IThome

Freigabeberechtigungen gelten nur, wenn man über eine Freigabe (in der Regel vom Netzwerk aus) zugreift. NTFS-Berechtigungen gelten immer, egal ob man vom Netzwerk kommt oder nicht, da es sich auf das Dateisystem bezieht. NTFS-Berechtigungen sind wesentlich weniger feiner einstellbar als Freigabeberechtigungen. Ist beides definiert und kommt man vom Netzwerk, gilt die am meisten einschränkende Berechtigung als effektive Berechtigung ...

Der Inetorgpersonfix wurde schon durchgeführt ?

Siehste, der Router ;)

Ich denke, dass der Fehler nicht am Server zu suchen ist, sondern entweder auf der Clientseite (der Router dort oder eine Clientfirewall) oder auf dem SMC-Router. Ich würde nachschauen, was in den Logs der Router steht ...

Eine Authentifizierung vor dem eigentlichen Zugriff über ein bestimmtes Protokoll gibt es auch bei Watchguard, allerdings nicht für 400 Euro ...

Das sieht ja schon mal okay aus. Wenn also interne VPN-Verbindungen funktionieren, funktioniert der Server. Im Internet surfen sollte der Server auch können (sofern der DNS-Server des Servers richtig eingerichtet ist). Die Notebooks sollten auch den Server als primären DNS-Server eintragen (besonders im Falle eines Active Directorys), was jetzt aber nichts mit dem Fehler zu tun hat. Meiner Meinung ist es der Router bzw. dessen Konfiguration, die einen Verbindungsaufbau verhindert. Entweder hat er eine feste, öffentliche IP und der VPN-Client gibt diese Adresse als Ziel an oder er hat eine dynamische, öffentliche Adresse, es wird DynDNS benutzt und der VPN-Client benutzt den DynDNS-Namen als Ziel. In beiden Fällen muss vom Router eine Weiterleitung konfiguriert werden. Er muss TCP 1723 und GRE (IP-Protokoll 47) zum Server leiten oder für GRE so etwas wie VPN-Passthrough ermöglichen. Alternativ kann ohne spezielle Portweiterleitung gearbeitet werden und der Server wird als DMZ-Host eingetragen, wobei alle an die externe Adresse des Routers adressierten Pakete (initial) zum Server geleitet werden (ist sicherheitstechnisch ohne weitere Schutzmassnahmen auf dem Server nicht zu empfehlen) ...

IPCONFIG /ALL > IPCONFIG.TXT ROUTE PRINT > ROUTE.TXT Den Inhalt aus den TXT-Dateien posten (Copy and Paste) ...

IPCONFIG /ALL und ROUTE PRINT vom Server und einem Notebook bitte ...

Was ich nicht verstehe, dass die Notebooks kein Gateway haben und trotzdem über den Router ins Internet kommen. Das mit dem DMZ-Host war nur zum Testen und das solltest Du aus Sicherheitsgründen so nicht lassen. Wie sprichst Du vom VPN-Client aus den VPN-Server an ?

Ist auf dem ISA auch der DNS- bzw. WINS-Dienst installiert ?

Wie gehen denn die Notebooks ins Internet, über einen Proxy-Server ? Hast Du mehrere Router ? Trage auf dem Server mal das Gateway (IP-Adresse des Routers) ein und versuche dann nochmal den Zugriff von aussen. Erst wenn das nicht klappt, den Virtual DMZ-Host ... Poste mal IPCONFIG /ALL und ROUTE PRINT eines Notebooks ...

Generell nicht, wenn aber in der OU des Terminalservers kein Benutzerobjekt vorhanden ist, Du dort ein GPO linkst, in dem Benutzereinstellungen konfiguriert sind, dann muss die Loopbackkonfiguration aktiv sein ... Loopback wird benutzt, wenn gewisse Einstellungen für Benutzer gelten sollen, die sich an einem bestimmten Computer anmelden ...

Warum hat der Server kein Standardgateway, der Router steht doch noch davor ? Hast Du mal die DMZ-Host Konfiguration getestet ?

Ich setze eigentlich beides ein, bevorzugt aber die Ordnerumleitung, da ich gerne mit Gruppenrichtlinien arbeite und viele Anwendungen per Default die Eigenen Dateien benutzen. Wenn beides vorhanden ist, leite ich die Eigenen Dateien in die Basisordner um ...

