grizzly999

Auch richtig, hat aber auch niemand anders behauptet. :) Äh, doch, so verstehe ich das obige Zitat zumindest: :confused: Grtz Claus

Das ist nun schon das zweite mal in zwei Tagen, dass du, Bytecode, in deinem Halbwissen recht überheblich daher redest, und die anderndafür der Ahnungslosigkeit bezeichnest. SBS 2003 R2 hat kein DFSR, das ist Fakt. Punkt! Da hat Stephan Betken Recht, wenn er deine Sachkenntnis bzgl. SBS anzweifelt. Ich ermahne dich, abe jetzt mit solchen verbalen Keulen so lange zurückhaltend zu sein, so lange du selber technischen Schrott schreibst :thumb2: grizzly999

Ja, ist korrekt, dass eineige GPOs additiv sind. Bezüglich der Restricted Groups, ist es aber genau anders herum, nicht so: "Mitglieder dieser Gruppe" geht her und löscht alle Mitglieder der Gruppe und befüllt die Gruppe dann mit den Membern, die in der GPO angegeben sind. Wenn später eine Richtlinie mit anderen angegebenen Mitgliedern kommt, passiert es genauso. Daher ist dieser Part nicht additiv. Die Gruppe selber zum Mitglied in einer anderen Gruppe machen (Wert "Mitglied von"), da kann die eine GPO die Gruppe dorthinein stecken, und später eine ander GPO dieselber Gruppe hierhinein stecken. In diesem Sinne wäre das additiv. Wenn ich "Restricted Groups" lese, gehe ich immer davon aus, dass die Einstellung "Mitglieder dieser Gruppe" gemeint ist, so dürfte das wohl in der überwiegenden Anzahl der Fälle sein. Daher meine Aussage von "Last Writer wins". Aber jetzt haben wir es ja korrekt beieinander ;) grizzly999

Ui, das sind aber starke Worte von jemandem, der sich selber nicht so richtig auskennt. Anders kann ich mir dieses Zitat (von dir ) nicht erklären: Falscher geht's schließlich nimmer :nene: grizzly999

1.) Spricht er nicht von Benutzer GPOs, nur weil das Wort Gruppen drin vorkommt :suspect: Die betreffende GPO ist eine Computerrichtlinie 2.) Ob Benutzer oder Computer, das ist egal, wenn mehrere GPOs die selbe Einstellung anfassen, und das ist hier in dem Ausgangsbeispiel der Fall, dann wirkt die zuletzt angewendete Richtlinie. Ich hoffe, damit die Frage des TO ausreichend beantwortet zu haben ;) grizzly999

Und das funktioniert? :suspect: Für L2TP/IPSec fehlt der Port UDP 500 in deiner Liste, dafür kannst du TCP 1701 wieder rausnehmen. Und GRE hat Protokollkennung 47. ESP hat Protokollkennung 50 (51 wäre nur AH und käme bei Verschlüsselung sowieso nicht in Frage) grizzly999

Das klappt normalerweise wunderbar, ich vermute mal aus der Ferne, dass hier was nicht korrekt konfiguriert wurde. Wie sehen denn die Filter aus (bei NAT)? grizzly999

Äh, nein, eher am IP-Design. Das hier ist gar nicht gut: Der Server sollte ein feste IP haben und sich selber als DNS eingetragen haben (BTW: wundert mich, dass da bisher überhuapt was ging mit dem DC). Die Client bekommen als DNS die IP vom Server. So sollte es ganz dringend eingerichtet werden. Und: Der Windows Server kann wuderbar DHCP spielen, dafür den DHCP auf dem Router abschalten. grizzly999

Was für Rollen haben die Server? Ich vermute MemberServer (in einer Domain). Das gibt durchaus Komplikationen mti "Sicherer Server". Die Default Exemptions bei 2003 lassen da nicht viel zu außer IKE-Verkehr: IPsec default exemptions can be used to bypass IPsec protection in Some Scenarios D.h. da wird's schon nichts mit Verbindung zum DC (Kerberos Ticket holen, DNS-Auflösung, Policies usw.). Daher wollen IPSec-Richtlinien immer gut geplant und der Admin gut informiert sein ;) grizzly999

