IThome

Mir ist da aber noch was eingefallen ... das Laufwerk, was Du konvertieren willst, ist gesperrt, das muss entsperrt werden ...

Das war eine von zwei Möglichkeiten, das mit dem Label hatte ich auch im Sinn. Hatte nur das erste probiert, eben aber auch das mit dem LABEL, klappt beides :). ?! habe ich nur geschrieben, weil ich mir nicht sicher war, ob es das ist, was Du meinst :)

ECHO <Volumename>|CONVERT C: /FS:NTFS ?!

Ich habe in einer ähnlichen Konstellation den Fehler behoben, in dem ich in den Eigenschaften des SMTP-Servers unter Übermittlung die Maximalanzahl der Hops auf 30 erhöht habe ...

Warum stellst Du überhaupt etwas in der Portweiterleitung ein ? Der Rechner hinter der Fritzbox ist doch der Client. Er baut die Verbindung zu einem VPN-Server jenseits der Fritzbox auf und nicht umgekehrt. Im Übrigen ist GRE bei IPSec ein wenig fehl am Platze, vielleicht solltest Du Dir mal das Log des Clients anschauen und posten ...

Auf dem Server auf der externen Karte die Adresse der internen Karte als Bevorzugten DNS-Server eintragen. Auf der externen Karte alle Bindungen ausser Internetprotokoll entfernen. Im Internetprotokoll NetBIOS über TCP/IP deaktivieren und das dynamische Updaten deaktivieren. In der Bindungsreihenfolge die interne Karte an die erste Stelle setzen. Den DNS-Server so konfigurieren, dass er nur auf der internen Schnittstelle horcht und nicht auf beiden. Diese Punkte sind nur zur Optimierung, die Lösung Deines Problems hat Günther ja schon geschrieben :)

Poste mal bitte IPCONFIG /ALL des Servers und enes Clients ...

Die Möglichkeit es zu unterbinden kenne ich nicht, wohl aber die Möglichkeit, es nach dem Abmelden zu löschen ...

Was hat GRE (IP-Protokoll 47) mit IKE (UDP 500) zu tun ? Interessant wäre zusätzlich NAT-Traversal (UDP 4500) , wenn Du einen IPSec-Tunnel aufbaust und PPTP (TCP 1723) wenn Du einen PPTP-Tunnel aufbaust. Ob der Symantec eine virtuelle Karte erzeugt weiss ich nicht, in anderen Clients kann man sowas in der Verbindung einstellen ... Normalerweise muss man für Outgoing-Verbindungen keine Portweiterleitungen konfigurieren, der Firewall muss diese Protokolle nur passieren lassen (die einzige Ausnahme, die ich gesehen habe, war ein Speedport-Router). Manchmal muss man auch IPSEC-Passthrough, VPN-Passthrough oder wie auch immer das heisst, konfigurieren ...

Welchen bevorzugten DNS-Server hat der Zweigstellen DC eingetragen, sich selbst oder den Hauptstellen DC ? Sind die Zonen und das Active Directory schon vollständig repliziert worden ?

Sicher kann man VPNs auch einschränken. Ob man sowas mit Hilfe von Tunnelregeln oder Firewallregeln macht, hängt vom eingesetzten VPN-Gateway ab. Ein Portmapping im Sinne von NAT wird aber nicht durchgeführt. Nur wenn per Default irgendeine ANY-Regel gilt, muss nichts freigegeben werden, Deine Aussage stimmt so also nicht ...

Der Exchange 2007 benötigt mindestens die Windows 2000 pur Domänenfunktionsebene, was den Betrieb des alten PDCs verhindert ... Installing Exchange 2007 (Part 1) Warum muss der alte PDC als BDC weiterhin betrieben werden ? Der 2003er hat die PDC-Emulator Rolle ...

Hehe ... und täglich grüsst das Murmeltier ... :D

Das klappt, da bin ich mir sehr sicher ... :)

Du kannst ihn die Domäne des alten DCs reininstallieren, danach die Rollen usw. übernehmen und dann den alten abschalten (musst Du aber nicht, der kann auch bleiben) ... How to install Small Business Server 2003 in an existing Active Directory domain

Was hast Du denn überhaupt konfiguriert ? Was erscheint denn jetzt in den AD-integrierten Zonen ? Für den zweiten IP-Bereich muss eigentlich nur eineweitere Reverse Lookupzone erzeugt werden. Funktioniert die Replikation, wenn Du auf dem Zweigstellen-DC den Hauptstellen DC als bevorzugten DNS-Server einträgst (von irgendwoher muss er die Namensinformationen ja erstmal bekommen) ?

Welche Namensauflösung funktioniert nicht, intern oder extern ? AD-integrierte Zonen ? Eine Domäne ?

Ich habe diese Prüfung zum Schluss gemacht, hatte vorher also die Serverprüfungen durch. Manche Fragen setzen ein gewisses Serverwissen voraus. Ich habe die Bücher immer 2mal gelesen und die mitgelieferten Fragen überhaupt nicht beantwortet (sowas verunsichert mich, wenn ein Vorbereitungstest schlecht ausfällt und es hat auch keine besondere Aussagekraft, wenn Du bei nahezu 100% in so einem Test landest, womöglich beim 3. Anlauf oder so). Ich muss allerdings dazu sagen, dass ich die Art der Fragestellungen gewohnt bin ...

