wean

....wenn er auf dem server, und den clients das gast-konto aktiviert müsste das mit der authentifizierung doch klappen (?)

so habe ich das in solchen umgebungen bisher immer gemacht.

gruss wean

huhu,

hab mir gedacht, ich geb auch euch die möglichkeit immer schnell beim kunden zu sein :p

ich hätte einen uno-turbo zu verkaufen...

nähere infos unter http://www.microsoft.de

mit dem preis..mhmmmmm - könnt ja vorschläge machen :D

dann will ich des auch haben bitte lieber krisisili :p

also mit dem tunnel......

meiner meinung nach bräuchtest du ihn nicht. was du bräuchtest ist ein router (2k) mit zwei netzwerkkarten. eine hängt im 10er netz und die andere im 172er.

dann implementierst du ipsec ohne vpn. (du kannst natürlich auch einen vpn-tunnel auf ipsecure fahren lassen, aber den brauchst Du hier eigentlich gar nicht) sondern über die sicherheitsrichtlinien.

dort kannst du dann auch zertifikate etc benutzen. somit muss keiner etwas einstellen (kannst bequem am dc erledigen und musst nicht extra aufstehen :p ) und alle sind glücklich. :-)

das mit dem vpn....mhmmmm, kannst mit den Taliban's vergleichen ;)

Die graben inmitten der öffentlichen Erde einen Tunnel und keiner weiss, wo der Bin Laden ist :D

Damit ließen sich zwei private Netze gesichert über ein öffentliches Netz übertragen....mhmmm, naja - Aber beide Varianten gehen. Die eine ist halt ein wenig unkomplizierter :-)

Dennoch noch zu Deiner eigentlichen Frage:

ich dacht nun das es irgendwie möglich ist den tunnel aufzubauen bevor man sich anmelden muss , ansonsten muss sich der user ja lokal anmelden, den tunnel mit nem tool aufbauen und erst dann kann er sich am netz anmelden, was für "manager" usw. aj zu anspruchsvoll wird

[/Quote]

 

...funzt eigentlich so, wie in der vorhergehenden Antwort :-)

 

Dann konfigurierst Du eine VPN-Verbindung auf dem gewünschten Client "für alle Benutzer" (sonst kannst Du bei der Anmeldemaske diesen DFÜ-Eintrag nicht auswählen). Und jetzt kommt der Clou ;)

 

Du clickst bei der Anmeldemaske an, "über ein DFÜ-Netzwerk anmelden" und wählst die Verbindung aus"

[/Quote]

 

Viel Spass damit :-)

wenn aber auf diesem server der iis oder ettliche andere netzwerkdienste liefen...mhmmmmmm -meiner meinung macht das schon sinn :-) so ist dieser server von aussen unsichtbar und die ports auch definitiv dicht. connected der client, sind alle offen (eben auf der internen schnittstelle)

aber das ist wohl ne frage des designs - trotzdme mercý krissssli

mhhhhmmmmm einheitliche benutzerprofile können aber doch sogar auf alleinstehenden 2000Pro - Rechnern stattfinden.

Dein Link würde mich dennoch interessieren :)

Meinst Du, Du könntest ihn mir mal schicken?

gruss wean

warum implementierst Du für das WLAN nicht ipsecure?

mhmmmm, irgendwie blick ich da grad nicht durch. Aaaaaaber :D

Ich gehe jetzt mal davon aus, dass Dein VPN-Server schon funktioniert und im internen LAN VPN-Verbindungen akzeptiert. (Du willst doch die drahtlose WLAN-Verbindung an das lokale LAN koppeln - hm? )

Dann konfigurierst Du eine VPN-Verbindung auf dem gewünschten Client "für alle Benutzer" (sonst kannst Du bei der Anmeldemaske diesen DFÜ-Eintrag nicht auswählen). Und jetzt kommt der Clou ;)

Du clickst bei der Anmeldemaske an, "über ein DFÜ-Netzwerk anmelden" und wählst die Verbindung aus"

mhmmm, soweit grundsätzlich. Aber ich wäre eher für IPSecure ohne VPN. Beschreib doch mal am besten Deine IT-Umgebung :-)

Gruss wean

*plonk* :D

asoooooooooooooooooooooo, nu denn is ja alles klaa :-)

eine antwort habi dennoch nicht - sorry :p

....ist halt gepastet. vielleicht benutzt du das nächste mal selbst die hilfe -> dann ist bestimmt alles schön formatiert!!!

