timmi

@Nonanimus, all Ich habe ein ähnliches Szenario vor (kein Sharepoint sondern OWA auf dem SBS), jedoch möchte ich SBS Standard einsetzen und es folgendermassen realisieren: Internet > IPCop Firewall > .... ... a) > DMZ Port > SBS 2003 Standard mit aktiviertem OWA ... b) > LAN Port > WinXP Clients Unter der Voraussetzung, dass der SBS natürlich auch als DC und Exchange fungiert, würdet ihr das Szenario als ausreichend sicher für einen kleinen Kunden < 10 User bezeichnen? Die Konfiguration von mehreren Servern für mehrere Zwecke stört mich gar nicht so (kann man ja auch auf einer dicken Büchse mit VMWare ESX machen) aber die 10x so teuren Microsoft Einzellizenzen im Vergleich zum SBS stören mich doch erheblich... Viele Grüße! Timmi

Nachtrag: Alternativ könntest Du Dir ein Wireless Router holen, der einen integrierten VPN-Server hat. Habe leider grade kein passendes Produkt im Anschlag. Ich selbst nutze einen noch bezahlbaren 3Com-router (nicht wireless) mit eigenem VPN-Server (PPTp, L2TP, IPSec) und bin sehr zufrieden damit...

Also Du brauchst nur dann einen Extra-Server, wenn Du die Strecken zwischen AP und den einzelnen Rechnern nochmal mit VPN sichern möchtest. Aber wenn Du die gesamte Strecke zwischen Deinen beiden Rechnern sichern möchtest, brauchst Du garantiert keinen extra Server. Ich würde es folgendermaßen machen: 1. AccessPoint als Router und DSL Modem in den Router gesteckt ;-) 2. Dein Desktoprechner z.B. per Kabel an den Router und Dein Laptop per WLAN an den Router 3. Auf dem AccessPoint und dem Laptop WEP-Verschlüsselung konfigurieren, hierbei darauf achten, dass Du 128bit WEP nimmst und das der SharedKey ausreichende Länge hat und ausreichend komplex ist (z.B. 20 Stellen, Alphanumerisch mit Sonderzeichen) Bei dem Konfigurieren des AP darauf achten, dass Du ihn über dein Desktop-PC (also über Kabelverbindung) konfigurierst, denn die Eingabe des WEP-Keys läuft ja wohl noch unverschlüsselt und wäre doch schade, wenn der WEP-Key dann bei den *in geographischer Nähe wohnenden Personen* im Klartext landen würde. 4. Auf dem Laptop auch den Key engeben und mit dem AP verbinden, fertig. Dann hast Du schon ein relativ sicheres (W)LAN 5. Obligatorisch sind natürlich noch restriktive Einstellungen bei den Firewall-Settings des AP, aber das gehört ja hier nicht hin. So, und nun kommen wir zum VPN. Also die WEP-Sache ist schon ziemlich sicher und sollte für private Zwecke reichen. Aber es ist trotzdem verständlich, wenn Du noch zusätzlich eine VPN-Tunnelung machen möchtest. Windows 2000 & XP haben PPTP-Clients und -Server (in einfacher Ausführung) "onboard". Windows XP hat einen L2TP-Client (also PPTP kombiniert mit IPSec) aber keinen Server "onboard". Den kannst Du meines Wissens aber mit kostenlosen Tools nachrüsten. Nun stellt sich die Frage: PPTP oder L2TP? Nun letzteres ist sicherer, aber Du hast ja schon WEP, man kanns ja auch übertreiben. Wegen der Einfachheit würde ich also PPTP nehmen. Nun wäre ein Szenario, dass Du Dein XP-Desktop-Rechner als "Server" einsetzt und eine "eingehende VPN-Verbindung" konfigurierst. Anschliessend wählst Du Dich dann mit dem Laptop, auf dem z.B. W2 drauf ist, auf dem XP-Rechner ein. Dann hast Du einen VPN von Rechner zu Rechner und die WLAN-Strecke ist dazu noch mit WEP gesichert. Sollte reichen! Bei den PPTP-Verbindungen darauf achten, dass Du die VErschlüsselungseisntellugnen auf Maximum setzt und als einziges zulässiges Authentifizierungsprotokoll MSCHAP V2 nutzt. greets Tim

