IThome

Ich dachte da eher an die kleinen Watchguards, mit UTM-Bundle ... :)

Das Default User Profil wird aber ja nur einmalig benutzt, beim Erstellen des Profils auf einem Rechner, auf dem man noch nicht angemeldet war. Wird dann was aus dem Standard verändert, dann bleibt es ja auch so. Es ist dann ja auch unterschiedlich, wenn ich auf Rechner A etwas verändere und mich auf Rechner B erstmalig anmelde. Irgendwas von der Forderung des TOs bleibt immer auf der Strecke ...

Ich persönlich tendiere eher dazu, dass die Oberflächen einheitlich sind (alleine schon aus Supportgründen), aber das ist leider nicht immer (eigentlich eher selten) möglich. Aber in gewissen Umgebungen würde das schon Sinn machen, funktioniert aber leider nicht (zumindest weiss ich keinen Weg, wie man sowas machen könnte) ...

Nun ja, Windows versucht bei konfiguriertem Serverprofil zurückzuschreiben, kann es aber nicht und deswegen die Meldung, die man nicht abschalten kann. Bei verbindlichen Profilen (auch eine Windowsfunktionalität) wird gar nicht erst versucht zurückzuschreiben, was auch normales Verhalten ist. Du versuchst, das Standardverhalten von Windows auszutricksen, in dem Du Berechtigungen setzt, die wegen dieses Verhaltens natürlich Fehlermeldungen produziert. Die "Profilverschmelzung" wird anhand von Zeitstempeln durchgeführt. Der Zeitstempel des lokalen Profils (Desktop) ist auf jeden Fall immer aktueller, als der auf dem Server (er wird ja nie zurückgeschrieben). Du hast eingangs beschrieben, dass das sichtbare Profil eben nicht so aussieht, wie es soll. Dass es so aussieht wie es aussieht, liegt an dem Verhalten von Windows, wie Profile zusammengeführt werden und das kann man IMHO nicht abschalten oder verändern. Enhancements to User Profiles in Windows Server 2003 and Windows XP Zitat aus Microsoft Corporation "Merge Algorithm The Windows 2000 merge algorithm supports the merging of user profiles at the file level and support for last writer wins. New files and updated files are not deleted or overwritten. When a document is updated, the new algorithm compares the timestamp of the destination file with the timestamp of the source file. If the destination file is newer, it is not overwritten. When a user logs on to a computer, the current time is saved; when the user logs off, the timestamp is used to determine which files are new in the server profile and which files have been deleted in the local profile. For example, if the server profile has a document in the My Documents folder called Review.doc and this file does not exist in the local profile, either it is a new file from a different computer, or it was originally in the local profile and the user deleted it. By knowing the time when this new profile was loaded, you can compare it against Review.doc. If Review.doc was created or written to after the profile load time, the file must be preserved because it came from a different source. If the Review.doc timestamp is older than the load time, Review.doc must be deleted because it would have been copied to the local computer at load time. In addition, some files might need to be removed from the local cache so that items that were deleted between sessions remain deleted. For example: 1. The user logs on to computer A. 2. The user creates or modifies a document on computer A. 3. The user logs on to computer B. 4. The user logs off computer B; computer B has a copy of the document. 5. The user deletes the document and logs off computer A. To make sure that the files are deleted, the cached version of the profile is synchronized with the profile server when a user logs on. All files in the local cache that are not present in the server and that were not modified since the last logoff time are deleted. By using these changes, Windows 2000 can merge user profiles."

Er ist Mitglied der Builtin Gruppe Administratoren eines DCs und ist auf einem PC Member welcher Gruppe, der lokalen Administratoren (das sind zwei verschiedene Gruppen) ? Die Gruppenzugehörigkeit wird via GPO und "Eingeschränkte Gruppen" eingestellt ? Wie ist denn die Sicherheitsfilterung der entsprechenden GPOs eingestellt ?

