IThome

Wie das bei Zyxel ist, weiss ich jetzt nicht. Bei anderen Gateways wird ein Mobiler User eingetragen, in dem meistens aggressive Mode konfiguriert wird (der Client kommt also mit irgendeiner Adresse), auf welchen internen Bereich zugegriffen werden darf, die entsprechenden Proposals für die Phasen, die IDs usw. . Im Software-Client wird Gateway, Remote-ID, lokale ID, der Bereich für den Zugriff (0.0.0.0 wäre dann ein strikter Tunnel) usw. eingetragen. Sicher kann man im Client jedes Mal nur das Gateway ändern (die ID des Remotegateways bleibt ja gleich und muss ja auch nicht die IP-Adresse sein), allerdings finde das auch etwas daneben, da man die Policy noch nicht mal schützen kann ...

Du kannst Dich auch mit dem UPN anmelden, das sollte immer klappen ...

Als Benutzer wird bei mir auch kein Konto angezeigt, ich muss eins eingeben (Notebook ist Mitglied einer Domäne). Als Administrator-equivalentes Konto angemeldet muss nur bestätigt werden. Dieses Verhalten wird in der Sicherheitsrichtlinie unter Benutzerkontensteuerung eingestellt ... Wenn Du es mit dem Standard-Administrator versuchst, steht als Antwort ja auch, dass das Konto deaktiviert ist. Du kannst dieses Konto natürlich auch aktivieren und ihm ein Kennwort geben. RUNAS hat unter Vista eine andere Funktion als unter den vorherigen Systemen. Es hebt die Privilegien nicht mehr an ...

Der interne Server hostet also nur die interne Zone (die wie heisst?) und der externe Server nur die externe Zone ? Beschreibe doch mal, wer welche Zone hostet (wenn Du die Namen nicht preisgeben willst, dann sinngemäss). Welchen oder welche DNS-Server haben die Clients eingetragen, welchen oder welche der DC ?

Ich kenne Updateprobleme in Verbindung mit Firewalls (auch Windows Firewall) , wie sieht es da aus ?

Ich schreibe jetzt einfach, wie es normalerweise klappt. Ich habe noch nie solche Probleme mit Roaming Profiles gehabt. Wenn es welche gab, dann gab es Fehlermeldungen entweder beim Anmelden und/oder in der Ereignisanzeige ... 1. leeren Profilordner auf dem Server anlegen und freigeben (z.B. d:\profile freigegeben als profile$). Berechtigungen wie in folgendem Artikel Security Recommendations for Roaming User Profiles Shared Folders 2. Zwischenspeicherung der Freigabe abschalten 3. User im Active Directory erstellen (auf den Clients existieren keine User ausser Standard) 4. In den Eigenschaften des AD-Benutzers unter Profil \\server\profile$\%username% eintragen 5. Mit diesem User anmelden (u.U. mehrfach) und abmelden 6. Profilordner wird unter d:\profile erzeugt und gefüllt. Berechtigungen werden automatisch vom Client gesetzt. Administratoren werden abhängig von der Richtlinieneinstellung auf die Profilordner berechtigt oder nicht

Was passiert, wenn Du "Ausführen als Administrator" benutzt ? Gar nichts ? Fehlermeldung ? Welchen Benutzer nimmst Du beim RUNAS-Befehl ? Hat dieser Benutzer ein Kennwort ? Hat irgendeiner ein Kennwort ?

Ist auf dem Server eigentlich eine Firewall an oder sind die Clients vom Server durch eine Firewall getrennt ? Konfiguriere auf einem der Clients mal testweise mit GPEDIT.MSC die Computerrichtlinie Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Langsame Verbindungen nicht erkennen" auf aktiviert, starte den Client neu und melde Dich mit einem User an, der ein serverbasiertes Profil hat. Prüfe auf dem Client auch via RSOP.MSC, ob in dem Bereich Benutzerprofile etwas via Domänen-GPO konfiguriert wurde ...

Ich habe bei einer Installation, in der es 2 Terminalserver gab, heftigste Probleme mit den Benutzerprofilen gehabt. Auf einem TS war Adobe Acrobat 7 installiert, auf dem anderen Server nur der Reader. Wenn jetzt ein Benutzer von TS1 auf TS2 wechselte (Roaming Profiles), waren einige Profilfolder in der Registry des Users auf Englisch, was zur Folge hatte, dass z.B. die Signaturen, Outlook Einstellungen und die Favoriten zwar noch vorhanden, aber nicht mehr aufrufbar waren. Der Adobe an sich funktioniert aber auf einem TS ...

