ITasv

Die Gruppenrichtlinie wird angewendet; das ist nicht das Problem.

Server A: Windows 2k8r2 Server B: Windows 2k8r2 Client: Windows 7 (überwiegend), XP Hallo zusammen, ich habe über die GPO-Einstellungen Laufwerke von Server A und Server B verbunden. Server B wurde gestern ausgetauscht und die Pfade haben sich geändert. Also habe ich die Mappings geändert. In der Vergangenheit wurden die LWs von Server B teilweise auch über ein Skript eingefügt. Bei den meisten Clients funktioniert das alles einwandfrei. Dann gibt es Rechner, wo es profilabhängig ist. Es liegt nicht am Item-Targeting, da die Anwender an anderen Rechnern keine Probleme haben. Ich habe einen Rechner, bei dem es drei Szenarien mit drei unterschiedlichen Profilen gab: 1. Nutzer A meldet sich an -> funktioniert 2. Nutzer B meldet sich an -> nur Server-A-Mappings -> gpupdate /force -> alle Laufwerke da 3. Nutzer C meldet sich an -> nur Server-A-Mappings -> gpupdate /force -> keine Änderung Dieses Verhalten gibt es bei zwei Rechnern. Beide sind Win7-Clients. Wenn ich mich an einem beliebigen PC anmelde, ohne dass ich vorher schonmal an diesem Computer (keine Roaming Profiles) angemeldet war, funktioniert das grundsätzlich ohne Probleme. Ich habe bei diesem Problemfall die folgenden Dinge versucht: -> net use * /delete -> Registry nach dem alten Pfad durchsucht und alle Einträge gelöscht -> Item-Targeting-Einträge geprüft -> Die Verbindungsmethode steht auf Replace; MS gibt an, dass Replace = Create ist, falls es nichts zu ersetzen gibt -- das kann ich so bestätigen Ich möchte die Profile nur sehr ungerne löschen. Umbenennen kann man bei Win7 zwar noch machen, aber das bekommt die Profilverwaltung mit und ändert die Pfade entsprechend, so dass das Profil verfügbar bleibt. Hat diesen Fehler schon jemand gehabt? Ich kann auch via Eventviewer keine Einträge finden, die einen Hinweis geben. ITasv

Danke euch für eure Antworten. Ich hatte mich für eine Partition entschieden. Allerdings habe ich dann herausgefunden, dass HyperV im Pass-Through-Modus nur ein Gastsystem bedienen kann. Ich musste also virtuelle Festplatten erstellen und diese sind auf 2040 Gigabyte begrenzt. Diese Datei zu erstellen (fixed size) dauert übrigens über acht Stunden, wenn man zwei gleichzeitig erstellen lässt. ITasv

Hallo zusammen, ich habe momentan eine ungefähr 6 TB große Partition angelegt. Ausgangssituation ist ein Firmware-RAID (RAID5) mit 6x2TB. Ich möchte hinterher gerne begründen, wieso ich mich gegen mehrere Partitionen entschieden habe. Momentan halte ich das einfach nur für die angenehmste Variante und sehe keinen technischen Nachteil. Allerdings kann ich das nicht anständig begründen. Kann mir jemand einen passenden Link schicken oder mir die Geschichte erklären? Gruß ITasv

Also jetzt funktioniert alles; ich hätte das gerne noch so aufgesplittet, dass die externe IP des VLANs für Gäste eine andere wäre, als die für das Mitarbeiter-VLAN, allerdings geht das leider nur, wenn dann tatsächlich jeder Client eine eigene externe IP bekommt und eine so große IP-Range steht uns leider nicht zur Verfügung, als dass ich so viele IPs reservieren könnte. Nochmal einen großen Dank an euch und insbesondere Crash; schön, wie zeitnah und kompetent du mir im Verlaufe dieses kleinen Projekts immer wieder geholfen hast. Ich stelle jetzt noch ein paar Firewallregeln ein und recherchiere ein paar Optionen, von denen ich keinen Schimmer habe, was sie tun, und dann kommt das Teil in den Produktiveinsatz. Gruß ITasv

Okay; das Rätsel habe ich gerade durch rumprobieren und glückliche Zufälle gelöst. Ich habe die IP-Range über die Firewallregeln für den Inbound-Verkehr freigegeben und jetzt funktionierts. Ich wusste nicht, dass da per Standard eine Beschränkung bestand. ITasv

Die Adresse wird der Netzwerkswitch nicht finden können. Kann man das Routing im WLan-Router so umstellen, dass die Weboberfläche auch tatsächlich über öffentlicheip.ip.ip.12 zur Verfügung gestellt wird? ..... Eine serielle Schnittstelle hat der Router übrigens nicht; da gibt es nur 5 TP-Ports. Eine Pseudokonsole kann man über das Webinterface auch nicht öffnen. Gruß ITasv

Ach so: Ja, ich bin auch der Meinung, dass es am Routing liegt. Aber die Frage ist, ob man das Routingverhalten am Router selber korrigieren kann oder ob das am Switch der Fall sein muss. Wenn man den Router über die öffentliche IP anpingt, dann antwortet er ja. Ergo klingt es für mich sinnvoll, dass die falsche Route auch am Router korrigiert werden könnte. Der geht halt von der öffentlichen IP direkt zur IP des ersten VLans 192.168.1.1 und da treten dann die Probleme auf...

