IThome

Offline verfügbar machen ? Wann willst Du darauf zugreifen, wenn Du nicht in der Firma bist ? Greift ausser Dir noch jemand auf den Ordner zu ?

Sicher geht das, allerdings nicht beide als 0-Route, wenn es keine Fehlertoleranzkonfiguration sein soll ...

Es ist nicht klug 2 Default Gateways zu konfigurieren. Mehrere Default Gateways werden eigentlich zur Fehlertoleranz konfiguriert. Will man diese Funktion nicht nutzen und konfiguriert trotzdem mehrere Gateways, verhält sich der Rechner meistens nicht so, wie man es erwartet. Am besten konfigurierst Du nur ein Default Gateway und setzt die Karte, über die am meisten kommuniziert wird, in der Bindungsreihenfolge an die erste Stelle (Netzwerkverbindungen - Erweitert - Erweiterte Einstellungen, danach neu starten). Bei mehreren Default Gateways kommt zudem noch die (automatische) Metrik zum Tragen. Je höher die Geschwindigkeit der Karte, desto geringer ist dessen Metrik, wodurch sie langsameren Karten gegenüber bevorzugt wird. Die automatische Metrik kann man aber auch abschalten und die Metrik händisch konfigurieren. Multiple Default Gateways Can Cause Connectivity Problems Default Gateway Configuration for Multihomed Computers An explanation of the Automatic Metric feature for Internet Protocol routes

Ja genau, das Verhalten bei Dir ist normal. Bei Dir kommen 3 Dinge zusammen: Zum ersten der Catchall-Eintrag des DNS-Server für COM.CO.AT, der interne Name, der wie der externe Name ist (dieser Name also auch in der Suffixsuchliste steht) und das Verhalten von NSLOOKUP, wenn man keinen abschliessenden Punkt eingibt ... Also keine Sorge, alles gut ... Der *.blabla wäre ein Catchall bei Dir, allerdings geht die Anfrage aus Deinem ersten Post zu COM.CO.AT, der auch einen Catchall hat. Hast Du auf diesen DNS-Server auch Zugriff ? Ich denke nicht, dass mit dem Löschen des * Dein "Problem" gelöst ist (was ja kein Problem, sondern normales Verhalten ist) ...

Firewall auf den Clients ? Poste mal bitte IPCONFIG /ALL des Servers und des VPN-Clients, wenn er verbunden ist ...

Hehe, ich sehe gerade, das ist doch richtig :D (habe ich irgendwie übersehen, vielleicht weil es signalrot war ;)). Es ist der primäre Suffix (<domain>.co.at) und der übergeordnete Suffix des primären Suffixes (co.at). Im Übrigen ist das alles kein Problem, da es eine Eigenart von NSLOOKUP ist, denn Du hast ja keine Probleme beim Surfen ... http://support.microsoft.com/kb/200525/en-us Zitat: "# Nslookup will always devolve the name from the current context. If you fail to fully qualify a name query (that is, use trailing dot), the query will be appended to the current context. For example, the current DNS settings are att.com and a query is performed on http://www.microsoft.com; the first query will go out as http://www.microsoft.com.att.com because of the query being unqualified. This behavior may be inconsistent with other vendor's versions of Nslookup, and this article is presented to clarify the behavior of Microsoft Windows NT Nslookup.exe # If you have implemented the use of the search list in the Domain Suffix Search Order defined on the DNS tab of the Microsoft TCP/IP Properties page, devolution will not occur. The query will be appended to the domain suffixes specified in the list. To avoid using the search list, always use a Fully Qualified Domain Name (that is, add the trailing dot to the name)." NSLOOKUP fügt also gleich einen der konfigurierten Suffixe an und schickt diese Anfrage auf die Reise. Bei einer Anfrage GOOGLE.COM.CO.AT ist Dein Server nicht zuständig (er ist nur für domain.co.at zuständig) und leitet es weiter. Wenn Du z.B. ein PING durchführst, wird zuerst ein . angehängt, wenn er nicht explizit angegeben wurde, was den Namen zu einem FQDN macht und daher auch kein Anhängen eines Suffixes erfolgt. Hänge bei NSLOOKUP also einen Punkt hinten ran und gut is´ ... :). Mit der Suffixsuchliste war ich übrigens auf dem falschen Dampfer (das passt zu einem anderen Problem ;)). Der DNS-Server im Internet für COM.CO.AT hat einen Catchall, was zusammen mit dem Verhalten von NSLOOKUP zu den falschen Ergebnissen führt. Eine Anfrage NSLOOKUP BLABLABLA.COM.CO.AT ergibt die Ausgabe, die Du eingangs gepostet hast ... Junge Junge, das war ´ne schwere Geburt ... :)

Ich meinte die benutzerdefinierte Suffixsuchliste mit und ohne Punkt. Die Suffixsuchliste ist <domain>.co.at(.) und co.at(.) ...

Die benutzerdefinierte Suffixsuchliste kannst Du in den Eigenschaften der Netzwerkkarte - Internetprotokoll - DNS - "Diese DNS-Suffixe anhängen" ändern. Probiere mal mit und ohne abschliessenden Punkt. Teste NSLOOKUP auch mal so wie oben beschrieben, aber der soll den internen DNS-Server benutzen (also keinen Server an das Ende des Befehls schreiben).