Hallo Weimer, danke für die Antwort, bei EventID-net hatte ich schon nachgesehen. Anfangs hatte ich nämlich drei Fehler im Protokoll, und zwar die beiden wie oebn beschrieben und ausserdem noch eine Warnung, die mit dieser Beschreibung übereinstimmt: DweezMon (Last update 8/12/2003): If the server name is prisoner.iana.org, blackhole-1.iana.org or blackhole-2.iana.org, this is just telling you that Windows could not perform a reverse lookup on the IP address configured as a DNS server. These names are used to respond with "server does not exist" when you use a private IP range, for example 192.168.1.0. This can be quickly cleared up by adding a Reverse Lookup zone, and adding a record for your DNS Server Also habe ich (wie man sieht) eine entsprechende Reverse-Lookup-Zone erstellt. Daraufhin war dieser eine Fehler (also eine von insgesamt 3 Warnungen) aus dem Protokoll verschwunden. Die anderen beiden nicht. Aus meiner Sicht handelt es sich bei den verbleibenden 2 Warnungen um diesen Fall (nach EventID.net): This can occur if the File Replication Service (Ntfrs.exe) tries to authenticate before the directory service has started. See Q824217 to troubleshoot this problem. Im genannten MS-Artikel steht dann: To work around this issue, ignore these two warning events if the directory service starts successfully. If the events continue to appear after Windows has successfully restarted, you may have to troubleshoot the directory service. Und nun bin ich mit meinem Latein am Ende, die Warnungen werden bei jedem Neustart des Servers ins Protokoll eingetragen und ich weiss leider nicht, wie ich mein "Directory Service" entsprechend "troubleshooten" soll. Denn ansonsten funktioniert so ziemlich alles, Group Policies, UserLogon/Logoff etc. alles ohne Probleme oder Protokolleinträge. Any Ideas? ;-)

Hat denn wirklich niemand eine Idee zu meinem Problem? Ich denke, dass es doch so exotisch nicht sein kann. Wenn noch Informationen fehlen, einfach nachfragen! Danke schonmal an Alle!

Hallo zusammen! Ich habe mal wieder ein kleines DNS-Problem und ich hoffe, dass ihr mir weiterhelfen könnt. Ich behaupte aber mal, dass mein Problem nicht ganz so exotisch ist: Beim Starten meines Servers (Win 2K3 Server EE, PDC, DNS, Subnetz 192.168.22.x, Domäne tlhome.local) habe ich die folgenden beiden Meldungen (Warnungen) in meinem Ereignisprotokoll (System): Quelle: LSASRV Kategorie: SPNEGO (Vermittlung) ID: 40961 Text: Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server ldap/srv01.tlhome.local herstellen. Es war kein Authentifizierungsprotokoll verfügbar. Quelle: LSASRV Kategorie: SPNEGO (Vermittlung) ID: 40960 Text: Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server ldap/srv01.tlhome.local festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten. (0xc000005e)". Diese beiden Warnungen möchte ich gerne eliminieren. Meine DNS-Konfiguration findet ihr im Anhang. Zwar funktioniert mein Netz hier im Prinzip tadellos, aber es kann ja nicht richtig sein, dass diese Warnungen erscheinen. Ich habe zu den beiden Events zwar schon Informationen gefunden, aber konnte diese nicht in die erforderlichen Arbeitsschritte umsetzen. Daher wäre ich sehr dankbar, wenn mir jemand StepByStep erklären könnte, was ich nun tun sollte, um das Ereignisprotokoll zukünftig clean zu haben. Vielen Dank schon jetzt für Eure Hilfe. Wenn noch Informationen fehlen, werde ich diese schnellstmöglich nachposten! Timmi

Saggt mal, seid ihr sicher, dass WinXP Pro mehr als 1 gleichzeitige eingehende VPN-Verbindung haben kann? Soweit ich weiss, kann man mit XPPro nur einen Benutzer zur gleichen Zeit annehmen, und das wars. 10 Benutzer würde ja schon für recht ausgewachsene Gameserver langen (den nötigen Upstream vorausgesetzt) Ich persönlich nutze meinen Router als VPN-Server, da der diese Funktionalität eingebaut hat. Denn mir gefällt irgendwie der Gedanke nicht, den Router für VPN-Passthrough aufzumachen, so dass dann jeder an den DC drankommt...

