grizzly999

Für L2TP muss kein Port 1701 weitergeleitet werden, nur UDP 500 und Protokoll 50 (ESP) oder 51 (AH) ;) grizzly999

Suche mal in der Onlinehilfe oder im Board oder ... nach Gemeinsame Nutzung der Internetverbindung bzw ICS (Internet Connection Sharing) grizzly999

Ja, über "Eingeschränkte Gruppen" eine definierte Mitlgiedschaft der lokalen Administratorengruppe herstellen. Suche auch mal im Board nach dem Begriff, da gibt es auch Anleitungen wie das geht. grizzly999

Was müsste auch anders gehen. Entweder mit dem Prä-Windows 2000 Anmeldename, dabei steht im dritten Fenster die Domäne zur Auswahl, oder mit dem von Thorgood gennanten UPN (User Principal Name). Mehr geht nicht. Zudem meine ich, vielleicht unterschätzt du die Schüler etwas Und wenn sie das nicht können, dann müssen sie das wohl lernen ;) , oder den Schulhof kehren :p Allerdings, warum nicht die Schülernamen als Anmeldenamen grizzly999

Leider kann ich dir jetzt auch nicht sagen, wo der Fehler liegt, bei meiner CA gibt es nach der Eintragung der von dir genannten Sektionen keine AIA und CDP :( grizzly999

Meinen allerersten Virus, den ich damals in meiner Firma hatte, das war 1986, war unter DOS. Auf einem Rechner mit dem Textverarbeitungsprogramm Text4 von IBM. Da fielen beim Schreiben immer die Buchstaben runter, ja, richtig runter und bildeten unten am Bildschirmrand einen immer höher werdenden Buchstabenhaufen. Anfangs dachte ich noch, naja, ich kann die Wörter noch halbwegs lesen, erst als soviele Buchstaben aus den Wörten runtergefallen waren, dass ich selber nicht mehr wusste, was ich da oben getippt hatte, habe ich Hilfe beim Admin gesucht. "Ui, ein Herbstlaubvirus" war seine erschreckte Feststellung. Ich dachte noch, "Virus" der Computer ist krank?, der will mich auf den Arm nehmen, der Admin :D :D :D Soviel zu Viren unter DOS :p grizzly999

Wie Zuschauer schon sagte: Die Musterlösung sieht den PDC nur mit einer NIC vor. Man kann es mit folgendem Workaround probieren ("probieren", so steht's auch im Artikel), dann ist leider Ende Fahnenstange, weil was nicht, ist nicht :wink2: http://support.microsoft.com/default.aspx?scid=kb;en-us;221210 grizzly999

@bastos: Leider bin ICH nicht im Bilde Was hat die Remotedesktop Webverbindung mit dem Unterschied zwischen TS und Remote Desktop zu tun?! Die Unterschiede zwischen TS und Remote Desktop liegen in der Lizensierung. Während man für den TS nebst Terminallizenzserver noch TCALs für die Clients benötige, brauche ich diese für den Remote Desktop nicht. Dafür können auch nur 2 RD-Sessions (plus die Konsolensession) aufgemacht werden. Der Remote Desktop dient damit eigentlich zur Remoteadministration und ersetzt die von 2000 bekannte Installation "Terminalserver im Remoteverwaltungsmodus". So ist mein Bild bisher ;) grizzly999

Das sind aber Computerzertifikate, keine Benutzerzertifikate, die man für EAP benötigt. Und wie du gesagt hast, MS-CHAP V2 funktioniert, aber solte nicht nur im LAN gehen, sondern auch im WAN. EAP-TLS benötigt Benutzerzertifikate auf eienr Smartcard, kann jetzt nicht herauslesen, das du das hast. PEAP mit MS-CHAP V2 braucht ebenfalls Benutzerzertifikate, aber wird von 2000 nicht unterstützt. Also, entweder du besorgst dir einen Smartcard-Writer/Reader mit pasenden SCs, machst dir Smartcards, was zum einen nicht ganz billig und auch aufwendig ist, oder bleibst bei MS-CHAP V2. Es gäbe noch EAP-MD5, aber da muss man Kennwörter mit reversibler Verschlüsselung speichern, da wäre dann die vermeintliche Sicherheit ad absurdum geführt ;) grizzly999

Ein DHCP-Client, der keine Lease von einem DHCP erhalten hat, broadcastet alle 5 Minuten erneut, um einen DHCP zu finden. grizly999

Muss man auch nicht ;) Aber es sind zu wenig Informationen über die ganze Sache, welcher Client, was für eien Authentifizierungsmethoden sind eingestellt, ist der IAS erreichbar, was für Einträge im Ereignislog des VPN-Server und des Clients? grizzly999 BTW: NAT ist kein Problem mehr für L2TP/IPSec. 2003 kanns von Haus aus und für 2000- und XP-Clients gibts einen Patch, mit dem das geht: http://support.microsoft.com/default.aspx?scid=kb;en-us;818043 ;)

