IThome

Mal zum Verständnis: Wenn sich diese Benutzerin an dem besagten PC anmeldet, der schon mal aus der Domäne entfernt und wieder zugefügt wurde, gibt es Zugriffsprobleme. Weiterhin hast Du die Zeit synchronisiert und das Benutzerprofil am besagten PC gelöscht und neu erstellen lassen. Das Computerkonto wurde nach dem Entfernen aus der Domäne und vor dem erneuten Zufügen zur Domäne im Active Directory zurückgesetzt. Jetzt funktioniert der Zugriff aber immer noch nicht und die Meldungen in der Ereignisanzeige sind gleich geblieben (poste sie noch mal) ...

Wo sollen sich die Supportbenutzer via RDP anmelden, beim Anmelden an welchen Rechnern tritt dieser Fehler auf ? An den Domänencontrollern ? Was sollen die auf den DCs (wenn es denn welche sind) via RDP machen ?

Hast Du mal ihr Benutzerprofil gelöscht (natürlich nachdem Du es gesichert hast) und dann neu erstellt ?

Was hast Du denn bis jetzt alles gemacht ?

Ach so, zwei Adressen auf einer Karte. Man kann definieren, was der DC an A-Einträgen registriert ... Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS Man sollte nicht 2 Karten im selben Segment haben (hast Du ja nicht) ...

NWLInk hat damit nichts zu tun und muss auch nicht installiert sein. Welche Hosts sind denn die 10.11.12.13 und 10.11.12.14 ?

Kannst Du direkt installieren ...

Ist da was von Acronis installiert ?

Naja, schon, sonst wäre es ja kein Layer 3 Switch ...

Dann gib dem Router eine 2. IP ... Und wenn Du das auch nicht willst und keine weiteren Geräte eingesetzt werden sollen, dann geht das nicht ...

Deaktiviere auf der Karte, die nicht registriert werden soll, die dynamische DNS-Registrierung UND stelle im DNS-Server ein (wenn er auf diesem DC läuft), dass nur auf der Karte abgehört werden soll, die sich auch eintragen soll ... Eigentlich sollte es aber kein grosses Problem darstellen, wenn der DC die Einträge beider Karten registriert, da der DNS-Server die Antwort so formuliert, dass die Adresse des anfragenden Subnetzes an erster Stelle steht (Subnetzmaskenanforderung). Wenn allerdings beide Karten eine Adresse aus dem gleichen Bereich haben, klappt das nicht. Solch eine Konfiguration wird nicht unterstützt ...

Poste bitte mal IPCONFIG /ALL des VPN-Clients bei bestehender Verbindung ...

1. Du musst auf dem Router (falls Du einen hast) eine Portweiterleitung für den Port TCP 80 auf die externe Schnittstelle des RRAS einrichten. Falls es schon eine andere Umleitung für Port TCP 80 gibt, muss entweder der Port für die Website verändert werden oder Du musst mit Port-Redirection arbeiten (von aussen Port TCP 8088 z.B. benutzen, der nach innen zu Port TCP 80 geleitet wird). Weiterhin muss auf dem RRAS die Weiterleitung nach innen konfiguriert werden. 2. Du legst Dir eine DNS-Zone xxx.yyy.de an und erzeugst dort einen Hosteintrag ohne Namen mit der IP-Adresse von Server B.

Wenn Du den 2003er zum Router machst, musst Du sehr sorgfältig konfigurieren, um Probleme bei der Namensauflösung z.B. zu vermeiden (der Server ist ja auch WINS und DNS). Rein lastmässig wird das wenig ins Gewicht fallen, allerdings würde ich einen DC trotzdem nicht zum LAN-Router machen.

Man würde den Server mit der zweiten Karten an den Router hängen und den Server zum NAT-Router machen (etwas mehr Sicherheit). Allerdings kann man auf einem SBS 2008 leider keine NAT-Router Funktionen mehr einschalten. Das Teaming der Netzwerkkarten lässt sich mit einer speziellen Software einschalten, die dann aber bei den Karten dabei sein muss. Diese Karten werden dann quasi zusammengefasst, es wird eine neue (virtuelle) Netzwerkkarte erzeugt und die Teamingsoftware übernimmt dann die Steuerung. Bei Intel z.B. kann man u.a. Fehlertoleranz oder Loadbalancing einschalten ...

Stelle in der lokalen Sicherheitsrichtlinie des SBS unter Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen - "Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen" auf Aktiviert. Wenn am Server keiner angemeldet ist, erscheint dann der Button "Herunterfahren", der jetzt ausgegraut ist. Am Server darf dann interaktiv natürlich keiner angemeldet sein ... Der Server kann dann natürlich von jedem heruntergefahren werden, sofern an der Serverkonsole niemand angemeldet ist. Ob das so gut ist ?

