IThome

Wenn ich das richtig verstanden habe, existiert pro Klasse ein Lehrerrechner, der irgendwie routet. Die Clients der verschiedenen Klassen haben dann den jeweiligen Lehrerrechner als Default Gateway (manuell) eingetragen. Jetzt bekommen sie alle ein Default Gateway und das alles klappt nicht mehr. Man kann via Computerstartskript auch computergruppenabhängig verschiedene Gateways setzen lassen. Modify the Gateways for a Network Adapter Ich frage mich allerdings, warum das nicht mit einer vernünftigen Appliance oder einem Proxyserver z.B. geregelt wird. Poste bitte mal IPCONFIG /ALL des alten Zustandes und IPCONFIG /ALL mit DHCP eines der Clients ...

Der User muss sich erst ab- und dann wieder anmelden, damit sein Sicherheitstoken aktualisiert wird. http://technet.microsoft.com/en-us/library/cc759267.aspx

Du musst nicht jeden einzelnen User bearbeiten. Du kannst alle User markieren - Eigenschaften - Profil und dort trägst Du den Pfad \\server\daten\%username% ein

Das kannst Du mit NETSH DHCP SERVER \\<Server> SCOPE <NETZ-ID des Scopes> SET OPTIONVALUE 058 DWORD <Wert in Sekunden> einstellen ... Meine Frage allerdings ist: Was soll das überhaupt ?

Genau ... und das funktioniert ja auch nicht, wie man sieht ... Das Problem ist ja auch nicht, dass der Server die Pakete nicht annimmt, sondern sie (wie schon beschrieben) über das falsche Gateway beantworten will. Wieso eigentlich funktioniert der Internetzugang nicht, wenn der neue Router das Default Gateway des SBS ist (Internetzugang muss ja klappen, OWA funktioniert schliesslich auch) ? Sind im SBS 2 Netzwerkkarten verbaut und macht er NAT ? Ist das ein DNS-Problem (Weiterleiter) ? Beschreibe bitte genau, wie das Netzwerk grundsätzlich beschaffen ist, ob der SBS routet, wie sein DNS konfiguriert ist, wie der alte Router routet (DSL, Kabel oder was weiss ich) ...

Was meinst Du mit "zusammenfassen" ? Sollen die dann beide über einen Internetzugang oder hat nach wie vor jeder seinen eigenen ?

Oder ne Pfadregel und dort die NET.EXE eintragen. Die kann man dann auch hinkopieren, wohin man will. Wenn man sie umbenennt, kann man sie allerdings ausführen. Naja, ich schliesse mich dann auch noch mal der Meinung der Kollegen an, das ist nichts Halbes und nichts Ganzes ...

Schau mal in den oben verlinkten Artikel. Wenn dann noch Fragen offen sind (was ich nicht glaube), meldest Du Dich noch mal ...

Ja genau, mit REGEDIT kann man eine Struktur laden (die NTUSER.DAT). HKEY_LOCAL_MACHINE oder HKEY_USERS markieren - Datei - Struktur laden ...

Was ergibt ein Test mit NSLOOKUP <FQDN>. ?

Okay ... und die Beantwortung der anderen Fragen ?

Wenn ein Laufwerk gemapped ist schon ...

Genau das meinte ich, Freigabe nicht auf Vollzugriff, sondern auf Ändern ... Das mit dem Besitz ist mir ein Begriff ... ;) Ich denke, dass hier Bedarf besteht, da es offensichtlich Probleme mit geänderten Berechtigungen gibt (und keiner will´s gewesen sein) ...

Wie kann es für 2 verschiedene Subnetze nur ein Gateway geben (oder meinst Du damit eine Appliance mit mehreren Schnittstellen). Poste bitte mal IPCONFIG /ALL beider DCs/DNS. Wie heisst die Reverse Lookup Zone beider Subnetze ? Ist die Replikation der Zonen vollständig erfolgt ? Registriert sich in diesen Zonen überhaupt jemand ? Wie testest Du die Reverse Auflösung ?

Ähm, wie sichert Ihr die Profile, einfach kopieren ? In der NTUSER.DAT sind Berechtigungen vergeben, möglicherweise liegt hier das Problem ...

Du kannst zumindest überwachen, wer Ordnerberechtigungen verändert hat. Hier ist ein guter Artikel, der sich mit der generellen Überwachung eines Servers beschäftigt (natürlich auch mit der Objektüberwachung) ... Microsoft Windows Server 2003 überwachen, Teil 1 (Gastbeitrag tecCHANNEL) Allerdings ist es schon schlimm genug, dass jeder überhaupt Berechtigungen verändern kann ...

Ich würde es auch so machen, wie XP-Fan es vorgeschlagen hat. In Freigaben stellt man in der Regel keine gruppenbasierten Berechtigungen ein, es sei denn, das Dateisystem ist FAT/FAT32 ...

