rablu

Abhilfen aus dieser Lage:

- Erzwinge die Kennwortaenderung nach x Tagen per Kennwortrichtlinie

- Nutze verbindliche Profile (mandatory Profiles), benenne dazu im jeweiligen Profil die ntuser.dat in ntuser.man um

1 Nutzerkonto pro PC bringt nichts. Durch den AD-Benutzer kann man sich trotzdem an jedem PC in der Domaene anmelden.

Von automatischen Anmeldungen halte ich bei Produktivsystemen nichts, das ist etwas fuer die 9x-User zu Hause.;)

Setze servergespeicherte Profile nur dann ein, wenn Du nur ein Clientbetriebssystem hast.

V.a. 9x/ME und NT4 zerschiessen Dir das servergespeicherte Nutzerprofil, wenn dieses vorher auf einem XP System genutzt wurde.

Wenn du neue Empfängerrichtlinien erstelltst, werden die alten nicht überschrieben, daher ist in deinem Fall eher Handarbeit angesagt.

In den Eigenschaften des AD-Benutzers gibt es auf einem der Exchange-Reitern die sinngemaesse Option Adressen von Empfaengerrichtlinien aktualisieren.

Werden mit dieser nur neue Richtlinien eingefuegt oder auch bestehende Eintraege des Benutzers angepasst?

RDP: 3389 TCP

VNC: 5900+x TCP

VNC ueber HTTP: 5800+x TCP

VNC ist plattformuebergreifend, das +x steht fuer die Displaynummer auf Linux/Unix-Systemen.

IdR ist der VNC-Port bei Windowsystemen 5900 bzw. 5800.

Am Client habe ich auch alles auf den neuen Server umgestellt, also DNS, WINS und Gateway sind auf den neuen Server eingetragen.

Vorausgesetzt es sind die DHCP-Bereichsoptionen mit den Eintraegen fuer Router, WINS und DNS konfiguriert: Du brauchst dann auf dem Client keine manuellen Eintraege setzen, sondern nur alles auf automatisch einstellen.

Auf dem Client musst Du nur folgendes machen:

ipconfig /release

ipconfig /renew

Neben der DHCP-Server-Authorisierung muss auch der DHCP-Bereich aktiviert sein.

Es ist moeglich, aber...

nicht mit Deiner bisherigen Konfiguration.

Das steht auch in der Beschreibung zu Deinem verwendeten Template:

http://www.msisafaq.de/Images/Cachem1.JPG

Zweite Netzwerkkarte in den ISA rein und ein anderes Template waehlen.

Der ISA Firewallclient befindet sich auf der ISA Installations-CD. Bei der Installation vom ISA 2004 wird die Freigabe MSPClnt nicht mehr automatisch erstellt.

Nutze soweit es geht keine hardcodierten Systempfade.

Mehr Systemvariablen findest Du mit dem Command Prompt, dort set eingeben.

u.a.:

%Computername%

%Path%

%ProgramFiles%

%Systemdrive%

%Systemroot%

%Temp%

%Userdomain%

%Username%

%Userprofile%

Eine Erklaerung fuer das Verhalten Deiner ISA Konfiguration findest Du hier:

Die folgenden Protokolle werden unterstützt: HTTP, HTTPS und FTP über HTTP.

Ueber die ISA Clients findest Du hier etwas:

http://www.msisafaq.de/Anleitungen/2004/Grundlagen/Firewallclient.htm

Ja, das ist moeglich.

Nennt sich Message Tracking (bzw. auf einem deutschen Exchange Nachrichtenverfolgung).

System-Manager

%Organisation%\Server\%Server%

Reiter Allgemein

Scanstate und Loadstate sind Teile der User State Migration Tools, die erst ab XP zur Verfuegung stehen.

Wie melden sich die User an der DB an? Ohne Login oder mit extra Login?

Den Domain-Usern Domain-Admin-Rechte geben gleicht einem Selbstmord.

Wenn Adminrechte unbedingt auf Dateisystemebene noetig sind, dann gibt es hoechstens lokale Adminrechte auf den PCs und das auch nur solange bis die Software mit normalen Benutzerrechten zusammenarbeitet.;)

Poste mehr Informationen.

- Szenario: Was ist wie mit dem Internet (WAN) verbunden?

- Konfiguration der ISA Schnittstellen (IP-Adressen, Gateway, DNS, etc.)

- Konfiguration des DNS Servers (Forward-Zone, Reverselookup-Zone, Weiterleitungen, etc.)

- Welches ISA2004-Template wird genutzt?

Was heisst Client ohne Firewallclient, ist damit der SecureNAT-, der Webproxy- oder gar kein ISA-Client gemeint?

grizzly999 meinte einen Dienst, der einen von Dir festgelegten Namen auf Eure dynamische IP-Adresse aufloesen kann.

Schau Dir mal die Seiten http://www.dyndns.org oder http://www.no-ip.info an.;)

Den Hardware-Router so konfigurieren, dass die Ports fuer PPTP (1723 TCP) und/oder L2TP (500 UDP, 1701 UDP und 4500 UDP) auf den Windows Server 2003 weitergeleitet werden.

Dann nur noch einen VPN-Server (RRAS-Server) auf dem Windows Server 2003 einrichten.;)

ja, ich habe Änderungen an den Kennwortrichtlinien vorgenommen, die aber wieder alle Rückgängig gemacht sind.

Die Fehlermeldung deutet eher auf die gesetzte Einstellung der interaktiven (lokalen) Anmeldung in der GPO Default Domain Controller hin.

Pfad bei Windows Server 2003 (Windows 2000 Server ist hier aehnlich):

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignments\Deny logon locally

In welcher OU befindet sich der betreffende PC?

Habt Ihr wenn Ihr Euch beworben habt Vorteile bei den Stellen gehabt bzw. wird dies bei Einstellungen honoriert wenn Ihr MCSE zertifiziert seid ??

Das laesst sich nicht allgemeingueltig beantworten.;)

Es kommt auf das Unternehmen an.

Wie sieht es umgekehrt aus, tritt dieses Verhalten beim Zugriff von anderen PCs auf die betreffenden Maschine auch auf?

Schau Dir mal die Namensaufloesung an.

Versuche mal testweise die lmhosts-Datei (%systemroot%\system32\drivers\etc\lmhosts) und trage dort den/die Domaincontroller mit der IP-Adresse und nachfolgend mit #PRE und #DC:%deindomainname% ein. Oder installiere alternativ einen WINS-Server.

Die Domaenenmodi Mixed und Native Mode haben nur Einfluss auf das Verhalten der Windows 2000 Domaene gegenueber NT4-BDCs.

...aber mehr als Administrator kann ich ja nicht sein :-)

Administrator heisst nicht alle Rechte zu besitzen, sondern sich welche zu beschaffen.;)

Schau mal in die Terminal Services Configuration, dort in den Eigenschaften des RDP-Protokolls die einzelnen Reiter durch.

Die Reiter Remote Control und Sessions koennten Dein Interesse wecken.;)

Verdammt, die Einstellung gibts erst ab Windows 2003 Server:

Control Panel -> Administrative Tools -> Terminal Services Configuration

dort in den Server Settings

oder per Gruppenrichtlinien

Computer Configuration\Administrative Templates\Terminal Services\

Restrict terminal service user to a single remote session

Unter Windows 2000 Server habe ich nichts in der Art gefunden.

Eine sehr unkonventionelle Vergabe von IP-Adressen.;)

Geht der ping vom W2k Server zum Router?

Schau im ADSL-Router nach Diagnosetools wie ping/tracert und, wenn vorhanden, pruefe damit die Verbindung vom Router zum W2k3 Server.

Schau auch, ob die verwendete IP-Adresse 10.30.16.100 nicht mit einem evtl. eingerichteten DHCP-Bereich (im Router oder in einem der Server) kollidiert. Wenn ja, DHCP-Ausschluesse definieren.

Verwendest Du auf einem oder auf beiden Server IPsec-Richtlinien (AD-Vorlagen Server oder Sicherer Server)?

Schau mal in die Konfiguration des Terminalservers.

Dort gibt es die Einstellung Restrict one user per each session.

Allerdings hat diese Einstellung einen Haken: Meldet sich ein neuer User mit demselben Login eines bereits verbundenen Users an, dann wird die Session des bereits verbundenen Users gekillt.

Poste bitte die verwendeten IP-Adressen/Subnetzmasken und auch wieviele aktiv genutzte Netzwerkkarten die einzelnen Geraete haben.

Poste bitte auch die einzelnen Verbindungen, also was wie vom 2k3 Server zum Internet (DSL?, ISDN? oder gar 56k-Modem?) hin verbunden ist.

- Neuer Server umbenennen und fuer den neuen Server eine andere freie IP-Adresse aus dem verwendeten Subnetz vergeben

- beide Server ins Netz

- dcpromo (Start -> Ausfuehren -> dcpromo) auf dem neuen Server ausfuehren: Domaincontroller einer bereits vorhandenen Domaene

- Replikation abwarten bzw. manuell anstossen

- FSMO-Rollen und Global Catalog auf den neuen Server uebertragen (siehe Link von jeremy oder alternativ zu finden in AD Benutzer und Computer, AD Domaenen und Vertrauensstellungen und in AD Schemaverwaltung)

- Replikation abwarten bzw. manuell anstossen

- alten Server mit dcpromo herunterstufen

- alten Server aus dem Netz nehmen

Mit der 127.0.0.1 wird der localhost als DNS-Server genutzt. Der localhost beinhaltet hier beide Netzwerkkarten.;)

Binde den DNS-Server nur an die interne Netzwerkkarte 10.0.10.30 (in der DNS Konsole, Eigenschaften des DNS Servers, Reiter Interfaces).

Auf derinternen Netzwerkkarte wird als DNS der 10.0.10.30 genutzt und auf der externen Netzwerkkarte setzt Du als DNS-Server den fuer das Netzwerk 192.168.4.0 zustaendigen DNS-Server.

Im DNS-Server 10.0.10.30 setzt Du Weiterleitungen an den fuer das Netz 192.168.4.0 zustaendigen DNS-Server. (DNS Konsole, Eigenschaften auf dem DNS Server, Reiter Forwarder)

Schau in die Eigenschaften des betreffenden AD Benutzers und dort im Reiter Exchange Features.

Serververwaltungskonsole, POP3-Connector.

Soll der DNS-Server Zonen vom externen Netz hosten?

Oder soll er DNS-Anfragen an externe Ziele nur an den/die zustaendigen DNS-Server weiterleiten?