IThome

So, der Brand ist verschwunden, die bleierne Müdigkeit noch nicht (naja, im Alter dauert die Regeneration ein wenig länger :D ), also auf zu neuen Taten ... ;)

Und der SBS routet nur (LAN-Routing) oder macht er NAT ? Welches Ziel ist in der IPSEC-Policy angegeben ?

Von mir auch herzlichen Glückwunsch ... und Deine Engelsgeduld ist eine beneidenswerte Eigenschaft ... :)

Schreib mal bitte, wer der VPN-Abschluss ist , der Router oder der SBS. Wie ist der SBS konfiguriert (NAT/Basisfirewall, ...) . Wenn der SBS beide zu erreichenden Netze durch direkte Verbindung kennt, benötigst Du keine Routen, aber mal sehen, was überhaupt Sache ist ...

Funktioniert das Kopieren, wenn Du an Stelle des System-Accounts einen minderprivilegierten Benutzer (Mitglied der Gruppe Benutzer z.B.) einträgst und diesem Benutzer Schreibberechtigungen im Zielordner gewährst ?

Von mir auch herzlichen Glückwunsch ... :)

Ich habe solch einen Fehler in den Griff bekommen, nachdem ich folgendes konfiguriert habe (allerdings waren auch noch andere Meldungen, NETLOGON z.B. vorhanden) ... Anwendung von Gruppenrichtlinien schlägt auf einem Computer mit Windows 2000, Windows XP Service Pack 1 oder Windows XP Service Pack 2 fehl How to force Kerberos to use TCP instead of UDP in Windows Server 2003, in Windows XP, and in Windows 2000 DNS lief in meinem Fall einwandfrei ... Du kannst aber auch das Logging einschalten und die USERENV.LOG untersuchen (der Beitrag von Gadget) http://www.mcseboard.de/tipps-links-5/gruppenrichtlinien-handbuch-problembehebung-71316.html?highlight=userenv

Ich wiederhole lieber noch mal ... :D Es geht eigentlich nur um das Testnetz mit den darin enthaltenen Subnetzen. Der eine Server ist derjenige, der vom Firewall durchgelassen wird (die Adresse seiner einzigen Netzwerkkarte). Die anderen Geräte dieses Testnetzwerkes werden über Router an diesen Server beziehungsweise an das Subnetz, in dem sich der Server befindet, angeschlossen und haben keinen Internetzugang. Die anderen Geräte haben die ihnen zugewandte Schnittstelle des Routers als Default Gateway eingetragen. Du möchtest jetzt erreichen, dass diese Geräte aus den verschiedenen Subnetzen des Testnetzwerkes über diesen einen Server ins Internet können, er sich also mit der zugelassenen Adresse mit den Anfragen dieser Clients an die Firewall wendet und dort seine Pakete los wird. Ohne Änderungen der Adressierung kannst Du sowas mit einem Proxyserver machen, der den Firmenproxy als Upstream-Proxy angibt. Wenn es mit NAT gemacht werden soll, muss die jetzige interne Karte des Servers die öffentliche Karte werden und eine zusätzliche Netzwerkkarte einen anderen Bereich bekommen (was aber Änderungen des Adressbereiches des Subnetzes des Servers und Umkonfiguration der Router bedeutet) ... Und wenn das jetzt auch wieder falsch verstanden war, dann weiss ich auch nich ... :D

Ne, den kann man nicht einfach runterladen, allenfalls als zeitbegrenzte Evaluationsversion. Bei Microsoft ISA Server Firewall and Cache resource site oder ISA Server FAQ gibt´s auch Anleitungen ...

Poste mal bitte die komplette Fehlermeldung ...

Naja, die erreichen doch jetzt den Server schon über einen Router und der Server kennt den Weg zurück. Wenn Du jetzt in den Server eine zweite Netzwerkkarte einbaust, dieser Karte eine noch nicht vergebene, private Adresse aus einem anderen Bereich gibst und diese dann mit dem Firewall verbindest (welcher natürlich intern dann eine Adresse aus diesem Bereich haben muss) ... Aber wie schon gesagt, ich weiss nicht, ob ich das Problem überhaupt richtig verstanden habe ... Was für ein Proxy läuft da und wo ?

ISA-Server zum Beispiel ...