Ich hoffe, ich habe Dein Anliegen richtig verstanden und Du möchtest auf die Rechner so zugreifen können, als seien sie im lokalen Netzwerk. Ich denke, dass es mit dem Zugriff durch das NAT auf das hinter dem Netgear liegende Netz schwierig wird. Das ist ja auch der Grund, warum es derzeit nicht funktioniert. Man müsste entweder das NAT abschalten oder NAT im Sinne des Wortes konfiguieren (Network Address Translation und nicht NAPT bzw. PAT, wie es jetzt ist). Wenn sich sowas auf dem Netgear nicht konfigurieren lässt, ist es eher nicht praktikabel. Man kann natürlich Ports nach innen leiten, aber eben nur einen Port für eine Adresse. Man kann auch von aussen kommend einen Port angeben, der dann auf einen anderen intern übersetzt wird. Einen DMZ-Host kann man sicher auch eintragen, aber wahrscheinlich nur einen. Wenn Du nur von Subnetz 1 in Subnetz 2 möchtest, andersrum aber nicht, dann kannst Du die LAN-Seite von Router 2 mit der WAN-Seite von Router 1 verbinden, kommst dann von 2 nicht in 1 (also genau andersrum). Wenn ich das falsch verstanden habe und Du möchtest nur ganz bestimmte Dienste im Netz 2 benutzen, dann schildere bitte genau, welche Portumleitungen Du auf dem Netgear wie konfiguriert hast. Sind die Dienste erreichbar, wenn sie aus Netz 2 aufgerufen werden ? Befinden sich gleichartige Dienste auf mehreren Rechner in Netz 2 (z.B. FTP-Server auf 2 Rechnern) ? Was für Fehler bekommst Du eigentlich, wenn Du von Netz 1 aus einen Dienst in Netz 2 nutzt ?

Danke für die Rückmeldung und Lösung ... :)

Auf dem Netgear ist NAT sicherlich NAT aktiv (wozu sonst die Portweiterleitungen). Kann man das abstellen ? Nur bei abgeschaltetem NAT macht die Route ins 2er Netz über die 192.168.1.150 eigentlich erst Sinn ...

Terminaldienste zum Beispiel ...

Ohne zu wissen, was genau Du vor hast, würde ich mal sagen, dass es nicht geht (das im Wechsel nutzen), zumindest nicht ohne zusätzliche Konfiguration vor dem Wechsel ...

Das könntest Du z.B. mit einem VPN bewerkstelligen, womit Du direkten Zugriff hast. Die VPN-Verbindung kannst Du sowohl mit dem RRAS des Servers als auch mit einer VPN-Appliance terminieren. Diese Verbindung wird aber nicht sehr performant sein, da Du nur einen Bruchteil der Verbindungsgeschwindigkeit im LAN zur Verfügung hast. Du kannst Dir die Dateien auch offline verfügbar machen und würdest dann zu Hause so zugreifen wie in der Firma, allerdings nur auf die Dateien, die Du in der Firma auch offline verfügbar gemacht hast. Wenn Du wieder in die Firma kommst, werden die geänderten Dateien abgeglichen (sowohl die zu Hause als auch die in der Firma geänderten). Bestehen Konflikte , beispielsweise wenn Du eine Offline-Datei zu Hause geändert hast und in Deiner Abwesenheit ändert ein anderer Benutzer sie in der Firma, wirst Du beim Synchronisieren darauf aufmerksam gemacht und kannst entscheiden, was mit der Datei passieren soll. Offlinedateien sind allerdings nicht für jeden Datentyp geeignet, etwa nicht für Datenbankdateien ... Error message: "Files of this type cannot be made available offline"

Es ist im Grunde kein Problem der Namensauflösung (die funktioniert wunderbar), sondern eher ein Problem mit der Suffixsuchliste auf dem Server. Der Resolver funktioniert offensichtlich tadellos, denn bei einem PING oder so wird nur eine Abfrage zur Namensauflösung des Ziels an den DNS-Server geschickt. NSLOOKUP macht das anders, es benutzt erst die Suffixsuchliste, so dass eine Anfrage nach GOOGLE.COM nicht als vollständig angesehen wird und mit einem Suffix aufgefüllt wird. So wird also aus der Anfrage GOOGLE.COM ein GOOGLE.COM.CO.AT (das was Du auch im Sniffer gesehen hast). Da Dein Server aber nicht für COM.CO.AT zuständig ist (er ist für <Domain>.COM.CO.AT zuständig), schickt er es ins Internet. Der DNS-Server im Internet ist für diese Zone zuständig und hat einen Catchall-Eintrag. Das bedeutet für Euch, dass alle so formulierten Anfragen falsch beantwortet werden. Aber nicht, weil DNS nicht richtig funktioniert, sondern weil die Anfragen falsch formuliert werden und der letztendlich beantwortende DNS-Server so konfiguriert ist. Würde man eine Suffixsuchliste wie BLABLABLA.LOCAL konfigurieren, so wäre die erste Anfrage zwar falsch (GOOGLE.COM.BLABLABLA.LOCAL), die darauf folgende trifft dann aber (NSLOOKUP Auflösungen funtionieren dann auch ohne abschliessenden Punkt). Bei Dir wird die erste Auflösung (die falsche) vom externen Server beantwortet und dann ist Feierabend ... Du solltest unsere Ergebnisse, die wir über die ungewöhnliche Konfiguration bei Dir herausgefunden haben, den Supportern von Trendmicro mitteilen ...

Wenn Du nicht der Administrators des DNS-Servers bist, der diese Zone im Internet hostet, gar nicht. Musst Du aber auch nicht, Du musst im NSLOOKUP ja nur einen Punkt an den aufzulösenden Knoten anhängen, sonst nichts. Das alles hat ja auch keinen Einfluss auf die Namensauflöserei, wenn NSLOOKUP nicht benutzt (Websurfen, Mailing usw.) ...