grizzly999

Entschuldigung. Habe es probiert und so geht es nicht. Nicht mal mehr mein PPTP Server ist erreichbar

Dann ist irgendwas falsch konfiguriert, so die Pakete auch alle von aussen an den ISA weitergeleitet werden.

Ich habe nicht nur einen oder zwei oder drei ISA mit VPN-Zugang eingerichtet, ich weiss wovon ich rede und ich weiß, wie ich es gemacht habe. Ich habe dabei niemals eine Veröffentlichungsregel benötigt. Immer nur "normale" Firewallregeln.

Edit://Und wieso veröffentlichen die bei deinem Link Server in den Firewallregen?

Sorry, meine Augen sind zwar nicht mehr die jüngsten, aber ich sehe hier keine Serververöffentlichung für den VPN-Zugriff in den Firewallregeln:

http://www.msisafaq.de/Anleitungen/2004/VPN/VPN_PPTP.htm

http://www.msisafaq.de/Anleitungen/2004/VPN/VPN_PPTP2.htm

grizzly999

Zwei DCs brauchen natürlich auch eine Menge Strom

Hast du mit dem ntdsutil im abagesicherten modus zuerst einen Integritätscheck der Datenbank gemacht? Dann einen Recover, dann einen Semantic Analysis Check?

grizzly999

Du hast ja aber einen 2. DC, da sollte ein neu aufsetzen kein Problem sein.

grizzly999

Oder brauch man für ein AD zwingend eine Forward- und Reverse-Lookupzone?

Aber ja, zumindest das erstere. Rverse Lookupzone ist empfohlen aber kein muss.

grizzly999

Doch :)

VPN zwischen Standorten. SP1 auf den 2003?! Replikationsfehler mit den von dir beschriebenen IDs. Versuche diesen Hotfix auf den DCs: http://support.microsoft.com/kb/898060/en-us

... und vermutlich wird dir geholfen werden.

grizzly999

Halloooo, jemand zuhause, poch poch?! :suspect:

Ich sagte doch, du sollst deine Serververöffentlichungsregeln knicken. Ich habe dir auch gesagt wie die Regeln auszusehen haben, da gibt es zusätzlich auch einen Wizard zur VPN Einrichtung, der wird grad auch benötigt, und einen Link zu einem Dokument gepostet, wie der ISA als VPN Server eingerichtet wird.

Ok, das Paper ist englisch. Hier ein Bilderbuch zum Mitklicken auf deutsch: http://www.msisafaq.de/Anleitungen/2004/VPN/index.htm

Wenn du dann auf einer fachlich-technischen sauberen Ebene kommunzieren und troubleshooten möchtest, dann mache es so und melde dich bei Bedarf wieder.

Wenn du weiter mit Publishing Rules rummurksen möchtest, dann klinke ich mich aus.

Vielen Dank für dein Verständnis

grizzly999

Die Gruppe der Remotedesktop Benutzer hat standardmäßig das Recht Terminal Sitzungen aufzubauen.

Nochmal, ein letztes mal in diesem Beitrag, dann wird's langweilig: auf einem DC reicht das nicht, man bracht zusätzlich das o.a. Benutzerrecht. Ich kenne die Prüfungsfrage nicht, auf die beziehe ich mich auch nicht, sondern auf die Praxis.

grizzly999

Man kann nicht einfach irgendeine Art Smartcard in irgendeinen Reader stecken. Die müssen zueinander passen, am besten vom selben Hersteller sein. Man sollte auch die nehmen, die von 20037XP unterstützt werden, das sind vornehmlich GemPlus und Schlumberger, aber auch andere, oder auch USB CCID compliant cards/tokens, wie Kobil oder Aladdin u.a.

grizzly999

Bei Interesse Mail oder PN

Ja, sysprep, mit Parameter -mini -reseal und wenn die in einer Domäne sind dann vielleicht auch -nosidgen, damit die SID dieselbe bleibt

grizzly999

In der Gruppenrichtlinie kann man einstellen, dass auf diesem Computer kein roaming profile verwendet werden darf.

grizzly999

im 70-293er Buch steht explizit, das man bei Terminal Service explizit das Recht gewähren muss das man sich lokal anmelden darf

 

Der User muss KEIN Remotedeskopbenutzer sein.

