grizzly999

Den Artikel wollte ich auch gerade posten :D Aber: als Argument, dass das nicht funktionieren wird, denn das ist nur für einen ganz bestimmten Fall gedacht: Gateway-Gateway-Tunnel, nicht für den Transportmodus. Allerdings muss man dazu den englischen Artikel lesen, im deutschen haben die das glatt unter den Tisch fallen lassen :rolleyes: Da steht im englischen: Although Microsoft does not support or recommend the use of a preshare key for IKE authentication on remote access L2TP/IPSec client connections (should be used for testing only), Windows 2000 is compliant with IKE RFC 2409 and provides a way to implement it. L2TP/IPSec gateway-to-gateway VPN implementations by using a preshare key for IKE authentication are supported. http://support.microsoft.com/default.aspx?scid=kb;en-us;240262 grizzly999 /edit: Ausserdem, würde ich folgenden Eingriff in die 2003 Registry nicht wagen, zumindest nicht beim produktiven System ohne vorherige Tests: You must add the ProhibitIpSec registry value to both Windows 2000-based endpoint computers.

:nene: Hast du denn thorgoods Vorschlag (IMHO der absolut richtige) G E N A U gelesen? grizzly999

Du musst den Punkt "Senden Sie eine erweitere Zertifikatsanforderung ein" auswählen, und dort ein zertifikat für "Clientauthentifizeirung" auswählen, und wichtig: das Häkchen "Privaten Schlüssel als exportierbar markieren" setzen grizzly999

Hallo und willkommen im Board :) Es kommt darauf an, was du alles genau rübernehmen willst. neben dem Tool ldifde geht es auch mit csvde, das eine macht Line-separated Einträge (wird halt unheimlich lang nach unten das File), das andere Komma-separierte Einträge (geht halt sehr in die Breite). Aber: du solltest mit diesen Tools nur ausgewählte Attribute exportieren. Wenn du einen ungefilterten Export machst, also alle Objekte mit allen Attributen, wird "zuviel" exportiert, nämlich auch Attribute, die nicht in ein anderes AD übernommen werden können, weshalb dann der Import mit einer entsprechenden Fehlermeldung abbricht. grizzly999

Hallo und willkommen im Board :) Das wäre mir völlig neu. Sind auf der Partition, die die Freigabe hostet Disk-Quotas eingerichtet? grizzly999

Welches 70-270. Meine von wem? grizzly999

Halb-OT: Aber dann geht das auch nur mit einem Tunnel. Wenn aber ein DC mit einem anderen Dc direkt (verschlüsselt) kommuniziert, dann ist das kein Tunnelmodus, sondern der Transport-Modus. Total-OT :D Big THX grizzly999

Ah, Morkaj hat seinen Beitrag editiert (vorher ohne jede Nennung irgend eines Betriebssystems) :D In dem gegebenen Fall - 2003 mit XP - wäre die Umgebung geradezu prädestiniert für Software Restriction Policies: http://support.microsoft.com/default.aspx?kbid=324036 grizzly999 /edit: Hier gibt's auch noch ein wenig Lesestoff: http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/windowsserv/2003/all/deployguide/en-us/dmebe_swi_vgii.asp grizzly999

Das wäre möglich. Aber ich sprach von einer professionellen Lösung ;) (Wobei das überhaupt nichts mit "Profi" zu tun hat, sondern seit Ur-TCP/IP-Zeiten die grundlegendste Sache im Netzwerk ist: über Router verbundene Netzwerke haben unterschiedliche Netz-IDs) Die Verbindung in diesem Fall macht man aber nicht über IPSec-Richtlinien im Transportmodus, sondern am besten über VPN-Tunnels. Anm.: Alles IMHO :) grizzly99

Bei Linux geht das nicht :suspect: grizzly999

Ja, das kannst du ganz toll manuell in diesem Fall machen. aber wenn du DCs nud DNS usw. an jedem Standort haben willst, dann tragen die sich selber ein, dann suchen die sich (z.B. ihre Replikationspartner) alleine. Ohne deine manuelle Eingabe! Und wenn dann ein Server mit 10.0.0.1 den Replikationspartner mit 10.0.0.10 sucht, der aber tatsächlich an einem anderen Standort ist, dann käme er IP-technisch nie auf die Idee, über den Router zu gehen. BTW: du fragst hier im Board an und willst professionelle Hilfe? Dann Tipp: Ich halte mich auf diesem Gebiet für ein Profi ;) grizzly999

