IThome

GPRESULT auf dem Notebook ist unwichtig, da es sich um Domänenkonten handelt. Auf dem DC wäre es interessanter. Da die Kontensperrungen auf den Desktop-PCs aber funktionieren, wird die Richtlinie aller Wahrscheinlichkeit auf den DCs für die Domänenkonten nach angewendet. Es geht hier doch um Domänenkonten und nicht um lokal angelegte Konten ? Und selbst wenn, die Default Domain Policy wird angewendet, also sollten dessen Einstellungen auf die lokalen Konten wirken. Poste mal bitte alle Einstellungen, die Du in der Default Policy eingestellt hast ...

CMD.EXE :suspect: und dann den Befehl ?!

Bist Du ganz sicher, dass Du bei beiden NAT-Schnittstellen bei eingehenden und ausgehenden Filtern keine Filter definiert hast ? Ist da noch eine andere Softwarefirewall auf dem Server installiert ? Wie ist der Server konfiguriert ? Eine Netzwerkkarte, an der auch das Modem angeschlossen ist, mit dem eine Wählen bei Bedarf Verbindung erzeugt wird ? Poste doch einfach mal IPCONFIG /ALL des Servers bei bestehender Verbindung ...

Es muss nur TCP weitergeleitet werden ? Hast Du im IE passives FTP eingeschaltet ?

Du gibst die Ports nicht frei , sondern Du leitest sie nach innen, da der Server NAT macht. Schildere mal Deine Umgebung, ob Zugangsrouter oder nicht, wie der Server konfiguriert hat, wieviele Netzwerkkarten er hat oder ob das Modem direkt dran hängt usw. ... Eventuell kann man was mit Reservierungen und Paketfiltern machen ...

Auf Domänenebene ist ja schon okay, obwohl es besser wäre, eine eigene Kennwortrichtlinie dort zu erzeugen und über die Default-Richtlinie zu schieben. Gibt es Meldungen in der Ereignisanzeige der Clients bzw. des Servers ? Grundsätzlich wird sie ja offensichtlich angewendet, sonst würde es bei den Desktop-PCs ja nicht funktionieren (also wird die Richtlinie auf die darunter liegende Domain Controllers OU angewendet) ...

Die Reihenfolge der Anwendung von niedriger zu hoher Priorität: Lokale Richtlinie Standortrichtlinie Domänenrichtlinie OU-Richtlinie (je näher am Objekt, desto höher die Priorität) Richtlinien wirken nicht auf Gruppen, sondern auf Computer- und Benutzerobjekte. Wird in der Computer- bzw. Benutzerkonfiguration konfiguriert, muss sich ein solches Objekt im Wirkungsbereich der Richtlinie befinden (Ausnahme Loopbackkonfiguration)

Funktioniert denn gar keine FTP Verbindung mehr oder nur die zum Server des Chefs nicht ? Oder habe ich das falsch verstanden und der FTP-Server befindet sich auf dem SBS und der Chef greift von zu Hause darauf zu ?!

Habe das auch mit 39 gemacht, dat klappt ... :D

Ports sind auch vorhanden ?

Du lässt den FTP-Server auf dem 2003er laufen und andere sollen darauf zugreifen ? Wenn es so ist und aktives FTP benutzt wird , verbindet sich der Internetclient mit dem Port TCP 21 des Servers, der Server danach mit seinem Port TCP 20 zu einem hohen Port des Clients. Verbindet sich der Client passiv, verbindet er sich zuerst mit Port TCP 21 des Servers, bekommt dann den weiteren Port übermittelt, mit dem er sich dann verbinden soll. Es gehen also beide Verbindungen vom Client aus, der Server ist also passiv und verbindet sich nicht aktiv mit dem Client (von Port TCP 20 aus). Portumleitungen kannst Du im RRAS in den Eigenschaften der externen NAT-Schnittstelle unter Dienste und Ports einstellen ...

Gibt es im RRAS eventuell gesetzte Filter ?

Und für welche Konten soll die Richtlinie gelten, für Domänenkonten oder lokale Konten ? Wo hast Du die Richtlinie definiert ?