Wie die Vorredner schon sagten, ein OU-Desing ist etwas Individuelles und normalerweise auf die jeweilige Organisation angepasst. Was der Zweck/die Zwecke der OUs sind, ist oben auch schon mehrmals nachzulesen. Nur so als zusätzlicher Tipp zu dem schon Gesagten und Bewährten: Es hat sich oftmals hinsichtlich des Einsatzes von Gruppenrichtlinen bewährt, eine OU Struktur ähnlich der folgenden Art auszubauen (die Standadr-OUs und Container lasse weg): Domain | EDV | Firma |__ weitere OU Struktur Mitarbeiter der EDV in eine OU auf oberster Ebene stecken. Die haben oftamls bestimmte Ausnahmen von GPOs, die ansonsten für den ganzen Rest dienen sollen. So kann man GPOs für alle anderen außer den Admins an der obersten OU für die Firma verlinken, ohne dann mit Filterung auf die Admins arbeiten zu müssen. grizzly999

Der Trust besteht für 30 Tage. Was passiert, wenn das Kennwort abläuft, kann man hier nachlesen: Microsoft Corporation ;) grizzly999

Nein, definitiv nicht. Ich habe schon einige 32bit-2008 aufgesetzt, immer ohne Probleme. grizzly999

Warum trägst du in den remoteverbindungseinstellungen nicht "term" ein? Wer ist denn der DNS Server .200, bzw. warum nicht den DC als DNS im Vista eintragen? grizzly999

Nein, der ISA cacht standardmäßig auch bei Webveröffentlichungen (Reverse Proxy). Allerdings glaube ich jetzt nicht, dass die Seiten da tagelang drin lagen. grizzly999

Wie vorher schon gesagt, ja, aber was soll das bringen? Die Gruppe Power users ist bei Vista obsolet und nur noch aus Kompatibilitätsgründen vorhanden. grizzly999

Dann also bitte beim TO melden, wenn Ihr ein Angebot habt.

Weiß ich nicht. Aber bestimmt nicht zu Longhorn :D War letztes Jahr nicht ausgewählt worden (mein Kunde sagte Dank). Und dieses Jahr .....?!?! Was würdest du denn gerne hören wollen ? Claus

Mit ADSIEdit.msc (aus den Support Tools), kannst du dich zu dem im Log referenzierten Objekt durchklicken und es entfernen. Ist vermutlich ein Restbestand vom vorherigen FRS. Aber Vorsicht, man kann mit ADSIEDit auch, Schnipp, schnell was Falsches wegschneiden. Daher vorher Server sichern ;) grizzly999

Zunächst solltest du festhalten (aufzeichnen), welcher Verkehr von wo nach wo fließt, wer vielleicht eine Authentifizierung benötigt, und wie diese gemacht werden kann. Ein wenig Hilfe in Form von Erklärungen und bebilderten Step-by-Stepanleitungen findest du hier: ISA Server FAQ (teilweise sind die Anleitungen auch unter ISA 2004 zu finden, weil die meisten Einrichtungen zu 2006 identisch sind). Man sollte auch die "Spezialitäten" bei Zugriffen auf den ISA selber kennen, Stichwort "Systemrichtlinien" auf dem ISA. Ist auch auf der Siete beschrieben. grizzly999

Schau dir doch mal dumpsec von http://www.somarsoft an (Freeware). 2003 R2 (davon war aber nichts geschrieben) bietet hier auch grafische Auswertungen für Fileserver an. grizzly999

Ah, ich sehe grad', ganz unten gibt's den ISA Nachfolger auch als Download. Cool :cool: Muss ich mir gleich mal anschauen .... grizzly999 /edit: Your were faster ;)

Wie, Beta für den neuen ISA?:rolleyes: Das ist die Beta für "Stirling". Aber Stirling ist nicht gleich Forefront Threat Management Gateway!! grizzly999

Okay, das oberste Bild zeigt die (verschlüsselte) Namrensauflösung und den ping auf den externen Server. Wo ist der Sniff für den ping auf den Server selber?! grizzly999

Wer hat denn welche IP von den beiden? Welche Funktion hat der Server? Geht der Ping ohne IPSec-GPO? grizzly999

Hi und willkommen im Board :) In beiden Richtlinien "Immer mit erhöhten Rechten installieren" aktiviert (Benutzer und Computer, so wie es in der Policy steht)? grizzly999