LigH

Guten Morgen, Licht an. Ich hoffe, ich hab diesen Beitrag richtig verstanden, den ersten hab ich schon verpasst ... wie auch so manches in meiner vermutlich jahrelangen Abwesenheit hier. Manchmal hat man eben keine Probleme, die so kompliziert wären, dass man sie nicht relativ schnell gelöst bekommt. Abgesehen von denen, die einfach im System stecken...

Falls diese Frage schon dutzendfach beantwortet wurde, tut es mir leid ... aber im Moment kenne ich noch nicht die richtigen Stichworte zum Suchen. :( Wir haben in unserer Firma ein lokales Netz als Arbeitsgruppe, welches von einem Windows-2003-Server verwaltet wird, der als NAT-Router (192.168.0.1) die Verbindung zum Internet über einen vom ISP gestellten Netzwerkrouter (192.168.88.1) herstellt. Im Büro sind die meisten PCs und Drucker mittelbar per WLAN Access Point mit dem Server verbunden, alle Teilnehmer haben feste IP-Adressen, das gleiche Gateway (192.268.0.1) und feste DNS-Server des ISP (ich verwende nicht den DNS-Server-Dienst des Windows-2003-Servers, weil es damit Probleme gab, dass der Update-Downloader von wsusoffline.net während des Downloads von hunderten MS-Updates die Namensauflösung verlor). Außerdem gibt es noch einen weiteren Access Point in einer Produktionshalle, der über Switch und Cat.6 angebunden ist. An diesen zweiten AP ist das Bedienpult einer Maschine (im Grunde nur ein simpler Windows-XP-Home-PC, 192.168.0.202) per WLAN verbunden, das selbst noch eine LAN-Verbindung zur eigentlichen Maschinensteuerung hat. Somit hat dieser Bedienpult-PC zwei Netzwerkanschlüsse und ist Mitglied in der Arbeitsgruppe der Maschinensteuerung. Aus dem Büro-Netzwerk ist der Bedienpult-PC in seiner Maschinen-Arbeitsgruppe zu sehen. Vom Bedienpult-PC aus lassen sich PCs der Büro-Arbeitsgruppe sehen und Dateien aus freigegebenen Ordnern kopieren. Aber das Laden von Websites in Browsern ist nicht möglich. Bereits ein Versuch, eine Verbindung zum ISP-Router (192.168.88.1) hinter dem Win2003-Server als NAT-Router (192.168.0.1) aufzubauen, scheitert (ping und tracert melden Timeouts). Es scheint mir, als würde der Bedienpult-PC versuchen, Routen in andere Netze ausschließlich über die LAN-Verbindung zur Maschinensteuerung aufzubauen (was natürlich nicht funktionieren kann), jedoch die mögliche Route über WLAN, AP und Win2003-Server ignorieren. Womit könnte ich prüfen, welche Anschlüsse für ein Routing in Betracht gezogen werden? Womit könnte ich eventuell vorgeben, dass der WLAN-Anschluss zur Verbindung ins Internet zu nutzen sei? Ich muss allerdings vorsichtig sein, dass die Verbindung zur Maschinensteuerung dabei nicht beeinträchtigt wird. Immerhin ist die Produktion doch die Hauptaufgabe. Grundsätzlich hatte das ganze ja auch schon mal funktioniert ... leider weiß ich nicht mit Sicherheit, warum und wodurch das plötzlich nicht mehr klappte. Es gab mal zwischendurch lokale Probleme, wodurch die Intranet-Netzwerkkarte im Server ausgetauscht wurde und dabei das NAT-Routing neu eingerichtet werden musste. Letztlich stellte sich heraus, dass es nur an einem konfusen Switch lag... aber seitdem hat das Bedienpult keine Internetanbindung mehr.

Vorweg schon mal Entschuldigung, falls dieses Problem bereits dokumentiert ist - ich weiß einfach nicht so recht, nach welche Stichworten ich suchen soll, um nicht hunderte Treffer zu bekommen; und ich hab hier "kein DSL". __ In einer Arbeitsgruppe (geleitet von einem 2003-Server) sind mehrere Windows-XP-Pro-Clients angeschlossen. Das ganze läuft schon seit Jahren, mehr oder weniger ohne größere Probleme, und seit klar ist, dass der Server die Haupt-Mitgliederliste führt, sieht auch jeder jeden im Netzwerk. Die Freigaben sind zuverlässig verwendbar gewesen, die meisten Nutzer verwenden ein Passwort (und wenn der Chef befiehlt, dass er keins will, dann wird eben per "No Lsa RestrictAnonymous" der Zugriff erlaubt). Nun ist unser Büro umgezogen, statt per Ethernet läuft nun alles per WLAN, und einige PCs haben nun endlich auch XP-SP3 drauf. Seitdem kann sich nun ein einziger Nutzer nicht bei nur einem speziellen anderen PC anmelden. Der Zugriff wird verweigert (net view \\zielrechner => Fehler 5; Windows Explorer, Arbeitsgruppe - leere Kennwörter / Anmeldezeit- / Richtlinienbeschränkung). Nun ja ... ich dachte, mit HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa = 0 hätte ich das Anmelden mit leeren Kennwörtern erlaubt. Oder gibt es noch weitere Flags zu diesem Thema? Anmeldezeiten habe ich nie beschränkt, einzelne Konten ebensowenig (ja, ich weiß - alles sehr unsicher, aber das Risiko vor Ort ist gering). Außerdem kann ein anderer Nutzer - ebenfalls ohne Kennwort - sich auch anmelden. Vielleicht gebe ich den gewünschten Drucker erst mal auf einem PC frei, wo derjenige Nutzer Zugriff hat (so eine Art Netzwerkdrucker-Freigabe-Kaskade). Wie bekomme ich nun möglichst exakt heraus, aus welchem Grund die Anmeldung verweigert wurde? In der Ereignisanzeige wurde so etwas nicht protokolliert, die Fehlermeldungen mehrdeutig und wenig hilfreich. Vielleicht liegt es daran, dass auf jenem PC auch ein lokales Konto mit dem gleichen Namen existiert, allerdings ebenso ohne Kennwort (aber halt mit anderer SID)...

Was sollte man tun, wenn plötzlich von gestern auf heute ein Windows-2003-Server (Arbeitsgruppe, NAT-Router) DNS-Anfragen aus dem Intranet nicht mehr weiterleitet? Und so etwas passiert schon beinahe "regelmäßig" ein bis zwei Mal im Jahr! Klar - das Routing für den Server komplett deaktivieren und gleich darauf das NAT-Routing per Wizard neu erstellen funktioniert. Aber das ist ja wohl die Radikalkur. Gibt es auch "sanfte" Verfahren, an welchen Stellen man gezielter prüfen und eingreifen kann, wenn plötzlich und unerwartet die DNS-Anfragen nicht mehr an die anderen Arbeitsgruppenrechner weitergegeben werden? DNS am Server funktioniert noch (ich schreibe gerade dort); PINGs von Intranet-Rechnern an innere und äußere IP-Adressen (z.B. an den DNS-Server des ISP) funktionieren auch. Nur die Namensauflösung von Intranet-Rechnern über den Routing-Server wird nach Timeout abgebrochen. Als DNS-Server ist bei den Arbeitsstationen in der TCP/IP-Verwaltung der Server-Rechner eingestellt, der als "Dateiserver" und "RAS/VPN-Server" konfiguriert ist.