IThome

Nein, ist nicht schlimm ... :)

Der Nachrichtendienst ist per Default deaktiviert , deswegen die Meldung mit dem "Missing". "Remote Names" bezieht sich auf den WINS ... Für welche Karte zeigt er diesen Fehler an ? Kann auch für "Intern" vom RRAS sein, falls dieser konfiguriert ist ....

Abhängig davon, wieviele Rechner es noch werden, solltest Du Dir trotzdem Gedanken über die Anschaffung eines Serversystems (vielleicht ein Small Business Server) Gedanken machen. Eine Arbeitsgruppe mit vielen Clients ist sehr unkomfortabel zu verwalten ...

Bei beiden Karten die 192.168.1.1 als DNS-Server und KEINEN externen DNS eintragen. Der externe DNS-Server wird mit dem Internetassistenten gesetzt (er wird als Weiterleiter konfiguriert). Der SBS wird vom Assistenten als NAT-Router konfiguriert ...

1. Das macht man via DHCP, der auf dem Server eingerichtet wird 2. Remote Computernamen ändern (wozu auch immer) kann man z.B. via Remotedesktop 3. Einstellungen wie z.B. den Screensaver können sehr komfortabel mit Gruppenrichtlinien eingestellt werden

Nein, kann man nicht ... 5 Sitzungen (aber nicht bezogen auf eine einzelne Freigabe), nicht mehr ... Home ist ja auch für sehr kleine Homenetze gedacht und ist daher eingeschränkt ... Wieviele Rechner laufen da ?

Auf der mit dem Modem verbundenen Karte kannst Du alle Bindungen entfernen (auch Internetprotokoll), davon ausgehend, dass Du eine Breitbandverbindung via PPPoE erstellt hast. Auf der internen Karte wird als DNS-Server die interne Adresse eingetragen. Im DNS-Dienst unter Weiterleitungen wird die 194.25.2.129 als Weiterleiter eingetragen, danach neu starten ... Du kannst auch den Internetverbindungsassistenten bemühen, der dann den RRAS konfiguriert ... Die Frage ist, wie das Netzwerk konfiguriert sein soll ...

Benutze den virtuellen Adapter ...

Ich weiss immer noch nicht, was mit "Daten" gemeint ist ... HTTP ? Aber selbst wenn, dann kommt von Server 1 aus gesehen das Paket ja nicht vom Client, sondern vom Proxy ...

Fällt mir keine Lösung zu ein aber auch kein Anwendungsgebiet ...

Dann schildere doch mal das Konzept, ich denke nicht, dass irgendeiner hier sich ohne nähere Erläuterung vorstellen kann, was für einen Grund das haben soll ...

Nein, musst Du nicht, der IPSec-Tunnel ist nicht beschränkt. Du könntest im IPSec-Client bzw. im virtuellen Adapter (auf Required stellen in der Policy) den internen DNS-Server angeben und auf dem Client einen primären DNS-Suffix definieren (wenn er nicht Mitglied der Domäne ist). Benutze beim Domänenbeitritt den DNS-Domänennamen, nicht den NetBIOS-Namen ... Ich bin mir jetzt nicht ganz sicher, ob die Edge einen DNS-Server übermitteln kann (der dann auch auf der Box eingestellt werden muss). Dann muss aber der virtuelle Adapter im IPSec-Client benutzt werden ...

Was dann aber nicht die Windows-Firewall, sondern eine Basisfirewall (Paketfilter) ist ... Möglich (und auch sicherer) wäre die Einrichtung auf beiden Seiten mit 2 Netzwerkkarten und NAT/VPN ...

Ich würde es mit 2 Karten machen, RRAS als NAT und VPN-Server ... Mit Weiterleiten ist Portforwarding gemeint, was bedeutet, dass man den Router vom Internet aus mit der öffentlichen IP und auf einem bestimmten Port anspricht (z.B. UDP 500) und dieser leitet diese Anfrage an einen internen Host (private IP) und ebenfalls UDP 500 (kann aber auch ein anderer Port sein, Port-Redirection) weiter ...

Die Routen auf dem Server (im AD) gelten für den Server, nicht für den Client. Das nützt Dir also nicht viel ...

Nicht TCP 47, sondern IP-Protokoll 47 ;), wird auch manchmal VPN-Passthrough oder ähnlich genannt ... Welche Probleme gibt es mit der Basisfirewall bei Einrichtung via Assistent ? Oder meinst Du das grundsätzliche Problem des Assistenten bei Einrichtung eines VPNs mit nur einer Netzwerkkarte ?

Hm, das Problem ist bei gesetztem Haken ja, dass bei Verbindungsaufbau bei dem derzeitigen Default Gateway die Metrik um 1 erhöht wird und das neue Default Gateway die Metrik 1 bekommt. Im Moment wüsste ich nicht, wie man das vom Server aus ändern könnte (hab aber schon 2 Wochen Urlaub hinter mir, könnte auch an der Feierei liegen :D) ...

UDP 4500 und UDP 500 reichen, ESP ist nicht notwendig und macht auch keinen Sinn. Ausserdem ist das nicht L2TP (UDP 1701), sondern IPSec NAT-Traversal (NAT-Traversal, also Initialverbindung über UDP 500, Feststellen ob NAT oder nicht und dann den Rest über UDP 4500), was immer benutzt wird, wenn sich einer der Endpunkte hinter einem NAT-Gerät befindet. Und warum steht die Fritzbox noch VOR der Watchguard (was für eine Watchguard ist das überhaupt) ?

Hier geht es doch darum, dass es nicht manuell an jedem Client eingestellt werden soll. Eine Möglichkeit wäre, das CMAK zum Definieren der Clientverbindungseinstellungen zu benutzen. Ist zwar immer noch am Client, aber automatisiert ...

Ja, kein Hamachi, sondern RRAS mit Wählen bei Bedarf Verbindungen. Auf DCs würde ich sowas allerdings auch eigentlich nicht machen, sondern dedizierte Gateways dafür benutzen. Aber das ist sicher keine Option ...

Überprüfe mal (SECPOL.MSC oder eine Domänenrichtlinie), wer über das Benutzerrecht "Anmelden über Terminaldienste zulassen" verfügt und wer im Benutzerrecht "Anmelden über Terminaldienste verweigern" steht (ebenso lokal oder Domäne) ...

In der lokalen Richtlinie zu erstellen, bringt nicht viel, da in der Default Domain Controllers Policy die Benutzerrechte wieder überschrieben werden (das gilt für Lokal Anmelden zulassen). Das Benutzerrecht zum Anmelden über Terminaldienste wird dagegen in der loaklen Richtlinie des DCs definiert. Daher solltest Du Dir ein neues GPO erzeugen, alle notwendigen Einstellungen der Benutzerrechte vornehmen, in den Domain Controllers Container linken und höher als die Default Policy schieben. Dann ein GPUDATE und erneut probieren ...

Fang doch bei den Gruppenrichtlinien mal hier an, ist ne prima Seite ... Gruppenrichtlinien - Übersicht, FAQ und Tutorials Wenn Du Windows näher kennen lernen möchtest, besuche die Technetseiten. Da findest Du eine Menge ... Microsoft TechNet Home Page

Benutzerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Windows-Explorer - "Standardkontextmenüs aus Windows Explorer entfernen" ... Eventuell in der lokalen Richtlinie ...

Naja, Start - Ausführen - \\server\freigabe eingeben ... Überprüfe die Berechtigungen, ich denke, dass da der Fehler zu suchen ist ...