nbambou

Danke für die Hilfestellung. Mit Deinen Hinweisen hast Du mich auf den richtigen Weg gebracht.

Letztendlich ließ sich alles mit dem Assistenten im RRAS Manager einrichten. Leider kann ich das jetzt und hier nicht näher beschreiben, weil ich dafür das RRAS wieder deaktivieren müßte - ist ne aktive Maschine -. Sobald mir aber wieder 'ne Testkiste zur Verfügung steht liefer ich das nach.

Hmm, leider stehen mir beide Möglichkeiten nicht zur Verfügung.

Wir sind hier innerhalb eines "fremden" Unternehmensnetzes und an diese Restriktionen gebunden.

Hallo.

Streng genommen wird die VPN Verbindung auf eine Sonicwall aufgebaut. Zugewiesene IP 10.1.140.x, kein Gateway. Da haben wir auch keinen Einfluss drauf, weil Sonicwall nicht unter unserer Kontrolle ist. Aber wie gesagt, der Ping bis zu 10.5.1.2 lüppt ja durch.

Ziele im LAN haben als Gateway die 172.16.6.11.

Der SBS macht NAT.

Terminiere das VPN am SBS??? Was meinst Du damit?

Hallo liebe Gemeinde.

Folgende Konfig:

SBS 2003

NIC1 (Internet)

IP 10.5.1.2

SUB 255.255.255.0

Gateway 10.5.1.1

NIC2 (LAN)

IP 172.16.6.11

SUB 255.255.0.0

Gateway leer

Es wird eine VPN Verbindung auf die 10.5.1.1 aufgebaut. Bis zur 10.5.1.2 können wir folglich auch pingen. Aber ins LAN nicht. Was muss eingerichtet werden, damit die Verbindung ins LAN klappt?

Danke.

Grüße

Nick

Hi,

ich erhalte obige Fehlermeldung nach erfolgter Rücksicherung des Systemstates.

Die Rücksicherung findet auf der selben Hardware statt. Folgendes Szenario:

Windows 2000 Server SP4

Image aus Mitte September

Systemstates Sicherungen von November und Dezember

Datum des Rechners auf Ende November

Rücksicherung des Images. -> Danach startet der Rechner sauber durch und ich kann mich anmelden.

Verzeichnisdienstwiederherstellung - Rücksicherung des Systemstates damit ich wieder den Stand von November/ Dezember habe -> Nach einem Neustart erhalte ich den Bluescreen.

Dabei hat sich die Hardware nicht im geringsten verändert.

:confused:

Wenn ich einen Doppelklick auf ein Ereignis mache, passiert gor nüschts.

Lokal angemeldet.

War nicht immer so. Ist auf einmal aufgetreten. Jemand eine Idee?

Grüße

Nick

W2K3 SBS

Wenn ich in der Ereignissanzeige einen doppelklick auf ein Ereignis mache passiert nix.

Keine Fehlermeldung, keine Anzeige des Ereignisses im Detail.

Irgendeiner ne Idee?

Danke.

Nick

Hallo,

wir haben einen TFTP Server auf unserer Telefonanlage laufen, damit IP Phones sich damit verbinden können. Ich würde gerne die TFTP Server IP über DHCP verteilen, finde dazu aber keine Einstellmöglichkeit.

SBS 2003 Premium.

Grüße

Nick

Du kannst auch über regedit zu

Computer/HKLM/Software/Microsoft/Windows NT/CurrentVersion/ProfileList

wandern und den Eintrag für den entsprechenden Benutzer löschen. Dann gibts auch ein neues Profil.

Einfach die Einträge mal durchklicken und unter ProfileImagePath schauen welcher der richtige ist.

Nick

Sind die CD's 3 und 4 von der Standard und der Premium Version unterschiedlich oder eh die gleichen?

Ich frage, weil, wie weiter unten schon gepostet, ich eine falsche Lieferung erhalten habe, bei der CD 3 + 4 fehlt, dafür 5 + 6 doppelt vorhanden ist. Ich hab aber noch Windows 2003 SBS Premium R2 CD's aus dem ActionPack. Wenn das eh die gleichen sind, kann ich zumindest mit der Installation schon mal weitermachen.

Grüße

Nick

Hat jemand Infos darüber welche CD wozu gut ist?

Ich habe hier eine OEM Versin, bei der die CD 1, CD2, CD R2 Technologien und CD Outlook Standard 2003 (gibts noch ein anderes?) enthalten sind. Die letzten beiden doppelt, dafür scheinbar keine CD3 und CD4. Offensichtlich ein Packfehler ab Werk.

Bei der Installation meckert er natürlich CD3 an. Was genau ist da alles drauf? Und auf CD4?

Wenn irgendwer CD3 und CD4 als Image zum download zur Verfügung stellen könnte, das wär natürlich klasse. Ansonsten muss ich warten bis Ingram den RMA bearbeitet hat.

Grüße

Nick

Zum Beispiel lokale Installationen am Server durchführen. Ich will Admins erstellen, die das können ohne gleichzeitig Domänen Admins zu sein, weil Sie als Domänen Admins auch Zugriff auf Server in anderen OUs hätten.

