IThome

Prüfe mal die Einstellungen der SMB-Signierung auf diesem Rechner ...

Da vermutest Du richtig, es hängt mit der UAC zusammen ... Wahrscheinlich erfolgt nach dem Aufruf Deines Tools kein "Elevation Prompt" (beim Microsoft RUNAS im Übrigen auch nicht), so dass keine Privileganhebung erfolgt. Die UAC kann man via GPO an- bzw. ausschalten, ebenso kann man ihr Verhalten beeinflussen und diese Einstellungen findest Du in den Sicherheitsoptionen des GPOs. Erstelle die Richtlinie von einer Vista-Maschine aus ...

Poste doch einfach mal IPCONFIG /ALL bei bestehender Verbindung ... dann kann man das Ganze besser beurteilen ...

Ist das die IP, die dem virtuellen Interface der VPN-Software zugewiesen wird ? Was ist mit den Einstellungen bezüglich der Auflösung ? Was er registriert ist im Grunde auch egal (bei dem genannten Problem), Hauptsache er kann den richtigen DNS-Server ansprechen und hat einen primären DNS-Suffix und/oder einen Verbindungssuffix, der zum angesprochenen Server passt. Wenn nur der Servername angegeben wird, dann wird ein Suffix angehängt, abhängig von den oben genannten Einstellungen ...

Der PDC auf NTP, denn er holt ja die Zeit von aussen, der Rest auf NT5DS. Mach auf dem Server (sofern es nicht der PDC ist),der Fehler bringt, mal folgendes: W32TM /CONFIG /SYNCFROMFLAGS: DOMHIER (ohne Leerschritt zwischen : und D) W32TM /CONFIG /UPDATE NET STOP W32TIME && NET START W32TIME

Wenn er die Zeit ändern kann und das nicht explizit in einer Domänenrichtlinie definiert wurde, dann muss er Mitglied einer Gruppe sein, der dieses Benutzerrecht in der lokalen Richlinie gewährt wurde ...

Schau in der Registry unter HKLM/SYSTEM/CURRENTCONTROLSET/SERVICES/W32TIME/PARAMETERS/"Type", steht dort NT5DS oder NTP ?

War nur als Beispiel gedacht, soll ja auch für die Router sein ... :) Wenn beide Server im gleichen Netz betrieben werden, bleibt mindestens das Problem der DHCP-Server und deren Optionen. In jedem Fall wird nur einer laufen, da ein SBS seinen DHCP-Server beendet, wenn beim Starten des Dienstes ein weiterer DHCP-Server im Netz gefunden wird. Nur einen zu betreiben ist auch keine wirkliche Option, da die DNS-Server für die beiden Domänen unterschiedlich sein müssen, der Registrierung und AD-Queries wegen ... Ich würde ehrlich gesagt auch einen Hardware-Router bevorzugen ...

Unter Windows würde eine Route etwa so aussehen. Netz1: ROUTE ADD 10.10.10.0 MASK 255.255.255.0 10.0.0.31 Netz2: ROUTE ADD 10.0.0.0 MASK 255.255.255.0 10.10.10.100 Die letzte IP-Adresse stellt jeweils die statische IP-Adresse des RRAS im jeweiligen Netz dar. So ähnlich muss es auf den Internetroutern in Netz1 und Netz2 gemacht werden. Wichtig ist auch, dass die Subnetzmaske im Netz1 vorher angepasst wird (auf 255.255.255.0) ...

Ein Router genügt, aber mit Deiner jetzigen Adressierung wirst Du Probleme bekommen. Auf dem RRAS ist keine Route zu setzen, sondern entweder auf allen Hosts oder auf dem entsprechenden Default-Gateway (wahrscheinlich der Internetrouter) der Hosts ... Dort trägt man eine Route ein, dass das Netz 10.0.1.0/24 oder da 10.10.10.0/24 über die Adresse des RRAS zu erreichen ist. Um mal bei dem Netz zu bleiben ... Wenn ein Client im 10.10.10.0/24 Netz ein Paket in das 10.0.0.0/8 Netz schicken will, beispielsweise an die 10.0.0.1, wird durch ANDING der eigenen Adresse mit der eigenen Subnetzmaske und der fremden Adresse mit der eigenen Subnetzmaske festgestellt, dass es nicht das lokale Netzwerk ist, also ab zum Gateway. Schickt jetzt jemand ein Paket aus dem 10.0.0.0/8 Netz ein Paket in das 10.10.10.0/24 Netz, z.B. an die 10.10.10.1, wird ebenfalls ein ANDING durchgeführt. Es kommt nur leider heraus, dass sich das Ziel im lokalen Netz befinden muss, also nicht ab zum Gateway ...

