holle2

Hallo, ich habe im AD eine Gruppe "TerminalUser" angelegt, für welche ich eine sehr restriktive Gruppenrichtlinie "TerminalUserGPO" konfiguriert habe (TerminalUser ist in der Sicherheitsfilterung des Gruppenrichtlinienobjekts eingetragen). Nun habe ich allerdings das Problem, dass manche "TerminalUser" sich auch lokal an der Domäne mit Ihrem servergespeicherten Profil anmelden müssen. (Profile als auch Remotedesktopdiensteprofile liegen in unterschiedlichen Verzeichnissen inklusive Ordnerumleitung) Sobald sich User A, welcher auch der Gruppe "TerminalUser" angehört, lokal an der Domäne anmeldet greift auch hier die "TerminalUserGPO". Ich möchte allerdings, dass die restriktive "TerminalUserGPO" nur bei RDP Verbindungen greift und lokal eine andere Gruppenrichtlinie zum Zuge kommt, die weniger restriktiv ist. Wie kann ich dieses Problem lösen ohne jedem User zwei Logins zu geben? Server: 2K8R2 Clients: Win7Pro Vielen Dank für Eure Hilfe... holle2

Bin nochmal das howto durchgegangen und habs mit folgenden configs zum laufen bekommen! OTHERSUBNET musste natürlich mit der jeweils anderen subnet ip ersetzt werden. Die 10.0.0.1 (server TUN interface) und 10.0.0.2 (Client TUN interface) sind meinem Verständnis nach die server und client seitigen lokalen Endpunkte des TUN Interfaces!? Router 1 startup settings (server): Router 2 startup settings (client): Dann muss ich das ganze jetzt nur noch auf die Verwendung mit Zertifikaten portieren ^^ Gruss holle2

Oh sry, mein fehler! Ich habe oben aufs falsche howto verlinkt. Da ich keine bridged lösung wollte bin ich natürlich nach folgendem howto vorgegangen: OpenVPN - Site-to-Site routed VPN between two routers - DD-WRT Wiki

Hallo nochmals, war die Tage im urlaub und nun wollte ich mich wieder dem alten problem widmen... Ein traceroute gibt mir folgendes aus: tracert 192.168.1.1 Routenverfolgung zu 192.168.1.1 über maximal 30 Abschnitte 1 3ms 1ms 3ms DD-WRT [192.168.10.1] 2 32ms 31ms 33ms lo1.br13.weham.de.hansenet.net [213.191.76.39] 3 ae1-102.cr01.asham.de.hansenet.net [62.109.121.126] meldet: Zielnetz nicht erreichbar Ablaufverfolgung beendet. Subnet Server Router: 192.168.10.1 Subnet Client Router: 192.168.1.1 mfg und thx 4 help!

Syslog router 2 (192.168.1.1): Apr 20 21:34:51 syslog: WAN is up. IP: xx.224.92.190 Apr 20 21:35:04 openvpn[1610]: Inactivity timeout (--ping-restart), restarting Apr 20 21:35:04 openvpn[1610]: TCP/UDP: Closing socket Apr 20 21:35:04 openvpn[1610]: Closing TUN/TAP interface Apr 20 21:35:04 openvpn[1610]: SIGUSR1[soft,ping-restart] received, process restarting Apr 20 21:35:04 openvpn[1610]: Restart pause, 2 second(s) Apr 20 21:35:06 openvpn[1610]: WARNING: file '/tmp/static.key' is group or others accessible Apr 20 21:35:06 openvpn[1610]: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Apr 20 21:35:06 openvpn[1610]: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 20 21:35:06 openvpn[1610]: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Apr 20 21:35:06 openvpn[1610]: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 20 21:35:06 openvpn[1610]: LZO compression initialized Apr 20 21:35:06 openvpn[1610]: TUN/TAP device tun0 opened Apr 20 21:35:06 openvpn[1610]: TUN/TAP TX queue length set to 100 Apr 20 21:35:06 openvpn[1610]: Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ] Apr 20 21:35:06 openvpn[1610]: Socket Buffers: R=[114688->131072] S=[114688->131072] Apr 20 21:35:06 openvpn[1610]: UDPv4 link local (bound): [undef]:2000 Apr 20 21:35:06 openvpn[1610]: UDPv4 link remote: xx.54.135.142:2000 Apr 20 21:35:20 openvpn[1610]: Peer Connection Initiated with xx.54.135.142:2000 Apr 20 21:35:20 openvpn[1610]: Initialization Sequence Completed Jemand eine Idee was hier falsch läuft!? Gruss holle2

