IThome

... oder die verstärkte Sicherheitskonfiguration deinstallieren :)

Ähm, Du hast jetzt einen Server als Wirtssystem und XP als Gastsystem in Virtual PC oder andersrum ?

Bei welchem Microsoft hast Du denn gesucht ? :D How to install Small Business Server 2003 in an existing Active Directory domain Hier im Board findest Du dutzende Threads zu diesem Thema ... :)

Es sollte mit XP nichts zu tun haben, da die Sitzungen ja nicht auf der XP-Maschine, sondern auf dem Server in der virtuellen Maschine erzeugt werden ...

Nein, nicht überbrücken ... Jede Karte bekommt eine feste Adresse, aber aus unterschiedlichen IP-Bereichen - 192.168.1.1/24 und 192.168.2.1/24 z.B. ...

Mit dem Wert "IpEnableRouter" auf 1 (REG_DWORD) unter HKLM/SYSTEM/CURRENTCONTROLSET/SERVICES/TCPIP/PARAMETERS

So ... Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS

Die User müssen mindestens Hauptbenutzer auf den lokalen Maschinen sein ...

Oh Mann, ich glaube, ich bin immer noch nicht ganz wach ... Wie kann man denn einen ganzen Satz übersehen (passiert mir irgendwie öfters in letzter Zeit) ? Sorry für den nichtssagenden Post ...

Er ist z.B. notwendig , wenn DNS-Server übermittelt werden müssen. Weiterhin benötigen ihn einige Anwendungen, um richtig zu funktionieren. Entweder betreibst Du den Client im Shim-Modus oder mit einem virtuellen Adapter. https://www.watchguard.com/support/advancedfaqs/muvpn-sn_vashim.asp (Livesecurity erforderlich, Du musst Dich also anmelden) ...

RDP ? Du kannst doch den Client geeignet konfigurieren und dann speichern ?! Weiterhin kannst Du auch den UPN angeben (Benutzer@Domäne.local oder so) ...

Benötigst Du den virtuellen Adapter unbedingt ?

Es gibt im VPN-Client einen Haken "Standardgateway für das Remotenetzwerk verwenden", der muss weg ... Du machst dann allerdings einen sogenannten Split-Tunnel, der aus Sicht der Sicherheit ungünstig ist ...

Bevor Du zu laut jubelst ... schau mal in die Ereignisanzeigen der Clients ... :D

Ich weiss nicht genau, ob er sich wirklich an der Domäne anmeldet. Das ist, genau wie die Anmeldung ohne Domänendaten (also die Anmeldedomäne wird nicht einbezogen, der Haken ist nicht gesetzt), erstmal nur eine Authentifizierung am RRAS. ABER : wenn der Haken gesetzt ist, wird nach dem erfolgreichen Anmelden am RRAS ein nicht änderbarer Eintrag "DFÜ-Sitzung" in den gespeicherten Kennwörtern erzeugt. Mit genau diesen Daten, die bei gesetztem Haken in der DFÜ-Verbindung angegeben werden, wird während der DFÜ-Sitzung auf Ressourcen zugegriffen. Lösche ich während der aktiven DFÜ-Sitzung diesen Eintrag, greift der Benutzer wieder mit seinen Benutzerdaten zu, die er bei der interaktiven Anmeldung angegeben hat. Ist der Haken NICHT gesetzt ,dann wird kein Eintrag in den gespeicherten Kennwörtern erzeugt, also greift der Benutzer mit seinen bei der interaktiven Anmeldung eingegebenen Benutzerdaten zu. Dieser Vorgang (das Erzeugen von gespeicherten Daten bei gesetztem Haken) funktioniert auch nicht, wenn keine Domäne vorhanden ist. Und, ja, ich hab mich abgemeldet, ich hab neu gestartet, ich habe auf beiden Seiten die Sitzungen getrennt ... So, jetzt habe ich ich auch die Faxen dicke. Ich bin es leid immer wieder das gleiche zu erzählen. Bei mir hat dieser Haken immer genau so funktioniert, wie er es soll, bei Dir nicht. Jetzt frage ich mich, woran das liegt ... Wie auch immer, ich bin raus ...

Eventuell vorher einmal Besitz übernehmen, falls irgendwo ganz unten doch eine Berechtigung fehlt ...

Welche Dienste ?

Nein, das ist kein Problem, muss aber nicht sein, da per Default diese Adresse auch an die Dienste gebunden und auch im DNS registriert wird. Poste auch mal IPCONFIG /ALL eines Clients ...