Geht doch, ist aber ein Umweg. Dieses Vorgehen ist halt so nicht vorgesehen, aber es funzt: 1. Stoppen des AutoUpdate-Dienstes In der cmd eingeben: net stop wuauserv oder in der computerverwaltung den Dienst "Automatische Updates" stoppen. 2. Gedächtnis des Dienstes löschen In HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update den Wert LastWaitTimeout löschen und AUState auf 2 setzen 3. Dienst neu starten! Dann dauert es ca. 10 Minuten, dann fängt der Dienst an, sich seine Updates zu besorgen. Kannst das Ganze bei häufigem Bedarf auch in eine Batch schreiben. Für die Registry-Manipulation bietet sich der BEfehl "reg" aus der support.cab

Hi, das geht auf dem Client in der Systemsteuerung > System > Erweitert Dort kannst Du bei den Benutzerprofilen den Typ des gewünschten Profils in "servergespeichert" ändern.

Du hast in allen Punkten Recht, jedoch finde ich es unschön, wenn normale User der Domäne in der Netzwerkumgebung rumsurfen und die ganzen System-Ordner sehen. Das wirkt ausserdem so unaufgeräumt, ich hätte da lieber nur das Home-Dir des jeweiligen Users und das Public Dir, mehr nicht

Hallo zusammen! Wie bekomme ich es hin, dass die Standard-Freigaben meines W2K3-Servers (SYSVOL und Konsorten) auf den Clients nicht in der Netzwerkumgebung auftauchen? Eigentlich möchte ich die Netzwerkumgebung nciht komplett entfernen, sondern nur festlegen, welche Freigaben meines Servers auch sichtbar sind und welche nicht. Danke schonmal für Eure Hilfe!

AFAIK gibt es leider keine Dongles, die das Nokia-Eigene Protokoll unterstützen, ausser dem Nokia-Dongle selbst, das es seit Jahren nicht mehr im Handel gibt. Dieses Problem betrifft aber zum Glück nur die früheren Bluetooth-Handys bis einschliesslich 6310i. Danach hat sich Nokia wohl auch an Standards gehalten...

Hi, bei AD Installation auf W2K3-Server ist der RAS-Server nicht automatisch dabei. Diesen Modulaufbau finde ich eigentlich ziemlich gut. Der VPN-Server muss ja auch erweiterte Routing-Funktionen wahrnehmen, dass kann sich durchaus mal negativ auf das interne Netz niederschlagen, aber Hauptsache, jetzt läufts ;-)

Kein Problem, aber Du hast mir auch geholfen, denn offensichtlich verteile ich Ratschläge, die ich selbst nicht beherzige, denn bei mir hat das Anmelden auch ewig gedauert... Ich dachte aber immer, das liegt an meinem 1.7 GB Benutzerprofil *lol*

Hi Tadl und vielen Dank für die Info. So ähnlich bin ich zwar schon vorgegangen, jedoch fehlte bei mir evtl. der eine oder andere Neustart. Aber was ich sowieso vermute, ist, das nach einem vielleicht sogar 'erfolgreichen' Versuch mit Newsid von mir es noch zusätzlich DNS-Probleme gab, die vorher irgendwie nicht zum Tragen gekommen sind und aus diesem Anlass dann aufgeflammt sind. Ergo, ich bin grade dabei, die ganze Kiste neuzumachen, und berücksichtige dabei viele nützliche Tipps aus diesem Forum. Ich denke, dann wirds wohl besser klappen, und falls nicht, habe ich von Dir ja jetzt nochmal eine gute Anleitung als Fehlerbehandlung! Thx dafür!