Angeschlossen ist der Router über den WAN-Port am am Switch, welcher Zugang zum Netzwerk und Internet hat. Wenn ich an diesen Switch einen Rechner anklemme, kann ich den Router zwar anpingen, aber nicht über die Weboberfläche erreichen. Wenn ich den Rechner direkt an den Router klemme, komme ich überall dran. Genauso über das WLan, das von dem Router freigegeben wird. Einen "sh run" (=Config?!) kann ich momentan nicht machen, weil ich nicht weiß, wie ich bei diesem Router an die Console komme. Kann da jemand helfen? Ich kann aber die Konfigurationsdatei posten, was ja wahrscheinlich das gleiche sein wird. Allerdings wäre es wahrscheinlich besser, du würdest spezifischer sagen, was du davon sehen musst. Sonst müsste ich gleich knapp 3000 Zeilen posten... test test test

Hallo zusammen, also soweit läuft alles, wie es soll. Allerdings erreiche ich den Router aus dem Netzwerk nicht. Der Router hat für den WAN-Port eine externe Adresse. Wenn ich nun aus dem WAN versuche, den Router anzupingen, bekomme ich eine Rückmeldung. Wenn ich allerdings über den Browser auf die Oberfläche gehe, versucht er von der externen IP auf die privaten Routeradressen (192.168.1.1) zuzugreifen, und das funktioniert dann nicht. Das bedeutet, ich müsste für jegliche Wartung entweder über das WLan oder mit einer direkten Kabelverbindung an den Router gehen. Inter-VLan-Routing ist für alle VLans aktiviert, aber ich komme trotzdem nicht auf den Router. Was mache ich falsch?

Ist das 'any any' auf den Service (Port) bezogen? Ich stelle das wie gesagt über die Weboberfläche ein.

Hallo zusammen, also das funktioniert tatsächlich ganz einfach. Man kann bei den Accesslisten die Client-IP-Range vorgeben und die sind ja mit den VLANs tatsächlich getrennt. Als Erklärung: VLAN 1: 192.168.1.1 - 192.168.1.254 VLAN 2: 192.168.2.1 - 192.168.2.254 Jetzt kann man in den Firewallregeln festlegen, was diese IP-Ranges (oder auch einzelne IPs) dürfen oder eben auch nicht. Das geht in beide Richtungen, also 'always block' oder 'always allow'. Vielen Dank für eure Hilfe! Am Ende ja tatsächlich eine ziemlich triviale Sache, aber ich wüsste auch jetzt noch nicht, welche Features ein Router erfüllen muss um eben genau diese Funktionen zu bieten. Weiß das jemand? Gruß ITasv

Ich habe die VLans über das Webinterface eingerichtet. Ich bin leider noch keinen Schritt weiter, weil nonstop irgendjemand was von mir möchte...TBC

Hi crash, erstmal vielen Dank für deine ausführlichen Antworten: coole Sache! Ich habe nach deinem Beispiel nun eine anfängliche Grundvorstellung, wie die Sache funktionieren muss. Ich stehe jetzt aber trotzdem erstmal noch recht hilflos vor der Konfiguration. Ich habe jetzt zwei VLans eingerichtet (Gäste; Mitarbeiter) und versuche nun herauszufinden, wie ich ein VLan dazu bringen kann, dass nur der Internetzugriff gestattet ist, nicht aber der Netzwerkzugriff. Ich vermute, dass ich das mit Änderungen des Routings machen muss. Aber auch da sehe ich noch nicht, wie man wirkungsvoll verhindert, dass man nicht ins Netzwerk kommt. Eine gute Lösung (?) wäre es ja vielleicht auch, via Firewall einfach die Server zu sperren. Dazu müsste ich aber eine Option finden, die für die VLans unterschiedliche Firewallkonfigurationen zulässt... Ich bleib am Ball!

Vielleicht ist der DNS ja auch einfach schneller? Aber das wären im Normalfall ja nur marginale Unterschiede. Ich denke auch, dass die Ursache im Routing zu suchen ist. Aber das macht dann in Verbindung mit dem Proxy auch nicht mehr groß Sinn...