Verändere auf einem CLient mal die MTU mit dem Tool DrTCP auf den Wert 1400 und prüfe dann noch mal (davon ausgehend, dass der Internetverkehr über den lokalen Router abgewickelt und nicht erst durch den Tunnel und dann von dem dortigen Router ins Internet geroutet wird). Was ist das für Firewall/Router ?

Man kann nicht pro Folder eine Anmeldemaske erscheinen lassen oder nicht. Anmeldemasken erscheinen, wenn dem System der gelieferte Benutzername nicht bekannt ist. Wenn man einen geforderten Benutzernamen eingibt, wird man entweder als gültiger Benutzer authentifiziert oder als Gast. Ist man autorisiert, auf einen Ordner zuzugreifen, kann man das dann tun und zwar auf jeden Ordner, auf den man zugreifen darf und das ohne sich erneut authentifizieren zu lassen (ausser wenn die Sitzung abgelaufen ist). Irgendwie irritiert mich das mit dem "irgendwas eingeben" . Ist der Gast aktiv und der Standalone-PC, der dem Server unbekannte Credentials liefert, verbindet sich mit \\server\freigabe$, dann wird die freigabe eigentlich ohne Anmeldefenster angezeigt (wenn Jeder oder Gäste Berechtigungen haben) oder es wird sofort verweigert (wenn sie es nicht haben). Ist das Gastkonto nicht aktiv oder hat ein Kennwort, wird gleich nach Benutzername und Kennwort gefragt, aber da kann man auch nicht irgendwas eingeben, sondern muss ein gültiges Benutzerkonto eingeben. Um das aufzuklären und eventuell eine Lösung zu finden: frage die Serverleute mal, was genau konfiguriert wurde, dass die Leute nach dem Eingeben von "irgendwas" zugreifen können. Kannst Du mit \\Server zugreifen (mit oder ohne Anmeldemaske) ? Wenn Du Freigaben siehst, kannst Du auch auf sie zugreifen ? edit: Wenn Du ohne Anmeldemaske auf diesen Ordner zugreifen möchtest und das mit dem Gastaccount tun möchtest, dann kann man das folgendermassen machen ... 1. Auf dem Server den Gastaccount aktivieren und dem Gast kein Kennwort geben 2. Auf dem Server unter HKLM/SYSTEM/CURRENTCONTROLSET/CONTROL/LSA den Wert RestrictAnonymous auf 1 setzen und Server neu starten (Gäste können die verfügbaren Freigaben nicht auflisten, können aber direkt in eine reinspringen). Ist dieser Wert auf 0, können die Freigaben angezeigt werden. Das lässt sich auch mit der Gruppenrichtlinie "Netzwerkzugriff: Anonyme Auflistung von SAM-Konten und Freigaben nicht erlauben" erreichen. 3. Der zu erreichende Ordner hat in der Freigabe- sowie in der NTFS-Berechtigung die Gruppe Jeder oder Gäste mit dem Level, den die Leute brauchen. Der Gast kann auf jede Freigabe zugreifen, die Jeder oder Gäste in der Freigabe- UND NTFS-Berechtigung stehen hat und bei RestrictAnonymous auf 1 nur auf die, die er mit Namen direkt anspringt. Sicherer wäre es aber auf jeden Fall, wenn man für diese User im Active Directory Benutzer anlegt und die Freigabe dann mit z.B. NET USE ... /USER ... verbindet, ohne den Gastaccount zu aktivieren. Dann kannst Du auch auf die Gruppen Jeder und Gäste verzichten ...

Mal ganz ehrlich, als Serverteam würde ich auf keinen Fall einen Gastzugriff erlauben, dann kann sich ja jeder authentifizieren ... Aber mal ganz davon ab, wenn auf den Fileservern, die keine DCs sind, die lokalen Gastkonten aktiv sind und kein Kennwort haben, dann sollte man sich mit \\<Servername> verbinden können und die Freigaben sehen (Defaulteinstellung des Memberservers, auf einem DC geht das nicht). Ob man nun auf die Freigaben zugreifen kann oder nicht hängt von den Freigabe- und NTFS-Berechtigungen ab ...

Beides auf dem 2000er ...

Data Recovery Agent ...

Wenn ein Kennwort gefordert wird, dann ist entweder das Gastkonto nicht aktiv oder der Gast hat ein Kennwort. Wird schon beim Aufruf von \\<Servername> der Zugriff verweigert, kommt es drauf, was genau in der Fehlermeldung steht. Auf diesem Server müsste geprüft werden, ob dem Gastkonto der Zugriff über das Netzwerk erlaubt wird und/oder explizit verweigert wird ...

Ist das ein DC, auf dem die Dateien liegen oder ist es ein Memberserver ? Hat das Gastkonto auf diesem Server ein Kennwort ? Ist dieses Gastkonto aktiviert ? Was passiert, wenn Du \\<Servername> auf einem Nichtmember eingibst ? Bekommst Du eine Anmeldemaske, bekommst Du sofort ein Zugriff verweigert oder siehst Du die Freigaben und bekommst ein Zugriff verweigert, wenn Du auf eine Freigabe doppelklickst ?