Canni

Hat denn keiner mehr eine Erfahrung damit :-) ?

Danke für die Antwort. Was meinen die Anderen hier?

Hallo zusammen, wir haben vor, bald alle Notebooks in eine Domäne aufzunehmen. Die Besonderheit: es gibt Notebooks, die im täglichen Geschehen niemals vor der Windows-Anmeldung eine Verbindung zum DC haben. Ich habe eine Frage zu folgenden Szenarien: Szenario 1: Ich installiere auf 3 Notebooks Windows XP Prof, richte es ein und füge die Geräte in die Domäne. Auf allen Notebooks melde ich mich - 1 mal mit dem Account "DomänenAdmin" an und - auf jedem Notebook 1 mal mit dem entsprechenden Domänenbenutzer (Notebook 1: Herr Schmid, Notebook 2: Herr Weber etc ...) Im Produktivbetrieb später meldet sich an Notebook 1 Herr Schmid mit seinen zwischengespeicherten Anmeldeinformationen (ohne DC-Verbindung) mit seinem Domänen-Account an und stellt erst danach die VPN-Verbindung zur Domäne her. Angenommen, der DomänenAdmin ändern jetzt sein Passwort an einem Domänen-Rechner (MIT DC-Verbindung), wird doch diese Passwortänderung NICHT mit den einzelnen Notebooks repliziert, richtig?! Das würde bedeuten: muss der Domänen-Admin an einem der Notebooks später arbeiten - ohne DC-Verbindung, so müsste er sein ALTES Passwort für diese Anmeldung verwenden ?! Bitte um Hilfe! Danke! Canni

Hallo der Herr :-) Das ist klar. Aber: der Client führt das Skript doch beim Anmelden auf dem Notebook aus. Und zu diesem Zeitpunkt steht ja noch kein \\SERVERNAME\Freigabe zur Verfügung. Das meinte ich damit :-)

Hallo, das funktioniert nicht, da die User für die UMTS-Verbindung und für die VPN-Verbindung einen Client benötigen. Wie löse ich also mein Problem? Oder was sagt ihr generell zu der Problemstellung?

Weiß niemand mehr weiter? Wäre wichtig. Oder lässt sich soetwas nur manuell mit Zusatztools wie z.B. RemotelyAnywhere oder der "administrativen Freigabe" realisieren - und zwar manuell? Ist zwar sicher nicht im Sinne des Erfinders, bei ca. 12 Geräten aber durchaus machbar.

Problem gelöst! Agnitum Firewall war auf diesem Rechner zum Test installiert und deinstalliert. Nach erneuter Installation und Deinstallation des Produktes war das Problem behoben ... :) Danke für die Hilfe!

Hi Marka, danke für die Antwort :-) Das habe ich jetzt leider nicht verstanden. Beim Anmelden steht doch noch garkein DC zur Verfügung, da die VPN-Verbindung erst NACH der Anmeldung hergestellt wird ... :-)

Hallo zusammen, vielen Dank für Eure Antworten. Leider haben die 2 Tools nichts bewirkt :-( - Ich kann auf Shares zugreifen mit \\IP-Adresse\, - ebenfalls mit \\SERVERNAME\ Hier mal IPCONFIG /ALL Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : bbb002 Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : bbb.local Ethernetadapter LAN-Verbindung: Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung Beschreibung. . . . . . . . . . . : VIA-kompatibler Fast Ethernet-Adapte r Physikalische Adresse . . . . . . : 00-0B-6A-CC-D3-7C Ethernetadapter LAN-Verbindung 4: Verbindungsspezifisches DNS-Suffix: bbb.local Beschreibung. . . . . . . . . . . : Realtek RTL8139-Familie-PCI-Fast Eth ernet-NIC Physikalische Adresse . . . . . . : 00-E0-4C-75-6C-9F DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.3.105 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.3.1 DHCP-Server . . . . . . . . . . . : 192.168.3.2 DNS-Server. . . . . . . . . . . . : 192.168.3.2 Primärer WINS-Server. . . . . . . : 192.168.3.2 Lease erhalten. . . . . . . . . . : Montag, 27. August 2007 08:48:27 Lease läuft ab. . . . . . . . . . : Dienstag, 4. September 2007 08:48:27

