ITasv

Die Gruppenrichtlinie wird angewendet; das ist nicht das Problem.

Server A: Windows 2k8r2 Server B: Windows 2k8r2 Client: Windows 7 (überwiegend), XP Hallo zusammen, ich habe über die GPO-Einstellungen Laufwerke von Server A und Server B verbunden. Server B wurde gestern ausgetauscht und die Pfade haben sich geändert. Also habe ich die Mappings geändert. In der Vergangenheit wurden die LWs von Server B teilweise auch über ein Skript eingefügt. Bei den meisten Clients funktioniert das alles einwandfrei. Dann gibt es Rechner, wo es profilabhängig ist. Es liegt nicht am Item-Targeting, da die Anwender an anderen Rechnern keine Probleme haben. Ich habe einen Rechner, bei dem es drei Szenarien mit drei unterschiedlichen Profilen gab: 1. Nutzer A meldet sich an -> funktioniert 2. Nutzer B meldet sich an -> nur Server-A-Mappings -> gpupdate /force -> alle Laufwerke da 3. Nutzer C meldet sich an -> nur Server-A-Mappings -> gpupdate /force -> keine Änderung Dieses Verhalten gibt es bei zwei Rechnern. Beide sind Win7-Clients. Wenn ich mich an einem beliebigen PC anmelde, ohne dass ich vorher schonmal an diesem Computer (keine Roaming Profiles) angemeldet war, funktioniert das grundsätzlich ohne Probleme. Ich habe bei diesem Problemfall die folgenden Dinge versucht: -> net use * /delete -> Registry nach dem alten Pfad durchsucht und alle Einträge gelöscht -> Item-Targeting-Einträge geprüft -> Die Verbindungsmethode steht auf Replace; MS gibt an, dass Replace = Create ist, falls es nichts zu ersetzen gibt -- das kann ich so bestätigen Ich möchte die Profile nur sehr ungerne löschen. Umbenennen kann man bei Win7 zwar noch machen, aber das bekommt die Profilverwaltung mit und ändert die Pfade entsprechend, so dass das Profil verfügbar bleibt. Hat diesen Fehler schon jemand gehabt? Ich kann auch via Eventviewer keine Einträge finden, die einen Hinweis geben. ITasv

Danke euch für eure Antworten. Ich hatte mich für eine Partition entschieden. Allerdings habe ich dann herausgefunden, dass HyperV im Pass-Through-Modus nur ein Gastsystem bedienen kann. Ich musste also virtuelle Festplatten erstellen und diese sind auf 2040 Gigabyte begrenzt. Diese Datei zu erstellen (fixed size) dauert übrigens über acht Stunden, wenn man zwei gleichzeitig erstellen lässt. ITasv

Hallo zusammen, ich habe momentan eine ungefähr 6 TB große Partition angelegt. Ausgangssituation ist ein Firmware-RAID (RAID5) mit 6x2TB. Ich möchte hinterher gerne begründen, wieso ich mich gegen mehrere Partitionen entschieden habe. Momentan halte ich das einfach nur für die angenehmste Variante und sehe keinen technischen Nachteil. Allerdings kann ich das nicht anständig begründen. Kann mir jemand einen passenden Link schicken oder mir die Geschichte erklären? Gruß ITasv

Also jetzt funktioniert alles; ich hätte das gerne noch so aufgesplittet, dass die externe IP des VLANs für Gäste eine andere wäre, als die für das Mitarbeiter-VLAN, allerdings geht das leider nur, wenn dann tatsächlich jeder Client eine eigene externe IP bekommt und eine so große IP-Range steht uns leider nicht zur Verfügung, als dass ich so viele IPs reservieren könnte. Nochmal einen großen Dank an euch und insbesondere Crash; schön, wie zeitnah und kompetent du mir im Verlaufe dieses kleinen Projekts immer wieder geholfen hast. Ich stelle jetzt noch ein paar Firewallregeln ein und recherchiere ein paar Optionen, von denen ich keinen Schimmer habe, was sie tun, und dann kommt das Teil in den Produktiveinsatz. Gruß ITasv

