IThome

Sind das Gruppen, die zuweisen möchtest, die Du selbst erzeugt hast ? Wenn ja, wo hast Du sie erzeugt ? So wie die Berechtigungen jetzt aussehen ist das völlig in Ordnung. Server 3 ist ein DC, Server 2 ein Member. Server 2 hat eine eigene Benutzerdatenbank, in der es verschiedene Gruppen und Benutzer gibt. Per Default werden beim Joinen den lokalen Administratoren die globale Domänengruppe Domänen-Admins zugefügt und der lokalen Gruppe Benutzer die globale Domänengruppe Domänen-Benutzer. Wenn Du also auf einen Ordner zugreifst, der die Berechtigung hat, wie Du beschrieben hast, dann kann der Benutzer zugreifen, vorausgesetzt, er ist an der Domäne und nicht an seiner lokalen Benutzerdatenbank (auch XP hat eine eigene Benutzerdatenbank) authentifiziert worden. Überprüfe also, ob den lokalen Gruppen die Domänengruppen zugefügt wurden und melde Dich an einer Workstation mit einem Domänenkonto an. Wenn Du Gruppen erzeugen willst, dann mache das auf dem DC und weise diesen Gruppen auf dem Member Berechtigungen zu. Wichtig ist auch, dass wenn Du die Gruppenzugehörigkeiten verändert hast, nachdem sich ein User angemeldet hat, muss der User sich einmal ab- und wieder anmelden ...

Dann hast Du schon bestehende Verbindungen unter einem anderen Benutzernamen erstellt ... Trenne mal mit NET USE * /D die bestehenden Verbindungen und versuche es erneut ... Dann schau mal, was darüber ist (dort, wo das ganze Paket angezeigt wird) ... UDP 4500 ...

Welche NTFS-Berechtigungen sind denn gesetzt ? Und mit welchem Benutzer versuchst Du zuzugreifen ? Einem, der sich an dem NT-Server anmeldet oder einer, der sich an der 2003er Domäne anmeldet ? Hast Du auf dem Server als DNS-Server den neuen Server eingetragen ?

Schau als erstes mal nach, ob die Dienste RAS-Verbindungsverwaltung und Verwaltung für automatische RAS-Verbindung nicht deaktiviert sind und ob sie sich starten lassen. Prüfe auch mal folgendes (obwohl es sich auf die anderen Optionen im Assistenten bezieht) ... Dial-up modem or PPPoE option in New Connection Wizard is unavailable

Ich habe bisher noch bei keinem NAT-Router ESP forwarden müssen, ESP wird ja in UDP gekapselt. Ich weiss aber ehrlich gesagt nicht, warum man bei NAT-Verbindungen ESP forwarden muss. Ich habe so eine Konfiguration ähnlich wie bei Dir mal nachgebaut. Ich habe also einen 2003 Server, der VPN-Verbindungen terminiert. Dieser Server hat eine Schnittstelle. Zwischen ihm und dem XP-Client SP2 steht ein weiterer 2003 Server, auf dem RRAS installiert und konfiguriert ist. Dieser RRAS arbeit als NAT-Router mit der externen Schnittstelle zum XP-Client zeigend und mit der internen Schnittstelle zum VPN-Server zeigend. Unter Dienste und Ports werden die UDP-Ports 500 und 4500 zur Schnittstelle des VPN-Servers geleitet. Auf dem XP-Client ist AssumeUDPEncapsulationContextOnSendRule gesetzt und die Verbindung wird problemlos aufgebaut (ohne ESP umgeleitet zu haben). Auf Draytek Routern z.B. konfiguriere ich auch nur UDP 500 und UDP4500, die zur dahinter liegenden Watchguard weitergeleitet werden und das klappt auch. Also wäre meine Frage jetzt, warum man auch ESP bei Verbindungen über NAT-Router forwarden muss ?! Ich denke, dass die Verbindung problemlos über den Clientrouter funktioniert (habe ich bei einem Kunden auch schon mal gehabt). Das mit der Zwangstrennung wirst Du nicht ändern können. Das mit dem Dyndns schon, besorge Dir eine feste IP (dann ist der ganze Ärger vorbei) ...

Das sind ja keine Netzwerkeinstellungen, das sind Hardwareeinstellungen ...

Eventuell auch mit einem NULLSessionShare ...

Wir lösen sowas mit Watchguard-Produkten (Core E-Series). Das ist dann auch nebenbei eine astreine Firewall ...

