IThome

Nur zu ... :)

Poste als erstes mal IPCONFIG /ALL des "Masters" ...

Das war eigentlich für die Frage des TO ... Was genau hast Du denn vor ? Der Server soll dem CLient die Verbindung über den Tunnel verbieten ? Warum das denn, wozu dann der Tunnel ?

Die Routen ? Du kannst im Benutzerkonto unter Einwählen statische Routen definieren ...

Oh , hab ich ja ganz vergessen, herzlich willkommen :)

Ähm, Du hast aber schon gesehen, dass eine Netscreen mit einem Netscreen IPSec-Client angesprochen wird und der Client sich hinter dem Speedport befindet ?

Dieser Benutzer muss zusätzlich zum Recht "Herunterfahren des Systems", was er als Mitglied der lokalen Benutzergruppe normalerweise hat, das Recht "Erzwingen des Herunterfahrens von einem Remotesystems aus" auf der Maschine, an der er sich anmeldet ...

Hm, pingbare Clients und der nicht pingbare Server haben das selbe Default Gateway ...

Angerufen ...

Der Server sieht den Request und es erfolgt kein Reply ? Der Server hat doch ein Default Gateway, wohin er die Antworten schicken kann ...

Naja, das stellst Du mit dem Benutzerrecht auf der herunterzufahrenden Maschine ein ... Der soll doch remote herunterfahren oder ? SHUTDOWN -S kann aber nicht alles sein gell ?

Du meinst wahrscheinlich die Benutzerrechte "Herunterfahren des Systems" (was jeder Benutzer, also auch jeder Domänenbenutzer darf) und "Erzwingen des Herunterfahrens von einem Remotesystem aus" (was nur Administratoren dürfen). Grundsätzlich ist das in Ordnung so. Das Problem ist jetzt also, dass der betreffende Rechner, der sich in der OU befindet und der remote heruntergefahren soll, diese Richtlinie nicht anwendet ?

Hallo und herzlich willkommen, was genau hast Du wo eingestellt und welche Objekte befinden sich dort, wo Du etwas eingestellt hast ? Gruss Sven

Naja, das ist dann der Internetexplorer und auch nur der einer bestimmten Version (ausser man macht mehrere Hashregeln oder eine Pfadregel zum Beispiel). Was passiert eigentlich, wenn man das macht, da der Internet Explorer sehr tief im System integriert ist ? Für alle anderen Browser müsste man das dann ebenso machen.

Ich habe das gemacht, war vollkommen problemlos und mit der geänderten SECEDIT.EXE klappte es dann auch wie erwartet ...

Wenn´s denn auch hilft :D

Wahrscheinlich ist die INF-Datei nur 1 KB gross, also benötigst Du den Hotfix (damit klappt das Auslesen der SECEDIT.SDB des Quellrechners). Wenn der Domänenrechner die Quelle ist und Du auch Domäneneinstellungen benutzen willst, musst Du zusätzlich den Parameter /MERGEDPOLICY benutzen ...

Sowas macht man am besten auf einem (Application Layer) Firewall ...

Auf der exportierenden Maschine SECEDIT /EXPORT /CFG C:\SECEXPORT.INF /LOG C:\SECLOG.TXT INF-Datei wird zum Konfigurieren benutzt Auf der zu konfigurierenden Maschine SECEDIT /CONFIGURE /DB SECEDIT.SDB /CFG C:\SECEXPORT.INF /OVERWRITE Du benötigst unter Umständen auch noch einen Hotfix You cannot use the Secedit.exe command-line tool to export the local security policy settings on a stand-alone workstation that is running Microsoft Windows XP

Mit der Computerrichtlinie "Nur lokale Benutzerprofile zulassen" ...

Erstelle den Trust auf der 2003 Maschine und lösche ihn gegebenenfalls dort auch wieder ...

Wenn Du XP-Maschinen hast, kannst Du dort die GPMC installieren und es damit machen ...

Schau mal hier ... How to remove the first Exchange Server 2003 computer from the administrative group edit: zu spät :D

Die müssen sich gegenseitig auflösen können. Auf der 2003 Seite kannst Du eine bedingte Weiterleitung konfigurieren und auf der 2000 Seite eine sekundäre Zone z.B. WINS kannst Du auf beiden Servern installieren und die beiden WINS-Server miteinander replizieren lassen ...

Hast Du auf dem Server mal einen Sniffer angeschmissen, ob da überhaupt was ankommt ? Hat der Server eventuell statische Routen definiert ?