IThome

Lade Dir auch mal die Support Tools SP1 runter und führe danach NETDIAG durch. ImZweifel kannst Du ja auch mal das Ergebnis posten (ohne die ganzen KB-Einträge) ... Windows Server 2003 Service Pack 1 Support Tools Du kannst als Weiterleiter auch den Router eintragen, wenn der als DNS-Proxy arbeitet (versuch das mal, wenn es nicht klappt, dann den DNS-Server des Providers)

Sag mal den Preis, wenn Du ihn weisst und ob das Teil etwas taugt ... :)

DNS-Server ist falsch, trage da die Adresse des Servers ein und auf dem Server die jetzt eingetragene Adresse bei "Weiterleiter" ... Danach beendest Du auf dem Server einmal den Anmeldedienst, startest ihn wieder und führst zusätzlich IPCONFIG /REGISTERDNS aus, 5 Minuten warten und dann mal einen Client starten. Die Clients müssen auch den Server als bevorzugten DNS-Server eingetragen haben, nur den Server und KEINEN externen DNS-Server ...

Naja, einen Alias setzen auf den alten Namen und dazu "DisableStrictNameChecking" konfigurieren ...

Hä, bei IPCONFIG /ALL kommt Server unknown ? Solche Meldungen kenne ich von NSLOOKUP ...

Zuerst einmal bitte IPCONFIG /ALL des Servers ...

Ich löse sowas entweder durch eine 2-stufige Migration. Ich migriere also in eine virtuelle Maschine, die einen anderen Computernamen hat und dann nochmal auf das eigentliche Gerät (das dauert natürlich länger) oder ich benutze einen DNS-Alias für den Namen des alten Rechners ... Mit irgendwelchen Tools zum Migrieren eines SBS habe ich bisher noch nicht gearbeitet (alles zu Fuss), würde mich aber schon interessieren, ob sowas gut funktioniert ...

Zu Migrationszwecken können eine Übergangszeit beide SBS in der Domäne aktiv sein ... How to install Small Business Server 2003 in an existing Active Directory domain Gibt aber einen Haufen Nachfragen bezüglich dieses Themas hier im Board , einfach mal suchen ... :)

Welche Sicherheitsberechtigungen hat die CMD.EXE auf dem Server ? Per Default stehen da keine normalen Benutzer drin ...

Beim DC02 ist es kein Wunder, denn er hat den Suffix DE.DOM.COM, in dem auch DOM.COM steckt, was ebenfalls zur Auflösung probiert wird. Wenn auf DC01 DOM.COM und DE.DOM.COM in der Suffixsuchliste eingetragen ist, die Delegierung vorhanden ist und er sich selbst als DNS-Server eingetragen hat, dann sollte das klappen. Installiere Dir auf DC01 mal einen Sniffer und schaue es Dir an, welche Abfragen er schickt ... Ich habe das mal nachgebaut und es funktioniert genau so, wie weiter oben beschrieben ... edit: oh, ein wenig zu spät ... :D

Sicher funktioniert das, die Benutzerkonten/Kennwörter, mit denen sich die User an den Home-Maschinen anmelden, müssen genau so auf dem Server existieren ...

Das ist richtig, Du musst als 2.Adressbereich die 192.168.1.0/255.255.255.0 nehmen. Das mit dem VPN ist so gemeint, dass das Zielnetz, was in der VPN-Policy eingegeben wird, von 192.168.0.0/255.255.255.0 auf 192.168.0.0/255.255.0.0. Wenn es so geändert wird, können via VPN alle 192.168.x.x Netze von den VPN-Clients benutzt werden. Alternativ kannst Du auch eine weitere VPN-Policy mit dem Ziel des neuen Netzwerkes einrichten (192.168.1.0/255.255.255.0). Du musst auch die VPN-Clients auf den Home-Rechnern anpassen (auf 192.168.0.0/255.255.0.0), wenn Du die VPN-Einstellung auf dem Router so änderst ...

Naja, dann können die aber noch mit nem Mailclient raus oder mit nem Filesharing-Tool usw. ... In meinen Augen sind beide Lösungen suboptimal, sowas sollten man auf dem Gateway einstellen können ...

Du klickst im DHCP-Manager auf das Plus vor Reservierungen und klickst dann mit rechts auf die entsprechende Reservierung und konfigurierst die Optionen ...

Wenn Du als Admin das machen sollst, meldest Du Dich als Domänenadmin an dem Notebook an. Das klappt im Falle der Abwesenheit aber nur, wenn sich der Domänenadmin schon mal angemeldet hat. Ein Installieren durch Benutzung des lokalen Administrators ist natürlich auch möglich. Oder sollen die Notebookbenutzer selbst Software installieren können ? 2 verschiedene Antivirenprogramme solltest Du auf keinen Fall gleichzeitig auf einem Rechner laufen lassen, die behindern sich gegenseitig und dadurch den Benutzer des Notebooks ...

