svenider

Wow, habe deinen Post #5 vollkommen übersehen :confused: Das geht bestimmt (werde ich auch nachher im Büro gleich mal testen) ABER: Die müssen Ihr PW alle 30-Tage ändern (Vorschrift). Dann müssten die ja jedesmal diese Daten erneuern..... Es muss doch eine Möglichkeit geben, dass Windows nicht die PPTP-Daten sondern die eigentlichen AD-Daten nimmt?!

Das klang äußerst vielversprechend. Leider aber ohne Erfolg. Habe die "rasphone" Config unter User\Username\App\LocalLow\Microsoft\Networt\PBK.... angepasst (UseRASCreditentials=0). Er nimmt aber immer noch die PPTP-Daten für die Authentifizierung. Wenn ich z.B. direkt per UNC auf eine Server-IP gehe, dann bringt er halt das Anmelung fehlgeschlagen Fenster mit dem Usernamen vom PPTP-Login. Ich kann mich dann zwar schon mit den richtigen AD-Userdaten einloggen, aber das ist ja mehr als umständlich.

Moin, Häh? Karl Huber, also der volle Name, ist ja der AD-Name, welcher Zugriff auf die Shares hat. Du meinst ich soll den PPTP-User (Huber) zu den Shares hinzufügen? Wenn du das meinst; dass war ja mein 3ter-Vorschlag.... Hatte aber hierbei Bedenken, dass da irgendwas nicht rund läuft. Da ja rein theoretisch, der User Huber den CSC-Cache von Karl Huber aktualisiert. Ist der CSC dafür ausgelegt? Grüße

UPDATE: Die Ursache ist nun bekannt. Die VPN-Anmeldedaten werden auch beim Zugriff auf SHARES abgeglichen. Konkretes Beispiel: Benutzer-Name (AD): Karl Huber PPTP-User (pFsense): Huber Wenn ich nun mit "Huber" die VPN-Verbindung starte, dann habe ich keinen Zugriff auf die Freigaben, auf die "Karl Huber" normalerweiße Zugriff hat. Leider kann ich "Karl Huber" nicht als PPTP-User in der pFsense anlegen, da diese "Username contains invalid charakter" meldet. Klar; das Leerzeichen. Nun die Überlegungen dieses Problem zu umgehen: 1. Gibt es eine Möglichkeit, dass Windows trotz des PPTP-Usernames den angemeldeten User verwendet? 2. Gibt es eine Möglichkeit die Einschränkung in der pFsense zu umgehen? 3. Soll ich einfach parallel die PPTP-User auch in der AD mit den gleichen Berechtigungen anlegen? 4. Irgendwas, an was ich nicht gedacht habe? Die Windowsbenutzernamen sollten nicht geändert werden! Grüße

Guten Abend, ja, der Titel ist etwas verwirrend! Hier das Setup: pFsense als Firewall/Router 2008R2 als DC/AD/ADCS/DNS/DHCP VPN (Site-To-End PPTP) läuft einwandfrei. Die Clients gehen über die Windows 7 Boardmittel rein. Kein externer Dialer oder ähnliches! Die Clients sind Domänenmitglieder und haben 2 Netzlaufwerke welche Sie per Script (persistent:yes!) bekommen. Diese wurde als "Offline Verfügbar" markiert. Also ganz normale Umgebung. Durch das persistent:yes bleiben die Netzlaufwerke auch bei einem Login außerhalb des Standortes gemountet. Der CSC-Cache läuft soweit einwandfrei. Wenn der Client jetzt die VPN-Verbindung aufbaut, sollten die Laufwerke als Online markiert werden, damit diese auch synchronisiert werden können. Dies passiert aber nicht. Es hat heute aber mal ganz kurz geklappt! Also mit dem Grundlegenden Setup sollte alles in Ordnung sein. Im Moment ist es aber so, dass das Synchronisationscenter nur "Nicht Verbunden" meldet. Den Fileserver kann ich regulär anpingen. Ich kann auch per UNC drauf. In der pFsense gibt es nur eine any-any-Regel. Also wird hier nichts geblockt. Hat hier jemand Ideen?? Danke.... Grüße

Moin, War auch mein erster Gedanke; hast du ein Link für das Plugin/Packet für die AD? Muss auch gestehen, dass ich bislang nur Site-to-Site VPNs aufgebaut habe. Ein Site-To-End ist für mich relativ neu. Mich reizt immer noch ein wenig das VPN im 2008er. Der nutzt ja das SSTP!? Möglich wäre ja auch ein End-To-End direkt mit dem 2008er. Nachdem die Anwender ja nur mit dem 2008er kommunizieren müssen..... Zumal unbedingt zu beachten ist, dass diese mobilen Anwender sowohl von konventionellen WAN-Anbindungen (privates WLAN, HotSpots,....) als auch über UMTS einwählen. Ich meine zu wissen, dass z.B. IPsec Passthru über UMTS ein Problem darstellt......

Guten Abend, ist es in ganz Deutschland so ******e kalt (>-10°C)?? Zum "Problem": Habe hier eine relativ überschaubare IT: Firewall/Gateway pFsense an einem 16k-ADSL mit fixer IP Server 2008R2 DC/AD/ADCS/DNS/DHCP Server 2008R2 FileServer & HyperV Server 2008R2 Gast im HyperV als RDS-Host Windows 7 Pro SP1 x64 Clients (65 Stück) Aufgabenstellung: 8 der Clients sind mobile Geräte (Notebooks), welche künftig per VPN rein sollen. Über die VPN-Tunnel soll "nur" SMB für Netzlauferke seuchen. Was meint Ihr, wie das am besten zu lösen ist? Soll ich die Tunnel über die pFsense aufbauen, oder über einen 2008R2? Über den Windows-Server wäre es halt komfortabler und einfacher in der Einrichtung. Wie sieht es mit der Performance aus? Hat da jemand Erfahrungswerte. Die pFsense läuft auf einem XP2600+ mit 1GB DDR. Würde mich über Anregungen freuen.... Grüße

Rückmeldung: Lag an den Homeberechtigungen der User. Da stand nur der lokale Admin drin. Habe das mal korrigiert, und schwups läuft alles.... Ist ja auch kein Wunder wenn er ins App nicht schreiben darf.... Grüße

1. Habe "Unter-OUs" (Haupt-OU = User-OU & Computer-OU) 2. Sorry; ist eine Computer-GPO 3. Habe das grau in Erinnerung, wenn etwas schief läuft, dass man die GPO dann erzwingen sollte 4. Ne, aber danke für den Hinweis, dann kommt der IrfanView raus. Sollte für das Betrachten von DWGs sein. Dann nehme ich halt den AutoCad Viewer. Der ist lizenztechnisch unproblematisch, dafür aber sehr "speckig"

Guten Morgen, muss leider an meinen letzten Thread (Zeit läuft nicht synchron) direkt anschließen. Diesen hatte ich ja eröffnet, weil die GPOs wegen falscher Uhrzeiten nicht angewendet wurden. Dies ist nun behoben. Leider läuft die Softwareverteilung dennoch nicht. Server: 2008 R2 SP1 Standard x64 Clients: Win7 Pro SP1 x64 Habe hier derzeit nur eine OU. In dieser befinden sich User und Computer. Darauf habe ich meine GPO verknüpft und erzwungen. Inhalt sind vier Installationen: Java JRE 7U2 x64 Java JRE 7U2 x86 IrfanView 420 IrfanView 420 PlugIns Desweiteren ist der Windows Installer immer mit erhöhten Rechten versehen. Im Clientlog habe ich: Die clientseitige Erweiterung "Software Installation" der Gruppenrichtlinie konnte mindestens eine Einstellung nicht anwenden, da die Änderungen vor dem Systemstart oder der Benutzeranmeldung verarbeitet werden müssen. Das System wartet vor dem nächsten Startvorgang oder der nächsten Benutzeranmeldung darauf, dass die Gruppenrichtlinienverarbeitung vollständig abgeschlossen ist. Dies kann zu einem langsamen Start und zu einer niedrigen Startleistung führen. Die Änderungen an den Softwareinstallationseinstellungen wurden nicht angewendet. Die Installation von Software, die von der Gruppenrichtlinie für diesen Benutzer bereitgestellt wird, wird bis zur nächsten Anmeldung verzögert, da die Änderungen vor der Anmeldung vorgenomme Fehler: %%1274 Die Zuweisung der Anwendung Java 7 Update 2 (64-bit) der Richtlinie Installationen ist fehlgeschlagen. Fehler: %%1274 Die Zuweisung der Anwendung Java 7 Update 2 der Richtlinie Installationen ist fehlgeschlagen. Fehler: %%1274 Das Entfernen der Zuweisung der Anwendung Java 7 Update 2 von der Richtlinie Installationen ist fehlgeschlagen. Fehler: %%2 Die Zuweisung der Anwendung IVIEW420 der Richtlinie Installationen ist fehlgeschlagen. Fehler: %%1274 Das Entfernen der Zuweisung der Anwendung IVIEW420 von der Richtlinie Installationen ist fehlgeschlagen. Fehler: %%2 Das IrfanView MSI habe ich mit dem WIWW02-Wrapper gebaut. Sollte aber eigentlich funktionieren. Die JREs sind ja direkt aus dem LocalLow.....

