timmi

@Nonanimus, all Ich habe ein ähnliches Szenario vor (kein Sharepoint sondern OWA auf dem SBS), jedoch möchte ich SBS Standard einsetzen und es folgendermassen realisieren: Internet > IPCop Firewall > .... ... a) > DMZ Port > SBS 2003 Standard mit aktiviertem OWA ... b) > LAN Port > WinXP Clients Unter der Voraussetzung, dass der SBS natürlich auch als DC und Exchange fungiert, würdet ihr das Szenario als ausreichend sicher für einen kleinen Kunden < 10 User bezeichnen? Die Konfiguration von mehreren Servern für mehrere Zwecke stört mich gar nicht so (kann man ja auch auf einer dicken Büchse mit VMWare ESX machen) aber die 10x so teuren Microsoft Einzellizenzen im Vergleich zum SBS stören mich doch erheblich... Viele Grüße! Timmi

Nachtrag: Alternativ könntest Du Dir ein Wireless Router holen, der einen integrierten VPN-Server hat. Habe leider grade kein passendes Produkt im Anschlag. Ich selbst nutze einen noch bezahlbaren 3Com-router (nicht wireless) mit eigenem VPN-Server (PPTp, L2TP, IPSec) und bin sehr zufrieden damit...

Also Du brauchst nur dann einen Extra-Server, wenn Du die Strecken zwischen AP und den einzelnen Rechnern nochmal mit VPN sichern möchtest. Aber wenn Du die gesamte Strecke zwischen Deinen beiden Rechnern sichern möchtest, brauchst Du garantiert keinen extra Server. Ich würde es folgendermaßen machen: 1. AccessPoint als Router und DSL Modem in den Router gesteckt ;-) 2. Dein Desktoprechner z.B. per Kabel an den Router und Dein Laptop per WLAN an den Router 3. Auf dem AccessPoint und dem Laptop WEP-Verschlüsselung konfigurieren, hierbei darauf achten, dass Du 128bit WEP nimmst und das der SharedKey ausreichende Länge hat und ausreichend komplex ist (z.B. 20 Stellen, Alphanumerisch mit Sonderzeichen) Bei dem Konfigurieren des AP darauf achten, dass Du ihn über dein Desktop-PC (also über Kabelverbindung) konfigurierst, denn die Eingabe des WEP-Keys läuft ja wohl noch unverschlüsselt und wäre doch schade, wenn der WEP-Key dann bei den *in geographischer Nähe wohnenden Personen* im Klartext landen würde. 4. Auf dem Laptop auch den Key engeben und mit dem AP verbinden, fertig. Dann hast Du schon ein relativ sicheres (W)LAN 5. Obligatorisch sind natürlich noch restriktive Einstellungen bei den Firewall-Settings des AP, aber das gehört ja hier nicht hin. So, und nun kommen wir zum VPN. Also die WEP-Sache ist schon ziemlich sicher und sollte für private Zwecke reichen. Aber es ist trotzdem verständlich, wenn Du noch zusätzlich eine VPN-Tunnelung machen möchtest. Windows 2000 & XP haben PPTP-Clients und -Server (in einfacher Ausführung) "onboard". Windows XP hat einen L2TP-Client (also PPTP kombiniert mit IPSec) aber keinen Server "onboard". Den kannst Du meines Wissens aber mit kostenlosen Tools nachrüsten. Nun stellt sich die Frage: PPTP oder L2TP? Nun letzteres ist sicherer, aber Du hast ja schon WEP, man kanns ja auch übertreiben. Wegen der Einfachheit würde ich also PPTP nehmen. Nun wäre ein Szenario, dass Du Dein XP-Desktop-Rechner als "Server" einsetzt und eine "eingehende VPN-Verbindung" konfigurierst. Anschliessend wählst Du Dich dann mit dem Laptop, auf dem z.B. W2 drauf ist, auf dem XP-Rechner ein. Dann hast Du einen VPN von Rechner zu Rechner und die WLAN-Strecke ist dazu noch mit WEP gesichert. Sollte reichen! Bei den PPTP-Verbindungen darauf achten, dass Du die VErschlüsselungseisntellugnen auf Maximum setzt und als einziges zulässiges Authentifizierungsprotokoll MSCHAP V2 nutzt. greets Tim

