IThome

So wie es laut Datenblatt aussieht hat der intern einen 8-Port Switch und keine Möglichkeit für VLANS. Du musst mal in die Webconsole und dort bei der LAN-Schnittstelle (dort wo 192.168.0.x konfiguriert ist) schauen, ob dort eine 2. IP-Adresse konfigurierbar ist. Das bedeutet aber NICHT, dass die Netzwerke getrennt sind, sie sind nur logisch getrennt . Die sekundäre Adresse wäre aus dem Bereich 192.168.1.0/24 und das Default Gateway für das neue Netzwerk ...

Wobei das ja keinen Gesamtüberblick bietet ...

Group Policy Management Console ?!

Die beiden Netze ins Internet bringen ist nicht sonderlich schwer. Dazu müsste der Router nur eine sekundäre, interne IP-Adresse bekommen. Das ist aber keine physikalische Trennung der beiden Netze, da sie sich im selben Strang befinden. Für die physikalische Trennung also entweder das von Dr. Melzer vorgeschlagene VLAN oder einen Router mit mindestens 3 voneinander getrennten Schnittstellen (2 intern, 1 extern) ...

Wenn die User lokale Administratoren auf den Notebooks sind, können die Benutzer jede Sicherheitsstrategie unterwandern. Sinnvoll wäre, dass auf den Clients ein Virenschutzprogramm läuft, dass für den Benutzer nicht abschaltbar und auch zentral verwaltbar ist. Wenn sie einen VPN-Zugang in das interne Netzwerk bekommen, wäre ein strikter Tunnel von Vorteil (dass also sämtlicher Verkehr, auch der Internetverkehr, durch den Tunnel läuft). Weiterhin gibt es ausser den Standardkonten keine weiteren Konten auf dem Notebook und die sind natürlich passwortgeschützt. Also meldet man sich immer (gecached) an dem Firmennotebook mit Domänencredentials an. Erzwungenermassen kann auf dem Notebook durch Domänenrichtlinien die Firewall vorkonfiguriert durch Gruppenrichtlinien anschalten lassen, wenn der Rechner sich nicht in der Domäne befindet (also wenn ein anderer Verbindungssuffix bzw. eine andere IP-Range als in der Domäne gültig ist).

Cool, es gibt also nicht nur geheime Powerfunktionen, sondern auch geheime Updates :D

Hast Du mal das Benutzerprofil gelöscht und eine neues erstellen lassen ?

Das Modem verteilt keine Adressen und daher diese Meldung (kannst Du im Grunde ignorieren, wenn die Breitbandverbindung via "Wählen" funktioniert). Du kannst der Karte entweder irgendeine IP-Adresse geben oder Du kannst sämtliche Bindungen dieser Karte deaktivieren. Allerdings funktioniert dann das Mediasensing nicht mehr, da es nur mit gebundenem TCP/IP funktioniert (der Rechner erkennt nicht mehr, ob eine Kabelverbindung besteht oder nicht) ... Ich gehe mal davon aus, dass Du die DSL-Verbindung mit Windows-Boardmitteln herstellst ?!

Was musst Du denn auf dem Router konfigurieren, wenn Du den XP-Client benutzt (VPN-Passthrough ?) ? Obwohl ich nicht glaube, dass Du den XP-VPN-Client mit dem VPN-5 benutzen kannst. Wenn Du sowas konfigurieren musst, dann musst Du das auch für jeden anderen VPN-Client machen. Ich persönlich kenne auch keinen kostenlosen VPN-Client, aber ist bei dem VPN-5 kein Client dabei (Softremote oder sowas) ?

Genau, so kann Dir hier keiner helfen. Also eine vernünftige Fehlerbeschreibung und weitere Angaben, wie schon gepostet ...

Mit nicht sichtbar meine ich in der Netzwerkumgebung (also via Browsing). Sie sollten natürlich schon via Namen ansprechbar sein (\\<Name>). Eine weitere Möglichkeit der Namensauflösung bei Mitgliedschaft in der Domäne ist das Konfigurieren der LMHOSTS-Datei, wobei WINS zu bevorzugen ist. Domain Browsing with TCP/IP and LMHOSTS Files Was ich mich allerdings frage ist, warum dieser träge, im Grunde nicht sehr zuverlässige und bandbreitenverschwendende Dienst unbedingt genutzt werden soll ...

Was bedeutet denn ? Wo steht es denn mit dem anderen Fuss :suspect: ? Wo ist die Route erzeugt worden ? Wer hat wen als Default Gateway ? Hat der Server jetzt 3 Karten ?

edit: alles zurück, Bindungsreihenfolge ist in diesem Fall nicht relevant, eventuell nur, wenn alle Karten ein Default Gateway haben ... Wieso sind alle statischen Routen weg, wenn der Server neu bootet ? Dafür ist doch der Parameter -P ...

