grizzly999

Alte Software kannst du über GPO-Verteilung nur entfernen lassen, wenn diese über GPO installiert wurde. Und: du kannst mit einem neuen Paket eine vorherige Version updaten lassen, wenn die Software das kann. Per Häkchen kannst du auch angeben, dass die alte SW zuerst entfernen möchtest. Bedingung dazu siehe oben. grizzly999

Ja, das geht. Der ISA und der Client bruahcen ein Zertifikat, zurückführbar auf die gleiche RootCA(!!). Aber dann müssen alle Clients mit Zertifikaten, also es geht nicht: Client A benutzt PSK, Client B benutzt Zertifakte. Standort-Tunnels sind davon ausgenommen, da kann man den éinen Tunnel so, den anderen Tunnel anders betreiben. grizzly999

hast du beim Erstellen der antwortdatei mit dem setupmgr.exe auch gesagt, das du eine vollständig automatische Installation haben möchstet? grizzly999

Auf dem VPN Server nicht, der sollte die Route kennen. Viel wichtiger ist, b die internen Rechner die Route ins dieses VPN-Netz kennen ?! Wie sieht es damit aus? grizzly999

Sorry, aber ich glaube, noch nicht ganz. Zwei Adressen, beide mit einer Subnetmask von /32, die beiden Rechner sind garantiert nicht im selben Netz. :confused::confused: Internetverbindung gibt es über die Standroute mit der kleinsten Metric (mit route print nachzuschauen) Warum solltest du auf dem Server eine Route zu seiner eigenen IP anlegen wollen? :confused::suspect:Schau dort auch mal den Route print genauer an ;) Damit sihcergestellt ist, dass jede andere Adresse, selbst die direkten Nachbaradressen sich in einem anderen Netz befinden, und wie alle getrennten Netze nur über ein Gateway erreicht werden können. Man stelle ich vor, es würden sich 3 Clients gleichzeitig einwählen und bekämen 3 aneinander liegende IP-Adressen mit einer Subnetmask 255.255.255.0 Die wären von der SM her ja alle im selben physikalischen Subnetz und müssten sich alle drei direkt lokal (ohne Router) erreichen können. Das ist bestimmt nicht der Fall, die sind physisch alle getrrennt und können nur über das Gateway kommunizieren. Damit das so ist bekommen alle die /32 Subnetmask. grizzly999 Danke im Voraus Gruß Mike

Wieso sollte die enifach rüberdelegiert werden? Woher soll der DNS in der Parent-Domain wissen, dass dafür jetzt ein anderer DNS zuständig ist? Die Delegierung musst du schon selbst einrichten. grizzly999

Hi und willkommen an Board :) Das wird wohl nicht gehen mit dem Zertifikat. Das Zertifikat allein ist in diesem Sinne nichts Wert, du brauchst den private key, und der lag auf der SmartCard. Da wirst du wohl eine neue ausstellen müssen. grizzly999

Die Rechner haben vorher vermutlich per DHCP diese IP gehabt. Dann fordern sie diese wieder an. Kann man auch mit einem Sniffer sehr schön sehn. Da diese IP jetzt auch in dem Bereich liegt, vergibt sie der DHCP. Das hat nichts mit einem DHCP-Relay oder ähnlichem zu tun. grizzly999

Und was für eni OS/SP haben DC und vor allem der Client?! Bei mir sieht die Fehlermeldung, wenn das nachstellen will, komplett anders aus. :confused: grizzly999

Ist doch aboslut korrekt! 1472 +28 (ping Overhead) = 1500 :) grizzly999

Das war der hier: Installing security update MS05-019 or Windows Server 2003 Service Pack 1 may cause network connectivity between clients and servers to fail (der wird auch in dem von mir zitierten Artikel erwähnt).Nach Installtion von SP1 ist bei vielen die Replikation über VPN Strecken auf die Schn**ze gefallen. Der Patch half eine Zeit lang. Wie gesagt, irgendwann fing der Ärger wieder an :mad: grizzly999 – – Ja, aber ist ja in dem Fall auch ein OS-Problem. Daher bin ich der Meinung, man sollte es auch dort beheben. Die MTU Size manchmal bis zum Schwindligwerden heruntersetzen (bei einem Kunden waren wir erst bei rd. 800 Bytes stabil) kann ja auch nicht die Lösung sein.

