IThome

Hast Du es so gemacht, wie ich gepostet habe (so trägt er die Administratoren ein) ?

Einfache Dateifreigabe ist deaktiviert ?

Die Passwortpolicy MUSS auf Domänenebene angwendet werden, aber nicht in der Default Domain Policy. Weiterhin gilt sie für ALLE Benutzer der Domäne und nicht nur für einige. Wenn sie in der Priorität höher als die Default Domain Policy ist, bringt das Erzwingen nur dann was, wenn auf OU-Ebene eine andere Passwortpolicy für lokale Benutzerkonten angelegt wurde ...

Ich denke nicht, dass es allein an der Karte "Intern" liegt, eher daran, dass über die falsche Karte nach einem DHCP-Server gesucht wird oder dass irgendwelche Filter aktiv sind. Du musst erstmal sehen, ob der Server den DHCP überhaupt erreichen kann. Also stelle die interne Karte mal auf DHCP und teste, ob er überhaupt den DHCP ansprechen kann ... Wahrscheinlich hat sich der RRAS nicht registriert, weil er entweder keinen primären DNS-Suffix oder Verbindungssuffix hat und/oder weil die DNS-Zonen nur sichere Updates zulassen ...

Nur den Besitzer ändern reicht ja auch nicht aus. Du musst noch die Berechtigungen ändern ...

Also steht die virtuelle Karte "Intern" NICHT rechts bei DHCP-Relay Agent ? Warum kannst Du den internen DNS-Server nicht benutzen, er hat doch sicher eine Weiterleitung konfiguriert ? Entferne mal die Client-Karte und stattdessen füge die "Intern" Schnittstelle beim DHCP-Relay Agent zu. Kontrolliere auch (rechtsklick auf den RRAS-Server - Eigenschaften - IP), welche Karte benutzt wird, um einen DHCP-Server zu finden (dort kannst Du konfigurieren, dass da die interne Karte steht). Das Problem ist in erster Linie nicht der Relay Agent, sondern dass der Server keine Adressen beim DHCP leased. Dort müssen max. 10 Adressen mit einem Telefonsymbol auftauchen, probiere mal, ob Du am RRAS überhaupt eine Adresse von ihm bekommst (interne Karte auf DHCP stellen). Wenn vom RRAS keine Adressen geleased werden können steht das auch in der Ereignisanzeige des RRAS-Servers ...

Normalerweise bekommst Du die DNS- und WINS-Server Adressen zugewiesen, die im RRAS eingestellt sind (das müsste man explizit abschalten). How to Prevent Routing and Remote Access from Assigning WINS and DNS Addresses to Clients - wo befindet sich der DHCP-Server, im Netzwerk der internen Karte ? - welche Karte im RRAS wird verwendet, um DHCP-Adressen vom DHCP-Server erhalten (der RRAS-Client selbst bekommt die Adresse nicht vom DHCP-Server, sondern vom RRAS, der seinerseits Adressen, 10 Stück pro Vorgang, vom DHCP-Server holt. Der Client bekommt nur die Optionen vom DHCP-Server) ? - welcher DHCP-Server ist im Relay Agent eingetragen ? - welche Karte steht unter DHCP Relay-Agent auf der rechten Seite in der RRAS-Konsole ? - IPCONFIG /ALL auf dem RRAS (bei bestehender VPN-Verbindung) ergibt, dass der PPP-Adapter des RRAS eine APIPA-Adresse bekommen hat ? Problembehandlung beim DHCP-Relay-Agent

Berichte mal ... :)

Setze den "GpNetworkStartTimeoutPolicyValue" mal auf 60 (Sekunden) ...

Loginscript oder Startscript ? Group Policy application fails on a computer that is running Windows 2000, Windows XP Service Pack 1, or Windows XP Service Pack 2

Habe ich ja auch nicht gesagt ... Wenn nur Ihr nicht zugreifen könnt, innerhalb des Netzwerkes RDP aber schon funktioniert, dann kann es an Filtern auf Eurem Router/Firewall z.B. liegen, aber auch an Filtern auf der Firewall, die vor dem Server steht (sie lässt nur bestimmte Adressen durch, aber eher unwahrscheinlich) ... Wäre hilfreich, wenn Du auf einen anderen Server versuchst zuzugreifen (beim Freund oder so, kann auch eine XP-Maschine sein) ...

ADMINPAK.MSI kann über Softwareverteilung installiert werden ...