Okay; das Rätsel habe ich gerade durch rumprobieren und glückliche Zufälle gelöst. Ich habe die IP-Range über die Firewallregeln für den Inbound-Verkehr freigegeben und jetzt funktionierts. Ich wusste nicht, dass da per Standard eine Beschränkung bestand. ITasv

Die Adresse wird der Netzwerkswitch nicht finden können. Kann man das Routing im WLan-Router so umstellen, dass die Weboberfläche auch tatsächlich über öffentlicheip.ip.ip.12 zur Verfügung gestellt wird? ..... Eine serielle Schnittstelle hat der Router übrigens nicht; da gibt es nur 5 TP-Ports. Eine Pseudokonsole kann man über das Webinterface auch nicht öffnen. Gruß ITasv

Ach so: Ja, ich bin auch der Meinung, dass es am Routing liegt. Aber die Frage ist, ob man das Routingverhalten am Router selber korrigieren kann oder ob das am Switch der Fall sein muss. Wenn man den Router über die öffentliche IP anpingt, dann antwortet er ja. Ergo klingt es für mich sinnvoll, dass die falsche Route auch am Router korrigiert werden könnte. Der geht halt von der öffentlichen IP direkt zur IP des ersten VLans 192.168.1.1 und da treten dann die Probleme auf...

Angeschlossen ist der Router über den WAN-Port am am Switch, welcher Zugang zum Netzwerk und Internet hat. Wenn ich an diesen Switch einen Rechner anklemme, kann ich den Router zwar anpingen, aber nicht über die Weboberfläche erreichen. Wenn ich den Rechner direkt an den Router klemme, komme ich überall dran. Genauso über das WLan, das von dem Router freigegeben wird. Einen "sh run" (=Config?!) kann ich momentan nicht machen, weil ich nicht weiß, wie ich bei diesem Router an die Console komme. Kann da jemand helfen? Ich kann aber die Konfigurationsdatei posten, was ja wahrscheinlich das gleiche sein wird. Allerdings wäre es wahrscheinlich besser, du würdest spezifischer sagen, was du davon sehen musst. Sonst müsste ich gleich knapp 3000 Zeilen posten... test test test

Hallo zusammen, also soweit läuft alles, wie es soll. Allerdings erreiche ich den Router aus dem Netzwerk nicht. Der Router hat für den WAN-Port eine externe Adresse. Wenn ich nun aus dem WAN versuche, den Router anzupingen, bekomme ich eine Rückmeldung. Wenn ich allerdings über den Browser auf die Oberfläche gehe, versucht er von der externen IP auf die privaten Routeradressen (192.168.1.1) zuzugreifen, und das funktioniert dann nicht. Das bedeutet, ich müsste für jegliche Wartung entweder über das WLan oder mit einer direkten Kabelverbindung an den Router gehen. Inter-VLan-Routing ist für alle VLans aktiviert, aber ich komme trotzdem nicht auf den Router. Was mache ich falsch?

Ist das 'any any' auf den Service (Port) bezogen? Ich stelle das wie gesagt über die Weboberfläche ein.

Hallo zusammen, also das funktioniert tatsächlich ganz einfach. Man kann bei den Accesslisten die Client-IP-Range vorgeben und die sind ja mit den VLANs tatsächlich getrennt. Als Erklärung: VLAN 1: 192.168.1.1 - 192.168.1.254 VLAN 2: 192.168.2.1 - 192.168.2.254 Jetzt kann man in den Firewallregeln festlegen, was diese IP-Ranges (oder auch einzelne IPs) dürfen oder eben auch nicht. Das geht in beide Richtungen, also 'always block' oder 'always allow'. Vielen Dank für eure Hilfe! Am Ende ja tatsächlich eine ziemlich triviale Sache, aber ich wüsste auch jetzt noch nicht, welche Features ein Router erfüllen muss um eben genau diese Funktionen zu bieten. Weiß das jemand? Gruß ITasv

Ich habe die VLans über das Webinterface eingerichtet. Ich bin leider noch keinen Schritt weiter, weil nonstop irgendjemand was von mir möchte...TBC