Äh ... :confused: Funktioniert die Netzwerkumgebung intern ? Funktioniert der WINS-Server, sind dort die Rechner registriert ? Wie meinst Du das mit dem zweiten Netzwerkport ? Natürlich braucht man den nicht unbedingt, man kann ihn natürlich nutzen, z.B. als externe Schnittstelle zum Router oder beide zusammen als Netzwerk-Team. Was ist WLAN über PPPoE ?

Du setzt Dich an den betroffenen Rechner, gehst in die Systemeigenschaften - Computername - Ändern. Dort wählst Du Arbeitsgruppe aus und trägst irgendeinen Arbeitsgruppennamen ein. Danach neu starten, wieder in die Systemeigenschaften ... und fügst den Rechner erneut der Domäne zu. Vorher aber das Computerkonto zurücksetzen ...

WLAN über PPPoE direkt an den Server angeschlossen ? Funktioniert das denn intern mit kabelgebundenen Clients ?

Wenn nur passives FTP nicht funktioniert (beide Verbindungen kommen von aussen), aktives aber schon (Client verbindet sich mit Port TCP 21, was Du nach innen geleitet hast, Server verbindet sich aktiv mit dem Client. Also zuerst eingehend, dann ausgehend), dann lässt das auf den Router schliessen, nicht auf den Server. Wenn Du jetzt noch von innen via FileZilla PASSIV auf den Server zugreifen kannst, dann ist es ziemlich sicher der Router, nicht der Server ... Aktives FTP funktioniert ja ... Kontrolliere das Logfile Deines Routers ...

Ich denke ebenfalls nicht, dass es an der (sowieso sehr kurzen) TTL liegt. Das ist eher ein "Problem" der Boxen, die ein VPN nicht umgehend "verloren" geben, nur weil sich die Gegenseite mal nicht sofort meldet ... Also die Büchsen ausserhalb der Geschäftszeiten neu starten lassen, dann gibt es kein Problem der Trennung der DSL-Verbindung ... Ich gehe dabei davon aus, dass es tatsächlich ein LAN-LAN VPN ist und die Boxen (Firebox) von Watchguard kommen ...

Das ist wohl eher ein Problem Deines Routers, der mit passivem FTP nicht klar kommt. Bei passivem FTP werden beide Verbindungen (Steuer- und Datenverbindung) vom Client aus initiiert ...

Ja, bin ich, ich sehe es gerade. Das ist m.E. ein BOVPN (Watchguard) im aggressive Mode und das dynamische Gateway ist für kurze Zeit nicht erreichbar. Naja, wenn das Dyndns ist, dann ist die TTL gerade mal 45 Sekunden, was bei Dyndns in der Zone festgelegt wird und nicht im DNS-Server von Windows. Dazu kommt natürlich noch, dass das VPN getrennt wird und die Boxen erstmal merken müssen, dass der Partner gar nicht mehr da ist (Keepalive). Weiterhin hat auch die Firebox einen DNS-Cache, was bei dieser TTL aber wahrscheinlich uninteressant ist. Ich weiss also nicht, was das Verkürzen der TTL oder das Nicht-Cachen bewirken soll. Wenn das tatsächlich zwei Watchguards sind (Edges), dann würde ich da eher die neueste Software installieren und die Boxen nachts kontrolliert PPPoE neu starten lassen. Oder via Zeitschaltuhr die Dinger nachts für 5 Minuten abschalten ... Und wenn ich das auch wieder missverstanden habe, dann lasse ich es lieber :D

Du kannst mal den PC in eine Arbeitsgruppe bringen und dann erneut der Domäne zufügen. In Active Directory Benutzer und Computer kannst Du zusätzlich das Computerkonto dieses PCs zurücksetzen.

Hm, im Falle eines IPSEC-VPNs kann ich als ID im Grunde ja angegeben, was ich will. Ob das jetzt eine ID z.B. vom Typ Domänenname oder Emailadresse ist, ist ja gleich. In der Regel sind diese Tunnel im Aggressive Mode (auch bei der Firebox, wenn der TO dieses Watchguard Produkt meint). Mir ist jetzt nicht bekannt, dass gegengeprüft wird (abgesehen von den Proposals, PSK, ID), aber kann ja durchaus sein. Was jetzt im DNS registriert ist, ist ja dann nicht die öffentliche IP, sondern die, die im virtuellen Adapter konfiguriert bzw. zugewiesen wird (sofern die Registrierung überhaupt angeschaltet wird). Wenn der VPN-Client dann "seine" Adresse registriert hat, sollte er auch von innen aus ansprechbar sein. Vielleicht bin ich aber auch ganz am Anfang falsch abgebogen und schlussfolgere deshalb falsch ... :rolleyes: