zuschauer

Hi Adm_2000 ! Die Idee, den gesamten Traffic über einen Knoten laufen zu lassen und nur dort eine FW zu installieren, ist ja nicht schlecht. Eine Firewall kann ja mehrere Sachen übernehmen: - Sperren von Ports (auf Protokollebene) - wiederholte Anfragen ignorieren - DoS-Attacken (auf Protokollebene) - Anwendungen gestatten/verbieten, das Internet zu nutzen (Anwendungsebene) - Inhalte geladener Web-Sites auf Angriffe analysieren (Anwendungsebene) Wenn Du auf dem Server (ist das ein W2K-Server oder nennst Du nur einen W2k-Workstation Server, weil er die anderen routen soll ?) eine FW installierst, kann die für alle PC die Sachen auf der Protokollebene übernnehmen. Alle Sachen, die auf Anwendungsebene laufen, kann die FW nur für Deinen Server abfangen. Da nach meiner persönlichen Meinung der Schwerpunkt der Attacken auf der Anwendungsebene liegt (Script-Kiddies), ist Deine FW in wichtigen Teilbereichen außen vor. Du hast aus meiner Sicht 2 Möglichkeiten: - den DSL-Router für alle nutzen, und auf allen eine FW installieren - einen Proxy-Server auf dem Server installieren + FW, damit laufen alle Anwendungen beim Server auf und können auf Anwendungsebene gecheckt werden. Zu Deiner Anfrage: RAS nützt Dir nichts bei Deiner I-Net-Verbindung der Clients. Wenn Du einen W2k-Server hast, mußt Du bei der RRAS-Konfiguration angeben, daß Du im LAN routen möchtest (den genauen Wortlaut der Angebote hab ich nicht im Kopf) und dann dort die statische Route zum DSL-Router angeben. Wenn Du eine W2K-Workstation hast, mußt Du IPForwarding aktivieren und die statische Route zum DSL-Router mit dem route - Befehl festlegen. zuschauer

Hi ! Mir scheint, die Einstellungen werden in HKEY_CURRENT_USER/PRINTERS/DevModes2 gespeichert. Mußt Du mal testen, ob dort bei Druckereinstellungsänderungen sich die Binärwerte ändern. Du könntest dann z.B. so vorgehen: - Anmelden am TS - Einstellen des Druckers auf die gewünschten Werte - mit regedit (nicht regedt32) den oben beschriebenen Reg-Pfad exportieren (Regedit exportiert in eine Ascii-Datei, die kannst Du mit Notepad editieren) - in der REG alle anderen Drucker entfernen - im Autostart des Users platzierst Du ein Batch-File mit dem Befehl Regedit name.REG - Nachteil an der Geschichte: Regedit erzeugt ein Benachrichtigungsfenster, das mit ok geschlossen werden muß - Falls sich was ändert an den Druckereinstellungen, darfst das Batchfile im Autostart nicht vergessen. Ist zwar keine schöne Lösung, müßte aber funktionieren. Vielleicht kennt noch jemand eine elegantere Lösung ? Zuschauer

Hat sich was überkreuzt. Fangen von wir hinten an. Die Anmeldung, die beim Aufbau der Verbindung auf dem Client erscheint, ist nur die Anmeldung am VPN-Server (nicht an der Domäne !). D.h. der Server nimmt den NAMEN und das PAßWORT und checkt in seiner Domäne, ob ein User mit NAME in der Domäne existiert, ob PAßWORT richtig ist und ob dieser User das Recht hat, diese VPN-Verbindung aufzubauen. Deshalb kannst Du keine Domäne angeben. Nur dazu berechtigte Domänenuser dürfen diese VPN-Verbindung aufbauen. Wenn das ok ist, bist Du drin, aber noch nicht an der Domäne selber angemeldet ! Wenn Du dann in der Domäne auf Freigaben (Verzeichnisse oder Drucker) zugreifen willst, folgt der Check für die Domäne, wer bist denn Du ? Normalerweise hat ein Homenutzer seinen PC irgendwie benannt, seine Arbeitsgruppe auch und seinen Login-Namen sowieso. Der PC ist normalerweise nicht einer Domäne beigetreten. Wenn Du dann auf eine Freigabe zugreifst, werden der lokale Anmeldename und Paßwort an den DC übergeben. Der übliche Fall ist, die haben nichts mit der Domäne gemeinsam und es kommt das Anmeldefenster mit Name/Paßwort. Das ist der Punkt, wo Du Dich an der Domäne anmelden mußt und zwar mit \\Domain\DomainUsername und Paßwort. Dann bist Du in der Domäne angemeldet. LoginScripte werden nicht abgearbeitet, alles andere (Rechte, Policies usw. gelten natürlich). Hat Dein HomePC den gleichen Arbeitsgruppennamen wie Deine Domäne und User und Paßwort sind identisch mit denen der Domäne, werden die automatisch weitergeleitet und akzeptiert- wird in Deiner Teststellung so sein. Soviel zur Domänenanmeldung über VPN. Deine IPConfig sieht so aus, als wenn Du am Client die IP-Adresse und den DNS-Server fest eingehämmert hast, und DHCP deaktiviert ist (Gateway 0.0.0.0 !!). Und am Server ist eingestellt, Client kann IP anfordern. Deswegen bist Du drin. Du mußt in der Konfig des VPN-Client nichts eintragen (=Info über DHCP beziehen), dann muß das gehen. Bei dem, was Du hier schreibst, müßte die Namensauflösung aber trotzdem gehen. Da weiß ich im Moment nicht weiter. Mal sehen, was die anderen sagen. zuschauer

Hi Alex ! Wenn auch noch Win9x-Clients drauf sollen, brauchst Du meiner Meinung nach unbedingt einen WINS-Server. Zusätzliche Software brauchst Du für die Win9x/ME nicht, höchstens ein kostenloses Update für Win95 (MSDUN1.3 oder sowas), ist ja momentan nicht akut. Gibt es jedenfalls auf den MS-Downloadsites. Für die Namensauflösung reicht auf jedenfall der DNS-Server. Da hakt es wohl noch bei Deinem VPN-Netz. Ob Du jemals alle PC in der Netzwerkumgebung sehen wirst, ist (mehr) so eine (Glücks-)Sache. Und zu "NEWBI": Du machst jetzt also Abi - ich glaub nicht, daß es schlimm ist, wenn Du noch keine MS-Zertifikationen hast. Dein Interesse ist doch eine gute Grundlage. -"Fragen im Board stellen" - dafür isses da. -"mach den armen Leuten Arbeit"- kannste stecken lassen, wer nicht antworten will, muß ja nicht. zuschauer

Hi ! sinery (oder soll das sinergy heißen) kenn ich leider nicht, beide nicht. Was mich stutzig macht, ist, daß Du den Printserver von den Clients garnicht erreichst. Es könnte sein, daß der Installationswizzard Dir auf dem Server einen neuen Druckmonitor installiert hat. Geh doch bitte mal auf dem Server nochmal in die Druckerkonfiguration und schau mal unter "anderen Anschluß zuweisen" ob dort neben den standardmäßigen "Lokaler Port" und "TCP/IP-Standard" noch ein weiterer erscheint. Andere Möglichkeit wäre, daß der Printserver sich durch irgendwas wieder in den Lieferzustand zurückgesetzt hat, Deine IP-Vorgabe verloren hat. Geht denn der Ping immer noch ? Welche IP und welchen "richtigen" Port hast denn auf dem Server. Steht was in den Unterlagen dazu, ob der Printserver TCP/IP-Standarddruck unterstützt ? zuschauer

Hi Alex ! DNS-Server müßte reichen, Du hattest doch XP-Clients, oder ? Wenn Du mal wieder eine Connection aufbaust, schau mal unter IPCONFIG /ALL bei der VPN-IP, was da für ein DNS-Server übergeben wird. zuschauer PS: Ich bezog mich auf Dein "NEWBI", kenne keinen NEWBI, der weiß, was eine DMZ ist.

Hi Alex ! Alle Achtung, VPN-Server hinterm DSL-Router und die Clients können sich anmelden. Nicht schlecht für einen: Was übergibst Du den VPN-Clienst über DHCP ? IP, Gateway, DNS-Server und WINS-Server ? Sieht so aus, als wenn WINS- oder DNS-Server fehlt. Schau mal nach ! zuschauer

cacls, kenn ich garnicht ... ! Bin wohl doch zu alt für den Job ! @Xheon: Hilfst Du mir bitte über die Straße ? :D