Sorry :o Am besten auf allen Server. Wir haben den Key bei uns sogar auf allen Rechnern installiert. Seitdem gibt es keine Probleme mehr in irgendeiner Art mit MTU-Sizes. Und wir hatten in den vergangenen Jahren immer wieder Probleme 13565, 13508 und Co., bei uns und bei Kunden Früher half mal der Patch KBichweißnichtmehrgenau, dann war's mit irgendeinem Update oder SP wieder rum damit. Seit dem einspilen des Reg-Key ist Ruhe mit Replikationsproblemen oder RDP-Anmeldeproblemen. grizzly999 – Im Prinzip "Ja", ABER ..... ;) Wir hatten bei Kunden schon plötzlich auftretende Repliaktionsprobleme wegen MTU-Size bei einer 2MBIT-Standleitung zwischen zwei Standorten. Keine Ahnung, was die Telekom manchmal hinten dran verschaltet :rolleyes: grizzly999

Doch. Aus Erfahrung ;) Problem sind die BlackHoles und deren mangelhafte Erkennung. Ein Heruntersetzen der MTU ist ein Try-And-Error Spiel, das dann irgendwann funktioniert, und vielleicht plötzlich nicht mehr (wenn man z.B. über eine andere Leitung geschaltet wird, auf der zusätzlich irgendwo ein VPN dazwischen ist, und damit auf dem Segemnt die MTU Size wieder zu groß ist) grizzly999

Füge auf beiden Server mal den Reg-Key hier aus Methode 1 hinzu: Recommended TCP/IP settings for WAN links with a MTU size of less than 576 Reboot nicht vergessen. Ich bin mir sicher, das Problem ist dann erledigt ;) grizzly999

Rufst du die setup2.exe auch mit cmd /c auf? Siehe auch hier: Microsoft Corporation grizzly999

Nein, soll aber gehen. Allerdings, es ist nur ein Outlook möglich: Outlook may stop responding after you install Office XP on a computer that has Office 2003 installed grizzly999

So, das war's dann für's erste. Es ist Ende Mai, die Promo Aktion ist ausgelaufen, bitte keine weiteren Anfragen per PN. Ob es eine Neuauflage gibt, wissen wir im Moment noch nicht. Danke für Eure Teilnahme, Gratulation zu den bestandenen Prüfnugen und für die, die nicht bestanden haben sollten: Kopf hoch und nochmals ran ;) X-Files closed grizzly999

Dann alles weitere per PN ....

Berechnungen in der MS-Prüfung werden nach RFC 950 durchgeführt, also erstes und letztes Subnetz weg ;) grizzly999

Nein, definitiv nicht ;) Die ZÜT findet im Rahmen der DC-Replikation statt. grizzly999

Wie gesagt, wenn der Rechner die "alte Sperrliste mit einer Woche Gültigkeit schon abgerufen hatte, dann ist die bei ihm so lange gültig. Da kannst du noch 10 Sprerrlisten zwischenrein veröffentlichen..... :wink2: Yep, der einzig mir bekannte Weg, am besten mittels eines geplanten Batch-Jobs. CRL werden nur lokal veröffentlicht. grizzly999

Das ist by Design so. Sperrlisten werden von 2000/XP/2003 heruntergeladen, wenn benötigt, und dann für die Dauer der Gültigkeit gecacht. Bei der Sperrungsprüfung wird immer zuerst in der gecachten CRL gerüft, solange diese gültig ist. Standardmäßig ist eine CRL von einer MS-CA 1 Woche gülitg, eine Delat-CRL 1 Tag (hast du die auch eingeschaltet?). XP kann Delat-CRL verwenden. In der CA kann man die INtervalle einstellen, aber wenn von dieser CA bereits eine CRL downgeloadet wurde, muss man diese Gültigkeitsdauer erst abwarten. Der Cache läßt sich BTW nicht (!!) leeren, no go. Das geht erst mit Vista ;) grizzly999

Das funktioniert so nicht. Der ISA sollte den internen Rechnern ein ICMP-Redirect schicken, wenn diese ein Netz über ein anderes GW im selben Netz schicken sollen (welches der ISA natürlich per Routingtable kennt). Aber ICMP-Redirect Pakete werden auf dem ISA geblockt, auch solche von ihm ausgehende Pakete. Erstelle mal eine FW-Rule für ICMP-Redirect Pakete von LokalHost nach Intern. Dann sollte es eigentlich gehen. grizzly999

Bekommt denn der Client bei der Einwahl einen DNS Server aus der Domäne mit? Kannst du den DNS und einen DC mit Namen und IP anpingen? Kennt der DC die Route ins PPTP-Client Netz? grizzly999

Wo hast du ihm die Ändern-Berechtigung gegeben? Als NTFS-Berechtigung (Reiter Sicherheit?) Auf der Freigabe braucht man auch die entsprechenden Berechtigung, hier hat standardmäßig "Jeder" -> Vollzugriff ;) BTW: Was für ein XP? grizzly999