Eigene Dateien wie auch Basisordner sollten einem User gehören und nicht mehreren. Speziell bei den Eigenen Dateien, wenn sie von mehreren Benutzer benutzbar wären, könnte es beim Probleme beim Offline verfügbar machen geben. Basisordner waren mal dafür gedacht, dass User einen Bereich für nicht öffentliche Dateien haben und als Standardpfad für Anwendungen, die keine weiteren Pfade vorgeben (die Kommandozeile z.B.). Meiner Meinung nach gehören Dateien, die auch andere benutzen sollen, weder in Basisordner, noch in Eigene Dateien. Für sie sollte eine vernünftige Struktur mit entsprechenden Berechtigungen erzeugt und benutzt werden ...

Ich würde eher den Router DHCP abschalten und den des Servers benutzen. Du kannst auch mal versuchen, den Server als DMZ-Host oder wie auch immer das bei dem Barricade heisst, zu definieren (nur zum Test). Ich kenne Router, die laut Hersteller das Durchleiten von GRE beherrschen sollen, es aber doch nicht tun. Bei den meisten Modellen klappte es, wenn alle Pakete zur Schnittstelle des internen Rechners geleitet werden ...

Das ist nur die "modernere" Art, ein verbindliches Profil zur Verfügung zu stellen und es ist auch durch die Anwendung via Gruppenrichtlinie flexibler einsetzbar. Es gilt aber auch erst ab Windows XP , wogegen die andere Art für alle NT-basierten Systeme gilt ...

Wenn im Computerteil konfiguriert wird, wird für Computerobjekte angewendet. Hier gilt Loopback, was bedeutet, dass Einstellungen in der Benutzerkonfiguration für Benutzer gelten, die sich an dem Loopback konfiguriertem Rechner anmelden. Entzieht man einem Benutzer die Berechtigung Lesen und Gruppenrichtlinie übernehmen, gelten die Einstellungen für diesen User an diesem Computer nicht (wohlgemerkt die Einstellung in der Benutzerkonfiguration). Deine Vermutung ist daher falsch, was Du in der Testumgebung aber auch selbst sehen wirst ...

Gastzugriff und anonymer Zugriff sind unterschiedliche Dinge. Der Gastzugriff benutzt das Gastkonto zur Authentifizierung, der anonyme Zugriff benutzt eine NULL-Sitzung. Mit dem Gastzugriff (also mit aktiviertem Gastkonto) könnte man einen Zugriff ohne Eingabe eines Kennwortes ermöglichen, mit einer anonymen Anmeldung habe ich bisher noch keinerlei Erfahrung gemacht (ausgenommen ein Zugriff auf eine zentralisierte LMHOSTS-Datei, was ich mal ausprobiert habe). Naja, beides ist, was die Sicherheit angeht, nicht gerade zu empfehlen ...

Loopback hast Du ja in diesem GPO gesetzt, wo sind die Benutzereinstellungen gesetzt, ebenfalls in diesem GPO ? Gewähre testweise mal der Gruppe "Authentifizierte Benutzer" die Berechtigung Lesen und Gruppenrichtlinie übernehmen ...

Virtual PC und 2 * 200x Server + 2 * XP , das geht auch :) ...

NAT auf Router 2 wäre aber einfacher, da auf Router 1 keine Route gesetzt werden muss ;)

XP-Home ?

Router 2 macht auch NAT und hat einen Deny-Paketfilter für alle Adressen des 1. Netzes ausschliesslich der internen Routeradresse von Router 1. Router 2 hat Router 1 als Default Gateway. So musst Du auf Router 1 keine Route in Netz 2 setzen und von Netz 1 kommt man auch nicht auf Netz 2 (wegen NAT auf Router 2). Der Zugriff von Netz 2 auf Netz 1 ist durch den Paketfilter verboten. Soweit die Theorie :D

Hm, ich wüsste nicht. Man kann für bestimmte Benutzer Einschränkungen anwenden, wenn sie sich an bestimmten Computern anmelden (Loopback), aber nicht, wenn etwas in der Computerkonfiguration für einen bestimmten Computer eingestellt ist ... Das mit Deinem Beispiel siehst Du IMHO falsch, ausser wenn man sowas in der Benutzerkonfiguration einstellt ...