IThome

Was ergibt denn NSLOOKUP <FQDN> von intern ?

Raufsetzen soll man sich ja auch nicht ... *Aua* ... :D

WPA2 Enterprise ohne PSKs, dafür mit Zertifikaten ...

Mir ist nur die Möglichkeit bekannt, weitere Ordner auszuschliessen ...

Öffne mal Active Directory Benutzer und Computer, klicke mit rechts auf die Domäne - Suchen. Dann stellst Du unter "Suchen:" "Benutzerdefinierte Suche" ein und unter "In:" "Gesamtes Verzeichnis". Danach klickst Du auf "Erweitert" und gibst als LDAP-String ein: proxyaddresses=smtp:<die zu suchende Email Adresse>

Sehr ungewöhnlich, zumal die beiden laut Deiner Beschreibung überhaupt nichts miteinander zu tun haben ...

Auch eine Zone oder ist das ein Caching Only DNS-Server ? Ich sehe gerade, dass er die AD-Zone nicht laden kann. Seitdem DNS geändert wurde ? Welcher DNS-Server ist als bevorzugter eingetragen ?

Installiere auf dem SBS mal einen DNS-Server bzw. erzeuge eine Zone für die Active Directory Domäne des SBS ...

Okay, überprüfe mal, ob eine der folgenden Bedingungen nicht erfüllt ist ... Zitat aus How to install Small Business Server 2003 in an existing Active Directory domain "Die folgenden Bedingungen müssen nach der Installation des neuen SBS 2003-Computers in einer existierenden Domäne erfüllt sein, damit der neue SBS 2003-Computer keine Warnungen anzeigt oder unplanmäßig heruntergefahren wird: * Der neue SBS 2003-Computer muss ein im Stammverzeichnis der Domäne installierter Domänencontroller sein. * Der neue SBS 2003-Computer muss Inhaber aller FSMO-Funktionen (FSMO = Flexible Single Master Operation) sein. * Der neue SBS 2003-Computer muss ein globaler Katalogserver und der Lizenzserver sein. * Es darf keine Domänenvertrauensstellungen oder untergeordneten Domänen geben. * In der Domäne darf es nur einen SBS-Server geben. Wenn SBS 2003 installiert ist, darf kein weiterer SBS 2003- oder SBS 2000-Server in derselben Domäne installiert sein. Sollten diese Bedingungen nicht erfüllt sein, kann der SBS 2003-Server heruntergefahren werden."

Off-Topic: Huch, was es nicht alles gibt, wovon man noch nie gehört hat ... :suspect:

Du hast allen Ernstes einen SBS in der DMZ, auf dem Webseiten gehostet werden ? Dieser SBS ist alleiniger DC einer eigenen Domäne ? DNS wird erst auf den Haupt-DC (was ist ein Haupt-DC ?) weitergeleitet ? Soll das heissen, dass es eine Active Directory Domäne im lokalen Netzwerk gibt und eine andere in der DMZ oder ist das eine Domäne mit mehreren DCs ? Beschreibe Deine Umgebung bitte mal genauer, damit man sich ein besseres Bild machen kann ...

Diese Rechte werden schon genutzt, im Falle von RDP allerdings nur "Anmelden über Terminaldienste zulassen". Die "Lokale Anmeldung" war nur wichtig bei 2000 Terminalservern. Im Falle eines Servers kann man diese Rechte natürlich auch anpassen (bei XP natürlich ebenso, aber wozu). Bei DCs beispielsweise stehen in diesem Recht nur die Administratoren, nicht die Remotedesktopbenutzer. Will man, dass die berechtigte Gruppe nicht "Remotedesktopbenutzer" ist, dann kann man das Recht anpassen, muss dann aber auch das RDP-TCP Verbindungsobjekt anpassen. Ich wüsste jetzt auf Schlag nicht, wo man sowas mangels MMC bei einer XP-Maschine einstellen könnte (wozu auch) ... Bei einer XP-Maschine sind die Rechte schon gesetzt, so dass nur eine Mitgliedschaft in der Gruppe "Remotedesktopbenutzer" notwendig ist. Das ist bei einem 2003 Terminalserver bzw. Mitgliedsserver auch so ...

Nein, ist es nicht, diese Rechte müssen überhaupt nicht angepasst werden, Du meldest Dich via RDP an einer XP-Maschine an. Auf einer XP-Maschine haben die Remotedesktopbenutzer alle erforderlichen Rechte, damit sie sich via RDP anmelden können. Angenommen es existiert eine OU, in der sich die Computerobjekte der 5 PCs befinden. In diese OU verknüpfst Du eine neue Richtlinie, in der Du unter Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Eingeschränkte Gruppen mit rechtsklick eine neue Gruppe zufügst. Du schreibst in das Feld Remotedesktopbenutzer (nicht Durchsuchen). Im nächsten Schritt fügst Du oben via "Hinzufügen" Deine Gruppe zu. Damit die Computer diese Richtlinie auch anwenden (ohne warten zu müssen), führe auf ihnen einmal GPUDATE aus.

