IThome

Können andere Benutzer von den beiden Problem-PCs auf Freigaben zugreifen ? Können User an den Problem-PCs auf andere Freigaben (ausser "Leitung") zugreifen oder auf gar keine ?

Ähm, wie meinen ? D:\Userdata ist der lokale Standardprofilpfad (an Stelle von Dokumente und Einstellungen) ?

Diese Einstellungen (neben anderen) befinden sich auch in dem weiter oben geposteten Artikel ...

Fang doch erstmal klein an und konfiguriere ein NAT/RRAS mit L2TP/IPSec und Preshared Keys, probiere es dann erst intern, danach extern ... Das mit NAT und IPSec hast Du in den falschen Hals bekommen ...

Unfug ... oder hat jeder Eurer Rechner eine offizielle IP ? Wie kommst Du da bloss drauf ?

Versuch mal ... RD \\.\<Laufwerksbuchstabe>:\<Pfad>\<Verzeichnisname> Du hast schon mal den Tipp bekommen, es über eine Freigabe zu lösen. Das sollte nicht heissen, dass Du die Festplatte freigeben solltest, sondern ein Verzeichnis weit unterhalb von E:\Musik. Dann von diesem Rechner in diese Freigabe springen (mit \\<Computer>\<Freigabe> quasi auf sich selbst) und dann die untergeordneten Ordner löschen ...

Ja und ? Das ist LAN und nicht Internet ...

Ich habe das oben noch mal abgeändert, denn einen Tipp zu diesem Thema sollte man besser nicht abgeben (um niemanden ins Verderben rennen zu lassen). SMB ist ein Protokoll, welches NICHT zum Zugriff über das Internet konzipiert wurde. Niemand gibt wissentlich SMB-Ressourcen im Internet frei. Mach Deinen Server mit einer zweiten Karte zum NAT-Router/VPN-Server und lass die Leute so drauf zugreifen ...

Auf dem Lancom UDP 500 und UDP 4500 an die 192.168.200.240 leiten, auf dem Server RRAS mit NAT/VPN konfigurieren (192.168.200.240 öffentlich, die andere privat). Aber jetzt mal im Ernst ... Dieses Thema ist so dermassen komplex, dass man in einem Forum keine Antwort auf eine Frage wie "Was muss ich wie wo machen damit es Funktioniert!?" geben kann, zumindest nicht zu diesem Thema.

Das ist so ziemlich das Schlimmste, was man machen kann. Naja, des Menschen Wille ist sein Himmelreich ...

In diesem Fall mach es mit der Zone, dann klappt das ...

Und Du möchtest jetzt, dass da was steht ? Eine interne Adresse ? Wenn von innen nicht auf den externen Server mail.thommel.de zugreifen muss, auf andere Server aber schon (z.b. www.thommel.de), dann mache es so, wie oben beschrieben (Zone mail.thommel.de anlegen ...) ...

Was ja auch kein Wunder ist, da das Sicherheitstoken (wo auch die Gruppenmitgliedschaften drin stehen) nur beim Anmelden erzeugt wird ...

Mit der Route jedenfalls nicht ... route add -p 192.168.1.5 mask 255.255.255.255 <die Adresse des Routers vor Ort, der dem Zielhost routen kann> Die nehmen natürlich nicht immer das Default Gateway. Es wird immer der Weg bevorzugt, der "am meisten" passt (bitweise, logische UND-Verknüpfung mit der Zielmaske). In Deinem Fall also eine Hostroute, die die gesamten 32-Bit der Adresse vergleicht (255.255.255.255). Die gesamte Adresse muss also stimmen, damit er diese Route benutzt ... Ist mir aber vollkommen unverständlich, was das soll ...

Oh Mann, welche Adresse bekommst Du zurück ? Poste mal die Ausgabe von NSLOOKUP MAIL.DOMAIN.DE ...

Und wie ist der Ping-Befehl und was bekommst Du als Antwort ?

Poste mal IPCONFIG /ALL des Rechners, von dem Du pingst und den PING-Befehl, den Du ausführst ...

Extern mail.domain.local ??? Wenn sie nicht gleich sind, dann kann kein interner Name aufgelöst werden. Gibt es internen einen Server mit Hostnamen "Mail" ? Wie lautet der PING-Befehl, wenn Du testest ?

Naja, wie waren die alten Richtlinien eingestellt und wie die neuen. Wo sind die GPOs verlinkt. Alt und neu arbeiten beide mit dem Loopbackverarbeitungsmodus ? In welchen OUs befinden sich neue und/oder alte Benutzer. Deine Frage kann man ohne weitere Informationen nicht beantworten, die Lösung höchstens erraten. Und warum sollte man als Administrator GPUPDATE /FORCE machen, wenn die Richtlinie eines anderen Benutzers nicht greift ? ...

Das Ding neu gestartet haste aber schon, gell ?

Ah ja, interne Domäne also wie externe Domäne. Jo, dann kannste für einen Namen wie TEST.DOMAIN.COM eine Zone TEST.DOMAIN.COM anlegen, einen A-Eintrag erzeugen, der zwar Eure externe IP-Adresse, aber keinen Namen hat (der erscheint dann als "Identisch mit übergeordnetem Ordner") ...

Haben alle die Datei- und Druckerfreigabe als Ausnahme definiert ? Poste bitte mal IPCONFIG /ALL von X.X.0.15 und X.X.0.1 ...

Öhm, irgendwie nich ... :D

Du meinst ESP, nicht AH ... AH funktioniert mit NAT-Verbindungen nicht ... Welche Verschlüsselung ist eingestellt, 3DES, AES (128/192/256) ... ? An der MTU liegt es meiner Meinung nach nicht, da mit einem Standard-PING die Pakete fast "leer" sind ...

Da habe ich gestern auch dran gedacht und habe es ausprobiert. Allerdings sieht man bei ausgeschaltetem Dienst (deaktiviert) die LAN-Verbindung noch und es kommt eine Fehlermeldung, dass die weiteren Netzwerkverbindungen wegen des nicht gestarteten Dienstes nicht aufgezählt werden können ... Hmmm ...