(gehts eigentlich noch)

huhu kollega,

pack das hier mal:

rundll32 printui.dll,PrintUIEntry /in /n \\server.domain.ru\printer

[/Quote]

in eine *.cmd datei.

 

weise diese datei in einem gpo unter benutzerkonfiguration als logon-script zu. muss einfach funktionieren... :)

 

sollte es nicht klappen, dann gib doch mal den befehl:

 

rundll32 printui.dll,PrintUIEntry /in /n \\server.domain.ru\printer

[/Quote]

 

manuell in Start/Ausführen ein und beschreib uns die Fehlermeldung, die zurückkommt.

whoops, da fällt mir auch schon nichts mehr ein

ich wills ja fast nicht glauben :p

Ich kann Dir mal einen Auszug aus der Windows-Hilfe posten, vielleicht hast Du ja etwas übersehen:

So weisen Sie ein verbindliches Benutzerprofil zu

 

Öffnen Sie die Computerverwaltung.

Klicken Sie in der Konsolenstruktur unter Lokale Benutzer und Gruppen auf Benutzer.

Klicken Sie auf das gewünschte Benutzerkonto.

Klicken Sie auf Vorgang und dann auf Eigenschaften.

Geben Sie auf der Registerkarte Profil unter Profilpfad den Speicherort des Profils ein, das Sie zuweisen möchten.

Für einen Netzwerkpfad verwenden Sie das Format \\Servername\Profilordner\Benutzerprofilname. Zum Beispiel:

 

\\Puma\Profiles\Verwaltung

 

Anmerkungen

 

Sie müssen als Administrator oder Mitglied der Gruppe Administratoren angemeldet sein, um diese Schritte ausführen zu können. Wenn der Computer mit einem Netzwerk verbunden ist, verhindern möglicherweise auch die Richtlinieneinstellungen des Netzwerks die Ausführung dieser Schritte.

Um die Computerverwaltung zu öffnen, klicken Sie auf Start, zeigen auf Einstellungen und klicken dann auf Systemsteuerung. Doppelklicken Sie auf Verwaltung und dann auf Computerverwaltung.

Zur Zuweisung eines verbindlichen Benutzerprofils müssen Sie zusätzlich ein vorkonfiguriertes Benutzerprofil in das unter Schritt 5 angegebene Verzeichnis kopieren. Doppelklicken Sie in der Systemsteuerung auf System, klicken Sie auf die Registerkarte Benutzerprofile und auf das zu kopierende Profil und dann auf Kopieren. Geben Sie unter Profil kopieren nach den Pfad zu dem unter Schritt 5 angegebenen Ordner ein, und benennen Sie NTUser.dat in NTUser.man um.

Die Zuweisung eines verbindlichen Benutzerprofils verlangt auch die ordnungsgemäße Konfiguration des unter Schritt 5 angegebenen Netzwerkordners. Erstellen Sie in der Computerverwaltung mit der Option Freigegebene Ordner auf dem betreffenden Server einen freigegebenen Ordner, um der Gruppe "Jeder" Vollzugriff zu gewähren.

Wenn Benutzer sich an Windows NT 4.0- oder Windows 2000-Computern, nicht aber an Windows NT 3.x-Computern anmelden, ist für den Benutzerprofilpfad kein Dateiname erforderlich.

Melden Benutzer sich jedoch sowohl an Windows NT 3.x- als auch an Windows NT 4.0- oder Windows 2000-Computern an, muss im Benutzerprofilpfad ein Dateiname enthalten sein. Bei diesem Dateinamen kann es sich um ein servergespeichertes Benutzerprofil (Erweiterung USR) oder ein verbindliches Benutzerprofil (Erweiterung MAN) handeln. Beispiel:

\\Airedale\Profiles\Verwalt.man

 

Bei Benutzern, die sich nur an Windows 2000-Computern anmelden, sollte der Benutzerprofilpfad auf einen Ordnernamen verweisen und keine der USR- oder MAN-Erweiterungen enthalten. Ist der im Benutzerprofilpfad genannte Ordner nicht vorhanden, wird er bei der ersten Anmeldung des Benutzers automatisch erstellt.

[/Quote]

 

viel glück :D

schonmal die änderungen durchgeführt und hinterher die ntuser.dat in ntuser.man umbenannt?

Verwenden alle das gleiche servergespeicherte Benutzerprofil, oder jeder ein individuelles (%username%) ?

