IThome

Ja, um da ganz sicher zu gehen, würde ich sie auch mal komplett entfernen ...

Bei dem einen ist der Knotentyp unbekannt, bei dem Notebook ein p-Knoten. Also REGEDIT HKLM/SYSTEM/CURRENTCONTROLSET/SERVICES/NETBT/PARAMETERS Wert "NodeType", Typ REG_DWORD, Inhalt 1 auf beiden Maschinen, danach beide neu starten ... Mach das erstmal, bevor wir resetten und nach dem Neustart bitte noch einmal IPCONFIG /ALL beider Maschinen ...

Die Namen in der von Dir beschriebenen Umgebung werden via Broadcast aufgelöst. Voraussetzung für diesen Vorgang ist, dass NetBIOS über TCP/IP aktiviert ist, die Datei- und Druckfreigabe installiert und gebunden ist und dass auf den entsprechenden Maschinen der Arbeitsstationsdienst bzw. der Serverdienst läuft. Ohne konfigurierte WINS-Server sollte der Knotentyp, der die Reihenfolge innerhalb der NetBIOS-Namensauflösung bestimmt, auf Broadcast stehen (zu sehen mit IPCONFIG /ALL). Und wenn das alles nichts nützt, kannst Du auf dem Problemgerät immer noch den IP-Stack bzw. WINSOCK resetten ... edit: ups, zu lange Abendbrot gegessen :D

Du könntest im DNS das Aging/Scavenging einstellen. Wenn Du mit rechts auf den Server klickst und dann auf Eigenschaften - Erweitert, kannst Du den automatischen Aufräumvorgang für diesen Server aktivieren. Mit einem Rechtsklick auf die Zone - Eigenschaften - Alterung kannst Du die spezifischen Einstellungen dieser Zone vornehmen.

Du hast also Active Directory integrierte Zonen, die nur sichere, dynamische Updates zulassen. Auf beiden Domänencontrollern ist der DNS-Dienst installiert und jeder hat sich selbst als bevorzugten und den anderen als sekundären DNS-Server eingetragen ? Auf beiden Servern kannst Du die Zonen sehen ?! Lade Dir mal die Windows 2003 Supporttools SP1 herunter und führe auf beiden NETDIAG durch ...

Schau auf diesem DC mal in die Terminaldienstekonfiguration - RDP-TCP - Berechtigungen und füge Deine Gruppe zu ...

Eigentlich sollten sie dann auch verweigert werden. Du kannst aber auch den Zugang über RAS-Richtlinien steuern. Dazu musst Du als erstes Deine Domäne mindestens in den Modus Windows 2000 pur stellen. Dazu öffnest Du Active Directory Benutzer und Computer, klickts mit rechts auf die Domäne und auf Domänenfunktionsebene heraufstufen. Im nächsten Schritt wählst Du mindestens Windows 2000 pur aus. Ist dieser Schritt vollzogen, kannst Du in den Eigenschaften eines Benutzers unter Einwählen den Punkt "Zugriff über RAS-Richtlinien" steuern. Öffne Active Directory Computer und Benutzer und vergewissere Dich, dass das Konto Deines Servers in der Gruppe RAS- und IAS-Server enthalten ist. In der Konsole Routing- und RAS kannst Du unter RAS-Richtlinien assistentengesteuert eine neue RAS-Richtlinie erstellen, in der Du als Zugriffsart VPN auswählst und den Zugriff über Gruppen steuerst. Vorher legst Du Dir eine globale Gruppe an und füllst sie mit den Konten, die sich anmelden sollen (bei allen Benutzern steht unter Einwählen - Zugriff über RAS-Richtlinie steuern) ...

