IThome

Eigenschaften der Netzwerkverbindung - Internetprotokoll -Erweitert - WINS ...

Achso, ich sehe gerade, die Win95 können auf die Freigaben rauf, dann muss Netbios ja aktiviert sein :wink2:

Wenn die physikalische Verbindung funktioniert (mit ping überprüfen) setze mal in der Lokalen Sicherheitsrichtlinie - Lokale Richtlinien - Überwachungsrichtlinie auf dem 2003 Server die beiden Punkte Anmeldeereignisse überwachen und Anmeldeversuche überwachen auf Erfolgreich und Fehlgeschlagen, dann kannst Du in der Ereignisanzeige - Sicherheit auf dem 2003-Server eventuell etwas erkennen, was Dich ein Stückchen weiter bringt ... :)

Ich habe mal ein XP-Notebook gehabt, das hat den ganzen Tag nur abgeglichen hat, weil der DAU den Inhalt der Hauptfreigabe (45 GB) unbedingt mit nach Hause nehmen wollte ... :D

Ich hab immer gedacht, in einem Druckerpool werden die einzelnen Aufträge an einen der Drucker im Pool geschickt und nicht an alle gleichzeitig ...

Ist NetBIOS aktiviert auf den 2000/XP/2003 Geräten, funktioniert die Namensaulösung (z.B. ping <Name des Servers>) ? Können die NT-Maschinen miteinander kommunizieren ?

Dass die Benutzeranmeldung ewig lange dauert bedeutet meistens, dass DNS-Probleme vorliegen. Sind die WAN-Benutzer oder besser deren Rechner Domänenmitglieder?

Hast Du mal einen anderen DNS-Server ausprobiert? Ist die MTU auch nicht zu gross?

Gibt es denn überhaupt RIP-Ankündigungen ?

Ja, das ist richtig, man kann diese Beschränkung via adsiedit.msc aufheben oder man den Benutzer das Benutzerrecht "Hinzufügen von Arbeitsstationen zur Domäne" gewähren, beides würde ich keinem Azubi oder irgendeinem anderen als dem Verwalter erlauben ...

Recht hast Du :)

Im Moment baust Du einen PPTP-Tunnel auf, der mit IPSec, also auch mit AH und ESP überhaupt nichts zu tun hat. Deine Router werden sicher den TCP-Port 1723 (PPTP) nach innen leiten können. Was eventuell Probleme bereiten könnte ist GRE (IP-Protokoll 47), welches für die Kapselung der PPP-Rahmen benutzt wird. Überprüfe doch mal, zur Not mit Hilfe des Herstellers der Geräte, ob Deine Geräte sowas zulassen, bevor Du alles ummodelst.

IPSec allerdings ist ohne Frage die bessere Lösung, die zwar komplizierter zu handhaben ist, aber,wenn es dann läuft, als sehr sehr sicher gilt.

Beide NIC1 sind direkt über Hub/Switch oder Crossover miteinander verbunden (ich nenne sie jetzt mal extern), nur auf diese Karten wird das RIP-Protokoll gebunden, die NIC2 Karten sind die jeweiligen "internen" Karten, an denen die Clients via Switch hängen würden, über RIP tauschen die beiden ihre direkt ereichbaren Netzwerke aus und alles sollte klappen natürlich auch ohne NAT ;) . Überprüfe in dieser Konfiguration mal die RIP-Ankündigungen ...

Es liegt an der Art und Weise, wie NSLOOKUP arbeitet, aber bevor ich ausschweife :D

http://support.microsoft.com/default.aspx?scid=KB;EN-US;q200525

Eigentlich ist es kein Problem, da die beiden IPSec-Partner anhand von Proposals entscheiden, ob eine Sicherheitszuordnung erfolgt oder nicht. Passe ich auf beiden Seiten die Proposals so an, dass eine Übereinkunft stattfinden kann, werden beide Seiten einer Verbindung zustimmen. Wenn Du jetzt die Proposals der Phase 2 so anpasst, dass Datenintegrität (AH) nicht mehr vorgeschlagen wird (auf beiden Seiten) sondern nur noch Vertraulichkeit (ESP mit Verschlüsselung), steht einer Verbindung ohne AH nichts mehr entgegen.

Deine Frage war sehr allgemein gehalten, ich weiss natürlich nicht, was Du dort einsetzt und wie, mich wundert nur ein wenig, dass AH überhaupt eingesetzt wird, da AH über NAT nicht funktioniert und NAT in den allermeisten Fällen eingesetzt wird. Habt Ihr es eingesetzt, damit Eure Daten nicht verändert werden können oder in Verbindung mit ESP ?

Kannst ja mal ein bisschen näher erklären, wie Ihr die Verbindung zwischen den beiden Geräten herstellt ... :)

Jeder Authentifierte Benutzer hat das Recht, bis zu 10 Computer in die Domäne einzubinden, vorausgesetzt, diese Computerkonten sind noch nicht angelegt worden (von einem Admin) ...

:shock: Heisst das System konfigurieren? Egal,weisst ja, was ich meine :D

Jep, läuft :)

Der Server ist doch an die interne Adresse gebunden oder? Dann mach ne Umleitung auf diese Adresse ...

Wenn Du "Computer konfigurieren" ausgewählt hast, sind sie aktiv ...

Das heisst aber trotzdem nicht, dass Deine Anwendung dann funktioniert, viele laufen, manche nicht ...

Hm, dann kann er ja eigentlich nur explizit verweigert worden sein, entweder er selbst oder eine Gruppe, in der er Mitglied ist ...

In der entsprechenden Gruppenrichtlinie unter Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen ....

Hast Du im RRAS unter NAT/Basisfirewall auf der öffentlichen Schnittstelle unter "Dienste und Ports" auch eine Umleitung zu Deinem internen Server gemacht ? Du benutzt doch NAT?!

SMB-Signierung drosselt, haste mal ohne probiert?

Füge ich in die Hosts-Datei einer XP oder 2003 Maschine eine IP-Namenszuordnung hinzu,, werden diese Einträge sofort in den DNS-Cache aufgenommen, was hat das mit einem konfigurierten DNS-Server zu tun?

:suspect:

Was sagt denn ipconfig /displaydns , stehen diese Rechner dort drin oder nicht ?

Entweder mit einem 2003 Server und Conditional Forwarding oder mit statischer Namensauflösung via Hosts-Dateien ...