Hier noch die syslogs der beiden router... Syslog Router 1 (192.168.10.1): Apr 20 01:32:03 syslog: WAN is up. IP: xx.54.135.142 Apr 20 01:32:04 openvpn[1589]: WARNING: file '/tmp/static.key' is group or others accessible Apr 20 01:32:04 openvpn[1589]: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Apr 20 01:32:04 openvpn[1589]: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 20 01:32:04 openvpn[1589]: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Apr 20 01:32:04 openvpn[1589]: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 20 01:32:04 openvpn[1589]: LZO compression initialized Apr 20 01:32:04 openvpn[1589]: TUN/TAP device tun0 opened Apr 20 01:32:04 openvpn[1589]: TUN/TAP TX queue length set to 100 Apr 20 01:32:04 openvpn[1589]: Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ] Apr 20 01:32:04 openvpn[1589]: Socket Buffers: R=[114688->131072] S=[114688->131072] Apr 20 01:32:04 openvpn[1589]: UDPv4 link local (bound): [undef]:2000 Apr 20 01:33:00 cron[3156]: (crontabs) ORPHAN (no passwd entry) Apr 20 01:33:04 openvpn[1589]: Inactivity timeout (--ping-restart), restarting Apr 20 01:33:04 openvpn[1589]: TCP/UDP: Closing socket Apr 20 01:33:04 openvpn[1589]: Closing TUN/TAP interface Apr 20 01:33:04 openvpn[1589]: SIGUSR1[soft,ping-restart] received, process restarting Apr 20 01:33:04 openvpn[1589]: Restart pause, 2 second(s) Apr 20 01:33:06 openvpn[1589]: WARNING: file '/tmp/static.key' is group or others accessible Apr 20 01:33:06 openvpn[1589]: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Apr 20 01:33:06 openvpn[1589]: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 20 01:33:06 openvpn[1589]: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Apr 20 01:33:06 openvpn[1589]: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 20 01:33:06 openvpn[1589]: LZO compression initialized Apr 20 01:33:06 openvpn[1589]: TUN/TAP device tun0 opened Apr 20 01:33:06 openvpn[1589]: TUN/TAP TX queue length set to 100 Apr 20 01:33:06 openvpn[1589]: Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ] Apr 20 01:33:06 openvpn[1589]: Socket Buffers: R=[114688->131072] S=[114688->131072] Apr 20 01:33:06 openvpn[1589]: UDPv4 link local (bound): [undef]:2000 Apr 20 01:33:08 openvpn[1589]: Peer Connection Initiated with xx.224.92.190:2000 Apr 20 01:33:09 openvpn[1589]: Initialization Sequence Completed

Alles klar, nur noch eine Frage... ich habe gestern abend im Forum LAN & WAN auch einen neuen Beitrag verfasst, der "von einem Moderator freigeschaltet werden musste" Wie lange dauert sowas circa? gruss holle :)

Zunächst nochmal zum Thema der Verwendbarkeit alter TS Lizenzen unter 2k8R2. Ich habe nochmal gegoogelt und folgendes gefunden: Gilt diese Aussage nur bei einem update??? :confused: Windows Server 2008 R2: Aus TS wurden RDS - Was sich für Sie ändert - IT Manager Blog Germany - Site Home - TechNet Blogs: Zum Anderen Thema... ist es möglich, einen SA nachträglich für ein Produkt zu erwerben, damit ich von DEVICE auf USER switchen kann? Schonmal vielen Dank für die Infos... holle2

Hallo, bei zwei Fragen bin ich suchtechnisch leider nicht eindeutig fündig geworden... Kann ich bereits vorhandene 2k8 RDS DEVICE CAL's im Lizenzserver auch als 2k8 RDS USER CAL's eintragen? Ist es richtig, dass ich 2k8 TS CAL's als 2k8R2 RDS CAL's verwenden kann? Gruss... holle2

