IThome

Sind die Clients bzw. der Server in der Forward- und Reverse-Lookupzone registriert ?

Zitat aus http://vistablog.freenet.de/index.php/2009/01/02/rpc-wurm-ueberlistet-windows-update/: "Auch die Anwender von bereits gepachten Betriebssystemen sollten der vermeintlichen Sicherheit durch das Upadate nur bedingt trauen: Ist es dem Schädling gelungen, in ein System einzudringen, versucht er sich im Intranet bzw. heimischen Netzwerk breit zu machen, indem er versucht, eine Verbindung mit der sogenannten auf jedem Windows-PC eingerichteten “Administrativen Freigaben” (ADMIN$-Share) aufzubauen (Lexikon). Dabei probiert der Schädling eine ganze Reihe gängiger Standardpasswörter wie beispielsweise “superuser”, “qwerty”, “password” usw. aus (vor deren Verwendung immer und immer wieder gewarnt wird). Auf diesem Weg gelingt es dem Wurm häufig, sich auch auf Rechnern zu verbreiten, auf denen das RPC-Leck bereits verschlossen wurde."

Arbeitsplatz - Extras - Ordneroptionen - Offlinedateien - STRG+UMSCHLTG+Dateien löschen

Wenn es so sein soll, wie Du es geschildert hast, dann wirst Du nicht drum herum kommen, den entsprechenden Benutzern auf den jeweiligen Maschinen höhere Privilegien zu geben. Ob Hauptbenutzer ausreicht, wage ich jetzt mal zu bezweifeln ...

Kannst Du ja einfach testen, in dem Du dem Server einen DNS-Alias gibst (den alten Servernamen, sofern es diesen Namen in Deinem AD nicht mehr gibt). Du musst aber dann auch noch "DisableStrictNameChecking" in der Registrierung auf 1 setzen und neu starten. http://www.mcseboard.de/windows-forum-ms-backoffice-31/optionaler-servername-98231.html

Nein, wird sie nicht, die gibt es schon. Die Richtlinie wird auf Computerkonten von Membern angewendet, nicht auf den DC ...

Der DHCP sollte sie registriert haben. Kontrolliere in den Eigenschaften der beiden Zonen, ob sichere automatische Updates zugelassen sind und ob es eine Active Directory integrierte Zone ist. Wenn der DHCP-Server so eingestellt ist, wie weiter oben beschrieben, dann sollten sie registriert werden ... Du kannst dann auch schon mal die Clients der Domäne zufügen ...

Schön, Du solltest aber auf dem Vista Client nicht beide Karten gleichzeitig aktiv haben. Offensichtlich werden die DHCP-Requests an den DHCP-Server auf dem DC weitergeleitet, das funktioniert also auch. Du kannst jetzt noch kontrollieren, ob die Clients im DNS registriert werden. RRAS machen wir morgen ... Und schmeiss die verfluchte Personal-Firewall von dem Server runter, die hat da nix zu suchen ...

2. Firewall auf dem Server ? Was für ne Firewall ? Äh, was läuft , DHCP ? Selbst wenn, bleibt immer noch das Problem des WLAN-Clients ...

Der DHCP-Server auf dem Router ist also noch an (der sollte ausgeschaltet werden), weil der WLAN-Client eine Adresse von ihm bekommt. Weiterhin betreibt man nicht 2 verschiedene Netzwerkkarten im gleichen Subnetz. Und ausserdem habe ich geschrieben, dass Du die IP-Adressen manuell vergeben sollst. Teste das mit dem XP-Client und gib ihm manuell die Adresse 192.168.2.50/24, das Gateway 192.168.2.1, DNS-Server 192.168.2.10 und teste dann NSLOOKUP PING SERVER.PRIVAT.LOCAL ... Poste das Ergebnis ... Insgesamt gesehen solltest Du vom Betrieb eines Active Directorys und DHCP auf dem Server absehen. Der WLAN-Client benötigt eine IP-Adresse, die Du entweder manuell einstellst oder vom Router bekommst. Ich bezweifel, dass der Router DHCP-Pakete an den Server weiterleiten kann. Und wenn er das nicht kann, würden wieder 2 laufen müssen, wo wir wieder ganz am Anfang wären. Benutze das Teil als Dateiablage und fertig ...

??? Poste mal IPCONFIG /ALL vom XP-Client und dem Vista Client mit dem LAN/WLAN Zugang ... So wie das jetzt aussieht, erreichen die den DNS-Server gar nicht.

Arghh, wieder was vergessen, der Home-Client hat ja weder einen primären DNS-Suffix durch die Domänenmitgliedschaft, noch einen Verbindungssuffix durch DHCP. Gib PING SERVER.PRIVAT.LOCAL ein. Was hast Du als DNS-Server bei diesem Client eingetragen, 127.0.0.1 ?