Hallo Weimer, danke für die Antwort, bei EventID-net hatte ich schon nachgesehen. Anfangs hatte ich nämlich drei Fehler im Protokoll, und zwar die beiden wie oebn beschrieben und ausserdem noch eine Warnung, die mit dieser Beschreibung übereinstimmt: DweezMon (Last update 8/12/2003): If the server name is prisoner.iana.org, blackhole-1.iana.org or blackhole-2.iana.org, this is just telling you that Windows could not perform a reverse lookup on the IP address configured as a DNS server. These names are used to respond with "server does not exist" when you use a private IP range, for example 192.168.1.0. This can be quickly cleared up by adding a Reverse Lookup zone, and adding a record for your DNS Server Also habe ich (wie man sieht) eine entsprechende Reverse-Lookup-Zone erstellt. Daraufhin war dieser eine Fehler (also eine von insgesamt 3 Warnungen) aus dem Protokoll verschwunden. Die anderen beiden nicht. Aus meiner Sicht handelt es sich bei den verbleibenden 2 Warnungen um diesen Fall (nach EventID.net): This can occur if the File Replication Service (Ntfrs.exe) tries to authenticate before the directory service has started. See Q824217 to troubleshoot this problem. Im genannten MS-Artikel steht dann: To work around this issue, ignore these two warning events if the directory service starts successfully. If the events continue to appear after Windows has successfully restarted, you may have to troubleshoot the directory service. Und nun bin ich mit meinem Latein am Ende, die Warnungen werden bei jedem Neustart des Servers ins Protokoll eingetragen und ich weiss leider nicht, wie ich mein "Directory Service" entsprechend "troubleshooten" soll. Denn ansonsten funktioniert so ziemlich alles, Group Policies, UserLogon/Logoff etc. alles ohne Probleme oder Protokolleinträge. Any Ideas? ;-)

Hat denn wirklich niemand eine Idee zu meinem Problem? Ich denke, dass es doch so exotisch nicht sein kann. Wenn noch Informationen fehlen, einfach nachfragen! Danke schonmal an Alle!

Hallo zusammen! Ich habe mal wieder ein kleines DNS-Problem und ich hoffe, dass ihr mir weiterhelfen könnt. Ich behaupte aber mal, dass mein Problem nicht ganz so exotisch ist: Beim Starten meines Servers (Win 2K3 Server EE, PDC, DNS, Subnetz 192.168.22.x, Domäne tlhome.local) habe ich die folgenden beiden Meldungen (Warnungen) in meinem Ereignisprotokoll (System): Quelle: LSASRV Kategorie: SPNEGO (Vermittlung) ID: 40961 Text: Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server ldap/srv01.tlhome.local herstellen. Es war kein Authentifizierungsprotokoll verfügbar. Quelle: LSASRV Kategorie: SPNEGO (Vermittlung) ID: 40960 Text: Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server ldap/srv01.tlhome.local festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten. (0xc000005e)". Diese beiden Warnungen möchte ich gerne eliminieren. Meine DNS-Konfiguration findet ihr im Anhang. Zwar funktioniert mein Netz hier im Prinzip tadellos, aber es kann ja nicht richtig sein, dass diese Warnungen erscheinen. Ich habe zu den beiden Events zwar schon Informationen gefunden, aber konnte diese nicht in die erforderlichen Arbeitsschritte umsetzen. Daher wäre ich sehr dankbar, wenn mir jemand StepByStep erklären könnte, was ich nun tun sollte, um das Ereignisprotokoll zukünftig clean zu haben. Vielen Dank schon jetzt für Eure Hilfe. Wenn noch Informationen fehlen, werde ich diese schnellstmöglich nachposten! Timmi