Auf WS neuen User angelegt ? Was meinst Du damit ? Damit meinst Du sicher, dass Du einen User im Active Directory angelegt hast und Dich mit diesem User an der Workstation anmeldest, gell ? Sonst sieht es eigentlich okay aus ...

Mit \\<Server> rauf und dann die Freigabe mit rechts anklicken , eventuell freigegebene Drucker doppelt klicken ...

Naja klar, Du musst Dich ja anmelden (oder meinst Du, wenn er ein Netzwerklaufwerk verbindet ?) Benutzername ist so wie in der Domäne UND Kennwort auch ? Hast Du vorher schon mal eine Verbindung hergestellt, die Du gespeichert hast (prüfe das mit CONTROL USERPASSWORDS2 - Erweitert - Kennwörter verwalten) ?

Dann ist es wohl nicht gleich ... :D Bei welcher Anmeldung ? Eigentlich sollte gar keine mehr erfolgen ...

Das Problem ist hierbei ja auch der Terminalserver, wo eine Routenlösung nicht so ideal wäre ... Der einzig sinnvolle Weg wäre ein Proxy. Alles andere ist Gebastel in meinen Augen ...

Da fällt mir auch nur die Eingabehilfe ein, die unter der Systemsteuerung erreichbar ist. Allerdings wird auch da nicht jedes Pixel invertiert, diverse Kontraste kann man aber schon auswählen ...

Naja, wenn er schon keinen Ordner auf dem Server anlegt, dann funktioniert der ganze Mechanismus nicht. Erzeuge Dir zum Test mal einen ganz neuen User, konfiguriere für diesen User in Active Directory Benutzer und Computer unter Profil den Ordner für das serverbasierte Profil und melde Dich an einer Workstation mit diesem User an. Er erzeugt dort auf Basis des lokalen Default User Profils das lokale Profil, erzeugt einen Ordner im Profilordner auf dem Server (eventuell erst beim zweiten Anmelden) und beim Abmelden übertragt er die Profildaten. Poste bitte mal IPCONFIG /ALL des Servers und eines Clients. Poste auch mal, was genau Du unter Profil in Active Directory Benutzer und Computer einstellst ...

Wenn Benutzer/Kennwort gleich sind (in Domäne und lokal), sollte man ohne Eingabe von Credentials rauf kommen und die Berechtigungen erhalten, die dem via Netzwerkanmeldung übermittelten Konto zugewiesen wurden ...

Mit ner Home-Version gibt es keine Domänenzugehörigkeit, was aber nicht heisst, dass Du gar nicht zugreifen kannst. Erstelle auf der Maschine einen Benutzer samt Kennwort, den es genau so in der Domäne gibt und melde Dich mit ihm an ...

Ich verstehe den Sinn nicht so ganz ... Okay, es wird lokal also das richtige Profil geladen und die WS hat die Profilordner in der Serverfreigabe erstellt und beim Abmelden Daten dorthin kopiert. Wenn Du jetzt einen Ordner auf dem Desktop z.B. erstellst, überprüfe in C:\Dokumente und Einstellungen\<Benutzername> UND in dem Profilordner auf dem Server, ob der Ordner vorhanden ist (lokal ja, auf dem Server nein). Dann meldest Du Dich ab und wieder an und prüfst erneut (der Ordner sollte an beiden Orten vorhanden sein). Ist die Zeit synchron ?

Was sagt denn das Logging des Taskplaners ?

Wieso Domäne ? Das ist doch richtig, dass er den Namen des Profilservers angibt ...

Er speichert es zurück beim Abmelden. Ist die Zeit von Server und Client synchron ? Hat der Client den Profilordner auf dem Server selbst erstellen können ?

Richtig verstanden , man kann zwar (IPSec z.B.), aber per Default wird nicht blockiert ...

Watchguard ebenso (Softremote LT)

Wieso lädt er lokal nicht das richtige Profil ? Hast Du das auf der Workstation schon vorhandene Profil noch nicht in den lokalen Ordner des Domänenbenutzers kopiert ?