IThome

Bei direktem Anschluss nicht, dafür hat er Routen. Aber wer weiss, wieviele Netze dort existieren und wer von wo auf den Rechner zugreifen muss ...

Dann poste mal IPCONFIG /ALL des Rechners ...

Wenn die Rechner, die auf ihn zugreifen müssen, direkt mit einer der Karten verbunden sind, müssen keine Routen gesetzt werden. Firewall-Ausnahmen eventuell nicht richtig oder gar nicht konfiguriert ?

Deinstalliere testweise mal die verstärkte Sicherheitskonfiguration des Internet Explorers ...

Eine Umstellung der Adressierung wäre sicherlich das Sauberste ...

Probiere es doch erstmal ganz einfach und konfiguriere für den Basisordner für Benutzer - Lesen und Administratoren - Ändern und vererbst es nach unten (da sollte ein Unterschied zu sehen sein). So arbeitest Du Dich dann weiter nach vorne, bis es nicht mehr klappt, wie Du willst ...

Ich kenne für solche Szenarien, in denen auf beiden Seiten die gleichen IP-Netze sind, nur die Möglichkeit, die VPN-Netze zu natten (1-to-1 NAT). Andere Adressranges zuweisen usw. haben keine Auswirkung, da der Quellrechner den Zielrechner im gleichen Bereich anspricht und laut seiner Routingtabelle kein einziges Paket das eigene Netz verlässt. Er muss also auf der anderen Seite eine Adresse eines anderen Bereiches ansprechen, damit überhaupt irgendwas zu einem Gateway geschickt wird, welches auch immer das sein mag. Letztlich spricht der Client nicht das eigentliche Zielnetz an, sondern die NAT-Base. Diese wiederum wird vom Gateway (sofern das Gateway sowas unterstützt) an die Real-Base weitergeleitet. Watchguards können das ... :D

Poste als erstes die Ausgabe von IPCONFIG /ALL des Servers. Was ergibt NETDIAG auf dem Server ? Was ergibt DCDIAG auf dem Server ? Hast Du die DNS-Zonen mal nach Einträgen der alten IP-Adresse durchforstet ?

Schau mal mit SECPOL.MSC unter Lokale Richtlinien - Sicherheitsoptionen - "Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten" , ob dort Klassisch eingestellt ist und nicht Nur Gast. Kontrolliere auch mit REGEDIT - HKLM/CurrentControlset/Control/LSA/"ForceGuest", ob dieser Wert auf 0 steht. Wenn Du eines der beiden Werte verändern musst, starte die Maschine neu. Prüfe auch, ob das Gastkonto deaktiviert ist ...

Einfache Dateifreigabe ist an oder aus ? Wenn sie an ist, schalte sie aus, mit Gastauthentifizierung kommst Du auf keinen Adminshare ...

Ohne die Schnittstelle "Intern" funktioniert das gar nicht, sie fasst alle RAS-Clients zusammen. Führe mal bei verbundenem RAS-Client ein IPCONFIG /ALL auf dem RAS-Server aus. Er wird auch eine Adresse aus dem 10.143.2.x Bereich haben ... Das Problem ist wahrscheinlich, dass niemand ausser der RAS-Server das Netz 10.143.2.x kennt und daher die Rückroute nicht auffindbar ist. Zu erreichen ist dieses Netz über die LAN-Schnittstelle des RAS-Servers. Kannst ja mal testweise auf einem anderen Server, den Du dann vom VPN-Client aus ansprichst, eine solche Route definieren und testen. Wenn das klappt, dann den anderen Routern diese Route zufügen ... ROUTE ADD 10.143.2.0 MASK 255.255.255.0 10.0.32.215

Ja stimmt, das geht ja auch noch, dann wahrscheinlich noch "DisableStrictNameChecking" auf 1 und los (bis das Script fertig geschrieben war) ... Also Testmaschine wieder aus ... :D

Oh Mann, was ist denn heute los, ich kapier´ gar nix, ich klinke mich aus und lese morgen noch mal ... :D