Du kannst die Ordnerüberwachung aktivieren, musst Dich dann aber durch die Ereignisanzeige quälen. Vielleicht ist es besser, wenn Du Schattenkopien benutzt, dann lässt sich das alles einfach wiederherstellen ...

Deinstalliere testweise mal die verstärkte Sicherheitskonfiguration des Internetexplorers (über Systemsteuerung - Software - Windows-Komponenten) ...

Bei dieser Konfiguration solltest Du die Netzwerkverbindungen und Dienste anpassen. Ich nehme mal an, dass der Server als NAT-Router arbeitet und dass die PPP-Schnittstelle als extern und die Intel-Karte als intern im RRAS deklariert ist. Du solltest erstmal feststellen, ob der RRAS Paketfilter gesetzt hat. Falls der RRAS aktiviert ist sollte die Windows-Firewall deaktiviert sein. Ist der RRAS nicht aktiviert und Du machst das irgendwie anders, dann deaktiviere die Windows-Firewall. Auf der Karte, die mit dem Modem verbunden ist, kannst Du sämtliche Bindungen (auch Internetprotokoll) entfernen. Danach den RRAS am besten noch mal konfigurieren (mit dem Assistenten) und den Rechner neu starten. Im DNS und DHCP konfigurierst Du, dass diese Dienste ausschliesslich auf der 192.168.0.1 "horchen". Die Bindungsreihenfolge (zu erreichen in den Eigenschaften der Netzwerkumgebung - Erweitert - Erweiterte Einstellungen) setzt Du die interne Karte an die erste Stelle. Im DHCP-Manager überprüfst Du, ob der Server überhaupt gestartet ist, einen gültigen Bereich hat und autorisiert ist. Im DNS und WINS bereinigst Du die Einträge, die von anderen Adressen als der internen IP-Adresse komen. Beim Betrieb von RRAS und WINS/DNS auf einem Rechner kann es Probleme bei der Namensauflösung kommen. In dem folgenden Artikel steht, wie Du das bei Bedarf korrigieren kannst. Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS Danach mit NETDIAG /FIX die DNS-Einträge neu schreiben und mit NETDIAG überprüfen. Danach nochmal neu starten und testen ...

Ich auch ... ;)

So, fertig ... Das funktioniert bei einer Media-Center Edition fast genau so wie bei einer Professional Maschine. Ich bin also als UserXY auf der Mediacenter-Edition angemeldet und habe eine VPN-Verbindung zu einem RRAS. Der Benutzer "UserXY" existiert nicht in der Domäne. Die VPN-Verbindung des MCE Rechners ist so konfiguriert, dass die Anmeldedomäne nicht einbezogen wird. Nachdem die VPN-Verbindung hergestellt wurde, wird die Serververbindung mit \\<IP-Adresse> hergestellt, Benutzerdaten sind unbekannt, Server fragt nach (es kommt ein Anmeldefenster). Mit den Daten, die dort eingegeben werden wird dann schliesslich auf die Ressourcen zugegriffen. Danach NET USE * /D und NET SESSION /D auf dem Client und via FSMGMT.MSC auf dem Server die vorherige Session gelöscht. Jetzt wird die VPN-Verbindung so konfiguriert, dass die Anmeldedomäne einbezogen wird. Es wird ein Domänenkonto angegeben ebenso wie der Domänenname. Nach erfolgreichem Verbindungsaufbau wieder mit \\<IP-Adresse>, keine Aufforderung zur Eingabe von Credentials. Kontrolle auf dem Server mit FSMGMT.MSC, welcher Benutzer eine Sitzung hergestellt und wie erwartet steht dort der Domänenbenutzer, der auch vom RAS authentifiziert wurde. Der Zugriff erfolgt durch das temporäre Speichern dieser Benutzerdaten, was man unter CONTROL USERPASSWORDS2 - Erweitert - Kennwörter verwalten sehen kann. Nach der Einwahl wird ein Eintrag "DFÜ-Sitzung" dort erzeugt, der nicht änderbar ist. Dieser Eintrag verschwindet nach dem Trennen der Verbindung wieder. Mit diesen Daten wird auf den Server zugegriffen und lösche ich diese Daten, werde ich beim nächsten Zugriff wieder nach Credentials gefragt. Wird die Anmeldedomäne nicht einbezogen, wird KEIN Eintrag erzeugt und es wird mit den Benutzerdaten zugegriffen, mit denen man angemeldet ist. Im Grunde genau so, wie ich es die ganze Zeit schreibe ...

IPCONFIG /ALL>IPCONFIG.TXT und den Inhalt der Datei kopieren und hier einfügen ...

Ich installiere das Zeuch mal und dann mal sehen ...