Off-Topic: Hehe, Dein Avatar passt zu diesem Szenario sehr gut ... :D Das mit dem Laptop hab ich komplett überlesen oder vielleicht auch einfach nur ignoriert ...

Solange die das Gateway finden und das Gateway die Antworten zurückschicken kann, warum nicht ?

Verbindungen sollten schon weg sein, kontrolliere aber trotzdem, vielleicht eine Verbindungsherstellung via Script ...

Hallo und herzlich willkommen, ein Netzwerkmonitor-Agent wird beim Netzwerk-Sniffen benutzt, da wird die Auswertung schwierig. Was Du brauchst ist ein vernünftiger Proxyserver (ISA-Server zum Beispiel) oder eine Appliance, der/die Dir diese Daten auch in lesbarer Form zur Verfügung stellt ... Gruss Sven

Auch auf die Gefahr hin, dass ich das vollkommen falsch verstanden habe ... Den Server mit der Verbindung zum Firewall als NAT-Router via RRAS konfigurieren (mindestens 2 Netzwerkkarten) ...

Die Zuordnungen siehst Du in der DNS-Konsole auf dem DNS-Server. Die WINS-Einträge ebenfalls (natürlich in der WINS-Konsole auf dem WINS-Server). Wenn Du solch eine Meldung bekommst, hast Du normalerweise noch eine Verbindung zum Server. Trenne alle Verbindungen mit NET USE * /D /Y und NET SESSION /D, dann solltest Du den Client wieder zufügen können ...

Ein Hoch auf Application Layer Firewalls mit Application Proxys, die Watchguard Firebox X-Serie kann sowas auch ...

Für den DC in der Default Domain Controllers Policy: Microsoft Netzwerk (Server): Kommunikation digital signieren (immer) : Aktiviert Microsoft Netzwerk (Server): Kommunikation digital signieren (Wenn Client zustimmt) : Aktiviert Die beiden Clientregeln auf "Nicht definiert" Auf dem 2000er via GPEDIT.MSC Microsoft Netzwerk (Client): Kommunikation digital signieren (immer) : Deaktiviert Microsoft Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) : Aktiviert Microsoft Netzwerk (Server): Kommunikation digital signieren (immer) : Aktiviert Microsoft Netzwerk (Server): Kommunikation digital signieren (Wenn Client zustimmt) : Aktiviert Client bzw. Server bezeichnet hier nicht eine Windows XP-Maschine oder einen Windows Server, sondern einen, der die SMB-Verbindung initiiert und einen, der angesprochen wird ...

Aber beim Zufügen oder wann ? Und welche Meldung bekommst Du ?

Hast Du beim Imagen an die Rechner-SID gedacht ? Hast Du die DNS-Zonen und WINS-Datenbank nach falschen Zuordnungen untersucht ? Welche Meldung bekommst Du beim Entfernen aus der Domäne ? Mach vor dem Entfernen mal NET USE * /D /Y und NET SESSION /D ...

Übertrag erstmal, sichere Dir die Lizenzdateien des ehemaligen Lizenzservers, schalte ihn ab und schaue auf dem neuen Server nach, ob alles da ist. Wenn nicht, beende auf ihm den Lizenzprotokollierdienst und übertrage die vorher gesicherten Dateien ...

Du öffnest Active Directory Standorte und Dienste, hakst unter Ansicht Dienstknoten anzeigen an, klickst auf das Plus vor Sites, dann auf den Standort und siehst jetzt rechts License Site Settings. Das klickst Du mit rechts an - Eigenschaften und kannst dort den neuen Lizenzierungscomputer auswählen ...

Active Directory Domänen und Vertrauensstellungen MMC, in dieser Konsole Rechtsklick auf "Active Directory Domänen und Vertrauensstellungen", nicht auf der Domäne selbst. Active Directory Schema wird per Default nicht angezeigt. Du führst vorher REGSVR32 SCHMMGMT.DLL aus, führst dann MMC.EXE und fügst dann das Schema-Snapin zu ... Standortlizenzserver findest Du in Active Directory Standorte und Dienste, zuerst unter Ansicht - Dienstknoten anzeigen und dann klickst Du auf den Standort (daran beteiligte Dateien sind CPL.CFG, LLSUSER.LLS, LLSMAP.LLS) ...