Schwierig. Ich kenne weder deine Umgebung, noch deine Anforderung, noch deine jetzige Einrichtung des ISA. Aber als einfachste Variante - ohne Filternug auf spezielle Computer - eine Zugriffsregel einrichten, die als Quellnetz Intern und als Zielnetz Extern hat, das vordefinierte Protokoll SMTP hat, und alle für alle Benutzer gilt. Die DNS-Namensauflösung nach extern sollte in aller Regel auf dem ISA auch freigegeben sein, d.h. selbes Spiel wie ben nur mit dem Protokoll DNS. grizzly999

Also mein Root Zertifikat hat keinen AIA und keinen CDP, wenn ich die CAPolicy. inf in der vorgegebenen Weise benutze. Oder sprichst du nicht vom Root Zertifikat?! Wenn du das IssuingCA Zertifikat meinst, da kannst du ja in den Eigenschaften der RootCA die AIA und CDP-Pfade vor Ausstellung der zerts anpassen oder gar ganz rausnehmen. Oder vor Aufsetzen der IssuingCa die Parameter dort mit einer Policy.inf vorbereiten. grizzly999

Ja, das ist in dem Fall die einzige Möglichkeit bei W2k. Da kann man keine Datenträger erweitern, die vorher als Partition erstellt waren. Das geht erst ab XP und höher, ausgenommen System- und Startvolume. grizzly999

Dann stimmt aber mit der Konfiguration an irgendeiner Stelle was nicht (angefangen vom Default Gateway bis zur Firewallregelkonfig). Einzige Hilfe so far, in der ISA-Verwaltung kannst du eine Abfrage mitlaufen lassen, die die zeigt, was aufgrund welcher Regel durchgelassen oder geblockt wird. grizzly999

Nein. Der SBS muss der erste DC in einem neuen Forest sein. Man kann dort zwar weitere DCs - auch W2k - hinzufügen, die NICHT SBS sind, aber SBS als weiteren DC in einem vorhanden AD geht nicht. Auch Vertrauenstellungen gehen nicht. Ist eben Small Buisiness... grizzly999

Dann ist ist irgendwas falsch konfiguriert. Für ausgehende Mails bruachst du eine Zugriffsregel für SMTP (Port 25 ausgehend). Für eingehende Mails - bekommst du die auch geschickt, oder holst du die mit POP ab?) eine korrekte Mail-Serververöffentlichung für den internen Exchange. Beides klappt hier und überhaupt einwandfrei, leider kann ich dir im Moment nicht weiter helfen. BTW: Systemrichtlinien brauchst du in dem Fall KEINE grizzly999

Die Beschreibung von Microsoft ist korrekt. Wenn man die Artikel ganz liest, sollte da irgenwo stehen, dass die CAPolicy.inf vor der Installtion der Root-CA erstellt und ins system32 Verzeichnis abgelegt werden muss. grizzly999

Jo, das ist kein Problem, sondern bei Design so bei Domänen im "Windows 2000 gemischt Modus" oder "Windows 2003 interim Modus". ;) grizzly999

Wie ich schon sagte, gebe der Freigabeberechtigung Jeder->Lesen, den Rest (die tatsächlichen berechtigungen) machst du über NTFS grizzly999

zunächst solltest du natürlich checken, ob du den PDC anpingen kannst (IP-Adresse und Namen). Wenn das geht, hat der BDC ein Problem den PDC zu finden, ohne einen WINS versucht er das per Broadcast, das sollte auch klappen wenn sich beide innerhalb einer Broadcastdomäne befinden. Wenn da allerdings ein Router dazwischen sein sollte, der Broadcasts blockt, muss er ihn anders finden. Neben der Möglichkeit WINS (was aber die präferrierte ist ;) ) könnte man dem angehenden BDC auch einen LMHOSTS-Eintrag machen: http://support.microsoft.com/default.aspx?scid=kb;en-us;140476 grizzly999

Hallo und willkommen im Board :) Das ist normal, das W3C Log speichert die Uhrzeit im UTC-Format (vormals GMT), und da sind wir wegen der Sommerzeit UTC + 2 Stunden ;) grizzly999

Welche Freigabeberechtigungen hat die Freigabe "Test"? Ich vermute die Standarberechtigungen Jeder->Lesen. Damit kann ein Benutzer auch weiter unter nie mehr berechtigungen erhalten als Lesen. Die Berechtigungen auf die Freigabe auf Jeder->Vollzugriff setzen .... grizzly999

Ja, allerdings funktioniert der PXE Boot von VM-Clients erst ab Version 4.5. Bei 4.0 muss man mit einer RIS-Bootdisk arbeiten. grizzly999

Ist auf der Freigabe selber (auf dem Server) in den Freigabeeigenschaften das Offline zur Verfügung stellen aktiviert? wenn das auf der Freigabe deaktiviert ist, bekommt man die Auswahl auch nicht. grizzly999