Ja, Gruppenrichtlinie ist in diesem Fall so ein Fall, ohne AD. Denn lokale Gruppenrichtlinien lassen sich nur schwer für einzelne Benutzer durchsetzen. Ich habe letztes Jahr unter Tipps und Links einen Beutrag gepostet, wie man lokale Administratoren von lokalen GPOs ausnehmen kann, das ist aber schon ein wenig Bastelei. Alternativ könnte man mit dem poledit, wenn man die ADM dafür umbaut, und .... :rolleyes: :rolleyes: Der Smiley deutet es an: das ist nix sinnvolles. In dem Fall vielleicht besser auf Drithhersteller Tools wie DeviceLock ausweichen. grizzly999

Wie man das macht, kann man u.a. hier nachlesen: http://admins-tipps.net/software/microsoft/office/autoinstall/benutzerangepasste-installation.htm#Hinzufügen%20der%20aktuellen%20Service-Packs grizzly999

Nein, das war mal so, inzwischen gibt es einen Patch, der auch Windows 2000 NAT-fähig macht ;) http://support.microsoft.com/default.aspx?scid=kb;en-us;818043&Product=win2000 grizzly999

Also, dieses Netz wird nie sauber funktionieren. Eine Voraussetzung für sowas ist, dass die einzelnen Teilentze an den Standorten unterschiedliche Netz-IDs haben. Ist einfach eine Frage des Routings ;) grizzly999

Hier: http://www.mcseboard.de/showthread.php?s=&threadid=35098 grizzly999

Da nicht direkt MCSE-Allgemein relevant, verschiebe ich mal nach Windows Allgemein ;) grizzly999

Hallo und willkommen im Board :) Nein, nix umsonst, das früher die Update Prüfung auf 2000 (70-240). Die neuen Updates kosten ganz normal wie jede andere Prüfung auch. BTW: Schon unseren Voucher im Board gesehen? grizzly999

Ja, die habe ich schon genannt: Webproxy mit GPO verteilen, außerdem Zugriffsregel auf dem ISA nur für bestimmte Benutzer bzw. Gruppen. Dann würde selbst das Entfernen des Proxyeintrags im Browser nichts bringen, weil ohne Proxy keine Athentifizierung und ohne Authentifizerung kein Internet :p grizzly999

Du trägst den Benutzern am besten per GPO einen Proxy ein, so dass sie diesen nicht ändern können. Dann geht es immer über den Proxy. Wenn nicht benötigt, gebe den Clients KEIN Standardgateway, nur den Proxy im Browser, dann geht garantiert nichts mehr ohne. grizzly999

Vielleicht hilft dir das weiter: http://www.mcseboard.de/showthread.php?threadid=18462 grizzly999

Gem. der Überschrift 2k ;) Du kannst das über das Tool Hyena machen, das kann man ja auch als Trial erst mal testen. :) Oder du kannst im Internet das das Tool admodify auftreiben, ein etwas geheim gehaltenes Tool von MS, das aber mal für die, die wussten wo, auch ganz normal über's Internet downgeloadet werden konnte. Ich habe gewusst wo :D ;) grizzly999

Das Anmeldeskript in den Konteneigenschaften kannst du nicht "verhindern", das läuft immer ab, wenn sich der Benutzer irgendwo anmeldet, dazu ist es da. Du könntest aber stattdessen! Anmeldeskripts über Gruppnerichtlinien verteilen. Für die normale Anmeldung erhält der User sein Anmeldeskript über eine GPO für die OU, in der sich sein Konto befindet, für den TS-logon gibt es ein anderes Script in einer GPO an der TS-OU. In irgendeiner GPO an der TS-OU muss dann noch der Loopbackverarbeitungsmodus (Modus: Erstezen) eingestellt werden, dann wird dort bei einer Anmeldung immer das TS-OU-Skript anstelle des üblichen Skripts genommen. Mehr zum Loopbackverarbeitungsmodus findest du über die Boardsuche oder bei http://www.gruppenrichtlinien.de grizzly999

Es gibt in dem Sinne keinen "RAS-Server" bei XP. Du musst eine neue Netzwerkverbindung einrichten und dort "Eingehende Verbindungen" erlauben. Allerdings geht nur eine eingehende Verbindung gleichzeitig. grizzly999

Hallo und willkommen im Board :) Sieht aus wie eine MSDN :suspect: Schau mal hier rein: http://www.mcseboard.de/showthread.php?threadid=8928 Allerdings habe ich (und andere unabhängig davon auch) mit solchen CDs mehr als einmal die Erfahrung gemacht, dass fast immer bei der Installation von so einer CD Kopierfehler von diversen Dateien, meist Sound-Dateien und ein paar andere, gemeldet werden, die man per Klick übergehen kann. Grund habe ich noch keinen herausgefunden, Abhilfe daher auch nicht, aber die Installationen laufen trotzdem grizzly999