Saggt mal, seid ihr sicher, dass WinXP Pro mehr als 1 gleichzeitige eingehende VPN-Verbindung haben kann? Soweit ich weiss, kann man mit XPPro nur einen Benutzer zur gleichen Zeit annehmen, und das wars. 10 Benutzer würde ja schon für recht ausgewachsene Gameserver langen (den nötigen Upstream vorausgesetzt) Ich persönlich nutze meinen Router als VPN-Server, da der diese Funktionalität eingebaut hat. Denn mir gefällt irgendwie der Gedanke nicht, den Router für VPN-Passthrough aufzumachen, so dass dann jeder an den DC drankommt...

Geht doch, ist aber ein Umweg. Dieses Vorgehen ist halt so nicht vorgesehen, aber es funzt: 1. Stoppen des AutoUpdate-Dienstes In der cmd eingeben: net stop wuauserv oder in der computerverwaltung den Dienst "Automatische Updates" stoppen. 2. Gedächtnis des Dienstes löschen In HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update den Wert LastWaitTimeout löschen und AUState auf 2 setzen 3. Dienst neu starten! Dann dauert es ca. 10 Minuten, dann fängt der Dienst an, sich seine Updates zu besorgen. Kannst das Ganze bei häufigem Bedarf auch in eine Batch schreiben. Für die Registry-Manipulation bietet sich der BEfehl "reg" aus der support.cab

Hi, das geht auf dem Client in der Systemsteuerung > System > Erweitert Dort kannst Du bei den Benutzerprofilen den Typ des gewünschten Profils in "servergespeichert" ändern.

Du hast in allen Punkten Recht, jedoch finde ich es unschön, wenn normale User der Domäne in der Netzwerkumgebung rumsurfen und die ganzen System-Ordner sehen. Das wirkt ausserdem so unaufgeräumt, ich hätte da lieber nur das Home-Dir des jeweiligen Users und das Public Dir, mehr nicht

Hallo zusammen! Wie bekomme ich es hin, dass die Standard-Freigaben meines W2K3-Servers (SYSVOL und Konsorten) auf den Clients nicht in der Netzwerkumgebung auftauchen? Eigentlich möchte ich die Netzwerkumgebung nciht komplett entfernen, sondern nur festlegen, welche Freigaben meines Servers auch sichtbar sind und welche nicht. Danke schonmal für Eure Hilfe!

AFAIK gibt es leider keine Dongles, die das Nokia-Eigene Protokoll unterstützen, ausser dem Nokia-Dongle selbst, das es seit Jahren nicht mehr im Handel gibt. Dieses Problem betrifft aber zum Glück nur die früheren Bluetooth-Handys bis einschliesslich 6310i. Danach hat sich Nokia wohl auch an Standards gehalten...

Hi, bei AD Installation auf W2K3-Server ist der RAS-Server nicht automatisch dabei. Diesen Modulaufbau finde ich eigentlich ziemlich gut. Der VPN-Server muss ja auch erweiterte Routing-Funktionen wahrnehmen, dass kann sich durchaus mal negativ auf das interne Netz niederschlagen, aber Hauptsache, jetzt läufts ;-)

Kein Problem, aber Du hast mir auch geholfen, denn offensichtlich verteile ich Ratschläge, die ich selbst nicht beherzige, denn bei mir hat das Anmelden auch ewig gedauert... Ich dachte aber immer, das liegt an meinem 1.7 GB Benutzerprofil *lol*

Hi Tadl und vielen Dank für die Info. So ähnlich bin ich zwar schon vorgegangen, jedoch fehlte bei mir evtl. der eine oder andere Neustart. Aber was ich sowieso vermute, ist, das nach einem vielleicht sogar 'erfolgreichen' Versuch mit Newsid von mir es noch zusätzlich DNS-Probleme gab, die vorher irgendwie nicht zum Tragen gekommen sind und aus diesem Anlass dann aufgeflammt sind. Ergo, ich bin grade dabei, die ganze Kiste neuzumachen, und berücksichtige dabei viele nützliche Tipps aus diesem Forum. Ich denke, dann wirds wohl besser klappen, und falls nicht, habe ich von Dir ja jetzt nochmal eine gute Anleitung als Fehlerbehandlung! Thx dafür!