Wenn es tatsächlich so ist, dann wäre es ja alles prima. Aber das Scripting würde ich auch favorisieren. Da ich bis jetzt immer den Namen des alten Servers behalten habe, bin ich nie in eine solche Bedrängnis gekommen, das klappte ohne Anpassung. Wäre aber mal interessant zu wissen, also mal ne Testmaschine anwerfen :D

Ja, ich weiss, er gibt sie wieder frei ... Der Client war vorher mit \\PSERVERALT\DRUCKER1 verbunden. Da nützt es ihm nicht viel, wenn der Drucker jetzt auf \\PSERVERNEU\DRUCKER1 eingerichtet und freigegeben ist ... Wie werden die User auf den neuen Server umgeleitet (ich habe bis jetzt nur ausgetauscht, mit PrintMig, also den Namen behalten) ?

Es geht aber doch nicht darum, dass die lokal installierten Drucker auf dem alten Printserver umgezogen werden sollen, sondern ob die Clients, die ja zu diesen Druckern auf dem alten Server eine Verbindung haben, diese Verbindung behalten oder nicht. Sicher zieht der Printer Migrator die Drucker via CAB-File vom alten auf den neuen Printserver um (der einen anderen Namen als der alte hat), die Clients haben die Verbindungen aber zum alten Server (mit anderem Namen) hergestellt und darum geht es (denke ich zumindest) ... :)

Es funktioniert auch mit einem 2000 DC, an dessen FTP-Server sich ein Domänen-Benutzer anmeldet. Ob geschrieben werden darf, hängt auch hier von der Einstellung des FTP-Servers und von den Einstellungen des Basisordners ab. Damit sich allerdings der Domänen-Benutzer überhaupt am FTP auf dem DC anmelden kann, muss er das Benutzerrecht "Lokale Anmeldung" haben (wie Du ja bereits geschrieben hast) ... In einem Punkt hast Du allerdings recht, es ist eher ungünstig, einen FTP (ganz besonders einen öffentlichen) auf einem DC betreiben zu wollen. Ist die Verbindung allerdings gesichert (durch ein VPN z.B.), sehe ich da kein grosses Problem. Und die Tatsache, dass sich ein Domänenbenutzer lokal am DC anmelden könnte, ist ärgerlich, im Falle nur eines Servers (DC und FTP) aber nicht vermeidbar, wenn der IIS genutzt werden soll ...

Nun ja, ich habe auch FTP-Server auf DCs laufen, die per VPN von verschiedenen Benutzern mit unterschiedlichen Berechtigungen angesprochen werden. Mit nem 2000er probiere ich das gleich mal aus ...

Off-Topic: Das hat auch einen Grund, ich habe Urlaub ... :D

Dann verstehe ich die Netzwerkkonfiguration nicht, wie kannst Du mit einer privaten IP auf einen öffentlichen VPN-Router zugreifen, wenn NAT nicht aktiviert ist ?

Warum darf der FTP-Server kein DC sein ? Und wenn nur ein Server (DC) vorhanden, fällt das mit den lokalen Konten ebenso aus ...

Ja, mit einem Computerstartscript und NET USER ... Das Script sollte an einem Ort im Netzwerk liegen, wo nur die Computerkonten und Administratoren Zugriff haben ...

Er sollte sie neu verbinden ...

Der Administrator kann auf einem DC ohne Änderung der Gruppenmitgliedschaft per RDP auf den Server zugreifen. Er hat per Default das Benutzerrecht "Anmelden über Terminaldienste zulassen" und im RDP-TCP Objekt haben die Administratoren ebenfalls Berechtigungen, per RDP zuzugreifen. Man muss auf einem DC das Benutzerrecht "Anmelden über Terminaldienste zulassen" anpassen, damit die Remotedesktopbenutzer überhaupt zugreifen dürfen (wo ist das geändert worden). Überprüfe diese Punkte mal ...

Sehe ich auch so ...