IThome

Einfache Dateifreigabe aktiviert ? NetBIOS über TCP/IP deaktiviert ?

Was denn sonst ? Man verbindet sich nur mit Session 0 ;)

Besonders die der Authentifizierung des Servers/RAS-Richtlinie, den Baum, NAT, Schnittstellen ...

Hast Du die Möglichkeit, Screenshots von der Konfiguration des RRAS zu posten (via externem Filehoster) ?

Das ist der RRAS und seine Basisfirewall ...

So, ein letztes Mal: Auf einem SBS 2008 Standard wie auf einem SBS 2003 gibt es KEINE Terminaldienste. Mit einem SBS2008 Premium kann man Terminaldienste verwenden, weil ein 2008 Standard dabei ist, der entweder auf einer zweiten Maschine oder virtuell installiert wird. Auf dem 1. Server (der, wo Exchange usw. drauf ist) können beim Premium auch keine Terminaldienste eingerichtet werden. In einem SBS2003 Netz kann ein weiterer 2003 Server (nicht SBS) installiert werden, auf dem dann die Terminaldienste laufen können. Existiert kein zweiter Server, kann man den SBS via Transition Pack zum Standard Server machen und auf diesem dann Terminaldienste aktivieren ... edit: Achso, noch was. Remote Webarbeitsplatz Funktionalität verbindet sich nicht mit einem Terminalserver, sondern via Remotedesktop mit einem Arbeitsplatzrechner (mindestens XP) oder als Administrator via Remotedesktop mit dem SBS ...

Wenn Du es so gemacht hast, wie beschrieben, dann löst der Server ausschliesslich über sich selbst auf und wendet sich immer an den DNS-Server, der jetzt nur noch auf der 192.168.0.x Adresse läuft. Der DNS-Server selbst leitet entweder weiter oder löst über die Root auf. Das Gepostete ist kein DNS ... Schalte mal die Windows-Firewall ab (oder meinst Du die Basisfirewall auf der externen Schnittstelle) ?

Okay, also steht im RRAS Windows-Authentifizierung und Windows-Kontoführung ?! Und mit aktiviertem PAP auf dem Server und dem Client funktioniert der Zugriff ? Werden Meldungen in der Ereignisanzeige protokolliert ? Ist das eigentlich ein DC ? Oder ist das Member bzw. Standalone Server, der RRAS ausführt ? Welche Firewall läuft auf dem Server ?

Was steht in der RRAS-Konsole in den Eigenschaften des Server - Sicherheit bei Authentifizierungsanbieter und Kontoanbieter ?

Von intern ? Was hast Du denn als Authentifizierung ausgewählt ? Hast Du diesbezüglich etwas auf dem Server oder dem Client verändert ? Hört sich so an, als hättest Du RADIUS für die Authentifizierung ausgewählt ...

Sowas kann man mit dem RRAS machen, auf dem eine Wählen bei Bedarf Verbindung konfiguriert wird. Diese Verbindung enthält die Einwähldaten der Gegenseite und kann mit Hinauswählzeiten, Wählen bei Bedarf Filtern und automatischer Trennung konfiguriert werden. Wenn diese Verbindung erzeugt wurde, wird das NAT-Protokoll zugefügt, die Wählschnittstelle als öffentlich und die LAN-Schnittstelle als privat deklariert. Die Clients, die diese Verbindung nutzen sollen, bekommen jetzt noch eine Route in das Zielnetz über die LAN-Schnittstelle des RAS-Servers und fertig ... "Gemeinsame Nutzung der Internetverbindung" würde ich nicht benutzen ...

Eigentlich 3, 2 RDP + 1 Konsolensitzung ...