Huhu Chrissliii

Diese RAS-Richtlinien sind ebenfalls definiert. Aber es geht ja nicht um die Berechtigungen der einzuwählenden Benutzer, sondern um die offenen Ports. Und ich hab irgendwie nur ungern eine "offene" 2K-Maschine mit fester IP im Internet hängen :-)

mhhmmmmmm, und wie verpass ich jetzt dem einwählenden Client ein Gateway? :D

hdl, wean :p

mhmmm...

Damit ist klar, dass er sich SELBST als GW einträgt. Das sollte zumindest so drin stehen

[/Quote]

...und das ist ja mein Problem, denn somit bekomme ich die Route des VPN-Servers. Und dessen Default-Route lässt ja nur "VPN" zu. Somit geht der restliche Verkehr nicht mehr.... Dennoch danke für Dein Bemühen. :-)

 

Wie geht das, diesen Eingabe- Ausgabefilter zu setzen?

[/Quote]

 

Ist eigentlich ganz simpel. Ich kann es Dir allerdings nur für den RRAS-Dienst sagen, nicht für den ISA-Server (da habi keinerlei Erfahrung) :p

 

1. Du öffnest die RRAS-Console

2. Server -> IP-Routing -> Allgemein

3. Externe -> Schnittstelle -> Eigenschaften

 

 

Eingabefilter:

 

 

und die Ausgabefilter.....

 

 

...diese Konfiguration lässt PPTP, L2TP und Terminaldienste zu. Du kannst natürlich auch dort, wo "beliebig" steht fixe Adressen definieren, sollten die "einwählenden" VPN-Tunnelendpunkte feste IP-Adressen haben.

 

Damit ist der Rechner eigentlich dicht wie ein UBoot ;) Zumindest so weit, wie es die Konten- und RAS-Richtlinien zulassen :)

 

Hoffe ich konnte Dir helfen :p

 

-guads Nächtle

....aber vielleicht stimmt bei mir ohnehin was nicht. wenn ich mich einwähle, erhalte ich den auf dem vpn-server konfigurierten dns- und wins-server.

dns: 192.168.10.1

wins: 192.168.10.2

kurz darauf bekomme ich vom dhcp-server den gleichen eintrag nochmal geschickt. führe ich ipconfig /all erneut aus, ist der dns- und wins-server doppelt registriert:

dns 192.168.10.1

dns 192.168.10.1

wins 192.168.10.2

wins 192.168.10.2

und beim standard-gw steht nichts drin... hier scheint er die route über das default-gw des vpn-servers zu nehmen. (ausprobiert über die eingabe-ausgabe-filter...siehe oben)

deaktiviere ich den dhcp-relay-agenten auf dem rras-server, bekomme ich nur die dns und wins-einträge des vpn-servers.... -> keine doppelten einträge

ich hoffe du kannst mir noch folgen :p

fast richtig :-)

ich will dass die vpn-clients das default gw 192.168.10.11 anstatt das gw des vpn-servers (212.121.128.250) benutzen.

Im DHCP ist ja das gw 192.168.10.11 definiert, aber die clients gehen über 212.121.128.250 "raus"

huhu Rat der Waisen,

bei uns in der Firma läuft ein 2000-Server mit dem RRAS-Dienst für die VPN-Einwahl. Der Server hat logischer Weise zwei Netzwerkkarten, -intern und extern.

config - intern:

ip: 192.168.10.10 / 24

gw: ---------

config - extern:

ip: 212.121.128.249 / 29

gw: 212.121.128.250

Da der Server direkt am Internet angeschlossen ist, habe ich auf dem RRAS Eingabe- und Ausgabefilter definiert, die ausschliesslich "VPN" zulassen. Die Firmenlokalen Clients benutzen einen Unix-Router als Standard-GW für den Internet-Access: 192.168.10.11 / 24

Nun ist es so, dass Benutzer sich mit dem VPN-Server verbinden wollen um auf das interne Firmen-Netzwerk zuzugreifen. Der VPN-Server ist so konfiguriert, dass er die benötigten IP-Adressen von einem internen DHCP-Server bezieht. Klappt alles wunderbar.

Allerdings kann der "eingewählte" Benutzer dann nicht mehr auf die Internet-Ressourcen zugreifen. Denn die externe Schnittstelle des VPN-Servers lässt ja nur "VPN" zu. Nehme ich die Ein- und Ausgabefilter wieder raus, funzt die Sache. Ich kann aber "leider" ;) nur ein Standard-GW für einen Host definieren...

(alles andere wäre ja auch quatsch :p )

p.s.