Das ist ja auch nicht soo kompliziert :) Das Problem ist nur folgendes: Wir werden evt. bald Notebooks in der Domäne haben. Manche dieser Geräte werden nie ein LAN-Netzwerkkabel in unserem Büro sehen, soll heissen, sie verbinden sich immer per VPN mit der Domäne :-) Der User meldet sich also an der Domäne am Notebook an, sein zwischengespeichertes Profil wird verwendet. HIER wird aber schon das LOGON-Skript abgearbeitet. Der Server etc. steht hier natürlich nicht nicht zur Verfügung. Wie also lösen? Danke :_)

Was verstehst Du unter "wie gewohnt an der Domäne anmelden", der die VPN-Verbindung ist doch vor der Anmeldung noch garnicht aktiv?!

Hallo zusammen, angenommen, ihr wollt eine Bilddatei (für ein neu zu verwendendes Hintergrundbild auf den Clients) auf die Clients kopieren, wie bewerkstelligt ihr das? Mit Logon Skripts? Oder habt ihr Tools wie dieses wunderbare im Einsatz: DesktopStandard - PolicyMaker Standard Edition Und jetzt noch ne Stufe komplizierter: Wenn wir Notebooks haben, die in der Domäne sind, aber NIE im LAN und die VPN-Verbindung zur Domäne nur NACH der Anmeldung herstellen und VOR der Abmeldung beenden, wie werden dann Login-Skripte mit Kopierbefehlen (SERVER--> CLIENT) realisiert? :-) Grüße! Canni

Danke für die schnelle Antwort ... kann ich erst am Montag probieren :-D Was hast Du im Sinn, was könnte es sein?

Hallo zusammen, wir haben einen XP-Rechner mit einem merkwürdigen Phänomen (ist nicht in einer Domäne): Manchmal bekommt er per DHCP keine IP, das ist aber nicht das Hauptproblem ... wenn er denn eine IP erhalten hat, funktioniert z.B. der PING zum Server perfekt. Internetseiten lassen sich aber nicht aufrufen, Shares funktionieren nicht ... ... habe schon die Netzwerkkarte gewechselt, kein Erfolg, an ner anderen Netzwerkdose angeschlossen, kein Erfolg ... was kann hier los sein? Danke!

Hi, danke für die schnelle Antwort. Sorry, das hab´ ich vergessen: die Appliance soll Standardgateway werden, "all in one" sozusagen :-) Site-to-Site-Verbindungen zwischen den Servern wäre auch eine Idee, die mir da einfällt ...

Hallo zusammen, wir haben in den nächsten Wochen evt. vor, eine Appliance (GPA 250 von GateProtect) in unser Netz zu setzen. Mir geht es darum, wie die verschiedenen Netze miteinander kommunizieren können bzw. was hier für Einstellungen erforderlich sind. Beispiel: Appliance: NIC 1: INTERNET-GATEWAY NIC 2: DC (192.168.2.2) NIC 3: Terminal-Server (192.168.3.2) NIC 4: Switch mit den LAN-Usern (192.168.1. ....) Dass ich die entsprechenden Ports freischalten muss, ist klar. Aber wie "findet" der Terminalserver z.B. bei der Anmeldung den Domänencontroller im ganz anderen Netz? Bitte um Eure Hilfe Danke Canni

Also der Chef hat zwischenzeitlich keine Admin-Rechte mehr, nur noch unter einem extra Account. Leider spielt er wieder am System rum, sprich installiert selbstständig Updates für die Buchhaltungssoftware etc. ... das ist zum Heulen.

