IThome

Obwohl Du kein MCSE bist, bekommst Du eine Antwort ;) :D (man muss natürlich kein MCSE sein, um hier Hilfe zu bekommen) ... Regedit - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent - REG_DWORD erstellen - "AssumeUDPEncapsulationContextOnSendRule" und den auf 2 Danach neu starten und nochmal probieren ... Ach ja, herzlich willkommen im Board :)

CHKDSK /F schon durchgeführt ?

Die Anrufe von Kunden werden immer mehr ... :(

USERINIT hab ich schon ersetzt, sonst alle Mögliche infiziert, IEXPLORE.EXE, EXPLORER.EXE, die EXE-Dateien des Virenscanners usw. ... Das System ist unbrauchbar :( Ich installiere neu, hat keinen Zweck ...

Moin MCSEboard, ich habe heute Anrufe von Kunden, bei denen der Virus Win32/Virut.AE aufgetaucht ist. Beim ersten bin ich gerade, bei befallenen Rechnern ist eine Anmeldung nicht mehr möglich (USERINIT.EXE beschädigt), diverse andere EXE-dateien sind ebenfalls verseucht. Diese Rechner sind also nicht mehr zu retten (macht man nicht, dass man einen befallenen Rechner säubert, ich weiss. Aber diese Rechner lassen sich nicht gar nicht säubern). Bei allen Kunden läuft NOD32. Ist Euch da was bekannt oder geht es Euch genauso ? Gruss Sven

Wächterkarte abschalten, die Computerkonten auf dem DC zurücksetzen und die Rechner erneut joinen. Du kannst aber das Ändern des Computerkontenkennwortes durch eine Richtlinie verhindern: Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen - "Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren"

Schwarzes Bild ? Oder kommt irgendwann eine Fehlermeldung (welche) ? Kannst Du mit \\<Server> Freigaben sehen ?

Dafür gibt es doch ICMP-Redirect ... :)

... und auf dem Gateway statische Routen setzen in die Netze, die nicht direkt am Router angeschlossen sind (sofern diese Netze auch ins Internet sollen) ... edit: einen Hauch zu spät ... :D

Grundsätzlich kann man die Ordner definieren, die nicht übertragen werden sollen ... How to prevent folders from roaming with a profile in Windows 2000 Unter XP befindet sich diese Richtlinie nicht unter Anmelden/Abmelden, sondern unter Benutzerprofile ... Aber wie Grizzly schon sagt, die temporären Internetdateien sind schon ausgeschlossen ...

Für sowas würde man eine Site-to-Site Verbindung erstellen. Der Benutzer "merkt" gar nicht, dass der DC nicht an seinem Standort ist. Die Verbindung durch das Internet übernehmen die Router und der Rechner hat seinen Router als Default Gateway eingetragen. Weiter muss nichts eingestellt werden (was allerdings abhängig von der Konfiguration ist, Ordnerumleitungen, Roaming Profiles z.B.). Sinnvoll wären auch unterschiedliche IP-Bereiche in den beiden Standorten (klappt VPN-mässig zwar auch mit gleichen Bereichen, ist aber schwieriger zu konfigurieren und auch nicht jedes Gateway beherrscht sowas) . In Deinem Fall ist der Erfolg der Aktion sehr davon abhängig, welche Bandbreiten Dir zur Verfügung stehen. Outlook und die Domänenanmeldung ist da wohl eher das kleinere Problem. Das Laden der wahrscheinlich sehr grossen CAD-Dateien das wesentlich grössere. Wahrscheinlich wäre es sinnvoller, auf der Seite der 14 PCs einen weiteren Server zu platzieren, um die Dateien zu speichern ...

Naja, Dienste laufen mit einem Benutzeraccount und ich habe schon oft gesehen, dass dafür der Administrator benutzt wird (ist ja so schön einfach). Wenn das Kennwort des Administrators jetzt regelmässig verändert wird, wird das in den Diensteinstellungen nicht synchronisiert und der Dienst läuft entweder nicht mehr bzw. lässt sich nicht mehr starten oder er hat keinen Zugriff mehr (worauf auch immer er zugreifen muss, das Kennwort stimmt ja nicht mehr) ...

Ganz genau, denn er kann am meisten kaputt machen ... Denke dann aber daran, dass keine Dienste in diesem Sicherheitskontext laufen ...

Nein, sollte es nicht ... Das ist eine Computerrichtlinie und wird letztlich von den Domänencontrollern angewendet ... Wenn der Haken gesetzt wird, dass das Passwort nicht abläuft, dann läuft es auch nicht ab (was gerade beim Administrator eher ungünstig ist ;) )

Selbstverständlich ist er das und es gilt natürlich auch nur für Computer innerhalb der Domäne (die anderen bekommen die Richtlinien ja nicht) ...

Passwortrichtlinien für Domänenbenutzer werden AUSSCHIESSLICH auf Domänenebene definiert und nirgendwo sonst. Passwortrichtlinien, die auf OUs angewendet werden, in denen sich Computerkonten befinden, gelten für die Benutzerdatenbanken auf den Rechnern in dieser OU und nicht für Domänenkonten !