Hi ! Um was für einen Printserver geht es denn ? zuschauer

Hi ! In der Firma, für die ich ab und an arbeite, gibt es zwei Lager, Novellies und NTler. Jeder behauptet von seiner Einzel-Lösung, sie ist wesentlich schneller als die Nutzung beider Netze gleichzeitig. Ich kenne dort nur diesen Mischbetrieb und es ist schon erstaunlich, wie einfach man eine 2GHz Maschine lähmen kann ! "Reine" Netzwerkumgebung - da kenn ich nur NT-Netzwerk. Also vermute ich mal, daß eine reine Novell-Umgebung diese Performance-Einbußen auch nicht hat. Zwei Anmeldungen hast Du auch bei lokalem WS-Betrieb, die Anmeldung am Novell-Server und an der lokalen Maschine. Auch da meine Empfehlung, gleiche Namen und Paßwörter, damit die Doppelanmeldung unterbleibt. Ansonsten seh ich keine Probleme, der NetwareClient von Novell ist inzwischen sehr stabil in der genannten Version und unterstützt alles, was Novell-Netzwerke zu bieten haben. Möglichst nur ein Protokoll fahren und nur Bindungen an den Novell-Client. Die Clients am besten für die Zeit aus der Domäne nehmen, damit in der Richtung Ruhe ist. zuschauer

Hi, schön, daß es vorangeht ! Bei dem einen die Eintragungen für DNS-Server und. WINS checken, in den Netzwerkeisntellungen und mit IPCONFIG /ALL. Wenn dort alles ok, eventuell noch Einträge in HOSTS. und LMHOSTS. auf falsche Eintragungen durchsehen. Wenn das nicht hilft, Netzwerkkarte überprüfen. zuschauer

Hi ! Meine schlechten Erfahrungen: Durch den Parallelbetrieb beider Netzwerk-BS wird das ganze spürbar langsamer für den Nutzer. Es sind natürlich 2 Netzwerkanmeldungen nötig,die bei gleichem Account und gleichem Paßwort in beiden Netzen aber minimiert werden können (Caching und weiterreichen an das andere Netz). Tipps: Wenn es Novell5-Server sind, nur TCP/IP anbinden (auf dem Server). Als Client unbedingt Version 483 SP1 oder neuer verwenden. Die Leistungen dieses Clients sind sehr umfangreich und ressourcenhungrig. Da aber nur 2 Monate vorgesehen sind, minimalste Konfiguration auswählen. Sollte IPX notwendig sein, an den Clients alle Bindungen von IPX an das NT-Netzwerk deaktivieren. zuschauer

@ arrie Syntax: LOGOFF [/F] [/N] Logoff, by default(using no switches), will ask for user confirmation and prompt to save unsaved data. /F,/f Forces running processes to close, but will ask for user confirmation. The user will NOT be asked to save unsaved data. /N,/n User will be logged-off without confirmation, however the user will be prompted to save unsaved data. Vielleicht läuft´s nur auf der Workstation, hab hier physisch keine W2k-Server, nur Terminalsitzungen. Bei WS und TS-Sitzungen geht´s. Start mal im DOS-Fenster, vielleicht spricht er sich ja aus ! @marka: Ressourcekit in Support\tools, auf meiner CD, kenn ja Deine CD nicht :D Avatar: Hätte erwartet, daß die Stacheln wegfliegen, bau´s doch mal um ! :D Edit: Das auf der CD nennt sich auch W2k Ressourcekit, da isses aber nicht dabei, das Teil muß aus dem NTReskit sein.

Hi, schau Dir mal xcacls.exe aus dem Ressourcekit an, damit geht´s. zuschauer Edit: Im Reskit zu NT4, bei W2k scheinbar nicht mehr dabei.

Hi ! Nimm mal einen alternativen DNS-Server, falls Du hast. Wenn der auch nichts meldet, deinstalliere Zonealarm. zuschauer

Hi, im Reskit gibt´s den Befehl Logoff.exe. Wenn Du den über AT oder WinAT um 14:00 startest, wird Sohnemann ausgeloggt. Die Anmeldezeit kannst Du ja in der Benutzerverwaltung einstellen. Im großen und ganzen etwas restriktiv, wenn er sich mal gerade erst um 13:55 angemeldet hat. zuschauer

Läuft auf dem Client oder auf dem Server eventuell eine Firewall, die den TCP-Port 3389 blockt ? Ist der Client oder Server hinter einem NAT-Router, der eventuell die Anfrage nicht weiterreicht ? Hängt Dein Server in einem LAN, wenn ja, geht´s denn von dort aus ? zuschauer