Ja genau, 2 Gateways, auf jeder Seite eins ... Benutze lieber IPSec anstatt PPTP ...

Du kannst auch den Assistenten zur Übertragung von Dateien und Einstellungen (MIGWIZ.EXE) benutzen und dort nur die "Internet Explorer Einstellungen" exportieren ...

Dann konfiguriere auf dem neuen Gateway eine Route zu den Adressen, die den VPN-Clients zugewiesen wird über den VPN-Router. Beispiel: Die VPN-Clients bekommen die Adressen 192.168.100.1 - 192.168.100.10 zugewiesen. Dann konfigurierst Du auf der 192.168.0.253 (das Default Gateway aller Hosts) eine Route in das 192.168.100.0/24 Netz erreichbar über die 192.168.0.254 ... Ich würde dafür aber lieber eine Appliance benutzen, die "Policy based Routing" unterstützt ...

Full Ack ... Btw sollte der Router, ob RRAS oder was auch immer, auf beiden Schnittstelle eine statische IP haben ... – Das passiert, wenn beide als DCs derselben Domäne arbeiten ... Das ist wohl wahr, der Router routet, der Client sieht bei der angegebenen Adressierung aber keinen Anlass, Pakete zum Router zu schicken ... Also routet der Router doch nicht ...

Du benötigst LAN-Routing, kein NAT. Die Routen in das entsprechende Netzwerk stellst Du auf den jetzigen Gateways der Clients ein. Auf dem RRAS musst Du keine Routen erstellen. Weiterhin ist Deine Adressierung ziemlich ungünstig. Das Netz vom SBS1 sollte auch eine 24er Maske haben und z.B. 10.0.1.0/24 sein. Anderenfalls werden die Clients in diesem Netz keine Pakete für das andere Netz zum Gateway schicken. Sie denken, dass das Ziel lokal ist ...

In den Eigenschaften vom Internetprotokoll - Erweitert - DNS ... Ja, die Meldung könnte was damit zu tun haben. Poste mal IPCONFIG /ALL. Der Rechner ist wirklich (noch) Mitglied der Domäne ? Wie ist denn die Zone bezüglich der dynamischen Updates eingestellt ?

Poste doch mal IPCONFIG /ALL des nicht funktionierenden Clients bei bestehender Verbindung. Wie ist die "Auflösung unvollständiger Namen" bei diesem Client eingestellt ?

Die Cache-Grösse bezieht sich auf die automatisch verfügbar gemachten Offllinedateien, nicht auf die manuellen (steht aber auch alles in der Beschreibung der Richtlinie) ... Die Dateien werden also offline verfügbar gemacht ...

Kannst Du Dich mit den Adminshares des Vista Rechners verbinden ? Der Rechner ist auch Mitglied der Domäne ? Welche Vista-Version ist das ?

Setze bzw. erzeuge auf der Vista Maschine mal folgenden Regkey: HKLM/Software/Microsoft/Windows/CurrentVersion/Policies/System/"LocalAccountTokenFilterPolicy" (REG_DWORD) und setze ihn auf 1 ...

Du kannst aber im RRAS unter NAT in den Eigenschaften der öffentlichen Karte im Reiter "ICMP" Echoanforderungen zulassen, halte ich persönlich aber für überflüssig. Ausserdem muss im RRAS die Basisfirewall aktiv sein (der Haken ist per Default gesetzt), denn nur dann muss der ICMP-Haken gesetzt werden ...

Für CMD haste die Einstellung per Richtlinie aber gefunden, gell ? Oder geht es nur um COMMAND.COM ?

... und die DNS-Server dann überkreuz, den anderen DNS als primären, den eigenen als sekundären ...

Naja, die DNS-Zonen, die der DNS-Server laden will, sind im Active Directory gespeichert, Active Directory benötigt aber DNS ... irgendwie ein Henne - Ei Problem ...

Wüsste auch nicht, wie man sowas verhindern könnte. Wenn Benutzername und Kennwort gleich ist, greift er via Netzwerkanmeldung auf Ressourcen zu. Und dann ist er ja authentifiziert ... Mir ist nur irgendwie nicht klar, wieso er "zwingend" einen lokalen Account benötigt ?!