IThome

Sicher geht das ... Was hast Du gemacht ?

Verteile auf beiden Seiten den gleichen DNS-Suffix und lösche in der Registry des Clients den folgenden Wert (vor dem erneuten Anwenden der Richtlinie und nach dem Verteilen des Suffixes) ... HKLM/SYSTEM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/GROUP POLICY/HISTORY/"Networkname" Dort steht jetzt wahrscheinlich Deine Netzwerk-ID. Also DHCP auf beiden Seiten anpassen (Suffix verteilen lassen), diesen Wert löschen (die Netzwerk-ID) und leer lassen, bei Verbindung zum DC GPUPDATE /FORCE durchführen und den Wert erneut kontrollieren ...

Warum nicht ? Sicher geht das ... How to install Small Business Server 2003 in an existing Active Directory domain Zum Thema Migration gibt es hier im Board auch seitenweise Posts ...

Windows Server How-To Guides: Lokale Gruppenmitgliedschaften in der Domäne (Restricted Groups) - ServerHowTo.de

Kommt auf den Suffix an, der vom lokalen DHCP ja auch an die LAN-Karte verteilt werden kann ...

Deaktiviere den RRAS nochmal und führe danach den Assistenten aus (NAT/VPN) ...

Du interpretierst diese Funktion nicht richtig. Es bedeutet NICHT, dass der Rechner mit der Domäne verbunden ist. Es geht um ein verwaltetes Netz und ein nicht verwaltetes Netz. In dem Moment, wo sich der Client erstmalig diese Richtlinie zieht und ein Verbindungssuffix hat, nimmt er an, dass er sich immer im verwalteten Netz befindet, wenn er dieses Verbindungssuffix hat. Hat er kein Verbindungssuffix, nimmt er an, dass er sich im verwalteten Netz befindet, wenn er eine Adresse des IP-Bereiches hat, die er zu dem Zeitpunkt hatte, als er erstmalig die Richtlinie bekommen hat. Da Du offensichtlich keine Suffixe verteilst, ist der IP-Bereich für den Client entscheidend. Und der ist eben in der Zweigstelle anders als in der Hauptstelle, weswegen die Firewall angeschaltet wird (wie im Standardprofil in der Richtlinie angegeben). Es hat nichts damit zu tun, ob er den DC erreichen kann oder nciht, sondern wo sich der Client gerade befindet ...

Oder mit SC.EXE bzw. SVCUTIL ... edit: achso, ist schon auf anderem Wege behoben worden :)

Auch vom Server nicht ? Was genau passiert (benutze mal den Kommandozeilen FTP-Client von Microsoft) ?

Nein, kann man nicht, er muss DC sein (Forestroot-Controller, FSMO-Inhaber ...) Ist er es nicht, fährt er nach 2 Wochen sporadisch runter ...

Verteilst Du via DHCP einen DNS Verbindungssuffix ? Wenn nicht, welchen Adressbereich bekommt der Client, wenn er sich via VPN anmeldet ? Poste bitte IPCONFIG /ALL, wenn der Client via VPN und direkt verbunden ist. Die Prüfung der Domänenzugehörigkeit bedeutet: Wenn diese Richtlinie zum ersten Mal angewendet wird (also eine Verbindung zur Domäne besteht), wird der derzeit gültige Verbindungssuffix gespeichert, der üblicherweise vom DHCP-Server kommt. Existiert kein Verbindungssuffix (weder vom DHCP noch manuell), wird die zum Zeitpunkt der ersten Anwendung der Richtlinie gültige Netzwerk-ID zur Prüfung der Domänenzugehörigkeit benutzt. Stimmt also der Verbindungssuffix bzw. die Netz-ID, kommen die Einstellungen des Domänenprofils zum Tragen. Ist es ein anderes Verbindungssuffix oder eine andere Netz-ID (dazu zählt auch keine Netzwerkverbindung, Karte deaktiviert usw.), kommen die Einstellungen des Standardprofils zum Tragen ... The Cable Guy - May 2004

Off-Topic: Habt Ihr was anderes erwartet ? ;)

Da war ich noch frisch ... :D und den Krankl kann ich bis heute nicht leiden ... :D :D :D

BIOS-Beschränkungen ... Größenbeschränkung bei Festplatten NT Bootprozess Windows NT Boot Process and Hard Disk Constraints