Hallo, ich möchte gerne eine kostengünstige openVPN site-to-site Lösung für eine kleine Firma mit zwei Standorten aufsetzen. Ich bin nach folgendem howto vorgegangen: OpenVPN - Site-to-Site Bridged VPN Between Two Routers - DD-WRT Wiki Laut syslog der router, wird die VPN Verbindung erfolgreich aufgebaut. Allerdings ist es mir nicht möglich aus einem LAN ins andere zu pingen. Die erforderlichen Firewall settings sollten ebenfalls gesetzt sein. Standort 1: TP-Link TL-WR1043ND mit DD-WRT (v24-sp2) und openVPN Alice DSL16000 Router 1 IP: 192.168.10.1 WAN IP: router01.dyndns.org Router 1 startup settings: # Move to writable directory and create scripts cd /tmp ln -s /usr/sbin/openvpn /tmp/myvpn # Config for Site-to-Site SiteA-SiteB echo " proto udp port 2000 dev tun0 secret /tmp/static.key verb 3 comp-lzo keepalive 15 60 daemon " > SiteA-SiteB.conf # Config for Static Key echo " -----BEGIN OpenVPN Static key V1----- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx -----END OpenVPN Static key V1----- " > static.key # Create interfaces /tmp/myvpn --mktun --dev tun0 ifconfig tun0 192.168.10.0 netmask 255.255.255.0 promisc up # Create routes route add -net OTHERSUBNET netmask 255.255.255.0 gw 192.168.1.0 # Initiate the tunnel sleep 5 /tmp/myvpn --config SiteA-SiteB.conf Router 1 firewall settings: # Open firewall holes iptables -I INPUT 2 -p udp --dport 2000 -j ACCEPT iptables -I INPUT 3 -i tun0 -p icmp -j ACCEPT iptables -I INPUT 1 -i tun0 -p tcp --dport 80 -j ACCEPT iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT Standort 2: TP-Link TL-WR1043ND mit DD-WRT (v24-sp2) und openVPN Alice DSL16000 Router IP: 192.168.1.1 WAN IP: router01.dyndns.org Router 2 startup settings: # Move to writable directory and create scripts cd /tmp ln -s /usr/sbin/openvpn /tmp/myvpn # Config for Site-to-Site SiteA-SiteB echo " remote router01.dyndns.org proto udp port 2000 dev tun0 secret /tmp/static.key verb 3 comp-lzo keepalive 15 60 daemon " > SiteA-SiteB.conf # Config for Static Key echo " -----BEGIN OpenVPN Static key V1----- xxxxxxxxxxxxxxxxxxxxxxxxxxx -----END OpenVPN Static key V1----- " > static.key # Create interfaces /tmp/myvpn --mktun --dev tun0 ifconfig tun0 192.168.1.0 netmask 255.255.255.0 promisc up # Create routes route add -net OTHERSUBNET netmask 255.255.255.0 gw 192.168.10.0 # Initiate the tunnel sleep 5 /tmp/myvpn --config SiteA-SiteB.conf Router 2 firewall settings: # Open firewall holes iptables -I INPUT 2 -p udp --dport 2000 -j ACCEPT iptables -I INPUT 3 -i tun0 -p icmp -j ACCEPT iptables -I INPUT 1 -i tun0 -p tcp --dport 80 -j ACCEPT iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

Genau mit diesem guide habe ich die tage schon gekämpft. Da werde ich mich nächste woche nochmal dran hocken.

Hallo an alle, die mir versuchen bei diesem Problem unter die Arme zu greifen. Ich habe zuerst einmal sämtliche Geräte im LAN mit dem Switch verkabelt. Am Router hängt jetzt nur noch der Switch. Dadurch löste sich mein ursprüngliches Problem auch sofort in Wohlgefallen auf. Außerdem habe ich noch folgende Änderungen in den Einstellungen vorgenommen: In Router steht nun nichts mehr außer den Einwahldaten und der lokalen IP-Adresse Im DNS-Server ist nur noch die Weiterleitung auf den Router eingetragen: Mit den Rotuern sollte eigententlich über openVPN ein Tunnel möglich sein, oder irre ich da? Gruß und Dank... holle2

Hallo Edgar, soweit ich das beurteilen kann wird laut ipconfig alles korrekt vom server an die clients übergeben. Ich bin zufällig auf dieses Problem aufmerksam geworden, da ich momentan versuche zwei DD-WRT fähige router direkt über einen VPN-Tunnel miteinander zu verbinden. Leider noch erfolglos :/ ...nur die Verbindung eines VPN Tunnels von einem client rechner auf den firmenrouter klappt bisher problemlos. Wie auch immer, aber das ist jedenfalls der Grund warum ich aus der ferne am Router umherspiele. Morgen werde ich nochmal vor Ort sein und versuchen den Ursprung allen Übels zu suchen :) Gruß holle2