Im Grunde musst Du nur UDP 500 und UDP 4500 auf der Serverseite forwarden, kein ESP oder AH (AH und NAT schliessen sich gegenseitig aus). Welcher Router befindet sich auf der Clientseite ? Klappt es, wenn Du den PC direkt an das Modem anschliesst ? Du hast Dir auf der Clientseite eine DFÜ-Verbindung erzeugt, in der Du den richtigen PSK eingetragen auf L2TP/IPSec fest eingestellt hast ? Auf dem Server brauchst Du nichts weiter einstellen.

Das einzige, was mir dazu einfällt, ist die Aktivierung des Gastkontos und der entsprechenden Berechtigungsvergabe auf Freigabe/NTFS für Jeder oder Gäste ...

Ist da bei den Nvidia Chipsätzen nicht so ein Firewall dabei, Active Armor oder wie das heisst ?

Er muss lokaler Administrator sein UND er muss für das Erzeugen des Computerkontos im Active Directory entsprechende Berechtigungen haben. Lokale Administratoren und die der Domäne sind verschiedene Dinge. Du kannst, wenn Du aufgefordert wirst ein Domänenkonto anzugeben, ein normales Domänenkonto mit Benutzerrechten angeben und das Computerkonto wird per Default im Container Computers angelegt (wenn der Client noch keine 10 Konten angelegt hat). Du musst aber trotzdem als lokaler Administrator angemeldet sein. edit: es muss heissen, wenn der Benutzer noch keine 10 Computerkonten angelegt hat

Ich kenne so ein Problem mit Boards eines Herstellers, welches schon bei der Auslieferung fehlerhaft war. Alle Netzwerkkarten hatten die gleiche MAC-Adresse. Der Hersteller hat ein Tool zur Verfügung gestellt, mit dem man die richtige MAC-Adresse (die aufs Board geklebt wurde) einstellen konnte. Weiterhin kenne ich so ein Problem, bei dem der Drucker die Adresse des Servers hatte. Es gab von der Serverseite aus keinerlei Meldungen, dass eine doppelte IP-Adresse existiert und die Probleme waren wirklich merkwürdig ;)

Es wäre ja auch möglich, dass einige PCs die gleichen MAC-Adressen haben. Dann nützen auch feste IPs nichts ...

Wenn Du ihn runterstufst und es nicht der letzte ist, dann wird es ein Member. Die Rollen werden auch automatisch auf einen verbleibenden DC verschoben. Freigaben- und NTFS-Berechtigungen bleiben auch erhalten.

In diesem Artikel ist doch alles beschrieben (Inetorgpersonfix - E2K) ... Windows Server 2003 adprep /forestprep command causes mangled attributes in Windows 2000 forests that contain Exchange 2000 servers

Ich hab´ gewusst, dass das kommt :D ... Ist ja aber nur im Verzeichnisdienstwiederherstellungsmodus verfügbar (die "abgespeckte" SAM) ...

Nein, seit der Server DC ist, geht es nicht mehr. Ist er schon immer DC, dann ging es nie. Eventuell war er vorher Memberserver und ist nachträglich zum DC der bestehenden Domäne gemacht worden.

Genau, die Anmeldung an dem anderen (Member-)Server ist zum einen die Anmeldung an der lokalen Sicherheitsdatenbank und zum anderen die ANmeldung an der Domänendatenbank. An einem DC gibt es keine lokale Datenbank, an der man sich anmelden kann ...

Ich würde sagen ... MD <Ordner>, mit CACLS die Berechtigungen setzen und mit NET SHARE freigeben ...

Ich weiss auch nicht, was das ganze Gerede bringen soll. Das Ding ist hochgradig verseucht und muss neu installiert werden. Wenn die Programme nicht mehr vorhanden sind, müssen sie gekauft werden (die Versicherung hat ganz sicher bezahlt, wenn es legal beschaffte Software war, die von dem Hochwasser zerstört wurde) ...

Probiere mal, das Prüfen des Besitzes der Profilordner abzuschalten (auf der XP-Maschine) Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Eigentümer von servergespeicherten Profilen nicht prüfen"

Aber er zeigt welche ... ;) :D

Ich kenne dieses Problem nicht, habe aber mal gegoogled und folgendes gefunden (wenn Du 2000 Server hast) ... Festlegen des Attributs MaxActiveQueries How to view and set LDAP policy in Active Directory by using Ntdsutil.exe

Der Preis ist echt ein Witz und ein Versuchskarnickel haben wir ja jetzt auch ... :D