IThome

Also doch Remotedesktop, allerdings über den TS-Proxy, den der SBS zur Verfügung stellt. Warum aber die mobilen Clients einen internen Rechner via Remotedesktopsteuern sollen, verstehe ich nicht ganz. Er hat doch Leute, die an den Rechnern sitzen und arbeiten und zusätzlich Leute, die unterwegs sind (wahrscheinlich mit Notebooks). Wenn die mobilen User einen XP-Rechner so fernsteuern, wird doch der derzeitig angemeldete User abgemeldet Vielleicht habe ich es aber auch falsch verstanden ... Danke für den Link :)

Was für eine Art Vermittlung ist das ? Wie funktioniert das ?

Öffnen die Clients, die RWW benutzen, eine Remotedesktopverbindung zu einem im Netz stehenden Client (von OWA mal abgesehen) ?

Sehe ich auch so, die mobilen Clients können sich ja per VPN verbinden (kommt natürlich auch drauf an, was sie machen sollen) oder auch mit dem OWA verbinden ...

Dann kann man Kontingente getrost ausschliessen. Kann man denn in der Datenträgerverwaltung den fehlenden Platz sehen ?

Da hätte ich jetzt auch drauf getippt, allerdings eher ein Winsock Reset (steht auch in dem Artikel) oder beides ...

Das kann man auch in der Terminaldienstekonfiguration - Verbindungen - Eigenschaften von RDP-TCP - Anmeldeeinstellungen konfigurieren. Und benutze den neuesten RDP-Client ...

Du schaust Dir die Grösse der Partition an, wenn Du lokal als Administrator angemeldet bist oder als Benutzer, der ein Netzwerklaufwerk gemapped hat (ich ziele jetzt auf Kontingente) ?

Naja zum Beispiel der Rechner soll ohne Anmeldung erreichbar sein (aus welchem Grund auch immer). Rasforce setzt automatisch den Haken "Über DFÜ-Netzwerk verbinden". Die Verbindung steht dann zwar nach dem Anmelden, aber nicht davor. Meldet der User sich wieder ab, ist die Verbindung wieder getrennt (obwohl man das auch verhindern kann How to Keep RAS Connections Active After Logging Off) Vielleicht wäre es hilfreich zu wissen, warum denn die Verbindung schon vor der Anmeldung aktiv sein soll ...

Achso, es wird ihm ein Programm zugewiesen via AD-Benutzerkonto z.B. ? Ich dachte, er meldet sich an und darf machen ... Naja, kommt ja drauf an, was für ein Programm das ist, er befindet sich auf dem Domänencontroller ...

Naja, wie auch immer ... Du kannst eine Gruppenrichtlinie in der Domain Controllers OU erstellen, die über der Default Domain Controllers Policy liegt. In dieser Richtlinie stellst Du in der Computerkonfiguration - Administrative Vorlagen - System - Gruppenrichtlinien den Loopbackverarbeitungsmodus auf Ersetzen. In der OU der User konfigurierst Du in dem GPO Dein Anmeldescript in der Benutzerkonfiguration . Dann sollte dieses Script nur laufen, wenn sie sich an der Workstation anmelden, aber nicht, wenn sie sich am Terminaldienst anmelden. Zum Sicherheitsniveau sag´ich jetzt mal nichts ... ;)

Hm, stimmt, entweder ne richtig dicke Leitung oder Terminalservices (der SBS kann kein Terminalserver werden). Beides ist nicht günstig, sprengt vielleicht den vorgegebenen, finanziellen Rahmen. Die Frage ist ja auch, was die Leute von extern machen sollen ... Ich habe da auch was überlesen, nämlich dass alle Clients via VPN angebunden werden sollen ... In dem Fall, dass das Firmennetz an einem anderen Ort ist als der Server, wäre eine LAN-LAN Verbindung via VPN besser, die mobilen Clients "wählen" sich trotzdem ein ...

Ach was, so kompliziert ist das nun auch nicht ...