Das mit den "verschachtelten" Gruppen schau ich mir mal an.

Nein, hab ich natürlich nachgeschaut. Die Gruppe steht nicht unter "Lokale Anmeldung verweigern".

Weil es nun mal auch Sachen gibt die Du nicht mit der MMC-Konsole erledigen kannst.

Nick

Hallo,

ich habe mir einen untergeordneten Admin erstellt, der eine Organisationseinheit verwalten soll. In der Gruppenrichtlinie habe ich angegeben, dass er sich an dem in der Organisationseinheit stehenden SBS Server lokal anmelden kann. Das funzt auch soweit. Wenn dann aber die Serververwaltungskonsole gestartet wird, kommt die Meldung, dass diese nicht ausgeführt werden kann, weil der Benutzer dafür Domänen Admin oder Domain Power User sein muss.

Also den Benutzer flugs in die Domain Power User gesteckt, und siehe da, jetzt kann er sich nicht mehr lokal anmelden, weil die lokale Richtlinie das angeblich verbietet. Wenn ich ihn aus der Gruppe wieder entferne geht die Anmeldung wieder.

Was tun?

Grüße

Nick

Wie weit würden sich diese Anforderungen denn machen lassen? Also welche gehen über die OU's und welche nicht? Ich frage, weil Mark Minasi in seinem Buch Windows Server 2003 eben so etwas in der Art beschreibt.

Nick

Hallo grizzly999,

ich will mal versuchen die Anforderung zu definieren:

1. Es gibt eine Domäne mit zwei oder mehr Standorten.

2. An Standort A gibt es einen SBS 2003

3. An Standort B gibt es einen Standard 2003er der auch als DC eingerichtet wird.

4. Die Standorte sind per VPN miteinander verbunden (spielt eine untergeordnete Rolle, nur der Vollständigkeitshalber)

5. An jedem Standort gibt es jeweils x Windows XP Clients

6. Es existiert natürlich ein übergeordneter Admin (wie sollten sonst auch die Standorte eingerichtet werden)

7. An Standort A soll es einen Admin geben der "Alles" darf an Standort A und "Nix" an Standort B. Der Admin an Standort B darf "Alles" an Standort B und (muss aber nicht) "Alles" an Standort A.

So, nun hab ich begriffen, dass dieses "Alles" so nicht geht. Für uns entscheidend wäre jetzt zu wissen wie nah wir an dieses "Alles" rankommen.

Es wäre zwingend erforderlich, dass der Admin A am Standort A folgendes kann:

- Benutzer verwalten (AD, Exchange, etc.)

- im Idealfall auch Gruppenrichtlinien verwalten

- Installationen vornehmen (Software, Treiber)

- Dienste starten/ stoppen

Admin B entweder analog zu Admin A, oder eben echt Alles.

Admin A soll standardmäßig keinerlei Zugriffe auf Freigaben des Standort B haben (auch nicht auf administrative). Auf Freigaben von Standort A soll er standardmäßig ebenfalls keinen Zugriff haben, würde aber ggf. manuell Rechte erhalten.

Bei mehreren Admin A's soll es welche geben die sich lokal als Admins anmelden können, und welche die das nicht können.

Auf jeden Fall muss es einen Admin A geben, der sich am Server im Standort A anmelden kann.

Wenn Du mir dazu eine Lektüre empfehlen kannst, wäre ich Dir auch schon dankbar. Für eine umfassende Antwort küsse ich Dir bei nächster Gelegenheit sogar die Füße. :D

Grüße

Nick

@grizzly999

Zitat:

grizzly999: Der eine Server ist DC, der andere Mitgliedserver? Oder auch DC?

Mustermann: Ja beide SRV sind DC, was ich vergessen hab zu erwähnen ist, dass eines der Server ein SBS ist.

grizzly999: Dann wird das wohl nichts.

Dem entnehme ich, dass es anders schon was geben könnte? Macht es einen Unterschied, ob der andere Mitgliedsserver ist oder auch DC?

Gibt es denn keine Möglichkeit zwei Standorte/ Domänen (oder was auch immer...) zu haben um damit das gewünschte Verhalten zu erreichen -

Sprich: Admins für Standort A die an Standort A die komplette Verwaltung inne haben aber eben nix in Standort B dürfen und umgekehrt?

Grüße

Nick

Hallo.

SBS 2003 SP1

Folgendes Problem:

Ich möchte den Standort MyBusiness in Standort1 umbenennen. Nur dann geht die Anlage von Benutzern oder Gruppen in der Serververwaltungsconsole nicht mehr, weil die entsprechenden Einträge im alten Standort MyBusiness anlegen wollen. Das muss man doch irgendwie umbiegen können, oder?

Nick

@lefg

Das mußt Du mir bitte mal erklären. Wenn ich den Namen des Servers anpinge und eine Antwort bekomme, wie soll dass den ohne eine funktionierende DNS Auflösung gehen???