Wenn die Rechte über den DC verteilt werden sollen (GPO), dann musst Du das über eingeschränkte Gruppen machen. http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene-Restricted-Groups.165.0.html Die Benutzer in die Remotedesktopbenutzer auf dem DC zuzufügen erfüllt nicht das Ziel. Es genügt, die entsprechenden Benutzer zu Mitgliedern der loaklen Gruppe Remotedesktopbenutzern zu machen, Benutzerrechte müssen nicht weiter angepasst werden. Weiterhin kannst Du Remotedesktop auf jedem PC ebenso via Gruppenrichtlinie aktivieren. Wichtig ist auch, welchen lokalen Gruppen die Benutzer angehören, die sich via RDP anmelden und wessen Sitzung sie übernehmen (Administrator übernimmt Sitzung eines Administrators, Nicht-Administrator übernimmt Sitzung eines Nicht-Administrators, Administrator übernimmt Sitzung eines Nicht-Administrators, Nicht-Administrator übernimmt Sitzung eines Administrators). Ein Mitglied der lokalen Administratorengruppe (als auch ein Domänen-Admin) sollte sich immer anmelden können. How a Remote Desktop Connection Affects Windows XP Professional

Das sollte dann passen ...

Mit einem neu angelegten, lokalen Benutzer, in dessen Profilordner Du die Dateien aus "Dokumente und Einstellungen" des ehemaligen Domänenbenutzers kopierst (via Explorer). Das so kopierte Profil kannst Du dann mit dem Benutzerprofil-Tool in das Profil des neuen Domänenbenutzers kopieren, inklusiv der Registry-Berechtigungen ...

Oh, Sorry für die Verwirrung. Ja, Du hast recht, es muss die 10.0.1.1 sein, also die Karte des RRAS in diesem Netzwerk (ich habe mich da offensichtlich verlesen). Die Routen sehen richtig aus. Setze testweise mal eine Route auf einem Client in Netz A und Netz B. Beispiel: Client in Netz A: ROUTE ADD 10.0.1.0 MASK 255.255.255.0 10.10.10.100 Client in Netz B: ROUTE ADD 10.10.10.0 MASK 255.255.255.0 10.0.1.1 Dann pingst Du von dem Client in Netz A, auf dem Du die Route gesetzt, den Client in Netz B an, der ebenfalls diese Route hat ... Bei richtigem Routing muss das auch mit einem RRAS funktionieren, welcher nichts anderes als ein gewöhnlicher Router ist ...

Nein, würde sie nicht, denn dort geht es nur um Besitz der Profilordner, nicht der Registry. Du erzeugst Dir auf dem Rechner einfach einen lokalen Benutzer, meldest Dich mit ihm an, Neustart, als Admin anmelden und kopierst dann das entsprechende Profil via Explorer in dessen Ordner in "Dokumente und Einstellungen". Dann benutzt Du das Tool in den Systemeigenschaften, um dieses Profil in den Ordner des engültigen Benutzers zu kopieren. Mit dem Tool kannst Du auch bestimmen, wer das Profil nutzen darf (das sind die Registryberechtigungen) ...

UAC abgeschaltet ?

Das Gateway ist die 10.0.1.100. Ist NAT schon ausgeschaltet ? Kannst Du die gegenüberliegenden Internetrouter anpingen ? Kannst Du die gegenüberliegende Seite des RRAS von einem Client aus anpingen ? Der RRAS selbst kann aber beide Internetrouter erreichen ? Es wäre wahrscheinlich nicht das Schlechteste, den RRAS noch mal zu deaktivieren und erneut mit LAN-Routing zu aktivieren ...

Hallo und herzlich willkommen, als erstes lädst Du Dir "Access Based Enumeration" herunter und installierst es. Diese Erweiterung verhindert, dass jemand Ordner innerhalb einer Freigabe sehen kann, wenn er keine Berechtigungen darauf hat. Dann erstellst Du Dir einen Ordner, den Du freigibst (Authentifizierte Benutzer - Vollzugriff). In den erweiterten Sicherheitseinstellungen dieses Ordners beendest Du die Vererbung (oberen Haken entfernen und "Kopieren"). Die Berechtigungen die letztendlich dort stehen sind: Administratoren - Vollzugriff (Dieser Ordner, Unterordner und Dateien) Benutzer - Lesen (Nur dieser Ordner). Dann setzt Du den Haken in den Eigenschaften des Ordners, dass ABE für diesen Ordner aktiv sein soll. Unterhalb dieses Ordners legst Du Unterordner für jeden Benutzer an und fügst zu jedem Ordner unter Sicherheit den Benutzer zu, der Zugriff haben soll. Wenn Du 8GB Beschränkungen pro Ordner festlegen willst, musst Du einen 2003 R2 Server haben ... Das war eine sehr allgemeine Beschreibung, passend zu der sehr allgemeinen Schilderung Deines Problems. Es wäre schön zu wissen, wie genau Deine Umgebung aussieht, Domäne oder nicht, wieviele Benutzer, welche Windows-Version, welche Clientrechner und auch, wie tief Du in der Materie steckst. Eine Schritt für Schritt Anleitung wirst Du hier allerdings nicht bekommen. Dabei helfen, es selbst zu machen und auch zu verstehen, können wir aber ganz sicher ... :) Gruss Sven

Ja, oder so ... :)

Profile kopiert man nicht via Explorer, da nützt Dir das Setzen der Besitzrechte usw. auch nichts. Entscheidend sind die Berechtigungen der NTUSER.DAT, die den Benutzerteil in der Registrierung darstellt. Auch hier sind Berechtigungen vergeben. Du kannst also das Profil via Explorer in den Ordner eines temporären, vorher angelegten, lokalen Benutzer kopieren und es dann mit dem entprechenden Tool in den Systemeigenschaften samt Berechtigungsvergabe in den Ordner des eigentlichen Benutzers kopieren ...

Jo ... Oder eine andere Application Layer Appliance, wegen der Kostenfrage wahrscheinlich auf Linuxbasis ...

Vielleicht ist das Display einfach nur defekt ?!