Ich sehe da zumindest kein technisches Problem, solch eine Policy auch woanders zu verlinken. Die Rechner, die die Einstellungen dann erhalten, sind danach restriktiver eingestellt als sonst. So wie ein DC eben. Machen würde ich es aber trotzdem nicht. Ich würde mir eine separate Richtlinie erstellen, die die notwendigen Sicherheitseinstellungen beinhaltet und diese dann verlinken ...

Das funktioniert auch mit dem Windows-FTP Tool, mit dem man eine Datei mit den entsprechenden FTP-Befehlen nutzen kann, die dann nacheinander ausgeführt werden. Das alles kann man dann zeitplanen ...

Wenn Du einen anderen DNS-Server zum Auflösen via NSLOOKUP benutzt, kann es ja kein Fehler des DNS-Servers bei Dir sein. Es muss ein Fehler bei der Auflösung unvollständiger Namen sein, was vom Resolver gemacht wird. NSLOOKUP bedient sich nicht des Resolvercaches und schreibt dort auch nichts rein. Deswegen brauchst Du den Cache vor der Abfrage auch nicht löschen. Versuche bitte mal Folgendes: Führe eine NSLOOKUP Abfrage durch, die so aussieht - NSLOOKUP Google. <externer DNS-Server> (also nach der aufzulösenden Seite einen Punkt setzen, was den Namen zu einem FQDN macht). Schau Dir mal das Ergebnis im Sniffer an. Prüfe das Ergebnis auch mal auf einem Client im Netzwerk, der die Abfrage so wie beschrieben ohne abschliessenden und mit abschliessendem Punkt durchführt (beide Abfragen an den externen Server). Machen die das genau so ? Poste bitte mal IPCONFIG /ALL des Servers bzw. des Gerätes, welches sich so wie beschrieben verhält.

Eventuell ein NAT-Traversal Problem ? How to configure an L2TP/IPsec server behind a NAT-T device in Windows Vista and in Windows Server 2008

Hallo und herzlich willkommen, damit wirst Du keinen Erfolg haben, Du benötigst einen VPN-Client dafür (wenn es IPSec sein soll), den der Kunde laut Deiner Aussage schon installiert haben muss (mehrere sogar). Welche Clients sind denn da installiert ? Eigentlich benötigt man für einen Zugriff via IPSec nur einen Client, dem man verschiedene Zugänge konfiguriert (NCP oder Safenet z.B.). Die X1000 kann aber auch PPTP, was wiederum dann mit dem Microsoft Client konfigurierbar wäre ... Firebox X1000: Firebox X Core | WatchGuard Nur mal am Rande: Die X-Serie hat Ende diesen Jahres "End of Life", Du bekommst also bald z.B. keine Livesecurity mehr ... Gruss Sven

Hast Du auch eventuell wirksame Gruppenrichtlinien kontrolliert, ich meine damit die Einstellung "Speichern von Kennwörtern nicht zulassen" (Client) bzw. "Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern" (Server) unter Computerkonfiguration - Administrative Vorlagen - Windowskomponenten - Terminaldienste - "Verschlüsselung und Sicherheit" und "Client" ?

Wenn Du NSLOOKUP ausführst und einen anderen DNS-Server auswählst, dann ist alles okay ? NSLOOKUP Google 194.25.2.129 z.B. Poste bitte auch mal IPCONFIG /ALL des Servers ...

Das sind ja auch keine TCP Anfragen, das sind UDP Anfragen. Auf jeden Fall den DNS-Cache und den Clientcache löschen ... Du machst aber alle Tests ausschliesslich auf diesem Server oder ?

Gar nicht, dafür benötigst Du Citrix ... Das Laufwerksmapping funktioniert erst seit dem 2003 Server RDP . Für 2000 habe ich folgendes gefunden, was ich allerdings nie selbst ausprobiert habe ... Using Drive Share with Terminal Services

Ähm, hast Du denn die Mitgliedschaft dieser Gruppe auf dem TS mal überprüft ? Wem wird denn der Zugriff in der Terminalserverkonfiguration erlaubt (per Default sind es die Remotedesktopbenutzer) ?

Konfiguriere eine bedingte Weiterleitung auf l2vwl01.doma.vwl für die Domäne domb.loc erreichbar über die Adresse 193.197.38.116 und eine bedingte Weiterleitung auf dc01.domb.loc für die Domäne doma.vwl erreichbar über 193.197.38.181. Auf beiden DNS-Server konfigurierst Du eine bedingte Weiterleitung für "Alle anderen DNS-Domänen" mit der Adresse des Linux oder eines externen DNS-Servers ...

Du weisst doch, dass das Logging von Userzugriffen eine rechtlich haarige Angelegenheit ist, die wir hier nicht supporten können ... Daher schliesse ich den Thread und bitte um Dein Verständnis ...

Einer der DCs ist also virtualisiert ? Welchen Grund hat es, dass Du mit sekundären Zonen und nicht mit bedingten Weiterleitungen arbeitest ? Hast Du beide DCs schon mal NETDIAG überprüft ? Wer ist die 193.197.38.183, ein zweiter DC mit DNS ?

Ja, schon klar, aber welcher Hersteller ? ISA-Server ?

Wenn sowieso alle eine statische IP haben, benötigst Du auch keinen DHCP-Server ... Welcher Proxy ?

Was siehst Du denn bei einem NSLOOKUP (was ja nicht richtig ist) ?

Ich habe 2 Kunden, bei denen es weder mit dem selbstsignierten Zertifikat des SBS noch mit einem mittels SelfsSSL erzeugten Zertifikat funktionierte. Dort musste ich eine Zertifizierungsstelle einrichten ...