Die externen Clients bekommen den internen DNS und einen Verbindungssuffix bei der Verbindung übermittelt, sind dann quasi intern und können der Domäne beitreten. Du kannst die externen Clients natürlich auch in der Firma der Domäne zufügen und dann an ihren Bestimmungsort bringen. Die zwei Karten sind ein reines Sicherheitsfeature, da Du den SBS mit zei Netzwerkkarten zum NAT-Router machen kannst, auf dessen externen Schnittstelle noch der Basisfirewall läuft. Diese zusätzliche Sicherheit ist mit wenig Aufwand und geringen finanziellen Mitteln möglich ...

Das bedeutet also, dass Deine User beim Zugriff auf die Workstations genau so eingeschränkt werden wie beim Zugriff auf die Terminalsdienste ?

Wenn der Terminalserver eine Gruppenrichtlinie anwendet, die den Loopbackverarbeitungsmodus auf Ersetzen einstellt und Du ein Anmeldscript in einer Gruppenrichtlinie in der OU der User hinterlegst, wird dieses Script nicht auf dem Terminalserver angewendet, da die normalerweise angewendeten Benutzerrichtlinien von der Loopbackrichtlinie ersetzt werden ...

Das reicht offensichtlich nicht. Der Domänencontroller ist die Zeitquelle für die Clients, er kann sich die Zeit von irgendwo holen. Wichtig ist nicht, dass die Zeit richtig ist, sie muss nur auf allen Hosts der Domäne gleich sein. Das erreicht man mit dem Dienst W32TIME. In dem folgenden Artikel steht, wie man einen 2000 DC zum authoritativen Zeitserver macht. Auf den XP-Clients kannst Du die Befehle W32TM /CONFIG /SYNCFROMFLAGS:DOMHIER W32TM /CONFIG /UPDATE NET STOP W32TIME && NET START W32TIME durchführen, damit sie den DC als Zeitquelle nutzen How to configure an authoritative time server in Windows 2000 Der Zeitdienst der Clients lässt sich auch via Gruppenrichtlinie definieren. Ich weiss jetzt gar nicht, ob die 2000er Richtlinien diese Werte schon bieten. Wenn nicht, kannst Du entweder von einer XP-Maschine aus die Gruppenrichtlinien erzeugen oder die XP-SP2 ADM-Files auf dem 2000 DC importieren. In beiden Fällen solltest Du auf dem DC einen Patch installieren ... Fehlermeldung "Der folgende Eintrag im Abschnitt "[strings]" ist zu lang und wurde abgeschnitten" bei dem Versuch, Gruppenrichtlinienobjekte in Windows Server 2003, Windows XP Professional oder Windows 2000 zu ändern oder anzuzeigen

Hallo und herzlich willkommen , ich denke, dass für Deine Zwecke der Small Business-Server geeignet wäre, den man mit zwei Netzwerkkarten bestückt und ihn zum NAT/Basisfirewall/VPN Gerät konfiguriert. Als Zugang zum Internet dient ein kleiner Router wie z.B. der Draytek Vigor 2200E Plus. Der SBS ist Domänencontroller und authentifiziert die internen wie auch die externen Clients ... Gruss Sven

Wie wird denn die Zeit synchronisiert ? Hast Du nach dem Ändern neu gestartet ?

Richtig, sie können in NETLOGON liegen, sie werden ja offensichtlich auch angewendet (GPRESULT). Mach das Script mal sichtbar ...

Hat er denn Recht damit, dass die Zeiten unterschiedlich sind ?

Du verbindest Dich mit der externen Schnittstelle des Routers, egal ob der eine dynamische oder feste IP-Adresse hat. Dein XP-Rechner hat eine private Adresse, die man von aussen nicht erreichen kann. Daher muss der Router eine Portweiterleitung machen, unter Umständen klappt es auch mit der Aktivierung von UPnP auf dem Router ...

Mach das Script mal sichtbar und schaue nach, was da nicht klappt ...

Moin Velius, das bedeutet doch, dass der User immer via RAS authentifiziert ist und der wählt doch erst, wenn der User sich anmeldet (also nicht, wenn der Loginscreen (Drücken Sie STRG-ALT-ENTF) zu sehen ist) ?! Gruss Sven

Wie schon gesagt, der SBS MUSS DC sein, er MUSS alle Rollen haben und GC sein, anderenfalls fährt er sporadisch runter. Der andere DC kann DC bleiben, darf aber keine Rollen haben ... Du kannst den SBS via DCPROMO zum DC machen und dann alle Rollen übertragen ...