Ja klar, aber er würde auch aus dem 2. Pool verteilen, wenn der erste erschöpft ist, was er ohne Bereichsgruppierung nicht machen würde ...

Initial bekommt er eine Adresse von dem Server, der sich als erstes meldet. Wenn dieser eine Bereichsgruppierung für 10.111.0.0/16 und 10.222.0.0/16 hat, dann bekommt er eine Adresse entweder aus dem einen oder anderen Bereich (lokales Multinet). Ein Server kann keine 2 Bereiche haben, die Adressen aus dem gleichen Bereich verteilen (was bei einer 8er Maske so wäre).

Die Frage war : Wenn Du die Freigabe/NTFS-Ordner NICHT für Jeder berechtigst, kann dann ein Benutzer sich problemlos mit \\SRV2 mit dem SRV2 verbinden oder wird er hier schon verweigert ? Und wenn er dann auf eine Freigabe zugreift, in der weder auf Freigabe- noch auf NTFS-Ebene Jeder-Berechtigung vergeben ist, wird er sofort verweigert ? Wenn er verweigert wird, als was ist er authentifiziert worden (FSMGMT.MSC) ?

Warum beantwortest Du die Fragen nicht ?

Das hast Du wohl irgendwie falsch verstanden und Du vermischt da etwas. 2 DHCP-Server in einem Netzwerk werden zur Fehlertoleranz betrieben. Beide haben einen Bereich und schliessen Teile dieses Bereiches aus. Wenn z.B. beide den Bereich 192.168.0.1 - 192.168.0.100 verteilen (die Server haben eine Netzwerkkarte in diesem Bereich, sie würden sonst keine Adressen an lokale Clients verteilen), dann würde der eine die Adressen 1-50 und der zweite 51-100 ausschliessen (es wird auch oft von eine 80% - 20% Regel gesprochen). Soll der Server auch für Remotenetzwerke Adressen verteilen (er hat also keine Netzwerkkarte in diesem fremden IP-Adressenbereich), dann würde man einen DHCP-Relay Agent und diesen fremden Adressbereich konfigurieren (aber nicht gruppieren). An dem GIADDR-Feld, welches vom Relay Agent "ausgefüllt" wird, erkennt der DHCP-Server, dass er eine Adresse aus dem "fremden" Bereich verteilen soll. Wenn Du mehrere Bereiche auf einem DHCP-Server konfigurierst, die dann logischerweise auch andere IP-Adressbereiche als dem DHCP-Server bekannt aufweisen und diese Bereiche gruppierst, entsteht ein sogenanntes lokales Multinet. Die Clients bekommen also Adressen aus dieser Bereichsgruppierung, auch wenn der DHCP-Server keine Schnittstelle in diesem Bereich hat. Hat er beispielsweise 3 Bereiche : 192.168.1.0,192.168.2.0 und 192.168.3.0, dann würden Clients Adressen aus allen 3 Bereichen bekommen und man müsste, wenn lokal miteinander kommuniziert werden soll, routen. Mit Hilfe von Relay Agents und Bereichsgruppierungen sind auch Remote Multinets möglich ... Verwenden von Bereichsgruppierungen

Welchen DNS-Server bekommen die Clients ? Ist auf dem Server die Windows-Firewall eingeschaltet oder eventuell vor kurzem der RRAS eingerichtet worden ?

SO WIRD'S GEMACHT: Aktivieren von Nullsitzungsfreigaben auf Computern unter Windows 2000 Wenn Du Jeder auf Freigabe- wie NTFS-Ebene berechtigst, musst Du die Richtlinie "Netzwerkzugriff: Die Verwendung von "Jeder" Berechtigungen für anonyme Benutzer ermöglichen". Diese Einstellung findest Du unter Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionenen Dort kannst Du auch die NullSessionShares einstellen ... Mit der Richtlinie "Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben" kannst Du RestrictAnonymous setzen. Allerdings frage ich mich, ob wirklich anonym zugegriffen wird. Wenn nicht, klappt das nicht und Du musst es mit dem Gast machen. Deine Sicherheit ist mit beiden Lösungen allerdings reduziert ...

Das wundert mich auch ... Wenn in der Freigabe auf dem SRV 2 Benutzer (lokal) auf Vollzugriff eingestellt wird (die Domänenbenutzer sind Mitglieder der lokalen Benutzergruppe) und in den NTFS-Berechtigungen diese Berechtigung auch gesetzt ist, dann müssen die Domänenbenutzer zugreifen können. Was passiert genau ? Wenn solch eine Berechtigung ohne Jeder gesetzt ist und Du gibst auf dem Client \\SRV2 ein, kannst Du dann die Freigaben sehen ? Wenn ja und Du klickst dann doppelt auf eine Freigabe, in der nicht Jeder berechtigt ist, wirst Du dann sofort verweigert ? Schau in diesem Fall mal auf dem SRV 2 mit FSMGMT.MSC, ob der Benutzer als Gast authentifiziert wurde (unter Sitzungen ganz rechts) ...

Stehen sie auf Manuell oder Deaktiviert ?