Mich trifft alle schuld! ;) Ich habe das ganze für die firma meines bruders aufgesetzt, da ich technisch ein bisschen mehr bewandert bin. Ich übernehme in meiner freizeit sozusagen die funktion des firmenadmins. Das ganze war aus kostengründen leider nicht extern zu lösen. Da dies meine erste 2k8 server kiste ist, bitte ich um ein wenig nachsicht bei meinen wissenlücken was das thema hier angeht. Ich habe mich zwar viel belesen, aber das ganze ist ein doch sehr weites feld mit vielen stolperfallen. Ich bin sehr froh und dankbar hier etwas hilfe zu finden :) Das die clients den server nicht mehr finden, solange der router (ist für die internet einwahl zuständig) aus ist macht natürlich sinn, nur sollten sie ihn doch wieder finden sobald der router wieder online ist!? Ich werde das natürlich dieses we trotzdem umkabeln. Was die DNS weiterleitung vom Server auf den Router angeht. Muss die hier rein? Soll ich die anderen raus nehmen? Diese allerdings im router zu hinterlegen wird schwierig, da ich die felder "Statischer DNS 1" bei deaktiviertem DHCP nicht anwählen kann (sind grau hinterlegt ...siehe letztes posting) Der server verweist natürlich auf sich selbst in den Netzwerkeinstellungen: Der DHCP Server übergibt auch ja auch alles an die clients wie er soll, solange ich den router nicht reboote:

Vielen Dank für die Hinweise. Der Server könnte sehr wohl am Router statt am Switch hängen. Wieso ist das problematisch? DNS und DHCP habe ich mit den std settings aufgesetzt. Im DNS sind weiterleitungen auf zwei Alice und zwei Google DNS gesetzt, aber keine auf den Router. ------------ Fehlermeldung DNS ------------ Ereignistyp: Warnung Ereignisquelle: DNS Ereigniskategorie: Keine Ereignis-ID: 4013 Datum: 11.04.2011 Zeit: 13:39:55 Benutzer: Nicht zutreffend Computer: SERVER01.xxxxxx.lan Beschreibung: Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde. ------------ Fehlermeldung 1 DNS ------------ ------------ Fehlermeldung 2 DNS ------------ Bei der dynamischen Registrierung des DNS-Eintrags "5231f525-740a-4ee6-a0fa-2dc2c9e93f69._msdcs.xxxxxx.lan. 600 IN CNAME SERVER01.xxxxxx.lan." auf folgendem DNS-Server ist ein Fehler aufgetreten: IP-Adresse des DNS-Servers: :: Verbindungsantwortcode (RCODE): 0 Zurückgegebener Statuscode: 0 Dieser Eintrag muss in DNS registriert sein, damit Computer und Anwender diesen Domänencontroller finden können. BENUTZERAKTION Ermitteln Sie, was diesen Fehler verursacht hat. Beheben Sie das Problem, und initialisieren Sie die Registrierung der DNS-Einträge durch den Domänencontroller. Um festzustellen, was diesen Fehler verursacht hat, führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe" finden Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die Eingabeaufforderung des Domänencontrollers aus, oder starten Sie den Anmeldedienst neu, um die Registrierung der DNS-Einträge durch diesen Domänencontroller zu initialisieren. Alternativ können Sie den Eintrag manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen. ZUSÄTZLICHE DATEN Fehlerwert: Der DNS-Name ist nicht vorhanden. ------------ Fehlermeldung 2 DNS ------------ Auf dem router habe ich nichts weiter finden können, was mit DNS zu tun hat. Obgleich im status zwei DNS Einträge stehen, die eigentlich laut den setup settings deaktiviert sein sollten. Gruß holle2

Hallo, leider konnte ich erst heute die DHCP-Weiterleitung rausnehmen, um zu testen ob es daran liegt. Leider besteht das Problem weiterhin :/ Sofern ich den router reboote, verlieren sämtliche Rechner inklusive meines 2k8Server den DNS. Hast du vielleicht noch irgendwelche anderen Vorschläge? Gruß holle2

Hallo, folgendes Problem, bei dem ich leider nicht weiter weiß... Wir haben in der Firma einen W2K8R2 Server am laufen, der DHCP und DNS übernimmt. Alles funktioniert wunderbar, aber wenn ich den Router (TP-Link TL-WR1043ND mit DD-WRT) reboote, verlieren sämtliche clients dauerhaft den DNS server. Das Problem ist dann nur durch einen Neustart des Servers zu lösen. Oder ich hinterlege manuell bei jedem client einen DNS (8.8.8.8) ...dann gehts auch wieder. Außerdem befindet sich in dem Netzwerk noch ein Switch (TP-Link TL-SG1008D), der mit der sache aber nix zu tun haben dürfte. Die Router Einstellungen sehen folgendermaßen aus: Jemand ne idee, wo mein fehler liegt? Gruß holle2