IThome

Wenn auf einem SBS ein DHCP Server eingerichtet wird, darf der Router nicht ebenfalls Adressen verteilen, da sich der DHCP-Dienst des SBS sonst beendet. Warum sollte man einen Client auf statische IP stellen, wenn man einen DHCP-Server betreibt ?

Das kannst Du mit Boardmitteln meines Wissens gar nicht. Dafür gibt es aber 3rd Party Software ... eMail senden von öffentlichen Adressen - MASK - Lucatec® GmbH, Bremen, Germany

Poste bitte mal IPCONFIG /ALL beider DCs ...

Nun ja, das würde ich jetzt eher als Gefrickel bezeichnen, auch wenn es (scheinbar?) funktioniert. Meiner Ansicht nach wäre eine professionelle Lösung eine Hardwareappliance mit mehreren Schnittstellen. So spart man sich die mehrfache Adressvergabe auf dem DC (wenn der Server DC ist) mit allen Nachteilen, die man sich dadurch in´s Haus holt. Ebenso muss man keine Routen auf den Clients einrichten ...

Sniffen kannst Du z.B. mit "Wireshark". Du solltest mal einen NSLOOKUP- und einen Namensauflösungsvorgang untersuchen, der vor einem Zugriff via HTTP oder ICMP (PING) o.ä. passiert (probiere mal PING http://WWW.MCSEBOARD.DE, lösche aber vorher den DNS-Cache des Servers und des Clients). Ich würde das auf dem DNS-Server direkt machen. Wireshark: Go deep. Welche Zonen hostet der Server eigentlich ? Hast Du den unbekannten Server in der DNS-Konsole schon entfernt ?

Ich würde eher auf einen Catchall Eintrag tippen, wogegen allerdings das ordnungsgemässe Funktionieren beim Surfen spricht ...

Ich kenne so etwas ähnliches allerdings mit meinem Draytek Router. Im Rechner meines Sohnes läuft ein Netgear WLAN-Stick, der ähnliche Mucken macht. Das passiert aber nur dann, wenn er mit WPA2/AES konfiguriert ist, mit WPA/TKIP nicht. Mein Notebook dagegen (Intel WLAN - Intel Software) hat damit überhaupt keine Probleme ...

Auf jeden Fall ist es nicht korrekt, dass beide Serverkarten ein Default Gateway eingetragen haben. Mehrere Default Gateways werden in einer Fehlertoleranzkonfiguration eingesetzt, die auch nur unter gewissen Umständen funktioniert. Wie der Kollege schon geschrieben hat, ist ein DHCP-Relay nicht notwendig, da der Server Netzwerkkarten in beiden DHCP-Bereichen hat. In der Grundkonfiguration hört er auch auf allen Karten ab, die in Benutzung sind. Wenn jetzt noch LAN-Routing auf dem RRAS konfiguriert ist, dann sollten die Pakete erstmal in beide Richtungen weitergeleitet werden können, so dass aus Netz 1 Router 2 und aus Netz 2 Router 1 erreichbar ist. Um jetzt ein vernünftiges Routing hinzubekommen, ist es zum einen entscheidend, wer welches Gateway eingetragen und wo zusätzliche statische Routen eingetragen werden. Angenommen, jeder Client soll über den Router im momentan verbundenen Netzwerk in das Internet und über die jeweilige LAN-Schnittstelle des RRAS die Rechner des jeweils anderen (internen) Netzwerkes erreichen. In diesem Fall würde das Default Gateway der Clients die Adresse des Internetrouters sein und auf diesem würde man eine statische Route in das gegenüberliegende Netzwerk (das interne) erreichbar über die dem Client zugewandte LAN-Schnittstelle des RRAS konfigurieren. Etwa so: 192.168.1.0 255.255.255.0 192.168.2.2 (auf dem Router 192.168.2.1). Der Client schickt also seine Anfrage an einen Host im 192.168.1.0 Netz an seinen Router (192.168.2.1). Dieser kennt eine Route in das Zielnetz und diese Route ist spezifischer als eine 0-Route, die der Internetrouter natürlich auch hat. Via ICMP-Redirect wird dem Client der Weg (eine neue Route) zugefügt, welcher er in Zukunft benutzen wird. Ohne ICMP-Redirect läuft der Weg immer über den jeweiligen Internetrouter. Selbstverständlich könntest Du eine solche Route auch auf jedem Client einrichten. Der Server selbst hat dagegen nur eine Default-Route, also auch nur ein Default Gateway. Welcher Router das sein soll, musst Du selbst entscheiden. Zwei Default Routen jedenfalls funktionieren u.U. anders, als Du es erwartest ...

Ich würde das (NSLOOKUP) mit einem Sniffer mitschneiden, um zu sehen, welche Anfragen wohin gehen und vor allem, wer sie wie beantwortet ...