Macht er denn jetzt NAT oder nicht ? Auf der externen Karte aktivierst Du ausschliesslich die Bindung für das Internetprotokoll (die anderen Haken raus). In der Bindungsreihenfolge setzt Du die interne Karte an die erste Stelle (Eigenschaften Netzwerkverbindungen - Erweitert - Erweiterte Einstellungen). Im DNS-Server konfigurierst Du, dass er nur auf der internen Adresse abhört, im DHCP-Server auch. Danach deaktivierst Du den RRAS noch mal und startest dessen Assistenten neu, wählst VPN-Zugriff und NAT aus und deklarierst die externe Karte als öffentlich, legst die Adressvergabe fest (falls DHCP, musst Du die DHCP-Server Adresse noch im Relay Agent eintragen) und lässt den RRAS authentifizieren. Auf einem internen Client erzeugst Du dann eine neue VPN-Wählverbindung mit Standardeinstellungen, probierst es aus und meldest Dich dann noch mal ...

Was soll man auch mit mehr als 2 Verwaltungs-Remotedesktop-Sitzungen für einen Webserver ?

Was hast Du denn für einen Assistenten ausgewählt ? Falls NAT konfiguriert ist, siehst Du das in der RRAS-Konsole unter IP-Routing. Konfiguriere auf der externen Karte, dass auch dort als bevorzugter DNS-Server die 192.168.0.1 steht. Konfiguriere auch nach dem folgenden Artikel, falls auf dem RRAS auch WINS/DNS installiert ist ... Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS Wenn das fertig ist und der Server einmal neu gestartet wurde, schauen wir weiter ...

Ich habe eine PKI installiert und ein Webserverzertifikat angefordert. Dieses Webserverzertifikat hat als Anzeigenamen den, den ich als Serveradresse im iPhone eingebe. Das Stammstellenzertifikat habe ich exportiert und auf dem iPhone installiert (es kommt also keinerlei Meldung beim Verbinden via OWA oder ActiveSync auf dem iPhone). Auf dem SBS habe ich mit dem Serverkonfigurationsassistent (mit dem Internet verbinden) OWA und Outlook Mobile Access als von aussen zugreifbar installiert und habe das vorher installierte Zertifikat beibehalten. Weiterhin habe ich eine neue primäre, nicht dynamisch updatebare, nicht AD-integrierte Zone erstellt, die ebenfalls den Namen hat, den ich im iPhone eingebe (z.B. activesynckunde.dyndns.org). In ihr habe ich einen Host mit der internen Adresse des SBS, aber ohne Namen erstellt. Ich habe keine Verbindung mit einem selbst erzeugten (SELFSSL) oder dem vom SBS erzeugten Zertifikat hinbekommen, deswegen die Zertifikatdienste installiert ...

Verbindest Du Dich via /console oder /admin ?

Poste bitte mal IPCONFIG /ALL des Servers. Ist der als NAT-Router konfiguriert ?

Auf dem SBS 2003 läuft Exchange 2000 ?

Ist diese Authentifizierungsmethode auf dem Server überhaupt zugelassen (in der RRAS-Konsole Eigenschaften Server - Sicherheit - Authentifizierungsmethoden) ?

Bei beiden Installationen, die ich gemacht habe, hat es trotz FBA und OWA/SSL funktioniert. Oder meinst Du gar nicht mich ? :D

Pro Domäne kann es nur 1 SBS geben (es kann aber durchaus ein weiterer DC installiert werden, der aber kein SBS sein darf), alles weitere ist gegen die Lizenzbestimmungen und funktioniert nicht ... Bevor irgendwelche Tips kommen, wie man sowas (unberechtigterweise) umgehen kann, schliesse ich den Beitrag und bitte um Dein Verständnis ...

Poste mal IPCONFIG /ALL und ROUTE PRINT bei bestehender VPN-Verbindung ...

Wenn die Netze physikalisch getrennt sind, dann ja. Anderenfalls hat die Adressierung im Falle von DHCP null Bedeutung, solange sie sich innerhalb einer Broadcast-Domäne befinden.

Die DHCP-Server werden Probleme machen, da sie sich beenden, wenn sie einen weiteren DHCP-Server im Netzwerk finden ...