IThome

Jetzt verstehe ich die Konfig gar nicht mehr ... Der RRAS/DHCP befindet sich in einem anderen Subnetz als die Clients ? Und der DHCP hat ein Scope für das Subnetz der Clients, aber keins für das Subnetz des RRAS ? Also mehrere Subnetze ? Wenn es tatsächlich so ist, wundert es mich im Nachinein gar nicht, dass der DHCP keine Adressen verteilt, wenn er für den anfragenden Bereich kein Scope hat ... Und wenn nicht, wo befand sich der RRAS/DHCP und wo die Clients. Welchen Bereich hatte der DHCP-Server ?

Was passiert denn, wenn Du STRG - ALT - ENTF drückst, kommt das Fenster zum Entsperren, wo Du Benutzerdaten eingeben musst oder kommt etwas anderes ?

Was hast Du denn konfiguriert, so wie ich geschrieben habe ? Welche Richtlinie wird nicht angewendet, eine aus der Benutzerkonfiguration ? Andere Benutzerrichtlinien aber schon ? Beschreibe das mal möglichst genau. Der zweite Fehler hat was mit Deiner ADM-Datei zu tun, nicht mit der Anwendung der Gruppenrichtlinie an sich ... Die benutzerbezogenen Richtlinien kannst Du in dem GPO anwenden, in dem auch die Loopbackverarbeitung gesetzt ist. Sie werden nur angewendet, wenn sich jemand am DC/TS anmeldet (lokal oder via RDP) ...

Du linkst ein GPO in die Domaincontrollers OU, in dem Du die Loopbackverarbeitung auf ersetzen stellst und in der Du die relevanten Benutzereinstellungen definierst. In der Sicherheitsfilterung entfernst Du die Gruppe Authentifizierte Benutzer und fügst stattdessen die Benutzergruppe mit den Mitgliedern zu, die auf den TS zugreifen und eingeschränkt werden sollen. Dieser Gruppe gibst Du die Berechtigung Lesen und Gruppenrichtlinie übernehmen. Den Domänenadmins verweigerst Du Gruppenrichtlinie übernehmen. Das Computerkonto des DCs brauchst Du nicht zufügen, da per Default die Gruppe Domänencontroller der Organisation die Berechtigung Lesen auf das GPO haben (um die Loopbackverarbeitung zu aktivieren, was in der Computerkonfiguration eingestellt wird). Du musst hier noch den Haken Gruppenrichtlinie übernehmen anhaken. Dieses GPO setzt Du in der Priorität höher als die Default Richtlinie. Hast Du mehr als einen DC, lässt Du die Berechtigungen für die Domänencontroller der Organisation so wie sie ist und fügst das Computerkonto des DC/TS zu und gibst diesem die Berechtigung Lesen und Gruppenrichtlinie übernehmen.

Solche Strukturen werden normalerweise nicht gebaut, da es bei Microsoft anders funktioniert als bei Novell und es umständlich ist, auf solche Ordner zuzugreifen. Der User kann auch nicht auf diesen Ordner via Angabe des vollständigen Pfades alleine zugreifen, weil er berechtigt ist, sondern hat er auch noch ein Benutzerrecht, was das Durchqueren der nicht berechtigten Ordner erlaubt ("Auslassen der durchsuchenden Überprüfung" oder Directory Traversal). Es gibt ja die Möglichkeit, nur die spezielle Berechtigung "Ordner auflisten/Daten lesen" (für den Bereich "Nur diesen Ordner", damit es nur hier gilt und nicht weiter nach unten vererbt wird) zu vergeben, was man dann an Gruppen vergibt . Möglich wäre ja auch, dass man zusätzliche Freigaben erstellt, die als Root die Abteilungsordner haben und die User z.B. mit einem zusätzlichen Buchstaben, der via Script zugewiesen wird, darauf zugreifen. Allerdings ist das bei einer grossen Menge auch irgendwie nicht richtig praktikabel. Du könntest der Gruppe Jeder die Berechtigung "Ordnerinhalt auflisten" für "Nur diesen Ordner" auf der Ebene "Abteilung1" gewähren, dann klappt das auch noch mit ABE. Es wäre unter Umständen auch möglich, genau diese Berechtigung auf höherer Ebene anzusetzen, dann allerdings für "Diesen Ordner, Unterordner" . Allerdings kommt es dann darauf an, wo die Vererbung in dem Baum deaktiviert wurde.