Was steht denn im Warteschlangenordner ? Sind da noch Druckaufträge zu sehen (welcher das ist, kannst Du im Druckerordner - Datei - Servereigenschaften - Erweiterte Optionen sehen) ? Mit dem Kyocera Deleter (ein Tool von Kyocera) kann man auch Drucker entfernen, allerdings solltest Du vorher sichern ...

Allenfalls mit dem Gastkonto kannst Du sowas machen, wobei dann die Gruppe Jeder oder Gäste zum Tragen kommt. Allerdings ist das nicht besonders sicher ...

Der Administrator darf per Default nicht auf die servergespeicherten Profile der Benutzer zugreifen. Hierfür ist es notwendig, dass eine Gruppenrichtlinie auf die Computer der Anwender angewendet wird, BEVOR der Profilordner vom Client auf dem Server erzeugt wird. Wenn Du mit dem Admin den Besitz übernimmst, schlägt das Laden des Profils fehl, da der Client den Besitz der Ordner prüft (das lässt sich auch via Richtlinie abschalten). Die Richtlinie findest Du unter Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen" und "Eigentümer von servergespeicherten Profilen nicht prüfen". Eine Empfehlung für die Berechtigungen von Serverprofilen findest Du in dem folgenden Link ... Microsoft Corporation Generelle Richtlinien für serverbasierte Profile findest Du hier ... Microsoft Corporation

Wenn der VPN-Client einen virtuellen Adapter zur Verfügung stellt, benutze den (wenn die VPN-Policy sowas zulässt). Ob das allerdings mit ICS funktioniert ist doch sehr zu bezweifeln. Aber mal ganz davon ab, der mobile Client ist nicht für LAN-LAN Kopplungen gedacht und der Administrator der Firma ist wahrscheinlich auch nicht sehr erfreut darüber, dass Du ein Mobile User VPN zweckentfremdest. Weiss der Admin das ? Wenn nicht, frag ihn lieber, bevor es Stress gibt :)

Wenn das eine Domäne ist und die Rechner alle Mitglied dieser Domäne sind, dann mit WINS. Browsing über Subnetzgrenzen hinweg wird in Arbeitsgruppen nicht unterstützt ... Sind die Rechner nur nicht sichtbar oder auch nicht erreichbar ?

Hm, richtig ausführlich, die Fehlerbeschreibung :D ... Poste mal die Ausgabe von IPCONFIG /ALL des betreffenden Rechners ...

Eigentlich schon mit CONTROL USERPASSWORDS2 ...

Im Netzwerk- und Freigabecenter auf "Netzwerkverbindungen verwalten". Dort auf Datei - Neue eingehende Verbindungen. Da wählst Du den Benutzer aus und in den Eigenschaften des Internetprotokolls die Adressierung. Jetzt muss auf dem Router noch eine Weiterleitung von TCP 1723 und IP-Protokoll 47 (GRE, das kann auch VPN-Passthrough oder ähnlich heissen) auf die interne Netzwerkkarte des Vista-Rechners konfigurieren. Ausserdem noch Dyndns aktivieren, damit Du die dynamische, offizielle Adresse von aussen via Namen ansprechen kannst. Probiere die Verbindung erstmal intern aus, dann ist die eventuelle Fehlersuche einfacher ...

Das ist nicht nur der Reiter Sicherheit, der den Unterschied macht. Einfache Dateifreigabe heisst ForceGuest, was bedeutet, dass jeder, der sich verbindet, als Gast authentifiziert wird. Man kann nicht mehr unterscheiden, wer worauf zugreifen darf (sind ja alles Gäste), von der fehlenden Sicherheit muss man gar nicht reden ... :)

Jeder kann es ja so machen, wie er will. Das eine funktioniert besser, das andere schlechter, aber es funktioniert beides ...

Welche einfache Dateifreigabe ? Die gibt es erst seit XP ... Du nimmst Dir nicht nur die Möglichkeit der zentralen Userverwaltung, sondern auch die der zentralen Konfigurationsverwaltung (Gruppenrichtlinien). Auch wenn es nur 6 Clients sind, die Vorteile überwiegen deutlich. Du musst auch nicht alle Konten oder alle Kennwörter gleich setzen. Du legst für jeden Benutzer einen User an mit einem den anderen unbekannten Kennwort. Auf jedem Rechner, an dem sich dieser User anmelden soll, legst Du das Konto mit gleichem Namen und Kennwort an. Auf dem Server vergibst Du dann für die entsprechenden Benutzer die Berechtigungen (Gruppen kannst Du auch benutzen) ...

Besser is´ ... Das sehen manche Administratoren gar nicht gern und unter Umständen ist schon der Versuch "strafbar" ...