Computer - rechtsklick auf das entsprechende Laufwerk - Schattenkopien ...

Wieso hat der Client die 192.168.2.1 als DNS-Server ? Trage mal die 192.168.2.10 als einzigen DNS-Server ein und führe NSLOOKUP (ohne Adresse oder Name) und PING SERVER (nicht PING 192.168.2.10) aus und poste das Ergebnis. Die Vista Home Maschine bekommst Du nicht in die Domäne, hast Du nur Home-Versionen (XP oder Vista) für die Clients ?

Was ergibt PING und NSLOOKUP ?

Nö, dann vergiss die Punkte und mach das erstmal (sorry, hab ich vergessen) ...

Erstmal weg damit, dann von Schritt 1 - 4 weiter machen ...

1. Gib dem Client eine feste IP (192.168.2.50/24,GW:192.168.2.1,DNS:192.168.2.10). Führe auf dem Client dann NSLOOKUP aus und poste das Ergebnis. Führe auf dem Client PING SERVER aus und poste das Ergebnis. 2. Deinstalliere (nicht deaktivieren) den Virenscanner auf dem Server. Welches Programm ist da eigentlich installiert (genaue Bezeichnung) ? 3. Falls das nicht funktioniert, verbinde einen PC oder Notebook direkt mit dem Server (Crossover) und teste erneut. Wenn das auch nicht klappt, führe folgendes aus ... 4. How to remove and reinstall TCP/IP on a Windows Server 2003 domain controller Danach musst Du die IP-Konfiguration erneut eingeben. Teste dann mit einem Client. 5. Klappt das auch nicht, installiere den Server neu ...

Jetzt gehst Du zu einem Client, der Mitglied einer Arbeitsgruppe und DHCP-Client ist und führst auf ihm ... IPCONFIG /RELEASE IPCONFIG /RENEW ... durch. Wenn er eine Adresse bekommen hat, poste IPCONFIG /ALL dieses Clients ...

Öhm, sorry, ich sehe gerade, das ist der falsche Thread für diese Antwort ... :suspect: :rolleyes: :D

Jetzt erzeugst Du Dir einen normalen Domänenbenutzer, den Du z.B. DHCP-Update nennst, mit dem Kennwort DHCP-Update (oder irgendwie anders). Dann öffnest Du die DHCP-Konsole und erstellst einen neuen Bereich, mit der Start-IP 192.168.2.100 - End-IP 192.168.2.149 mit einer 24er Maske (255.255.255.0). Als Optionen stellst Du ein: Router: 192.168.2.1 Übergeordnete Domäne: privat.local IP-Adresse DNS-Server: 192.168.2.10 WINS-Server: 192.168.2.10 Wenn der Bereich aktiviert wurde, klickst Du den Server rechts - Eigenschaften - DNS und setzt dort "DNS A- und PTR-Einträge immer aktualisieren" und den Haken für die Clients, die nicht selbst anfordern. Im Reiter Erweitert - Anmeldeinformationen trägst Du den oben angelegten Benutzer samt Domäne (PRIVAT.LOCAL) und Kennwort ein.

Ändere den DNS-Server noch mal von 127.0.0.1 auf 192.168.2.10. Dann öffnest Du die DNS-Konsole, und überprüfst die Zone privat.local (rechtsklick - Eihenschaften), ob die Zone Active Directory integriert ist und ob sie nur sichere Updates zulässt. Dann erzeugst Du Dir eine Reverse Lookup Zone und gibst dort 192.168.2 ein, ebenfalls Active Directory integriert und nur sichere Updates. Mit einem Rechtsklick auf den Server - Eigenschaften - Weiterleitungen trägst Du für "Alle anderen DNS-Domänen" die 192.168.2.1 ein. Danach führst Du IPCONFIG /REGISTERDNS durch ...

/24 steht für 255.255.255.0. Wenn Du allso so wie beschrieben eingestellt hast, dann führe DCPROMO aus und erzeuge eine Domäne, die Du <Irgendwas>.LOCAL nennst (benutze keine Umlaute). Im Rahmen von DCPROMO wirst Du gefragt, ob DNS installiert/konfiguriert werden soll, was Du positiv bestätigst. Wenn der Server dann neu gestartet ist, poste IPCONFIG /ALL des Servers ...

Diese Anforderung ist nicht zu realisieren ...

Ich sehe es nicht so, dass das Benutzerrecht fehlt. Es ist meiner Ansicht nach eher die Einstellung Benutzerkonfiguration - Administrative Vorlagen - Startmenü und Taskleiste - "Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern" per Richtlinie konfiguriert worden (was man mit RSOP.MSC ja sehen kann) ...