in der Registry findest Du unter HKLM/SYSTEM/CURRENTCONTROLSET/SERVICES/DNS/PARAMETERS Das ist ein REG_DWORD mit Namen LooseWildcarding, den Du erzeugen musst, welcher den Wert 1 bekommt.