Nimm Norton Ghost. Da gibt es einen Ghost Explorer, mit dem man auf die Images wie auf eine zip Datei zugreifen kann. Der Ghost Explorer ist aber nur eine einzige exe und muss nicht installiert werden (drauf kopieren mußt Du ihn natürlich schon). So lange Du über ausreichende Lizenzen verfügst, sollte das einzelne kopieren der exe auf die PC's auch kein Problem darstellen.

Nick

Funktioniert denn die DNS Auflösung des Servers von den Clients aus sauber? Kannst Du also den Servernamen anpingen?

Versuch sonst mal den Server in die hosts einzutragen.

Bei mir tritt dieses Problem eigentlich nur dann auf, wenn die Clients als DNS Server den Router eingestellt haben. Der Router fragt zur DNS Auflösung den DNS Server des Providers. Der kann natürlich mit Deinem Server nix anfangen.

Also entweder den Server als DNS der Clients oder den Server in die hosts eintragen. Wenn beides nicht hilft, gib noch mal Nachricht.

Nick

Das ist schon klar. Ich will aber, dass das automatisch für jeden Rechner der hinzukommt gilt. Sowohl Server als auch Arbeitsstation. Und wenn ich dass nicht bei jedem Rechner händisch einstellen will, brauch ich einen Automatismus. Und da kam mir halt die Gruppenrichtlinie in den Sinn.

Ein AdminStandort1 soll sich auch nicht mit einer Freigabe einer Arbeitsstation aus Standort2 verbinden können.

Nachdem ich mich nun den ganzen Tag damit rumgeschlagen habe, möchte ich meine Frage von hier http://www.mcseboard.de/showthread.php?t=83896 noch einmal kurz aufgreifen und konkretisieren.

Kurze Zusammenfassung:

Eine Domäne, zwei Standorte, eine AdminStandort1 Gruppe und eine AdminStandort2 Gruppe.

Die AdminStandort2 Gruppe soll auf alle Laufwerke, Verzeichnisse, Dateien der gesamten Domäne Zugriff haben. Die AdminStandort1 Gruppe jedoch nur auf Laufwerke, Verzeichnisse, Dateien des Standort1.

So könnte die Lösung sein:

Ich definiere eine Gruppenrichtlinie, die unter Sicherheitseinstellungen - Dateisystem der AdminStandort2 Gruppe Zugriff auf alle Laufwerke der Domäne gibt, der AdminStandort1 Gruppe aber nur auf Laufwerke von Rechnern von Standort1.

Problem:

Ich kann hier nicht definieren, dass das für sämtliche Laufwerksbuchstaben gelten soll, also auch für welche die zum Zeitpunkt der Erstellung der Richtlinie noch gar nicht existiren.

Kann man die Standard gesetzten Berechtigungen auf Laufwerke, auch auf noch hinzukommende, irgendwo einstellen?

Hat jemand vielleicht einen alternativen Lösungsvorschlag zu meinem Szenario?

Thx

Nick

OK. Danke.

Mit den Verwaltungsrechten muss ich mich dann wohl noch ein wenig näher befassen. Würde dann später gerne noch mal mit meinen Fragen darauf zurückkommen. Im Moment ist mir aber dann noch nicht ganz klar, wie die Verwaltungsrechte zum tragen kommen, weil ich noch nicht ganz verstanden habe wie man einen Benutzer oder einen PC einem Standort zuweist.

Dass heißt aber, wenn ich den Dateizugriff beschränken will, muss ich in den Sicherheitseinstellungen der Laufwerke an Standort2 die Gruppe AdminStandort2 zufügen und bei den Laufwerken an Standort1 AdminStandort1 und AdminStandort2.

Wenn aber nun in einem der Standorte ein neuer Server oder eine neue Arbeitsstation zugefügt wird, sind diese Rechte standardmäßig nicht gesetzt und müßten immer manuell verändert werden. Oder läßt sich das automatisieren?

Hallo!

Folgende Struktur:

Es gibt eine Domäne in der sich zwei Standorte befinden sollen, Standort1 und Standort2. An Standort1 befindet sich ein SBS 2003 der die Aufgaben des DC und Exchange übernimmt. An Standort2 befindet sich ein 2003 Standard Server, er soll der DC des Standort2 sein. Die Standorte sind per VPN miteinander verbunden.

Problem:

Die Admins des Standort2 sollen/dürfen Vollzugriff auf die gesamte Domäne haben. Aber die Admins des Standort1 dürfen nur Zugriff auf Standort1 haben.

So stell ich mir die Lösung vor:

Ich definiere ein Gruppe AdminStandort1 und eine Gruppe AdminStandort2. Die Gruppe AdminStandort1 erhält in Active-Directory Standorte und Dienste Vollzugriff auf Standort1, aber keinen Zugriff auf Standort2. Die Gruppe AdminStandort2 erhält auf beide Standorte Vollzugriff. Wenn ich jetzt ein Benutzer der Gruppe AdminStandort1 sich mit einer Freigabe eines Servers aus dem Standort2 verbinden will dürfte er keinen Zugriff bekommen, richtig?

Bin auch für alternative Lösungsvorschläge dankbar.

Grüße

Nick