jvogler

Und was ist mit "Default Domain Controllers Policy - Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - Lokale Anmeldung verweigern" (von meinem XP Admin PC aufgerufen) ???

Hier wurden doch auch die Einstellungen vorgenommen worden, oder bin ich jetzt ganz auf´m Holzdampfer?

Jochen

Zustimm! Du kannst Dich zwar nicht mehr am DC lokal anmelden, aber von jedem Domainmember mit Domämen Admin Rechten. Jetzt nur noch die Admi Tools drauf und dann kannst Du doch in aller Ruhe die Domain Controllers Policy bearbeiten?!?

Jochen

Doch, das ist relevant! Bei ADS Clients dürfen NUR interne (Domänen-DNS) DNS-Server angegeben werden.

Jochen

Würd sagen: DNS-Problem. Wie sieht die DNS-Konfig Deiner Clients aus? Es darf NUR der interne DNS angegeben werden, Anfragen nach Extern handelt der DNS-Server per "Weiterleitung".

Jochen

1. dcpromo oder entsprechenden Punkt im Serverassistenen ausführen

2. Besorg Dir ne ordentliche Lektüre ansonsten kommst Du aus dem Fragen nicht mehr raus

Jochen

Erzähl mal etwas über Deinen Netzaufbau, läuft WINS und/oder DNS???

Jochen

Und nicht vergessen den MX Record zu setzen!

Jochen

Du setzt ActiveDirectory auf und schon hast Du einen LDAP-Server. ;)

Jochen

Wenn die Möglichkeite der Authentifizierung auf Benutzerebene genutzer werden soll (eines der ISA Highlights), muss der ISA Server Memberserver sein.

Sicherer ist natürlich die Installation auf einem Standalone Server.

Empfehlenswert ist es, vor den ISA noch ein Appliance z.B. Ciscso PIX zu setzen.

Jochen

So wie das aussieht wird Deine Domäne bei Hosteurope gehostet und deren DNS lässt Dich nicht relayen.

Lösung:

1. POP Abruf bei Hosteurope bevor Du sendest

2. öffentliche IP + A-Record für Deinen Server beantragen über DNS senden

Jochen

Noch ma zur Größe, meine 100 Profile belegen 1,16 GB. Was ist das schon im Vergleich zu ner Ladung Digicambilder auf´m Fileserver mit mind. 3x73GB RAID 5!?!

Jochen

Zustimm!

Solche Dinge wie "eigene Dateien" gehören aus dem Profil und evtl. auf einen eigenen Speicherplatz verbannt.

Ich sehe in roaming Profiles eigentlich auch nur Vorteile, zumindest überwiegen die bei mir im Netz stark. Allein schon der Gedanke alle Benutzer hätte lokale Profile *brrrrr*

Zu bendenken auch Ausfälle: defekter Rechner weg, laufender hin, Benutzer meldet sich an, gut is ...

Jochen

Na also! :)

W2k erfordert SP3, dann funzt´s ohne weitere Probleme. Ist aber auch auf der SUS Doku nachzulesen.

Jochen

Sobald du im produktivsystem beim client den proxyeintrag vornimmst und in der site/content rule allgemein erlaubst und auch im webabhörer keine authentifizierung verlangst, dann darf jeder Client gleich surfen.

Am Server selbst sollte das auch funktionieren, nicht aber wenn Du den Proxyeintrag raus nimmst.

Nochmal meine Frage, verwendest Du im Testsystem einen Client (=NT4/W2k/XP Pro Rechner) oder testest Du am ISA Server direkt?? Ohne Proxyeintrag wird das nämlich nicht funktionieren, dazu müsstest Du erst noch einen Packetfilter für Port 80 erstellen.

Jochen

Noch mal zum Verständnis, die Verbindungstests führst Du am ISA direkt aus, oder?

Was hast Du für Packetfilter bisher erstellt?

Tu mir im Moment noch schwer weil ich Deine Konfig noch nicht so recht durchschaut habe.

Jochen

Probiers mal mit DumpSec.exe

Jochen

Geht ein ping durch bzw. funzt die Namensauflösung?!

Greifst Du im Testsystem direkt am ISA auf´s Web zu ohne über den Webproxy zu gehen? Dann brauchst Du einen Packetfilter.

Packetfilter öffnen den gewünschten Port permanent. Man verwendet diese i.d.R. um Dienste auf dem ISA direkt zu veröffentlichen, bzw. in DMZ Szenarien.

Die Protokollregeln finden bei den Clients (Secure NAT/FW- u. Webproxy-Client) anwendung. Hier werden die jeweiligen Ports dynamisch geöffnet.

Ich hoffe das hilft Dir erst mal weiter.

Jochen

Kannst Du vielleicht noch etwas genauer beschrieben was der Packet-Filter bewirken soll, Quelle/Ziel, Art des Clients usw.

Jochen

In dem Du nur ganz bestimmten IPs das Relayen erlaubst. ;) I.d.R. ist das nur die eigene IP, bzw. die von OE Clients im eigenen LAN.

Jochen

Eigentlich ist das Sache des Arbeitgebers. Selbst wenn etwas passiert müsste er erst mal nachweisen dass Du dafür verantwortlich bist.

Unhaltbare Anschuldigungen stellt man unter den Begriff "Verleumdung", in solchen Fällen kann man dann auch Anzeige erstatten.

Jochen

Installier mal das TCP/IP Protokoll + SP4 neu. Solange ping nicht geht, brauchst Du in Sachen Domäne gar nicht weiter zu probieren.

Jochen

Über die Sicherheitsrichtlinien (z.B. in der "Default Domain Policy") kannst Du Dir die Anmeldungen protokollieren lassen. Die Ergebnisse kannst Du dann im Sicherheitslog einsehen.

Jochen

Ok, dann weiß ich jetzt zumindest was Du genau machen möchtest! :D

Ich würde das folgendermaßen anstellen:

- W2k SBS in die DMZ. Eine Domäne=ADS benötigst Du nicht (auch kein IIS usw.), lediglich den DNS Dienst. Die sekundäre Zone Deiner Domäne würde ich aber aus Ausfallgründen von einem Provider hosten lassen.

Diesen DNS konfigurierst Du u.a. also Forwarder zum Provider DNS.

- W2k3 SBS mit ADS ins LAN. Diese Domäne hat mit Deiner offiziellen nichts zu tun und sollte auch nicht nach Extern veröffentlicht werden. Der interne DNS hat den DNS in der DMZ unter "Weiterleitung" eingetragen.

Jochen