IThome

Poste bitte mal IPCONFIG /ALL des funktionierenden und nicht funktionierenden Clients ...

Auf den Clients hast Du auch den Haken (DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden) gesetzt, dass der Verbindungssuffix auch registriert wird ? Ein primärer Suffix wird per Default registriert, ein Verbindungssuffix nicht ...

Das funktioniert auch mit NAT, allerdings musst Du mit Reservierungen arbeiten, was eine dynamische Adressvergabe sinnlos werden lässt :) Was natürlich auch funktioniert und die SIcherheit nicht untergräbt, ist, Du kannst jeden Client vom Server aus verwalten. Also RDP-Umleitung auf den Server und aus der RDP-Sitzung des Servers eine RDP-Sitzung zum Client aufbauen ...

Reichen würde schon der 2200eplus, ich würde aber den 2910 nehmen ...

Wo befinden sich die Clients eigentlich, im gleichen LAN wie die Rechner, von denen auch verwaltet wird ? Wenn ja, würde ich es auch so wie Kohn machen ...

Mach mal folgendes, gehe in die Gruppenrichtlinienverwaltung (auf dem DC) und erzeuge und linke in die OU, in der sich der TS befindet, eine neue Richtlinie, die Du TS-Loopback z.B. nennst. In dieser Richtlinie konfigurierst Du die Loopbackverarbeitung in der Computerkonfiguration und in der Benutzerkonfiguration erstmal einige wenige Dinge. Dann klickst Du diese Richtlinie an, rechts auf Delegierung und unten rechts auf Erweitert. Dann setzt Du bei den Domänen-Admins bei Gruppenrichtlinie übernehmen einen Haken bei Verweigert. Jetzt noch ein GPUPDATE auf dem TS und wieder RSOP.MSC. Wenn angewendet wurde, meldest Du Dich einmal mit einem Benutzer an und einmal mit einem Domänen-Admin und prüfst, ob auch die Benutzerrichtlinien angewendet wurden, beim Admin dagegen nicht ...

In welcher Richtlinie ? Wie heisst sie ? Wo ist sie gelinkt ?

Ich kann für die Draytek Router sprechen, mit denen ich sehr gute Erfahrungen gemacht habe. Wir setzen diese Geräte in kleineren Umgebungen ein, in grösseren oder vielleicht auch "anspruchsvolleren" nur Watchguard Produkte, die den Preis eines Drayteks aber um ein vielfaches überschreiten. Von der Hardware mal abgesehen solltest Du aber eine feste IP-Adresse haben. Es funktioniert zwar auch mit dynamischen Adressen, gab aber in letzter Zeit massive Probleme mit Dyndns ...

Naja, den sollst Du ja auch kriegen, schaue in dem entsprechenden Punkt in der Computerkonfiguration nach, ob Loopback überhaupt aktiviert wurde. Wenn nicht, baue Dir zum Test ein neues GPO mit dieser Einstellung und führe erneut RSOP.MSC aus. Laut GPRESULT wird jedenfalls nichts ausser den Default Richtlinien angewendet. Welche Richtlinie ist denn in die OU des Terminalservers gelinkt ?

Genau das meinte ich, danke :)

Haben die Clients einen primären DNS-Suffix oder einen Verbindungssuffix, der dem Namen der DNS-Zone entspricht ? http://www.mcseboard.de/post22-420217.html

Das hast Du richtig im Kopf, Passwortrichtlinien für Domänenkonten können nur auf Domänenebene festgelegt werden. Legst Du sie auf OU-Ebene fest, gelten sie nur für Konten der lokalen Maschinen, die sich in der OU befinden. Ich habe mal irgendwo von einer externen Software gelesen, die diese Beschränkung aufhebt, finde das aber leider nicht wieder. Mit Bordmitteln jedenfalls funktioniert es nicht ...

In der Sicherheit des GPOs, was ist da eingetragen ? Was sagt RSOP.MSC auf dem TS ?