Kenne das Buch nicht, aber die Bücher haben auch alle Fehler. Das ist einer davon.

Beispielsweise gibt es bei TS ja auch die Funktion, das man nur eine Application ausführt, also nicht den ganzen desktop sehen darf. Mit Remotedesktop dürfte er aber den ganzen Desktop sehen.

Das kann man mit Remotedektop auch so haben, und published Applications ala Citrix gibt es bei Microsoft ja sowieso noch nicht.

grizzly999

Hier geht's weiter. http://www.mcseboard.de/showthread.php?t=90734

Keine Doppelpostings

Könnte sehr wahrscheinlich an einer speziell benötigten HAl liegen: http://support.microsoft.com/kb/289638/en-us

grizzly999

Googel mal nach dem Freeware Tool eventsaved, das ist genau das, was du brauchst ;)

grizzly999

Dazu braucht es keine Firewall, jedenfalls nicht zwingend. Entsprechende NTFS-Berechtigungen und Benutzerkonten mit Kennwörtern die kein anderer hat, reichen vom Prinzip her.

Um was geht es denn genau?

grizzly999

D.h, die Clients gehen direkt über den Router? Oder über den SBS, der dann zwei Netzwerkkarten drin hat?

grizzly999

Nein, so:

Router: 192.168.123.254

Server: 192.168.123.50

Server:

Gateway: 192.168.123.254

DNS: 192.168.123.50

Client:

Gateway: ??

DNS: 192.168.123.50

Client GW ??, weil wie sieht dein Netzwerk aus. Wie gehen die Clients in s Internet?

Welche SBS-Version? Bitte immer genügend Input bei Problemen!

grizzly999

Hallo und willkommen im Board :)

Der Server und die Clients bekommen den SBS als DNS eingetragen. Der SBS bekommt den Router als GW. Das sollte reichen für interne und externe Namensauflösung

grizzly999

Knapp an der Praxis vorbei, die Antworten

grizzly999

Die richtigen Antworten sind nicht alle da :D

In diesem Fall muss man:

1.) Den Remotedesktop aktivieren

2.) Den Benutzer/Gruppe in die Gruppe Remotedesktopbenutzer aufnehmen

3.)(!!) Dem Benutzer/Gruppe das Recht "Anmelden an Terminaldiensten zulassen" gewähren (weil DC, da muss zusätzlich dieses Recht gegeben werden)

Das Recht der lokalen Anmeldung ist Geschichte. Das war mal bei 2000 so.

Anm.: Diese Antwort erhebt den Anspruch auf Richtigkeit und Vollständigkeit :D :D

grizzly999

Regel (zulassen natürlich ;) ):

Quelle Ziel Protokolle

-------- ---------- ----------------

VPN-Clients intern Gesamter ausgehender Datenverkehr

Wenn Zugriff auf die ISA-Freigaben selber (wobei auf einem ISA normal nichts verloren hat an Freigaben oder Applikationen wie SQL oder Exchange oder DC oder ....) so:

Quelle Ziel Protokolle

-------- ---------- ----------------

VPN-Clients intern, Lokaler Host Gesamter ausgehender Datenverkehr

grizzly999

Das was du da eingerichtet hast, sind keine VPN-Zugriffsregeln, das sind Server Veröffentlichungsregeln.

Ich habe dir oben gesagt, wie die Regel prinzipiell aussehen muss. Falls meine praktische Erfahrung nicht ausreichen sollte, dann lese er selber nach (direkter DOC-Download 8,3 MB): http://download.microsoft.com/download/3/7/b/37b0cbc4-e578-4082-a779-de4fbe876f06/isa2004se_vpnkit-rev%201%2004.doc

grizzly999

Wieso von VPN nach Lokaler Host? Die VPN-Regel geht normalerweise: VPN-Clients -> intern Gesamter Datenverkehr.

grizzly999

Hallo und willkommen im Board :)

Schau mal hier rein: http://www.mcseboard.de/showthread.php?t=68341

grizzly999