Naja, ich bin kein Hellseher, auf jedenfall könnte Dein Problem damit zumindestens eingegrenzt sein. Wenn Dein Problem jetzt erst nach 3 Tagen statt nach 2 Tagen auftritt, weißt Du, daß Du in der richtigen Richtung suchst. Wenn Du einen normalen W2k-Server hast, ist das maximale Speicherlimit bei 4GByte. Ich vermute, daß da eine unsaubere Anwendung läuft, die den belegten Speicher nicht korrekt wieder freigibt bei Beendigung des Programmes. Wenn das so wäre, steigt Dein Speicherbedarf kontinuierlich weiter von Tag zu Tag. Ich hab mal bei uns nachgesehen, wir sind zur Zeit bei 2GB Swapfile, 50 User, vor ca. 4 Wochen der letzte Neustart. Eine Möglichkeit ist natürlich der nächtliche unbeaufsichtigte Neustart, aber normal ist das nicht. zuschauer

Die Meldung kommt auch, wenn auf dem W2k-Server der Terminalserverdienst nicht installiert bzw. nicht gestartet ist. Schau mal nach, ob der läuft ! zuschauer

Hi ! Ich versuch das mal zu erklären: Dieses Problem rührt einerseits daher, daß einige Server nicht auf das ICMP-Protokoll reagieren z.B. GMX, und andererseits durch das RASPPPoE-Protokoll die maximale Packetgröße von üblicherweise 1500 Byte auf 1492 Byte verringert wird. Das ICMP-Protokoll wird z.B. beim "Ping" benutzt, aber auch zum Aushandeln der maximalen Paketgröße. Jeder PC mit ADSL-Anbindung muß mit dem Gegenüber aushandeln, daß er 1500Byte/Paket nicht empfangen kann, sondern eben weniger. Da z.B GMX das ICMP-Protokoll blockiert, funktioniert der Kontakt zu GMX nicht oder schlecht. Hinzu kommt, das ICS von XP diese Paketgröße weiter reduziert auf 1480 Bytes/Paket. Diese Paketgröße ist die MTU - Maximal Transfer Unit. Deshalb muß auf allen Clients die Paketgröße auf 1480Bytes/Paket verringert werden, auf dem ICS auf 1492. Allerdings weiß ich nicht genau, ob für die ClientMTU die 8Byte des RASPPoE nicht auch noch berücksichtigt werden müssen. Ich hoffe, daß ist etwas klarer geworden. Also, so wie el-capitano schon sagte, DrTCP downloaden und auf allen Clients den MTU-Wert der Netzwerkkarte auf 1480 (wenn das nicht reicht auf 1472) runtersetzen. http://www.dslreports.com/front/drtcp.html zuschauer @blub: Dein Tip mit dem t-online-Proxy funktioniert, da der ICMP nicht blockt. Der nützt aber nix, wenn man seine Mails bei GMX per e-mail-Reader holen will.

Hi, Sowas ähnliches hatte schon mal einer, umbennen ging nicht usw. http://www.mcseboard.de/showthread.php?s=&threadid=3786 Verschieb mal Dein Downloads, die ok sind, woanders hin und kill dann im DOS-Fenster das ganze Verzeichnis (Geht aber nur, wenn Du Dir wirklich nichts einfangen hast) zuschauer

Hi, im NTReskit gibt es das Tool shutdown.exe. Damit kannst Du einen Server runterfahren oder neustarten. Erläuterungen zum Syntax sind in der hlp-Datei zum Reskit oder auch mit shutdown /? . Zusammen mit dem AT - Befehl (oder WinAT aus dem NTReskiT) kannst Du den Server zeitgesteuert neu starten. Verbindungen sauber kappen ... es wird alles gekappt. Wenn da noch getrennte Sitzungen laufen, sind die natürlich weg - ohne Datenspeicherung. zuschauer

Hast Du Dir mal die Anleitungen durchgelesen ? Nimm bitte auch die dort verwendeten IP-Adressen. Irgendwas war da bei ICS, der braucht irgendwo zwingend 192.168.0.1, steht dort aber auch alles drin !

Mmh, dieser Dyn-DNS-Client meldet sich bei DynDNS, wenn sich die externe IP ändert. Meinst Du, daß dieser Client in einer TS-Session was anderes meldet, als in der Consolen-Session ? Es ist egal, in welcher Session er läuft, Hauptsache er läuft genau einmal auf Deinem Server !

C$ ist eine administrative Freigabe unter WinNT/2000/XP, über die der lokale Admin die C:-Platte erreichen kann. Unter Win9x/ME kannst Du ebenfalls so eine Freigabe machen, mußt Du aber selber basteln und mit Paßwort belegen. Mit einem guten "Paßwort-Tool" dauert das dann aber auch nicht lange, bis jemand anders auf der C: - Platte ist, im Gegensatz zu WinNT/2000/XP.