Es gehen Gerüchte um, dass man mit den Exchange-SMTP-Connectoren auch irgendwas basteln kann, so dass man über fremde SMTP-Server versenden kann, das widerum ist aber auch abhängig von der Relayfähigkeit des anderen SMTP-Servers usw. Wenn es gehen sollte, dann wohl eher sehr fehlerträchtig und vor allem kompliziert. Da ich dasselbe ja mal vorhatte, habe ich schon viel gesucht, aber eine gute Lösung hatte ich nie gefunden. Das Kernproblem ist halt, dass Exchange eine Enterprise-Class-Serveranwendung ist, die man nicht in solch "dilettantischen" Umgebungen einsetzt. (das ist nicht abwertend gemeint, aber Exchange gibt sich ja so, denn es bringt dafür einfach keine Mittel mit)

Wenn ich Dich recht verstanden habe, dann ist doch auch nicht das Abholen das Problem, sondern das Versenden!?! Und dass meinte ich mit "Exchange im Homeoffice", denn ein ExchangeServer ist dafür ausgelegt, mit statischer IP und MX Record als eigenständiger SMTP-Server zu agieren, und nicht als Client für den SMTP des ISP. POP ist natürlich was anderes, dass kriegst Du mit allen gängigen Konnektoren hin!

Der Router soll nur die Verbindung ins Internet für den Server herstellen, über den Server läuft dann der ganze Traffic und nicht direkt über den Router. Hierbei müssten aber nicht zwingend Proxy-Dienste genutzt werden. Die reine Freigabe der Internetverbindung sollte reichen. Natürlich ist es sicherheitskritisch, einen DC als Router zu verwenden, aber wer hat schon mehrere Server mit unterschiedlichen Aufgaben ZUHAUSE? Und wenn das Routing des Routers bestimmte Aufgaben nicht erfülen kann, oder man vielleicht doch Proxydienste haben möchte, ist diese Variante wohl die einfachste. Sicherheit wird dabei (mal abgesehen von einer möglichen seperaten Firewall) natürlich recht klein geschrieben.