Der DHCP-Server hat als Option Router die 192.168.10.11 eingetragen ... :(

`Gibt's da keine andere Möglichkeit, als bei den DFÜ-Verbindungen die Option "Standard-Gateway des Remote-Netzwerks benutzen" zu deaktivieren? :(

bitte hilf'

huhu,

in einem Auszug der Windows-Hilfe heisst es:

So überprüfen Sie die DNS-Registrierung für Domänencontroller mit dem Befehl nslookup

 

Geben Sie Folgendes an der Eingabeaufforderung ein:

nslookup

 

Wenn die Verarbeitung des vorangegangenen Befehls abgeschlossen ist, geben Sie an der Eingabeaufforderung von Nslookup (">") Folgendes ein:

set q=Ressourceneintragstyp

 

Dabei ist Ressourceneintragstyp der Typ von Ressourceneintrag, der als Filter für nachfolgende Suchen verwendet werden soll.

 

Geben Sie in diesem Fall Folgendes ein, um nachfolgende Namensabfragen so zu filtern, dass für den angegebenen Namen nur Ressourceneinträge für Dienstidentifizierung (SRV-Einträge) zurückgegeben werden:

 

set q=srv.

 

Wenn die Verarbeitung des vorangegangenen Befehls abgeschlossen ist, geben Sie Folgendes ein:

_ldap._tcp.dc._msdcs.Domänenname _von_Active_Directory

 

Dabei ist Domänenname _von_Active_Directory der DNS-Name, der für die Active Directory-Domäne sowie die zugeordneten Domänencontroller festgelegt wurde.

 

Wenn der DNS-Domänenname Ihrer Active Directory-Domäne z. B. "beispiel.microsoft.com" lautet, geben Sie Folgendes ein:

 

_ldap._tcp.dc._msdcs.beispiel.microsoft.com.

 

Lesen Sie die Ausgabe der vorangegangenen SRV-Abfrage, und stellen Sie fest, ob weitere Schritte erforderlich sind:

Wenn die Abfrage erfolgreich war, prüfen Sie die für die Abfrage zurückgegebenen, registrierten SRV-Ressourceneinträge, um festzustellen, ob alle Domänencontroller in der Active Directory-Domäne vorhanden und mit gültigen IP-Adressen registriert sind.

Wenn die Abfrage fehlgeschlagen ist, fahren Sie mit der Problembehandlung bei dynamischen Aktualisierungen oder DNS-Servern fort, um die genaue Ursache des Problems festzustellen.

Weitere Informationen finden Sie unter Siehe auch.

 

[/Quote]

*aufshirnhau*....natürlich....

-Danke grizzly :-)

bekommst du deine ip über einen dhcp-server (über den dhcp-relay-agenten im rras auf der schnittstelle "intern") zugeteilt oder aus einem reservierten bereich vom rras-server?

vielleicht registriert dich nämlich der dhcp nicht im dns (?)

ist aber nur eine vermutung :-)

----------------------------------------------------------

........hab's ausprobiert, bei mir ist selbiges :p

vielleicht weil mein rechner kein domänenmitglied ist (?)

-Ratefuchs :D

Ich schliess mich grizzly an:

winnt.sif :

[GuiRunOnce]

Command0=dings.vbs

Command1=dings.cmd

dings.vbs :

Set WshShell = WScript.CreateObject("WScript.Shell")

WshShell.RegWrite "HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics\MinAnimate", "0" ,"REG_SZ"

dings.cmd

rundll32 printui.dll,PrintUIEntry /in /n \\server.domain.ru\printer

net use j: \\server.domain.ru\%username%

..........oder so ähnlich :rolleyes:

huhu,

ich habe das problem auch bei einem kunden. allerdings verhält es sich bei diesem so, dass der terminalserver im lokalen lan und innerhalb der verteilten subnetze wunderbar funktioniert.

aber über die vom ISP zur verfügung gestellte remote-einwahl funktioniert er nicht. ich bin durch den ISP dahinter gekommen, dass die datenpakete verschiedene laufzeiten haben, offenbar mag das der terminalserver nicht besonders (?).

den genauen technischen hintergrund habe ich aber auch nicht verstanden :-)

p.s

bei diesem isp handelt es sich um das vpn-produkt von arcor (nicht schlagen) :-) ...hätte ich mal auf euch gehört :p

vielleicht hast du ja eine ähnliche umgebung

sorry, habs jetzt erst gelesen. Ich hätte Word 2.0 - Bräuchtest Du es noch?

a-ha, also noch ein New Yorker :-)