IThome

Läuft auf dem Server der RRAS (eventuell mit Filtern) ? Ist die Firewall wirklich deaktiviert bzw. eine Ausnahme definiert worden ? Laufen die Dienste ? Funktioniert es, wenn gar keine Firewall zwischen Client und Server ist ? Ist der Port für RDP mal umgebogen worden ? How can I add a new RDP listening port to Windows 2000/2003 Terminal Server?

Du meldest Dich an der Workstation also mit einem User an, der genau so auf dem Server angelegt ist und auf beiden Seiten auch das gleiche Kennwort hat. Wenn Du dann mit \\Server auf den Server zugreifst, kommt eine Passwortabfrage ?

Naja, dieses Tool konfiguriert Netzwerkfreigaben und verbindet sich mit diesen. Das geht natürlich auch manuell (lokales Laufwerk freigeben und dann mappen), schön ist das allerdings nicht ...

Existiert in der Terminaldienstekonfiguration ein RDP-TCP Objekt ? Läuft der Dienst "Terminaldienste" ?

Mit Citrix kann man das machen, auf einem 2000er Server ...

Achso, Du willst die Daddel-PCs von den Firmen PCs trennen, aber trotzdem sollen alle ins Internet ? Wenn nicht, dann beschreibe mal genau, was Du mit den beiden Routern vor hast ...

Und was willst Du dann mit 2 Routern ? 1 Router und 1 Switch würden doch reichen (100m können die beiden auseinander sein) ... So können alle ins Internet und gegenseitig abknallen könnt Ihr Euch auch :D

Klappt das auch nicht mit installiertem User Profile Hive Cleanup Service ? http://www.microsoft.com/downloads/details.aspx?FamilyId=1B286E6D-8912-4E18-B570-42470E2F3582&displaylang=en Ich kenne dieses "Problem" aber auch, einfaches Abmelden genügt oft nicht ...

Wozu 2 Router ? Welches Signal soll stärker oder schwächer sein, WLAN ? Was hast Du denn eigentlich vor ? Sicher kann man 2 Router in einem Subnetz betreiben, kommt nur darauf an, was man damit machen will ...

Sind das immer die gleichen Konten oder ist das egal, mit welchem Konto Du Dich an den Notebooks anmeldest ? Ist das AD fehlerfrei (DCDIAG Test auf den DCs z.B.) ?

Ja, aktives FTP TCP 21 zur Initialverbindung, TCP Port 20 muss von innen nach aussen erlaubt sein. Bei passivem FTP werden Kontroll- und Datenverbindung von aussen erzeugt, also TCP 21 und die zur Datenverbindung erlaubten Ports ... Du musst die Ports vom Zyxel auf die externe Schnittstelle des Servers leiten und dann auf dem Server weiter von der externen auf die interne Schnittstelle (wenn vom Internet aus auf den Server zugegriffen werden soll, der selbst als NAT-Router arbeitet und selbst hinter einem NAT-Router steht) ...

Bedeutet das, das der Server mit einem Router verbunden ist (da er selbst nichts aufbaut ) ? Poste bitte mal IPCONFIG /ALL des Servers. Kannst Du eine passive Verbindung mit einem FTP Client zu einem Server im Internet aufbauen ?

Welche Client Firewall setzt Du ein ?

Haben die noch den alten Server als bevorzugten DNS-Server eingetragen (eventuell wegen einer DHCP-Option) ? Verweisen Einträge im DNS und/oder WINS eventuell noch auf den alten Server ?

Hm, bin heute wohl schwer von Begriff, weiss immer noch nicht, was nicht funktioniert :D Kann er sich anmelden und danach nicht mehr ? Muss das Konto dann entsperrt werden ? Wird er bei Eingabe eines falschen Kennwortes gesperrt (nach dem ersten Mal) und auf dem Desktop PC erst nach dem dritten Mal Falscheingabe ? Passiert das nicht immer ?

Ich denke, dass bei Aufbau einer Wählverbindung das Standardgateway des Servers auf die Adresse der Wählverbindung zeigt und es daher ein Routingproblem gibt. Du müsstest also in der Wählverbindung den Haken "Standardgateway für das Remotenetzwerk verwenden" entfernen ...

Du meinst die Adresse der Schnittstelle "Intern" des RRAS ? Schau mal hier ... Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS

Ich verstehe jetzt nicht, was Du meinst. Was geht denn nicht ? Das Sperren oder das Anmelden ? Oder meinst Du, dass der Benutzer sich an einem Notebook einmal (erfolgreich) anmeldet und dieser Benutzer dann im Active Directory gesperrt ist und sich demzufolge nicht wieder anmelden kann ? Ist das bei jedem Benutzer so ?

In dem Du in einer Gruppenrichtlinie eine neue Softwareeinschränkungsrichtlinie erstellst, in der Du die MSIMN.EXE als Pfadregel nicht erlaubst. Unter Erzwingen definierst Du, dass es nur für Benutzer, nicht aber für Administratoren gilt. Diese Einstellungen findest Du unter Computerkonfiguration - Windows-Einstellungen - SIcherheitseinstellungen - Richtlinien für Softwareeinschränkungen ... Teste aber vor dem Anwenden an alle an einem oder zwei Rechnern, ob alles funktioniert ...

Was ging wieder nicht ? Beim Anmelden falsches Kennwort eingegeben und er wurde sofort gesperrt ? Am Desktop PC hast Du den gleichen Benutzer genommen und da muss er mehrmals ein falsches Kennwort eingeben und wird dann erst gesperrt ?

Ja, wie schon gesagt, die Default Domain Policy (in der Du eingestellt hast) wird angewendet. Mit welchen Konten meldest Du Dich an den Notebooks an (Domäne oder lokal) ? Steht etwas in der Ereignisanzeige der Clients (eventuell Anmeldung via Cached Credentials) ?

Ich würde es mit einer Softwareeinschränkungsrichtlinie nur für Benutzer probieren ...

Von wo aus verbindest Du Dich via Remotedesktop, von intern oder von extern (via VPN z.B.) ?

Eventuell Softwareeinschränkungsrichtlinie ... Aber vielleicht erstmal, wie schon von Gadget geschrieben, beschreiben, was Du genau vor hast ...

Filter gesetzt (z.B. alle Pakete annehmen ausser ...) ?