Im Grunde korrekt so : DC01 hat das primäre Suffix DOM.COM und eine Zone DOM.COM. Sein FQDN ist daher DC01.DOM.COM. Weiterhin hat er eine Delegierung für DE.DOM.COM mit dem Ziel der IP-Adresse von DC02.DE.DOM.COM. DC01 hat sich selbst als DNS-Server eingetragen. DC02 hat das primäre Suffix DE.DOM.COM und demzufolge einen FQDN von DC02.DE.DOM.COM. Er hostet eine Zone mit Namen DE.DOM.COM und hat eine bedingte Weiterleitung DOM.COM zur Adresse von DC01 konfiguriert. DC02 hat sich selbst als DNS-Server eingetragen. Bei beiden ist per Default eingetragen, dass der primäre Suffix und der Verbindungssuffix und der übergeordnete Suffix des primären Suffixes zur Auflösung unvollständiger Namen benutzt wird. Das würde bedeuten, dass DC02 DE.DOM.COM und DOM.COM anhängt, DC01 nur DOM.COM, wenn man nur den Hostnamen wie DC01 oder DC02 angibt. Gibt man auf DC02 also NSLOOKUP DC01 ein, wird an DC01 zuerst DE.DOM.COM angehängt. Diese Anfrage geht an DC02, der ist für DE.DOM.COM zuständig, findet aber keinen A-Eintrag. Der nächste Versuch des Resolvers ist DC01.DOM.COM. Es wird derselbe DNS-Server gefragt, der ist für DOM.COM nicht zuständig, kennt aber durch die bedingte Weiterleitung den Weg dorthin, leitet weiter, bekommt eine positive ANtwort und liefert sie dem Resolver zurück. Mache ich das auf DC01 und gebe NSLOOKUP DC02 ein, wird nur DOM.COM angehängt und es wird der DNS-Server auf DC01 befragt. Dieser ist für DOM.COM zuständig, findet aber keinen A-Eintrag (DC02). Ein weiteres Anhängen von Suffixen wird nicht durchgeführt und deshalb auch nicht weiter gefragt. Wird jetzt allerdings eine benutzerdefinierte Suffixsuchliste auf DC01 definiert (oder auf dem Client, der DC01 abfragt), die DOM.COM und DE.DOM.COM lautet, schlägt die erste Anfrage mit dem Anhängen von DOM.COM (DC02.DOM.COM) wieder fehl, die zweite mit DE.DOM.COM aber nicht, da der DNS-Server auf DC01 durch die Delegierung weiss, wer für DE.DOM.COM zuständig ist. Dieser Server hat dann den passenden Eintrag und liefert ihn zurück ... Es wird also nur auf DC01 die benutzerdefinierte Suffixsuchliste erzeugt, auf DC02 bleibt die Suchliste auf Default.

Welche Suffixe hast Du denn eingestellt ?

Es liegt wahrscheinlich daran, dass die Auflösung unvollständiger Namen nicht richtig konfiguriert ist. Du kannst eine benutzerdefinierte Suffixsuchliste angeben ...

Die erweiterte Sicherheitskonfiguration kannst Du in der Systemsteuerung - Software deinstallieren, aber so wie Du es gemacht hast, funktioniert es natürlich auch ....

Eventuell die erweiterte Sicherheitskonfiguration des Internet Explorers aktiviert ?

Genau, geht nicht, nicht mit einem SBS ...

Besitz übernehmen ... :)

Ich würde es wahrscheinlich als erstes mit einer Dienstabhängigkeit probieren, so dass die Dinger später starten. Das mit dem Netlogon finde ich allerdings auch komisch. Läuft auf dem Server auch ein DNS mit AD-integrierter Zone und hat er sich selbst als DNS-Server eingetragen (dann müssten aber auch DNS-Fehler zu sehen sein) ? Oder vielleicht auch eine falsche Bindungsreihenfolge der NICs ?

IPSec-Clients benutzen UDP 500 (IKE) zum Verbindungsaufbau und abhängig davon, ob sie sich hinter einem NAT-Gerät befinden, danach i.d.R. auch UDP 4500 (NAT-Traversal). Ob an den Routern was konfiguriert werden muss, hängt vom Router ab. Haben sie Outgoing keine Beschränkungen, könnte das ohne weitere Konfiguration klappen. Bei einigen Routern funktionieren IPSec-Verbindungen gar nicht, bei anderen muss man konfigurieren. VPN-Clients werden auf Rechnern installiert und diese fügen sich oft sehr tief in den Stack ein, so dass der Benutzer, der es installiert, Administratorberechtigungen benötigt. Weiterhin arbeiten die meisten mir bekannten Clients mit speziellen Konfigurationsfiles, die dem VPN-Client zugefügt werden müssen. Ist also alles nicht so einfach, wie Du es Dir wahrscheinlich vorstellst ...

Versuch es mal mit REG.EXE ...