Grosswesir wäre schick ... :D

Hallo Kollegen, vielen Dank für die vielen Glückwünsche :). Tja, was soll ich sagen, unverhofft kommt oft. Diesmal aber mal zur Abwechslung etwas sehr Erfreuliches. Die Mail habe ich am 1. April bekommen und war mir erst nicht sicher (das wäre dann ein wirklich erstklassiger und echt gut gemachter Aprilscherz gewesen :D). Ich freue mich riesig über die Ernennung und sie motiviert dazu noch zusätzlich. Und sie zeigt auch, dass es der richtige Weg war, sich hier "breit zu machen". Ich mache das gerne, wie so viele andere hier (ob mit oder ohne Titel). Aber solch ein Titel ist schon was Cooles, das muss ich ja zugeben ;) Auf weiterhin gute Zusammenarbeit Gruss Sven

Genau so ist es, wenn man Systemkomponenten nachinstalliert hat ... :)

Kannst Du schon, solltest Du aber nicht, denn dann kannst Du es auch mit dem lokalen System updaten lassen. Ein normales, deiziertes Benutzerkonto mit Benutzerprivilegien reicht aus ... Konfigurieren von dynamischen DNS-Updates in Windows Server 2003 Zitat "Achtung Die Funktion für sichere dynamische Updates ist möglicherweise gefährdet, wenn folgende Bedingungen erfüllt sind: Sie arbeiten mit einem DHCP-Server auf einem Windows Server 2003-Domänencontroller. Der DHCP-Server ist für die Registrierung von DNS-Einträgen im Auftrag seiner Clients konfiguriert. Stellen Sie DHCP-Server und Domänencontroller auf getrennten Computern bereit, oder konfigurieren Sie den DHCP-Server so, dass ein dediziertes Benutzerkonto für dynamische Updates verwendet wird, um dieses Problem zu umgehen" Zitat: "Ein dediziertes Benutzerkonto ist ein Benutzerkonto, dessen alleiniger Zweck die Bereitstellung von Anmeldeinformationen für DHCP-Server zur Registrierung dynamischer DNS-Updates ist. Angenommen, Sie haben ein dediziertes Benutzerkonto erstellt und DHCP-Server mit den Anmeldeinformationen dieses Kontos konfiguriert. Dann übergibt jeder DHCP-Server diese Anmeldeinformationen, wenn er mithilfe der dynamischen DNS-Updates die Namen von DHCP-Clients registriert. Das dedizierte Benutzerkonto sollte an der Stelle in der Gesamtstruktur erstellt werden, an der sich der primäre DNS-Server der zu aktualisierenden Zone befindet. Das dedizierte Benutzerkonto kann sich auch in einer anderen Gesamtstruktur befinden. Für diese Gesamtstruktur muss jedoch eine Gesamtstrukturvertrauensstellung mit der Gesamtstruktur eingerichtet sein, in der sich der primäre DNS-Server der zu aktualisierenden Zone befindet. Wenn der DHCP-Serverdienst auf einem Domänencontroller installiert wird, können Sie den DHCP-Server mit den Anmeldeinformationen des dedizierten Benutzerkontos konfigurieren, um zu verhindern, dass der Server die Rechte des Domänencontrollers erbt und möglicherweise missbraucht. Bei der Installation auf einem Domänencontroller erbt der DHCP-Serverdienst die Sicherheitsberechtigungen des Domänencontrollers und kann jeden DNS-Eintrag, der in einer sicheren Active Directory-integrierten Zone registriert ist, aktualisieren oder löschen. (Dazu gehören auch Einträge, die von anderen Windows 2000- oder Windows Server 2003-Computern sowie von Domänencontrollern sicher registriert wurden). "

"NET LOCALGROUP Administratoren <Domain>\<User> /ADD" auf dem Rechner, auf dem der User zugefügt werden soll. Das Skript kann aber nicht als Anmeldeskript ausgeführt werden, wenn der angemeldete Benutzer keine Administratorenprivilegien hat. In diesem Fall muss es ein Computerstartskript sein. Eine weitere, u.U. bessere Möglichkeit ist die Konfiguration via GPO und "Eingeschränkte Gruppen" ...

Windows Me und IPSec mit einem DC ? Das hat ja mit dem AD-Client nichts zu tun, der bietet keine IPSec-Unterstützung. Naja, ich würde sowas nicht mehr integrieren wollen, der fehlenden Sicherheit und Verwaltung wegen ...

Schau mal hier, ist ein ähnliches Problem ... http://www.mcseboard.de/windows-forum-ms-backoffice-31/dns-problem-139072.html

Kann der auch L2TP und PPTP ? edit: Hm, das können die oben genannten kostenpflichtigen Clients auch nicht, zumindest PPTP nicht ...

Ist ja aber auch die Frage, von welchem Server hier gesprochen wird, denn bedingte Weiterleitungen gibt es erst ab 2003 ...

Da kenne ich jetzt nur kostenpflichtige, die von NCP oder Safenet ...

Sehe ich genauso ... selbst gemachtes Leid ... Benutze den DHCP des SBS und Deine Probleme sind verschwunden ...

TCP 445, UDP 137-138, TCP 139 Service overview and network port requirements for the Windows Server system

Muss man doch, wenn man migrieren will ... Hast Du das nach folgender Anleitung gemacht ? How to install Small Business Server 2003 in an existing Active Directory domain

Den unteren Teil benötigst Du nicht, da eine 0 Route schon eingetragen wird, wenn Du die 254 als Default Gateway (Router) verteilst. Die Option 249 kannst Du benutzen, so wie Du geschrieben hast ...

Das heisst also, Du hast den Regkey korrekt gesetzt und neu gestartet ? Bringt der D-Link keinen eigenen VPN-Client mit ?