Ich denke nicht, dass es so klappt wie Du es Dir denkst. Wenn Du Serverprofile verbindlich machen möchtest, dann wird der Inhalt des lokal zwischengespeicherten Profils nicht an den Server übertragen (mit zwischengespeicherten Profilen wird immer gearbeitet). Wird nicht mit verbindlichen Profilen gearbeitet, wird lokale Profil mit dem Serverprofil "verschmolzen". Also entweder verpflichtend oder nicht, nicht ein bisschen verpflichtend und ein bisschen nicht ... In Deinem anderen Thread siehst Du ja auch selbst, dass es nicht funktioniert (weil es so nicht gedacht ist) ... http://www.mcseboard.de/windows-forum-allgemein-28/popup-fenster-benutzerumgebung-deaktiv-143771.html

Man kann aber auch auf beiden die einfache Dateifreigabe aktivieren, dann kann man auch zugreifen, wenn was freigegeben ist ... ;)

Einfache Dateifreigabe bedeutet erzwungene Gastauthentifizierung, demzufolge also auch keinen Zugriff auf die Adminshares, die als Gast natürlich nicht zugänglich sind ...

Da ist dann ein Router vor, der die Verbindung mit dem Internet herstellt ?! Und der hat die öffentliche IP und leitet UDP 4500 und UDP 500 nach innen zur Watchguard bzw. hat sie als DMZ-Host konfiguriert ?!

Watchguard ... :D

Das ist der Name einer Firma, die VPN/Firewall Aplliances verkauft (das war doch Deine Frage). Der zweite Eintrag bei einer Google-Suche mit dem Firmennamen als Suchbegriff führt auf die Herstellerseite ...

Schau mal hier ... How DNS Support for Active Directory Works: Active Directory

RDP-Verbindung ?

Welche Software ist denn da drauf ? Wie verbinden sich die Geräte mit dem Internet ?

Watchguard ...

Das ist ein bekanntes Problem auf RRAS-Servern, die auch WINS und DNS ausführen. Konfiguriere nach folgendem Artikel, dann registriert er sich nicht mehr. Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS Achte auch darauf, dass der DNS-Server nur auf der LAN-Adresse abhört ...

Warum konfigurierst Du das VPN nicht so, dass vor der Anmeldung schon eine Verbindung besteht ?

Konfiguriere in den Eigenschaften des Drahtlosnetzwerkes auf dem Rechner mit dem WLAN-Stick mal händisch WPA/TKIP (diese Probleme mit Draytek habe ich auch, wenn WPA2/AES benutzt wird) ...

Das Problem ist folgendes: Wenn der bevorzugte Server mal nicht erreichbar ist (warum auch immer), benutzt der Client den sekundären Server. Er springt aber nicht sofort wieder zurück, sondern benutzt den sekundären Server für eine bestimmte Zeit. Und genau deswegen benutzt man auf keinem! Rechner, der an einer Domänensicherheit teilnimmt, einen externen Server. Fehlertoleranz erreicht man durch einen weiteren, internen DNS-Server. Zu Deiner IPCONFIG kann man eigentlich nur sagen, dass sie, bis auf den externen DNS-Server, sauber aussieht (interner DNS-Server, WINS, kein RRAS konfiguriert). Du hast geschrieben, dass der DNS-Server nur auf bestimmten Adressen abhört. Wieso nur auf bestimmten, da ist doch nur eine Adresse (oder ist die Ausgabe von IPCONFIG nicht vollständig) ?! Egal wie, das Festlegen des Abhörers auf eine bestimmte Adresse MUSS funktionieren, eventuell mal den DNS-Server neu starten ... Prüfe mal die Dinge, die Norbert geschrieben hat, besonders die Filter der Hardware-Firewall ...

Hast Du den Wechsel denn schon mal probiert, wenn schon TCP-Sitzungen bestehen und Du dann das erste Gateway abschaltest ? Mit dem RIP-Abhörer kannst Du Routermeldungen abhören, was eigentlich genau das ist, was Du willst ...

DNS 2 ist falsch, obwohl das Dein Problem wahrscheinlich nicht auslöst. Allerdings können wir Dir schlecht helfen, wenn wir kaum Infos bekommen (ich z.B. würde gerne ein vollständiges IPCONFIG /ALL sehen).

Poste mal bitte IPCONFIG /ALL des Servers ...

Firewall auf dem Server ?

Ist der Haken "Standardgateway für das Remotenetzwerk verwenden" in der DFÜ-Verbindung aktiviert ? Dieser Haken bewirkt, dass die DFÜ-Verbindung die Metrik 1 bekommt und gleichzeitig die Metrik des bisherigen Gateways um 1 erhöht wird ...

Wie Edgar schon geschrieben, kannst Du Dir auf dem Server irgendwo einen Ordner anlegen, den Du als NETLOGON freigibst. Dort kommen dann die Scripts hinein. In den Benutzereigenschaften musst Du dann nur den Namen des Scripts eintragen, keinen Pfad ...