Modify the Gateways for a Network Adapter und das in einem Computerstartscript ...

Leg auf dem Rechner mit dem Drucker einen lokalen Benutzer an, der so heisst wie der auf dem Arbeitsgruppencomputer und der auch das gleiche Kennwort hat ...

Hihi, ich bin aber auch ein Erbsenzähler ... :D

Fritzkarten sind aber nicht aktiv, B1 und C1 Karten sind aktiv ... :)

Poste bitte mal IPCONFIG /ALL von Server1 ...

Ist Server1 oder Server2 der Rechner, auf dem ursprünglich beides installiert war ?

Das hat aber nichts mit VPN zu tun, das ist der RDP-Client ...

Ist ausser dem Zufügen des DHCP-Dienstes nichts auf dem RRAS verändert worden ? Deaktiviert und neu konfiguriert hast Du den RRAS ja auch schon gell ? Ereignisanzeige schweigt sich auch aus ?

Welches Tool für die VPN-Konfiguration ?

Das funktioniert prima mit "Remotedesktop" , verbunden über VPN ...

Wahrscheinlich daran, dass Du ADPREP nicht von der 2. R2-CD ausgeführt hast ...

ROUTE ADD 172.25.1.0 MASK 255.255.255.0 172.25.100.x <--- Adresse des RRAS

Naja, Du hast einen Ordner X, der mehrere Unterordner und Dateien hat. Du entfernst die Gruppe Jeder und gehst in den Sicherheitseinstellungen auf Erweitert. Dort gibt es 2 Haken, der obere ist für das Erben von oben, der untere für das Vererben nach unten . Setzt Du den unteren Haken, wird die Berechtigung, wie sie in diesem Ordner angegeben ist, nach unten auf alles vererbt, was in dem Bereich angegeben ist (normalerweise Ordner, Unterordner und Dateien). Ich weiss nicht, wie die Berechtigungen bei Dir eingestellt sind, ob Ubterordner andere Berechtigungen haben sollen und so ...

Wenn man denn die entsprechende Hardware hat ... ;)

Sollen die beiden Bereiche miteinander kommunizieren ? Der Server benötigt nicht unbedingt eine 2. Adresse, das könnte man mit einem Multinet lösen (Superscope), wofür dann allerdings ein Router notwendig wäre, damit die beiden Bereiche miteinander kommunizieren können. Man könnte auch die Subnetzmaske verkleinern , also anstatt 24 nur 16 Bits ...

Mal davon ab, dass man das mit Gruppen und nicht mit Usern macht ... Du kannst in den erweiterten Sicherheitseinstellungen den unteren Haken setzen, um die im Parent angezeigten Berechtigungen nach unten zu drücken ...

Ein anderer Adressbereich oder eine andere Maske ist keine Option ?

Nein. müssen sie nicht ... Für sowas kann man auch einen DHCP-Relay Agent einrichten. Was für ein Router trennt die beiden Netzwerke ?

Ist der Zugriff auch langsam, wenn die Messgerätekarte deaktiviert wird ? Kannst Du den Adressbereich des Netzes zum Messgerät verändern (z.B. 192.168.100.0/24 oder so) ? Der versucht doch, den DNS-Server über die Messgerätekarte zu erreichen .

Achso, sagtest Du ja bereits :rolleyes: , na mal sehen, was passiert, obwohl die Regkeys eigentlich nur bewirken, dass der RRAS die bei ihm eingetragenen Server nicht mehr übermittelt ...