There is no way to run an SBS without being a Domain Controller ... How to install Small Business Server 2003 in an existing Active Directory domain "The following conditions must be true after you install the new SBS 2003 computer in an existing domain or the new SBS 2003 computer may display warnings and shut down periodically: • The new SBS 2003 computer must be a domain controller that is installed on the root of the domain. • The new SBS 2003 computer must hold all the Flexible Single Master Operation (FSMO) roles. • The new SBS 2003 computer must be a global catalog server and must be the licensing server. • There must not be any existing domain trusts or child domains. • Only one SBS server can exist on the domain. If SBS 2003 is installed, no other SBS 2003 or 2000 server can be installed on the same domain. Failure to meet these conditions may cause the SBS 2003 server to shut down." If RRAS is configured and running, there´s no way to activate the Windows Firewall. The RRAS Firewall is a Stateful Inspektion Firewall combined with Static Packet Filters. If you want to configure that only 1 Administration PC (IP-Address) can connect via RDP and all IP-Addresses can connect to the HTTP-Service on the Server, you configure under Services and Ports a Port Redirection for RDP and HTTP to 127.0.0.1 (originating that there is only 1 NIC in the Server , this NIC is configured als public Interface and only Firewall (not NAT) is activated). Then you configure Inbound (Static) Filters ... Filter 1 Source Network: 192.168.10.100 (Example for the Administrator PC) Source Mask: 255.255.255.255 Destination Network: 192.168.10.1 (Example for the Server) Destination Mask: 255.255.255.255 Protocol: TCP Source Port: empty Destination Port: 3389 Filter 2 Source Network: Empty Destination Network: 192.168.10.1 Destination Mask: 255.255.255.255 Protocol: TCP Source Port: empty Destination Port: 80 Inbound Filters are configured that all Packets are discarded except those declared in the Filters. If only 1 Filter is configured you have to configure ALL Communication separately. The two Filters above only allow Communication from Administrators PC IP-Address to the Server IP Address Port 3389 and All IP-Addresses to Server Port 80, nothing else. The Server itself is unable to lookup DNS Names from DNS-Servers nor to communicate with HTTP-Servers. You have to configure those Filters too ... Example Packet Filter for DNS-Lookup (external DNS-Server) and external HTTP Access with Inbound Static Filters Filter 1 Source Network: empty (or the IP-Address of the DNS-Server) Source Mask: greyed out or 32 Bit Mask when a Server is configured in Source Network Destination Network: 192.168.10.1 Destination Mask: 255.255.255.255 Protocol: UDP Source Port: 53 Destination Port: empty Filter 2 Source Network: empty Source Mask: empty Destination Network: 192.168.10.1 Destination Mask: 255.255.255.255 Protocol: TCP (established) Source Port: 80 Destination Port: empty For VPN Access you must also configure appropriate Filters and Port Redirections ...

subinacl /subdirectories c:\profile\Profiles\s11600 /setowner=Administratoren subinacl /subdirectories c:\profile\Profiles\s11600\* /setowner=Administratoren oder subinacl /subdirectories c:\profile\Profiles\s11600 /setowner=S-1-5-32-544 subinacl /subdirectories c:\profile\Profiles\s11600\* /setowner=S-1-5-32-544 edit: ups, ist ja schon gelöst ... :D zu spät:rolleyes:

Da bleiben dann ja nur noch Firewallregeln Outgoing auf Eurer Seite oder Firewallregeln Incoming auf der Serverseite. Du musst übrigens keine Weiterleitung auf Eurer Seite definieren, wenn von dort die Verbindung initiiert wird ...

Könnt Ihr denn untereinander zugreifen, Du auf den Rechner Deines Vaters und umgekehrt ?

Fehlerhaft ist auf jeden Fall, dass 2 Default Gateways eingetragen sind (funktioniert sehr wahrscheinlich nicht so, wie Du es vielleicht erwartest). Der Anhang ist nicht freigeschaltet, daher kann man nicht mehr sagen ...

Setze doch auf dem Rechner in dem Standort, an dem das Profil nicht serverbasiert sein, dass serverbasierte Profile nicht erlaubt sind ... Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Nur lokale Benutzerprofile zulassen" Das gilt dann allerdings für jeden Benutzer, der sich an diesem Rechner anmeldet ...

Aber nur, wenn er sich bei der interaktiven Anmeldung schon per VPN an der Domäne anmeldet ... und das macht er nicht ...

Geforwardete Ports ... wo eingestellt ? Firewallregeln in dem Netz, in dem sich die Computer von Dir und Deinem Vater befinden ? Wo befinden sich die Server ? Sind sie direkt ansprechbar oder befinden sie sich hinter einem NAT-Router ?

Erst beides einrichten, erst dann macht das Setzen des Hakens überhaupt Sinn ... Wenn beide Zonen dynamisch altualisierbar sind, können die Clients selbst und/oder der DHCP-Server auch die entsprechenden Host/PTR-Einträge setzen, ohne manuell etwas anlegen zu müssen ...

Wo befindet sich Dein Computer und der Deines Vaters, im Netz der Server ? Und wo befinden sich die Rechner Deiner Freunde ? Welche Ports hast Du wo geforwarded ?

Eventuell dieses Problem ? Cmd.exe does not support UNC names as the current directory

2 Default Gateways benutzt man nur zur Fehlertoleranz. Das zweite wird aber nur dann genutzt, wenn das erste nicht mehr vorhanden ist ...

Hä ??? :suspect: