IThome

Ach so, das sind die Optionen des Routers, nicht die des Servers ?! Naja, an den Optionen wird es nicht liegen. Ist das ein Small Business Server ?

Was vergibt denn der Router für Optionen ? Welchen DNS-Server vergibt er ? Kann er die WINS-Server und Knotentypoption verteilen ? Nicht die Gruppenrichtlinien, sondern die Gruppenrichtlinie. Du musst nur die Verknüpfung deaktivieren und dann GPUPDATE durchführen. Ist das ein Small Business Server ?

Erstaunlich ... :D Naja, auf dem Server kann man ja die Konflikterkennung einschalten und der Client macht einen Gratuitous Arp, schön ist das aber nicht, solltest Du Dir mal mit nem Sniffer anschauen ... Eigentlich sind IP-Konflikte vorprogrammiert ...

Das musst Du herunterladen ... Die Firewall wurde nicht von Microsoft grau hinterlegt, sondern durch eine entsprechende Gruppenrichtlinie, die die Windows-Firewall einstellt (schalte die mal aus, GPUPDATE und versuche es erneut). Öhm, IP-Router 192.168.2.1, Server 2.1, Bereich 100-199 (etwa von beiden verteilt ?) ? Das ist auch kein Small Business Server, gell ?

Achso, zusätzlich zu den weiter oben schon genannten Fragen: Ist der Server multihomed ?

Firewall oder RRAS/Basisfirewall auf dem DHCP an ? Welche IP-Adresse/Subnetzmaske hat der DHCP-Server und welchen Bereich willst Du verteilen (von - bis) ? Du kannst auch auf einem Client mal mit DHCPLOC testen, welche Server sich überhaupt melden ... Wenn 2 DHCP-Server in einem Subnetz zu Fehlertoleranzzwecken eingesetzt werden, stellen beide die volle Range zur Verfügung und jeder Server schliesst einen Teil der Adressen aus: Beide Server verteilen z.B. 192.168.100.10 - 192.168.100.254. Server 1 schliesst 192.168.100.10 - 192.168.100.122 aus, Server 2 192.168.100.123 - 192.168.100.254. Das macht man wegen der sonst vorkommenden DHCPNACK-Meldungen der Server ...

Wo nicht, nirgendwo ? Hat der VPN-Client eine integrierte (wie Cisco z.B.) ?

Äh, wie bitte ? Was hat das eine mit dem anderen zu tun ? Für mich sieht das auch nach einem Firewallproblem aus ...

Auch das wird, bei korrekter Konfiguration, Dein Problem nicht lösen (wie schon mehrfach beschrieben) ...

Der DHCP des Routers muss als Option die IP des SBS (und nur die) als bevorzugten DNS-Server übermitteln. Und genau diese Tatsache macht dieses Vorhaben komplett unsinnig, da der Client bei abgeschaltetem SBS zwar eine IP hat (die hätte er aber auch, wenn der SBS der DHCP-Server wäre), er aber wegen des nicht laufenden DNS-Servers keine Namen im Internet auflösen kann, also auch nicht surfen kann ... Schön wäre es, wenn er auch das Verbindungssuffix zusätzlich übermittelt (muss aber nicht unbedingt sein) ... Das Fehlverhalten der Assistenten, wie schon mal beschrieben, bleibt allerdings, wenn der Router als DHCP-Server eingesetzt wird ...

Eigenartige Schlussfolgerung ... :suspect: In 2 Dienste aufteilen ? Was aufteilen ? Natürlich sollte man wissen, was man tut, wenn man Active Directory einführt, wie bei allen anderen Dingen auch. Ich sehe das nicht als Hürde, sondern als Notwendigkeit an ... Es hängt übrigens nichts am DHCP, dieser Dienst ist für einen Netzwerk-/AD-Betrieb nicht notwendig. Der DNS-Dienst dagegen schon ...

Hätte mich ehrlich gesagt auch gewundert, wenn die das abgeschafft hätten ... :)

Naja, wenn er keine Appliance kaufen will, was bleibt Dir da noch ? Um es möglichst sicher zu machen, spendiere dem Server eine zweite NIC und konfiguriere NAT/Firewall und VPN. Benutze L2TP/IPSec mit Zertifikaten, welches die sicherste VPN-Variante mit dem Windows-Server ist. PPTP ist nicht unsicher, wenn man die Kennwörter entsprechend lang und komplex macht. Mit PPTP kann man auch Zertifikate benutzen, Benutzerzertifikate ...

Ich weiss jetzt nicht, wie das beim SBS 2008 ist, aber beim SBS 2003 hat sich der DHCP-Dienst beendet, wenn ein weiterer DHCP-Server im lokalen Subnetz gefunden wurde. Wenn der DNS-Server des SBS (oder ein anderer, SRV-Resource Records unterstützender DNS-Server) nicht als bevorzugter DNS-Server eingetragen ist, funktionieren z.B. Gruppenrichtlinien nicht. Active Directory setzt auf DNS auf, also MUSS ein solcher DNS-Server eingesetzt werden. In die Konfiguration eines Domänenrechners kommt überhaupt kein Nicht-AD-fähiger DNS-Server. Der Client wird seine IP-Adresse nicht verlieren, wenn beim Neustart der SBS nicht läuft. In´s Internet kommt er aber trotzdem nicht, da kein DNS-Server zur Verfügung steht. Entscheidend ist bei Dir nicht, wer die IPs vergibt, sondern welcher DNS-Server benutzt werden soll/muss, um einen reibungslosen Active Directory betrieb zu gewährleisten ...

AD heisst Active Directory. Der DHCP-Server von Windows hat den grossen Vorteil, dass er die Clients im DNS registrieren kann, auch in sicheren, Active Directory integrierten Zonen (z.B. mit einem Benutzer, der nur geringe Privilegien hat). Ein Rechner verliert auch seine geleaste IP-Adresse nicht, wenn der DHCP-Server mal nicht da ist, solange er sein Default Gateway anpingen und natürlich seine Leasetime nicht abgelaufen ist (Default 8 Tage). Die Clients haben bei heruntergefahrenem SBS die Internetzugriffsprobleme nicht, weil sie keine IP mehr haben, sondern weil es keinen DNS-Server mehr gibt, der ja auch auf dem SBS läuft und bei den Clients als bevorzugter DNS-Server eingetragen sein muss ... Wird ein Router als DHCP-Server benutzt, funktioniert die Registrierung der A- und PTR-Einträge in der Regel nicht und das Setzen von Optionen ist ebenfalls sehr eingeschränkt (wenn überhaupt) möglich ...

Genau das bedeutet es, denn die Sicherheitsdatenbanken der jeweils anderen PCs sind dem freigebenden PC unbekannt. Bleibt also nur das Anlegen der Benutzer samt der Kennwörter, wie sie sich an den anderen PCs anmelden. Die Zugehörigkeit zur gleichen Arbeitsgruppe oder nicht hat damit aber nichts zu tun. Das wird nur zu Browsingzwecken gemacht und ist nicht unbedingt notwendig ...

Ja, dann wird es schwer mit Gruppenrichtlinien :D

Das Zeitlimit kann man aber auch via Gruppenrichtlinie einstellen ...

Und die bekommen trotz eingeschalteter kennwortgeschützter Freigabe keine Anmeldemaske ? Ist das Gastkonto auf dem Stand-PC aktiv und ohne Kennwort ? Oder sind auf dem Stand-PC alle User samt Kennwort angelegt worden, mit denen sich die Leute an ihren Maschinen anmelden ? An Deinen Schilderungen kann irgendwas nicht stimmen ...

Ja, das Verhalten kenne ich auch, dass man das Modem erst ausschalten muss, nachdem ein neues Gerät rangehängt wurde ...

Was passiert denn, wenn Du den Linksys via externer Schnittstelle an das Kabelmodem anschliesst und diese Schnittstelle auf DHCP stellst ? Intern dann irgendwas privates ...

Was ist eigentlich mit den Rechnern, die vorher ohne Anmeldemaske zugreifen konnten. Können die das nach wie vor ? Benutzen eigentlich alle den gleichen Benutzernamen ?

Du bekommst also trotz eingeschalteter, kennwortgeschützter Freigabe auf dem Stand-PC ein Anmeldefenster auf dem zugreifenden PC (was eigentlich bedeutet, dass die Konten eben nicht gleich sind) ? Wann bekommst Du es ? Wenn Du mit \\<Rechnername> die Freigabeliste anzeigen lassen willst ? Oder erst dann, wenn Du eine Freigabe angeklickt hast ?

Schalte erstmal die kennwortgeschützte Freigabe an, denn anderenfalls ist es vollkommen egal, ob die Benutzernamen und/oder Kennwörter gleich sind. Eine ausgeschaltete kennwortgeschützte Freigabe ist mit der einfachen Dateifreigabe von Windows XP vergleichbar und bedeutet Gastauthentifizierung. Jeder, der auf einen Rechner zugreift, kommt dort automatisch in die Gruppe "Jeder". Kann man sich nicht als definiertes Konto authentifizieren, wird eine Gastauthentifizierung versucht. Anonyme Anmeldungen sind nicht mehr Bestandteil der Gruppe "Jeder". Und das alles ist eben der Punkt, man muss sich dem Rechner erstmal bekannt machen, bevor man Mitglied der Gruppe "Jeder" werden kann, denn die Authentifizierung kommt vor dem Zugriff. Also ist "Jeder" eben nicht jeder ...

Ist die kennwortgeschützte Freigabe an oder aus ?