Moin, ja, ist eine admin-cmd.... Problem scheint gelöst. Habe mal alle Clients heruntergefahren, und dann den w32tm-service neugestartet. Anschließend den Server neugestartet. Und siehe da, fast alle Clients syncen nun vernünftig. Lediglich zwei sträuben sich..... Grüße

/unregister & /register = Zugriff verweigert Nach /unregister war der Zeitgeber nach und vor Reboot noch in den Services. /query /status meldet immer noch CMOS-Clock.....

w32tm /unregister Zugriff verweigert 0x80070005

Ja, der Windows-Zeitdienst läuft----

Das die GPO noch immer nicht läuft.... Zugriff verweigert 0x80070005

Habe gerade am PDC: w32tm /config /manualpeerlist: pool.ntp.org /syncfromflags:manual /reliable:yes /update ausgeführt...... Keine Änderung!

Mit einem w32tm Befehl, oder direkt per Hand?

Client: Sprungindikator: 3(die letzte Minute umfasst 61 Sekunden) Stratum: 0 (nicht angegeben) Pr„zision: -6 (15.625ms pro Tick) Stammverz”gerung: 0.0000000s Stammabweichung: 0.0000000s Referenz-ID: 0x00000000 (nicht angegeben) Letzte erfolgr. Synchronisierungszeit: nicht angegeben Quelle: Local CMOS Clock Abrufintervall: 10 (1024s) Server: Sprungindikator: 0(keine Warnung) Stratum: 3 (Sekund„rreferenz - synchr. ber (S)NTP) Pr„zision: -6 (15.625ms pro Tick) Stammverz”gerung: 0.0379486s Stammabweichung: 0.0723056s Referenz-ID: 0x83EA8917 (Quell-IP: 131.234.137.23) Letzte erfolgr. Synchronisierungszeit: 31.01.2012 20:44:50 Quelle: pool.ntp.org Abrufintervall: 10 (1024s)

häh?? Habe ich doch schon gemacht. Hat ja soweit geklappt. Nur die ID 37 ist im EventM nicht erschienen. Das Problem besteht weiterhin!

Kernerl-Genral ID1 Die Systemzeit wurde von ‎2012‎-‎01‎-‎31T18:34:08.660822100Z auf ‎2012‎-‎01‎-‎31T18:34:08.660000000Z geändert.

UPDATE: Da ist wohl mehr. Habe gerade nochmals sowohl Server als auch Client neugestartet. Der Client schreibt: NETLOGON 5719 GROUPPOLICY 1126 & 1129 Die 1126 ist ja klar, dass betrifft ja meinen Thread....

Die 37? Was kann man tun? Grüße

Wenn du die ID 35 meinst, dann ja..... 139 und 143 sind auch vertreten. Nur die 37 gemäß Link ist nicht da.....

@norbert Habe mal die Anleitung durchgearbeitet. Leider ohne Erfolg..... @necron wo bzw wie genau soll ich den sync laufen lassen?

Update: Habe gerade einen Reboot gemacht. Leider keine Änderung. GPO schlägt immer noch fehl mit gleicher Fehlermeldung!