IThome

Entferne den Router aus der DNS-Konfiguration der Clients und des Servers !

Hm, ich kenne die Checkpoint nicht, kann ich mir ehrlich gesagt aber gar nicht vorstellen, dass die das nicht kann ...

NetBEUI ist nicht routingfähig, NetBIOS befindet sich auf einer anderen Schicht. Sicher funktioniert das (NetBIOS über TCP/IP). Probiere mal \\<IP-Adresse> , kommst Du dann auf die Rechner ? Mal davon ausgehend, dass es im Tunnel keine Beschränkungen gibt, kann das Problem von einer fehlerhaften Namensauflösung kommen. Wie sieht denn die DNS/WINS Konfiguration bei Dir aus ? Mit Namensauflösungsbroadcasts wirst Du da nicht weit kommen, mit der Netzwerkumgebung auch nicht. Könnte auch ein Problem einer aktivierten Windowsfirewall sein, die zwar die Datei- und Druckerfreigabe als Ausnahme definiert hat, per Default aber auf das eigene Subnetz beschränkt ist.

Die Gruppenrichtlinienkonsole kann man aus AD Benutzer und Computer starten. Du musst die Domain Controllers OU mit rechts anklicken - Eigenschaften - Gruppenrichtlinie. Benutzer und Domänenbenutzer haben unterschiedliche Gruppenscopes. Benutzer sind domänenlokal, Domänenbenutzer global. Du kannst die Konsole auch mit GPMC.MSC aufrufen, ein neues Gruppenrichtlinienobjekt erzeugen und es in die Domain Controllers OU linken. Dort kannst Du es auch nach oben schieben. Die Einstellungen findest Du unter Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - lokale Richtlinien - Zuweisen von Benutzerrechten ... Vielleicht solltest Du noch etwas Zeit in das Erlernen der Grundlagen investieren ... :)

Hast Du mal einen anderen Netzwerkkartentreiber installiert (älter oder neuer) ?

Kannst Du mit \\server\freigabe so zugreifen, wie Du willst ?

Hehe, auf die einfachsten Dinge kommt man in der Tat als Letztes. Ist mir zwar noch nie passiert, weil ich grundsätzliche keine Firewalls auf Servern laufen lasse, aber man soll ja nie nie sagen (irgendwann ist es vielleicjt mal so weit ;))

Sind die Zeiten dieser beiden Clients weit entfernt von der Serverzeit ? Prüfe auch mal mit NETDIAG (Support Tools), ob die DNS-Konfiguration auf dem DC in Ordnung ist. Haben die Clients den DC als bevorzugten DNS-Server eingetragen. Hat der DC sich auch selbst eingetragen ?

Ihm das Benutzerrecht "Lokale Anmeldung zulassen" auf dem DC (Richtlinie in der Domain Controllers OU) gewähren. Am besten eine neue Richtlinie erstellen, dieses Benutzerrecht dort konfigurieren (schau Dir die Einstellungen in der Default Domain Controllers Policy an und füge den Benutzer oder die entsprechende Gruppe zu) und schiebe die Richtlinie in der Priorität höher als die Default Policy ...

Naja, die harte Tour geht natürlich auch :D Aber egal, Hauptsache, das läuft jetzt :)

:suspect: Ich denke, Du hast RSOP.MSC ausgeführt und da ist nix konfiguriert ?

Ja, das ist klar. Wenn aber die VPN-Verbindung hergestellt wird, sollte Dein Gateway den internen DNS-Server übermitteln. Wie soll er sonst die Namen auflösen ? Und nur dann macht ja eine Suffixsuchliste auch erst Sinn, egal ob automatisch oder benutzerdefiniert ...

Gpedit.msc ...

Sagt NETDIAG noch Fehler oder funktioniert der Beitritt nicht, obwohl es keine Fehler mehr gibt ? IPCONFIG /ALL wäre hilfreich (wenn Du änderst, dann bitte sinngemäss) ...

Lokal auch nicht ?

Dann starte den DNS-Serverdienst einmal neu, danach NETDIAG /FIX und mit NETDIAG überprüfen, ob der DNS-Test passed ist. Die IP-Adresse des ersten DCs habe beide Server als einzigen DNS-Server eingetragen. Wo hast Du die Adresse der Firewall eingetragen ?

Du machst nichts falsch, Du musst rechtsklick auf Administrative Vorlagen - Ansicht - Filterung machen und den Haken bei "Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen" entfernen ...

Wieso fragst Du eigentlich, wenn Du das weisst ?

Der Dienst DHCP-Client registriert die Einträge beim DNS, auch wenn der Rechner eine statische Adresse hat. Er MUSS sich selbst eingetragen haben, sonst wird das nichts. Die Firewall kannst Du als Weiterleitung eintragen ...

Freigabe und NTFS-Berechtigungen ?

Die FIX-Option trägt die SRV-Resource Records ein, die sich in der Datei NETLOGON.DNS befinden. Den gleichen Effekt erzielt man, wenn man den Anmeldedienst neu startet. Wenn NETDIAG aus den Support Tools SP1 keine Fehler anzeigt, dann sind da normalerweise auch keine (zumindestens keine DNS-Fehler mehr). Laut Deinem NETDIAG sind alle Einträge vorhanden, so dass ein /FIX sehr wahrscheinlich keine Verbesserungen bringen wird. Was für Netzwerkkarten sind verbaut ?

"Schwer" ist relativ, sie ist zeitlich aber sehr knapp bemessen ...

Hat der DC sich selbst als DNS-Server eingetragen ? Ist die Zone dynamisch aktualisierbar ? Hat der DC einen primären DNS-Suffix, der dem Zonennamen entspricht ? Existiert überhaupt eine geeignete primäre Zone ? Läuft der DNS-Serverdienst ? Läuft der Dienst DHCP-Client ? Ist der Domänenname in der Art Bla.Blub oder nur Bla ? Führe mal NETDIAG /FIX durch und danach noch mal NETDIAG. Ändert sich nichts, poste mal IPCONFIG /ALL des DCs ...

Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen - "Interaktive Anmeldung: Nachricht für Benutzer ..." und "Interaktive Anmeldung: Nachrichtentitel für Benutzer ..."

Netdiag ?