Öffne in der Verwaltung mal "Routing und RAS" und navigiere zu IP-Routing - NAT/Basisfirewall. Dort stehen auf der rechten Seite mindestens zwei Schnittstellen. Wenn Du die einzeln rechtsklickst und auf Eigenschaften gehst, wird DIr angezeigt, ob es eine öffentliche oder private Schnittstelle ist. Weiterhin kann Du in der DNS-Konsole in den Eigenschaften des Servers unter Schnittstellen festlegen, auf welche IP-Adresse der Server horcht. Gleiches gilt für die DHCP-Konsole unter Erweitert - Bindungen. Auf der externen Schnittstelle solltest Du die den EIntrag für den WINS-Server entfernen , NetBIOS über TCP/IP deaktivieren und den Haken für die dynamische DNS-Registrierung entfernen. In der Netzwerkumgebung unter Erweitert - Erweiterte Einstellungen sollte die interne Karte in der Bindungsreihenfolge an erster Stelle stehen. Überprüfe in der Routing- und RAS Konsole bei den Schnittstellen unter NAT/Basisfirewall, ob irgendwo Filter definiert sind ...

Stimmt, WINS passt nicht , DNS schon ...

Okay, also gemischter Modus. Du hast also bei den Benutzern, die sich nicht via VPN verbinden sollen, Zugang verweigern angeklickt. Diese Leute können sich aber trotzdem via VPN verbinden ? Oder meinst Du, dass sich diese Benutzer mit dem Terminalserver verbinden können (mit welchem User auch immer vorher eine VPN-Verbindung hergestellt wurde) ?

Das sieht eigentlich gut aus, kontrolliere mal im RRAS, welche Karte als öffentliche Karte deklariert wurde und welche als privat ...

Dann schaue mal in die Eigenschaften eines Benutzerkontos - Einwählen. Ist dort die Auswahl "Über RAS-Richtlinie steuern" (oder so ähnlich) ausgegraut ?

DC steht für Domänencontroller, existiert eine Active Directory Domäne, laut einem Deiner vorherigen Posts sollte Du sowas haben ?

Das bedeutet also, dass der RRAS auf dem WTS läuft ? Ist der WTS auch ein DC ? Datev ?

Dann erzähle doch einfach mal, was für Server Du hast, was darauf läuft und wenn es mehrere Server sind, was auf welchem Server läuft ...

Bitte IPCONFIG /ALL ... :)

Die kam freiwillig, ohne Aufforderung, falls Du das meinst ... Und jetzt ist das Thema für mich auch erledigt ...

Ups, das wusste ich nicht und habe es bis jetzt hier auch noch nicht gesehen. Naja, also andi_k, nichts für ungut, ich entschuldige mich in aller Form ...

Hm, hab ich das jetzt falsch verstanden ? Ich dachte, es geht darum, dass sich Leute einwählen können, aber eigentlich gar nicht sollen ...

So ist es ...

Das meinte ich mit Legacy, ein Client oder eine Anwendung, die noch NetBIOS benötigt. Anderenfalls kann man es ja mit CNAME oder alternativem Computernamen machen ...

Ich würde gerne wissen, welcher Server die VPN-Verbindungen entgegen nimmt, der TS, ein DC. Gibt es überhaupt mehrere Server ? Dann schaue mal in Active Directory Computer und Benutzer nach, welche Funktionsebene die Domäne hat (rechtsklick auf die Domäne , Domänenfunktionsebene heraufstufen). Wir sollten erstmal klären, welche Benutzer sich überhaupt via VPN wo einwählen, eventuell sind es lokal angelegte Benutzer auf dem RRAS und keine Domänenbenutzer.

Ja stimmt, das ist ein bisschen mager. Du betreibst offensichtlich einen RRAS, der die Verbindungen entgegen nimmt. Allerdings schreibst Du nicht, auf welchem Gerät und wo die zu authentifizierenden Benutzer angelegt sind (lokal oder Domäne).

Poste bitte mal die Ausgabe von IPCONFIG /ALL des Servers und eines Clients, falls überhaupt noch Bedarf besteht ...

"Was für ein Eis hätten Sie denn gern ?"