Wofür benutzt Du die Filter ? Um interne Clients internetmässig einzuschränken und/oder den Zugriff von aussen nach innen einzuschränken ? Man benötigt keine Filter, um den Internetzugang zu ermöglichen (habe ich aber wahrscheinlich falsch verstanden). Und warum eingehende Filter auf der NAT-Schnittstelle ? Eigentlich werden auf NAT-Maschinen gar keine statischen Filter gesetzt, ich weiss jetzt aber auch nicht, was Du damit erreichen willst ... Routing and Remote Access Blog : RRAS static packet filters - do's and don'ts Funktioniert der Zugriff mit abgeschalteten Filtern aber eingeschalteter Basisfirewall ? Wenn Du dann die internen Clients einschränken möchtest, konfiguriere erstmal nur ausgehende Filter auf der externen Schnittstelle und teste. Ich nehme mal an, Du hast einen VPN-Server laufen und deswegen sind VPN-Filter aktiv ?! Und genau das ist der Grund, warum Du weitere Filter setzen musst ?! Benutzt Du den RRAS-Assistenten und wählst nur RAS/VPN aus, gibt der Assistent Dir die Möglichkeit, statische Filter zu setzen. Wählst Du allerdings NAT/VPN aus, wird nur die Basisfirewall angeboten, statische Filter dagegen nicht (es ist ein "Don´t" auf einem NAT-Router statische Filter einzusetzen). Ist aber auch nicht notwendig, weil die Basisfirewall alle Anfragen von aussen verwirft und zudem noch stateful ist, im Gegensatz zu den Paketfiltern. Um auf den VPN-Server zugreifen zu können, werden Redirections eingerichtet und nur diese Redirections machen die Ports des VPN-Servers überhaupt erreichbar (den Rest blockt die Basisfirewall mit Ausnahme der Antworten der von innen initiierten Verbindungen, FTP eingeschlossen, auch aktives FTP). Der 2003 Server stellt den sogenannten "Gatewaydienst auf Anwendungsebene" zur Verfügung und ebenso ein Application Layer Gateway FTP Plugin, welches ermöglicht, dass aktives FTP durch das von Windows zur Verfügung gestellte NAT funktioniert. Läuft dieser Dienst nicht, kommt es auch zu der von Dir beschriebenen Symptomatik mit aktivem FTP. Für passives FTP sind Deine Filter falsch. Eventuell hast Du die Filterkonfiguration hier her, was aber nur für 2000 gilt, da es dort noch keine Basisfirewall gab ... Konfiguration von Eingabefiltern für Dienste, die hinter der Netzwerkadressübersetzung laufen Ich würde Dir also empfehlen, nur die Basisfirewall laufen zu lassen, keine eingehenden Filter und wenn Deine Clients eingeschränkt werden sollen, eben nur entsprechende ausgehende Filter auf der externen Schnittstelle ...

Öhm, fragt sich nur für wen ... :shock: Das geht ja echt gar nicht ... Ich sehe sie schon kommen, die Schmach von Cordoba ... :D

So, jetzt gibt´s ´ne Klatsche :D

Mit LANMANSERVER SPOOLER findet man sowas :D Ich kannte das Problem allerdings schon, daher war es nicht schwer zu finden ;)

Ist der Benutzer ganz sicher lokaler Administrator ? Prüfe die NTFS-Berechtigungen der Datei CMD.EXE ...

Du machst einfach die Druckwarteschlange vom Serverdienst abhängig, dann passiert das normalerweise nicht mehr ... Services do not start and Event ID 7022 is logged in the System log in Windows NT 4.0, Windows 2000, or Windows Server 2003

Lass jetzt mal den Serverdienst auf automatisch und deaktiviere die Druckwarteschlange und starte neu ...

Du kannst nicht ins Internet, wenn der Serverdienst nicht läuft ? :suspect: Deaktiviere den Dienst mal, starte neu und direkt nach Anmeldung stellst Du ihn wieder auf automatisch und startest ihn. Klappt das ? Schau mal in die Eigenschaften des Serverdienstes unter Abhängigkeiten, was steht da ? Ist die Druckwarteschlange voll ? Wenn Du den Spoolerdienst deaktivierst und neu startest, kann dann der Serverdienst gestartet werden ?

Richtig, erstmal klonen, bevor Du irgendwas anderes machst. Danach CHKDSK /F (eventuell erstmal ohne /F) und prüfen/reparieren lassen. Dann mit dem Tool GETDATABACK Daten restaurieren. Ich hatte einen ganz ähnlichen Fall mit einem RAID in einem Server. Nach dem Neustart "Masterdateitabelle beschädigt" auf beiden Partitionen, CHKDSK /F durchgeführt (das habe ich allerdings schon vor dem Neustart eingegeben). Das System startete wieder, die Datenpartition hatte allerdings 0 Byte. Dann mit GETDATABACK die Daten der beschädigten Partition wiederhergestellt (in meinem Fall zu 100%) ...

Bei gesetztem "Kein Vorrang" bzw. "Erzwungen" ist es etwas anders, weil hier das erste gelesene GPO mit dieser Einstellung "gewinnt" ...

Nö, die, in der Priorität ganz oben steht (die niedrigste Zahl hat), "gewinnt" ...