Hi crash, erstmal vielen Dank für deine ausführlichen Antworten: coole Sache! Ich habe nach deinem Beispiel nun eine anfängliche Grundvorstellung, wie die Sache funktionieren muss. Ich stehe jetzt aber trotzdem erstmal noch recht hilflos vor der Konfiguration. Ich habe jetzt zwei VLans eingerichtet (Gäste; Mitarbeiter) und versuche nun herauszufinden, wie ich ein VLan dazu bringen kann, dass nur der Internetzugriff gestattet ist, nicht aber der Netzwerkzugriff. Ich vermute, dass ich das mit Änderungen des Routings machen muss. Aber auch da sehe ich noch nicht, wie man wirkungsvoll verhindert, dass man nicht ins Netzwerk kommt. Eine gute Lösung (?) wäre es ja vielleicht auch, via Firewall einfach die Server zu sperren. Dazu müsste ich aber eine Option finden, die für die VLans unterschiedliche Firewallkonfigurationen zulässt... Ich bleib am Ball!

Vielleicht ist der DNS ja auch einfach schneller? Aber das wären im Normalfall ja nur marginale Unterschiede. Ich denke auch, dass die Ursache im Routing zu suchen ist. Aber das macht dann in Verbindung mit dem Proxy auch nicht mehr groß Sinn...

Hi, also es gibt wohl auch Router, bei denen die Frameerweiterung ausschließlich auf eben diesem stattfindet und die Frames zu den Clients der Norm entsprechen. Der bestellte Router - der übrigens morgen ankommt - hat alleine über die grafische Oberfläche 101 Einstellungsbildschirme: da kann ich schön alles kaputtkonfigurieren und dann über die Konsole weitermachen...

So, ich habe jetzt den CISCO Small Business RV120W-E-G5 bestellt. Mir fehlt einfach an zu vielen Stellen noch Grundlagenwissen zu VLans, dementsprechend habe ich mich auf das Datasheet verlassen, welches folgendes Feature bewirbt: Dank der Unterstützung für separate virtuelle Netzwerke können Sie den Zugriff auf vertrauliche Daten steuern und einen hochsicheren drahtlosen Gastzugriff einrichten Was mich ein wenig stutzig macht ist, dass VLan dort in einer Zeile mit Layer 2 erwähnt wird, was ja bedeuten würde, dass man mit MAC-Adressen arbeiten müsste. Das ist hoffentlich nicht darauf beschränkt. Meine Hoffnung ist, dass ich mit dem Gerät die Vorgaben erfüllen kann (die sehr offen formuliert sind, frei nach dem Motto: Hauptsache, es funktioniert) und gleichzeitig erste Erfahrungen mit VLans sammeln kann und dementsprechend ein besseres Verständnis dafür aufbauen kann. Ich bedanke mich für eure Hilfe und halte euch - wie ich es für anständig halte - auf dem Laufenden. ITasv Edit: Datasheet: http://www.cisco.com/en/US/prod/collateral/routers/ps9923/ps10852/DS_C78-590161-00_de.pdf Handbuch: http://www.cisco.com/en/US/docs/routers/csbr/rv120w/administration/guide/rv120w_admin.pdf Edit2: Ist diese (eine) grafische Oberfläche bei Ciscogeräten eigentlich die Norm? Ich hoffe, dass es auch einzelne Configdateien auf dem Router gibt, damit ich mich dahingehend auch weiterbilden kann.

Ah, cool! Ist es denn auch möglich, dass man auf dem Router zwei VLans einrichtet, die wie folgt aussehen: 1. DHCP des Routers (für Gäste) 2. DHCP des Kabelnetzwerks (für 'vollwertiges' WLan für Mitarbeiter) Vielen Dank ITasv Ach so: Ich will heute einen Router bestellen, der jetzt doch nur bis zu 120 kosten soll. Ich möchte das Budget ausreizen und einen möglichst großen Funktionsumfang haben, damit wir das Ganze so gut wie möglich realisieren können.