Du kannst via Policy z.B. NTFS-Berechtigungen setzen. Allerdings solltest Du sowas gründlich testen, da sehr merkwürdige Probleme auftreten können, wenn Du die Standardberechtigungen der Root oder des Windows-Verzeichnisses änderst.

Bei solchen Fällen deaktiviere ich RRAS, starte den Server neu und versuche es noch einmal (ist manchmal komisch, der RRAS). Hat der Server 2 Netzwerkkarten ?

Ich würde an Stelle der Edge aber doch eher zu einer Core greifen (auch wenn sie deutlich teurer ist) ... Die Edge WLAN unterstützt kein RADIUS, ich würde da lieber einen extra Accesspoint wählen. Hinter dem Virenschutz der Edge steht imho Clam AV ... Mit dem Auswählen der Benutzer aus dem Active Directory bin ich mir nicht ganz sicher, glaube aber, dass das nur mit ner Core geht (Authentifizierung via XAUTH), da kann ich am Montag aber noch mal nachsehen. Ich lege auf den Edges, die in der Regel in kleineren Zweigstellen stehen und sich mit Cores in der Hauptstelle verbinden, die Benutzer auf der Box an (für jeden Benutzer einen anderen PSK). Bei den meisten mir bekannten Firewall/VPN Appliances wird ein spezieller IPSec-Client benutzt, bei einer Watchguard habe ich noch keine IPSec-Verbindung ohne diesen Client (Safenet) hinbekommen ...

Hm, wir setzen diese Dinger fast ausschliesslich ein, eigentlich ohne nennenswerte Probleme. Sniffe den Vorgang doch einfach mal ...

Ich denke schon, sie würden den Teil des Trennens durch die beiden OUs ersetzen ...

Den globalen Katalogserver stellt man in Active Directory Standorte und Dienste ein. Also den Haken (Eigenschaften NTDS-Settings unterhalb des jeweiligen Servers) beim 2000er entfernen und beim 2003er setzen, Replikation und entsprechende Meldung in der Ereignisanzeige des 2003ers abwarten (dass er jetzt Globaler Katalog ist) ...

Ich würde den R2 in die SBS-Domäne integrieren, dann musst Du keinen Rollentausch machen (der SBS muss alle FSMOs haben). Als zweiter DNS und GC kann er auch arbeiten, allerdings nicht als 2. DHCP, da sonst der DHCP-Dienst des SBS beendet wird. Als DHCP-Server kannste ihn natürlich laufen lassen, den SBS dann aber nicht. Die Anwendungen (Exchange,SQL) kannst Du aber nicht vom SBS nehmen, es sei denn, Du hast einzelne Versionen davon ... Andere Anwendungen natürlich schon (Webserver, Sage oder was weiss ich) ...

Du kannst ein Tool benutzen, welches die Ports testet (eigentlich sollte aber alles erreichbar sein, sofern auf dem Server die Windows-Firewall nicht läuft) ... http://www.mcseboard.de/post7-668580.html

Hat der Client den DNS-Server der Domäne als primären DNS-Server eingetragen ? Das ist ein BOVPN zwischen zwei Watchguards ?

Gibt auch ein paar gute Seiten, um sich in das Thema einzulesen. Für Gruppenrichtlinien z.B.: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Für DHCP: http://www.microsoft.com/germany/technet/datenbank/articles/600823.mspx Generell findest Du auf den Technetseiten sehr viele Informationen zu allen möglichen Windows Diensten ...

Das ist nicht komisch, das gehört so :). Den virtuellen Adapter solltest Du bei Domänenzugehörigkeit benutzen ...

Notebooks in eine OU, Desktop-PCs in eine andere. Dann die Richtlinie "Umgeleitete Dateien nicht automatisch offline verfügbar machen" in der Benutzerkonfiguration und die Loopbackverarbeitung in der Computerkonfiguration in der Desktop-PC OU aktivieren ... Eventuell auch zusätzlich noch die Konfiguration der Offlinedateien auf den Desktop-PCs für die Benutzer entfernen, sofern gewünscht ...