Da es häufig Fragen in die Richtung MS-Serverprodukte in Kombination mit DSL-Routern und DNS Konfiguration im Homeoffice gibt, möchte ich gerne in diesem Thread mal unter Mithilfe aller anderen eine Anleitung dazu bauen. Da ich selbst z.T. unsicher bin, beachtet bitte folgende "Anleitung" nur als Draft, ich hoffe auf viele andere Beiträge, bis das Ganze relativ wasserdicht ist. Szenario 1 Router als DHCP-Server und Internetgateway W2K-Server oder W2K3-Server mit DNS als Domain Controller Server nicht immer eingeschaltet Mögliche Clients nicht immer Domänenmitglieder (Nicht MS-Clients z.B.) Szenario 2 Router als bessere "Fritzcard" W2K- oder W2K3-Server als DHCP, DNS und Domain Controller Server ist immer eingeschaltet Homogene Clients (alle MS Betriebssystem) Szenario X .... bitte weitere ergänzen .... Bemerkung Szenario 1 (Draft) Da das Netzwerk zwei verschiedene Anlaufpunkte hat (den Router als Internetgateway und den Server als Domaincontroller, DNS und ggfs. weitere Dienste) muss man diese beiden Punkte richtig verknüpfen. Warum überhaupt 2 Punkte? Ein Internetgateway und DHCP-Server sollte immer laufen, manchmal steht der Server aber auch noch unterm Tisch, verbraucht Strom und ist laut. Ohne den Server anzuschalten, könnte man nun nicht ins Netz und die Clients würden ihre IPs nicht dynamisch erhalten. Ausserdem vermeidet man so, dass die ganze Funktionalität zu Hause zusammenbricht, wenn mal der Server nicht so will, wie man selbst. Das der Router ausfällt ist unwahrscheinlich. Auch wenn man auf der eigenen Workstation mehrere Betriebssysteme hat, möchte man mit der anderen Installation nicht unbedingt in die Domäne sondern einfach nur ins Internet. Beispiel wäre eine Installation nur für Spiele, wie es ja vielfach auch gemacht wird. Also würde hier der Server ruhig aus bleiben können, der Router stellt den Internetzugang. Anleitung Szenario 1 (Draft) Auf dem Router für DHCP folgende Einstellungen konfigurieren: - Erster DNS: IP des Servers - Zweiter DNS: primärer DNS des Internetproviders - Standardgateway (falls überhaupt einstellbar): der Router selbst Dem Server eine statische IP verpassen (wird oben ja auch im Router eingetragen) Auf dem Server die üblichen Schritte zur Einrichtung von AD durchführen Server als Primary Domain Controller konfigurieren In den Eigenschaften des DNS-Servers folgendes ergänzen: - unter "Weiterleitung" für alle nicht auflösbaren Domänen die IP des Routers eintragen - Müssen dann noch weitere DNS-Einstellungen (Forward/Reverse-Lookups etc.) vorgenommen werden oder reicht das? Wenn nun ein Client sich per DHCP einen Lease besorgt, so sollte dieser folgende Einträge enthalten: - Standardgateway: IP des Routers - Erster DNS: IP des Servers - Zweiter DNS: Primärer Provider-DNS Dann sollte der Client auch ohne Server ins Netz kommen, da er den Router ja dazu benutzt und bei eingeschaltetem Server dennoch die lokale Namensauflösung beherrschen, für die dann der Server zuständig ist. Bemerkung Szenario 2 Diese Variante ist natürlich sauberer als die erste, allerdings hat man so ein SPOF (Single Point of Failure) und der Server muss zwingend ständig laufen, auch wenn ich grade keine Serverdienste benötige. Desweiteren liegen die u.U. teuer bezahlten Routerfunktionen brach und die Geschwindigkeit des Internetzugangs hängt von einem Faktor mehr ab (dem Server) als bei Szenario1. Dafür ist das alles einfacher und weniger fehlerträchtig zu konfigurieren. Anleitung Szenario 2 (Draft) Auf dem Router DHCP ausschalten Dem Server eine statische IP verpassen Auf dem Server die üblichen Schritte zur Einrichtung von AD durchführen Server als Primary Domain Controller konfigurieren Server als DNS- und DHCP-Server konfigurieren - Erster DNS: IP des Servers - Standardgateway: IP des Servers - Müssen dann noch weitere Einstellungen vorgenommen werden oder reicht das? Wenn nun ein Client sich per DHCP einen Lease besorgt, so sollte dieser folgende Einträge enthalten: - Standardgateway: IP des Servers - Erster DNS: IP des Servers Dann sollte der Client komplett über den Server das Internet erreichen und keine Möglichkeit haben, ohne diesen ins Netz zu kommen. So, jetzt ist es an Euch: Korrigiert mich, ergänzt mich um die konkreten Schritte (wo findet man welche Einstellung, wo muss man klicken, etc.), ergänzt weitere Szenarien aus den eigenen Erfahrungen, ich bin schon gespannt, denn genau mit diesen Themen haben ich und auch noch einige andere (wie viele Posts zeigen) noch Probleme und ich hoffe auf eine rege Beteiligung! timmi

Offensichtlich hast Du ein Problem beim DNS. Überprüfe mal die Ereignisprotokolle, da gibt es meistens interessante Meldungen. Wenn da Probleme mit der DNS ersichtlich sind, dann ist es auch sehr wahrscheinlich, dass das Beitreten deswegen nicht klappt.