Exakt das möchte ich haben. Soll das heißen, wenn ich den Router über den meist mit "Internet" gekennzeichneten Port an die Netzwerkdose anschließe, darüber überhaupt kein DHCP-Broadcast über eben diesen Port gesendet werden kann?

Kann man das selektiv? Das hört sich für mich so an, als müsse man zwangsläufig eine Whitelist erstellen, wenn man DHCP-Signale von Port x blockieren möchte. Das würde ja aber dazu führen, dass auch der am Switch angeschlossene Router auf die Whitelist müsste um überhaupt ins Internet zu kommen. Dann wäre dem Router ja auch wieder gestattet, DHCP-Signale zu senden, oder? -------------- Im Handbuch des Geräts steht an keiner Stelle, dass man den DHCP-Dienst tatsächlich so trennen kann. Oder übersehe ich etwas? http://content.etilize.com/User-Manual/1016512112.pdf Das löst doch mein DHCP-Problem an keiner Stelle? ------- Also axxis Vorschlag ist bisher der einzige, den ich - nach Beantwortung der offenstehenden Frage - tatsächlich nachvollziehen kann. Beim vorgeschalteten Switch, bei dem man via DHCP-Snooping verbieten kann, dass über Port x DHCP-Offers ins Netz geschickt werden, würde verhindern, dass DHCP-Signale das Kabelnetz stören, beeinflusst den DHCP-Dienst des nachgeschalteten Routers auf der WLan-Ebene aber nicht. Gruß ITasv

Hi, danke für eure Antworten. Wir haben momentan nur einen 3com OfficeConnect Wireless 11g Access Point, der tut also erstmal nicht so viel zur Sache. V1RTU4L: Wir wollen dafür nicht extra einen Rechner einrichten. axxis: Der Accesspoint bietet doch gar keinen DHCP-Server; das hilft uns doch dann nicht?!? Also um meine Frage nochmal zu verdeutlichen: Wie kann ich es bewerkstelligen, dass der DHCP-Dienst des Routers die DHCP-Offers ausschließlich an das WLan überträgt? Welcher Router kann das? Gruß ITasv

Hallo zusammen, wir brauchen im Betrieb ein Gastnetz für unser WLan. Ich habe zu dem Thema recherchiert und es sieht so aus, als wäre die flexibelste Lösung ein WLan-Router mit VLAN-Funktion. Dieser Router soll dann auch als DHCP für das Gastnetz funktionieren. Ich bin sicher, dass ein entsprechender Router diese Funktion erfüllt, allerdings weiß ich nicht, wie ich dann verhindern kann, dass der DHCP nicht auch Adressen an unsere Arbeitsplatzrechner verteilt. Das Ergebnis soll hinterher so aussehen, dass wir drei Netzwerke haben: 1. Kabelnetzwerk (nur Mitarbeiter; uneingeschränkt) 2. WLan (nur Mitarbeiter; uneingeschränkt) 3. WLan (für Gäste und Privatgeräte [smartphones etc.]; nur Internet) Meine Fragen: - Wie kann ich die DHCPs trennen? - Welcher Router käme in Frage? - Ist ein Budget von bis zu 200 Euro ausreichend? Der Router sollte alle notwendigen Funktionen erfüllen und mit handelsüblichen APs erweiterbar sein. Schönes Wochenende ITasv

Das ist doch unfassbar...es geht jetzt! Man darf für XP keine IP in den UNC-Pfad bringen sondern man muss den zugewiesenen Namen verwenden. Der installiert jetzt zwar seit fast 10 Minuten den Foxit-Reader, aber das Problem kann man sicher leichter in den Griff bekommen....

Das habe ich auch probiert: bringt nix.

Ich habe jetzt auch mal probiert, die MSI-Datei im sysvol...scripts-Verzeichnis abzulegen und habe dort die entsprechenden Berechtigungen vergeben: kein Erfolg. Es liegt also auch nicht daran, dass die Datei auf dem Fileserver liegt. Aber um nochmal darauf aufmerksam zu machen: Der Krempel funktioniert mit Windows 7 einwandfrei. Das _muss_ doch ein enorm merkwürdiger Fehler sein...