IThome

Öhm, die GPMC bietet Dir doch viel mehr Möglichkeiten ... Setze Dich mal damit auseinander, ich denke, dann siehst Du das anders :)

Dann hat er Recht mit dem PSK, dass es nur einen für alle Verbindungen gibt (RRAS) ...

Mit Draytek Routern beispielsweise kann man L2TP/IPSEC Verbindungen terminieren. Dazu wird auf dem Rechner (auch 2000) ein sogenannter SmartVPN Client installiert, in dem man den PSK eingibt. Der "Client" erzeugt eine Sicherheitsrichtlinie, die er bei Verbindung aktiviert. Mit diesem "Client" können auch mehrere VPNs verwaltet werden, die auch unterschiedliche PSKs haben können. Unter Windows 2000 wird offiziell kein PSK für L2TP/IPSEC Verbindungen unterstützt, wenn man mal von Gateway-Gateway Verbindungen absieht. In dem Artikel steht beschrieben, wie man eine solche Richtlinie erstellt und auch zuweist (es kann immer nur eine Richtlinie zur Zeit zugewiesen sein). Wenn diese Richtlinie aktiv ist, dann verhält sie sich bei Verbindungen zu den definierten Zielen so, wie es konfiguriert wurde ... Lade Dir mal diesen Draytek Client herunter, erzeuge eine Verbindung und schaue Dir dann die generierte Richtlinie an ...

Wieso nur für das interne Netz ? Der PSK wird zum Authentifizieren benutzt. Wenn beide den Key kennen ist es doch egal, von wo der Initiator kommt ...

Der Angreifer meldet sich nicht interaktiv an, er greift über das Netzwerk zu, deswegen nur ein Logon-Event. Wenn Du Dich interaktiv anmeldest, wird ein Account Logon Event (da dieser Server für das Konto authoritativ ist) und ein Logon Event protokolliert ...

Das Schlimme ist ja, den hat er schon ... :D

Naja, vielleicht braucht er die Nacht ja auch zum Zocken ... ;)

Patch doch einfach nachts, bevor Du ins Bett gehst ... :D

Naja, das sind dann die, die nach der Prüfung lernen (müssen) :D

Heisst das nicht einfach nur, dass AD-integrierte Zonen nicht funktionieren, da die Web-Edition kein DC sein kann ? Hm, kann keine klare Aussage darüber finden ... edit: hab doch was gefunden Installieren und Konfigurieren eines DNS-Servers in Windows Server 2003

Man kann auf einer Web-Edition keinen DNS-Server installieren ?

Hä ? Der Client fragt den Router, der wiederum fragt seinen Forwarder, welcher ihm die externe Adresse liefert und dann schlägt die Verbindungsaufnahme fehl (sie kommt von innen und soll dann quasi via Portweiterleitung wieder nach innen gehen). Du kannst es einerseits mit einem Eintrag in der HOSTS lösen (bei der geringen Anzahl der Clients sicher die beste Lösung) oder Du installierst auf dem 2003 den DNS-Dienst und erzeugst Forward Lookup Zonen, die die externen Domänennamen haben. Dort trägst Du dann in die entsprechenden Zonen die jeweiligen Hosteinträge mit der internen IP-Adresse ein. Im DNS-Dienst konfigurierst Du entweder den Router oder die Provider-DNS-Server als Weiterleiter und dann klappt auch die externe Auflösung. Der Server und der XP-Client haben die interne Adresse des Servers als bevorzugten DNS-Server eingetragen. Ich hoffe, ich habe das Problem richtig verstanden ... :)

Also ein Rechner ... Wie sieht die Bindungsreihenfolge der Netzwerkkarten aus ?

Sicher musst Du das, der DNS-Server ist für das Betreiben des Active Directory unverzichtbar. Der Dyndns-Name istr ja nur für den Zugriff von aussen interessant, wenn Du keine feste IP hast ...

Bei allen Rechnern dieser Zweigstelle ?

Gib einfach keinen Benutzer beim Entfernen aus der Domäne an und benutze einen lokalen Administrator zum Wechseln in die Arbeitsgruppe ...

Wenn der R2 zusätzlicher DC wird, brauchst Du auf ihm nur den DNS-Dienst installieren, mehr nicht (vorausgesetzt, Du benutzt Active Directory integrierte Zonen). Wenn nicht, dann schreibe mal genauer, was im Moment konfiguriert ist ...

Das is aber lieb, danke :D

Schönen Gruss an Deinen Dozenten, er muss es ja wissen. Sicherlich hat er es unheimlich drauf, is ja klar ... :D

Wir hatten Probleme mit ständig defekten PST-Dateien, besonders mit den grösseren ...

Wenn Du Dich mit einem Benutzer via RDP an einem DC anmelden willst, muss der Benutzer erstens in der Gruppe Remotedesktopbenutzer auf dem DC sein UND er muss das Benutzerrecht "Anmelden über Terminaldienste zulassen" besitzen, was er per Default nicht hat. Der Administrator hat standardardmässig allerdings schon diese Berechtigung. Sollen sich auch normale Benutzer per RDP an dem Server anmelden um dort beispielsweise mit Office zu arbeiten, hast Du Dir den falschen Server gekauft. Der SBS unterstützt keine Terminaldienste im Anwendungsmodus, die Du alleine schon aus lizenzrechtlichen Gründen dafür benötigst. Ist es allerdings der 2003 Standard, dann wird es zwar nicht empfohlen, es ist aber doch möglich ... Auf einem DC legt man Benutzer mit Active Directory Benutzer und Computer an. Bevor Du versuchst, RDP für den Administrator zum Laufen zu bekommen (zum Zweck der Remoteverwaltung), solltest Du erstmal Deinen DNS-Server richtig konfigurieren (ohne DNS kein AD). Poste also mal die Ausgabe von IPCONFIG /ALL des Servers und die Ausgabe von NSLOOKUP des Servers. Weiterhin schreibe bitte mal, welche Forward Lookup Zone Du eingerichtest, welche Reverse Lookup Zone und ob die beiden Zonen Active Directory integriert sind ...

Es geht doch gar nicht darum, das Kennwort zu verändern (was mit den anderen Tools ja genauso geht), es geht um das Passwort im Klartext in der Stapeldatei ...

Net User Lalala /homedir:"" oder Net User Lalala /homedir:

Hm, ja, ist der PDC-Emulator nicht erreichbar, gibt es eine Aufforderung einen anderen DC auszuwählen ... War also die falsche Vermutung meinerseits :rolleyes:

Kann der betreffende Server den PDC-Emulator erreichen ?