Hy, ich kenne den Connector auch nicht, aber wenn er seinem Namen alle Ehre macht und in die Fussstapfen aller anderen bekannten Connectoren tritt, so ist er ein reiner "Abholer", keiner, der statt Exchange sendet. Und damit wären wir wieder beim Thema Deines anderen Threads, nämlich dem Versuch, Exchange im typischen Homeoffice zu verwenden ohne statische IP etc. Es gibt wohl noch eine interessante Software, die Du statt Exchange verwenden könntest, die Dir z.B. die Kalenderfunktionen von Exchange nachrüstet. Die ist zwar ebenfalls kostenpflichtig, aber Exchange brauchst Du dann nicht mehr. OutlookFolders heisst die glaube ich, such am besten danach mal im Forum, Du findest bestimmt ne URL!

Nein, leider nicht. Exchange ist ja selbst ein Serverprodukt, das heisst es tritt selbst als Mailserver auf, verschickt selbst via SMTP und empfängt Mails, die es dann z.B. als POP3 vorhält. Dein Provider hat auch einen Mailserver, auf den man normalerweise nur von Clients aus zugreift. Was Du jetzt möchtest, ist, 2 (vöölig unterschiedliche) Server miteinander ins Gespräch zu bringen. Wie schon geschrieben, kriegt man mit kommerziellen Tools wie PopCon die POP3-Abholung von dem Strato-Mailserver wohl hin, alle anderen Funktionen (SMTP, Benutzer=Mailkonten, ...) funktionieren nicht. Dazu müsste Dein Exchange-Server selbst RICHTIG online sein, und das alleine übernehmen. Richtig online heisst, wie bereits geschrieben MX Eintrag und eine feste IP für deinen Server. Auch ich hatte Pläne wie Deine und habe sie dann sehr schnell in die Tonne gehauen, jetzt habe ich Outlook als Client für die Domain-Pop-Fächer (ganz normal halt) eingerichtet und nutze den Server nur als Domain Controller, File- und Printserver. Das macht trotzdem auch mit mehreren Rechnern und Usern Spaß, mit dem "unbedingt eigenen Mailserver haben wollen" ohne dafür die technischen Voraussetzungen zu haben, hat mich damals unnötigerweise einige Nerven gekostet: Spar es Dir! Das alles macht übrigens wohl keinen grossen Unterschied, ob Du nun Exchange oder den Mailserver won WS2003 benutzt.

@Dirk Danke für den Hinweis, werde es versuchen! Ist sysprep in einer der Support-Tool Archive von MS oder wo finde ich das?

Im Prinzip habe ich mich ja schon damit abgefunden, eine Neuinstallation des Client durchzuführen, aber vielleicht gibt es ja doch noch einen gute Tipp von Euch? Ausserdem wäre es wichtig zu wissen, wie es weitergeht: Wenn ich nun alles neu installiere und dann vom Client ein Image ziehe und dies später wieder aufspiele, habe ich dann dasselbe Problem, dass meine Vetrauensstellung veraltet ist und ich mich nicht mehr an der Domäne anmelden kann??

Sorry, habe ich vergessen in meiner Liste der erfolglosen Maßnahmen. Ja der Client war mit Mühe dazu zu bewegen, sich auch ohne Zugriff auf den Server aus der Domäne entfernen zu lassen. Anschliessend habe ich ihn dann wieder der Dmäne beitreten lassen. Leider ohne Erfolg. Dieses Umwechseln zwischen Arbeitsgruppe und Domäne lief auch immer sehr hakelig, egal ob jetzt über netdom Teilaufgaben erledigt wurden oder ganz normal über die Systemeigenschaften.