Hi, danke für die Antwort. Das wäre aber doch wieder eine Frickellösung. Die Frage wäre für mich, wie ich die Anschlüsse der Appliance aufteile. TS an ne NIC, DC an ne NIC und den Switch mit den LAN-Geräten an ne NIC? Welche Einstellungen müssen am DC und am TS getroffen werden, damit die sich über zwei Netze (192.168.3.xxx und 192.168.2.xxx) finden? Danke

Wir haben hier NOD32 Enterprise Edition mit Remote Administrator - ich bin sehr zufrieden. http://www.eset.de

Hallo zusammen, ich werde eine kleine IST / SOLL - Dokumentation fertig machen, die ich zusammen mit meinem Chef besprechen möchte. TOP 1: Appliance (GPA 250 von GateProtect) TOP 2: Server als Fileserver, Datenbankserver und DC TOP 3: XP Prof auf die Notebooks, Erwerb von Notebooks für die User, die sich derzeit mit Privatrechnern im LAN und VPN verbinden. Das Problem ist z.B. die Steuerberaterin: soll ich mich dagegen sträuben, dass die weiterhin ins LAN kann via RDC ... denn der können wir ja wohl keinen Notebook stellen.

Super Idee, danke :-) Das bedeutet natürlich, dass der DC nicht geschützt ist vor den (teilweise privaten) Notebooks. Aber wenn ich mir die Liste der zu öffnenden Ports angesehen habe, wird mir auch ganz anders - da bringt doch die Abschottung des DC fast (!) nichts mehr ... Der VPN-Gruppe räume ich dann die Berechtigung ein, sich zum TS zu verbinden; sonst zu nichts, so richtig? Wie sieht es aus, wenn wir eines Tages alle Notebooks in der Domäne haben (*träum*) und diese sich per VPN im Netzwerk anmelden... dann müsste ich doch den VPN-Zugriff auf den DC auch freigeben und unterwandere damit die DMZ des TS ? Wenn ich 4 NICs an der Appliance habe, warum teile ich dann nicht auf: - Internetgateway - DC - TS - Switch (LAN) ? Danke :-)

Ich glaub, da hast Du was missverstanden ... er will ja erzwingen, dass als Gateway die Internetverbindung des Clients und nicht die des Servers verwendet wird. An der GateProtect-Appliance wäre mir diese funktion beispielsweise bekannt, aber wie macht man das beim Routing und RAS?

So, jetzt mal eine Frage zur Appliance, angenommen, das würde mit der GateProtect klappen, wie würdet ihr die NIC-Aufteilung machen? Getrennte NICs: 1. Internetgateway 2. Terminalserver 3. Domänencontroller (mit den Datenbanken für den TS, den Daten etc.) 4. Switch des Büros, an dem die Notebooks (leider auch die privat mitgebrachten) und Desktops (derzeit noch ohne Domäne) betrieben werden Hier stellt sich mir folgendes Problem: Die Verbindungen z.B. zwischen TS und DC und zwischen Switch und TS bzw. Switch und DC müssten doch letztendlich mit so vielen offenen Ports versehen werden, dass sie aussehen, wie ein schweizer Käse :-) ? Was meint ihr? Danke! Canni

Es wird Dir jetzt wenig nützen, aber das kannst du an einer Appliance steuern, d.h. Du kannst das Standardgateway erzwingen.

Hallo, das ist natürlich auch eine Ansicht. Von SecurityMaker habe ich GateProtect empfohlen bekommen, gefällt mir auch sehr gut. Leider ist da nur der Preis. Und zu diesem Preis kämen ja noch die kosten für einen neuen Server. Da kann ich meinem Chef nicht noch den Austausch von XP Home zu XP Prof. vorschlagen, das macht bzw. kann er nicht machen. Was für Nachteile birgt denn XP Home, fassen wir mal zusammen. Mir fällt die Domänenfähigkeit ein. Aaabber, wie will ich Notebooks effektiv in einer Domäne betreiben, wenn sie sich niemals via LAN zum Server verbinden. Meines Wissens gibt es Dinge, die sich nur via LAN replizieren können und nicht per VPN.