Gruppenrichtlinien werden nicht auf Gruppen angewendet, allerdings kannst Du mit Gruppen eine Sicherheitsfilterung durchführen. Also die entsprechenden Benutzer in die Gruppen und den Gruppen Berechtigungen auf das oder die GPOs geben. SO kannst Du auch alle User in eine OU legen oder die GPOs ganz oben anwenden ...

Was uns jetzt aber kein Stück weiter bringt, es funktioniert ja nicht ... ;)

Richtig, so ist das gemeint ... :)

Was ist wo eingestellt worden ? Ist an der Sicherheitsfilterung etwas gedreht worden ? Wo sind die GPOs gelinkt (wenn es mehr als eins ist) ?

Sicher ist es das, anderenfalls greifen keine Benutzerrichtlinien, die in dem GPO konfiguriert werden, welches in diese OU gelinkt wird, da sich hier keine Benutzerobjekte befinden ...

Keine Zone einrichten, nur den DNS-Serverdienst installieren. Sofern die Zonen auf dem vorhandenen DC Active Directory integriert sind, werden sie bei der Replikation auf den neuen Server übertragen. Bei der Installation ist als bevorzugter DNS-Server bei dem neuen Server die Adresse des alten Servers eingetragen (wie soll er sonst auch zweiter DC werden) ...

Wie baut er die Verbindung über die zweite Karte auf, PPPoE oder Router ? Im 1. Fall würde ich den DNS-Server nur auf der internen Schnittstelle horchen lassen und als Weiterleiter externe Server definieren. Die interne Schnittstelle auch in der Bindungsreihenfolge an die erste Stelle setzen. Auf beiden Schnittstellen wird dann die 192.168.1.1 als DNS-Server eingetragen. Auf der externen Karte kannst Du die dynamische DNS-Registrierung und NetBT abschalten. Ebenso kannst Du die Bindung zum Client für Microsoft Netzwerke und Datei und Druckerfreigabe entfernen (im Falle einer Verbindung über einen Router). Existieren in den Filialen DNS-Server ? Sind das DCs oder Member der Domäne der Hauptstelle ? Vielleicht mal IPCONFIG /ALL eines Servers einer Zweigstelle und des Servers der Hauptstelle ...

Auch das ist kein Problem und funktioniert einwandfrei ... How to install Small Business Server 2003 in an existing Active Directory domain Es spielt keine Rolle, ob die vorhandene Domäne eine 2003 oder SBS Domäne ist, allerdings nur für eine gewisse Zeit (10 Tage) dürfen 2 SBS in der Domäne sein ... Mit Hilfe der Suchfunktion im Board findest Du einen Haufe Einträge zu diesem Thema, rauf und runter ;)

Das frage ich mich auch, es funktioniert zwar, aber warum kompliziert, wenn es auch einfach geht ...

Auf dem RRAS gar nichts, er kennt beide Netze. Auf dem Client musst Du Routen definieren, entweder ein Default Gateway, was auf die dem Client zugewandte Schnittstelle des RRAS zeigt oder eine Route in das entfernte Netz über die dem Client zugewandte Schnittstelle des RRAS ... z.B. ROUTE ADD 10.24.18.0 MASK 255.255.254.0 10.24.21.14 ROUTE ADD 10.24.20.0 MASK 255.255.254.0 10.24.18.13 Du hast auf dem RRAS aber kein NAT aktiviert gell, LAN Routing reicht ? Wenn der Server nur die beiden Netze miteinander verbinden soll, benötigst Du noch nicht mal den RRAS, ein Eintrag in der Registry reicht aus HKLM/SYSTEM/CURRENTCONTROLSET/SERVICES/TCPIP/PARAMETERS/"IpEnableRouter" vom Typ REG_DWORD, auf 1 setzen und neu starten ...

Da gibts auch eine prima Anleitung, welche Du hier im Board oder auch bei Microsoft findest ...

Fritzkarte und analoges Modem funktioniert ...