3 Dinge - Anmeldefenster, Windows-Firewall, Subnetzmaske

Hallo,
so, lang ist's her, dass ich mal Fragen gestellt habe :mrgreen:

Gegebenheiten: 5 PCs - Win XP / 3 Home, 2 Pro-Rechner

3 Probleme:
--------------------------------------------
1. Subnetzmaske: Irgendwie war mir immer so, dass man mit der Subnetzmaske Rechner verstecken kann und eigentlich dachte ich es zu wissen, aber es werden immer alle PCs angezeigt.

PC1: XP Pro, soll alle Rechner sehen
IP: 192.168.0.100
Subnetz: 255.255.255.0
Gateway: 192.168.0.254

PC2: XP Pro, soll alle Rechner sehen
IP: 192.168.0.101
Subnetz: 255.255.255.0
Gateway: 192.168.0.254

PC3: XP Home, soll alle Rechner sehen
IP: 192.168.0.102
Subnetz: 255.255.255.0
Gateway: 192.168.0.254

PC4: XP Home, soll nur PC5 sehen
IP: 192.168.0.130
Subnetz: 255.255.255.128
Gateway: 192.168.0.254

PC5: XP Home, soll nur PC4 sehen
IP: 192.168.0.130
Subnetz: 255.255.255.128
Gateway: 192.168.0.254

War es nicht so, dass man mit dem begrenzten Subnetz 128 nur die anderen in dem Bereich sieht, also von 129-254???? Es sehen sich leider alle PCs in der Arbeitsgruppe.

--------------------------------------------

2. Kein Zugriff mit eingeschalteter Windows-Firewall:

Nachdem ich alles eingestellt hatte, sahen sich alle PCs in der Arbeitsgruppe, aber am nächsten Tag konnte von den PCs aus nicht mehr auf die Arbeitsgruppe zugegriffen werden.
Fehlermeldung:
... Sie haben keine Berechtigung ... (Standard-Meldung Netzwerk und darunter kam noch)
"Die Liste der Server in dieser Arbeitsgruppe ist zurzeit nicht verfügbar."

Erst als ich die Windows-Firewall deaktiviert hatte, ging es sofort, ist für mich aber keine Lösung. Woran liegt das oder vielmehr, welche Ausnahme muss in der Firewall gesetzt werden, damit die Arbeitsgruppen-PCs sich sehen können und die Firewall aktiv ist? Ein vielleicht wichtiger Hinweis:
In den erweiterten Einstellungen des TCP-IP (ERWEITERT > WINS) ist

NetBIOS über TCP/IP aktivert (also der mittlere Punkt)

an allen PCs eingestellt.
Hat das eine Auswirkung auf dieses Verhalten? (Arbeitsgruppe kann nicht angezeigt werden)

--------------------------------------------

3. Anmeldefenster bei Zugriff auf PC über Netzwerk

PC1, PC2 und PC3 sollen auf eine freigegebene USB-Festplatte an PC1 (XP Pro) zugreifen können, aber PC4 und PC5 soll es nicht dürfen.

Ich hab an PC1 die Benutzer mit Passwort für PC2 und PC3 in der Computerverwaltung angelegt und die FReigabe auf die 3 Anmeldenamen beschränkt. PC2 (auch XP Pro) kommt damit natürlich super zurecht, aber PC3 hat Home und hat keinen Zugriff. Ich weiß aber, dass der Zugriff möglich ist, wenn das Anmeldefenster für den Netzwerkzugriff aktiv ist, wenn man sich dann mit dem Benutzernamen von PC1 anmeldet. Das geht auch super von einem HOME-PC aus, aber ich weiß nicht, wo ich die Anmeldung aktiviere.

Dieses Fenster ist gemeint

--------------------------------------------

Jungs, lasst mich nicht im Stich, ich weiß, dass es jemand weiß :mrgreen: :mrgreen: :mrgreen:

Gruß
Back

"HapHazard" schrieb:

Huhu Back...
puhh.. ist ne Menge zu lesen

Mich würde als erstes interessieren, was du als Knotenpunkt angelegt hast. Nutzt du rein zufällig einen Heim-Router (Fritzbox, etc.)?
Das ist genau der Sinn eines Routers, dass gerade mehrere Adressbereiche auch wieder zueinander finden. Möchtest du nur zwei Rechner in einem Subnetz nutzen, dann solltest du dort einmal eine 30-Bit Netzwerkmaske nutzen. 255.255.255.252 (Damit bleiben dir 2 Adressen übrig!).

Hallo Hap und danke für die schnelle Antwort.
Ja, es ist ein Samsungrouter und ich denke, dass es ein Heim-Router ist. Man kann zwar einiges konfigurieren, aber im Grunde nur Standards.

Da das Netzwerk noch ausgebaut werden soll, hatte ich gedacht, dass die 255.255.255.128 am Besten ist, weil man dann recht unkompliziert unten und oben weitere IPs hinzufügen kann. 255.255.255.252 würde nämlich nur jetzt mit den 2 PCs funktionieren, weil ja keine weiteren PCs ins Subnetz 255.255.255.252 passen, richtig?

"HapHazard" schrieb:

Hast du rein zufällig einen verwaltbaren Switch dazwischen, dann könnte man hier VLANs einrichten. z.B. Layer 2 oder 3 Switche von Cisco, HP, etc. ?!

Natürlich ist der nicht verhanden, nur ein Standard-Switch. Ich gebe auch zu, dass ich beim Programmieren eines Switches an meine Grenzen im Netzwerkbereich käme. Mal grundsätzlich war doch aber meine Idee richtig, oder? Man könnte PCs übers Subnetz verstecken. Gut, wenn das nicht geht, dann egal, es war nur eine Idee. Die wichtigen Rechner mit speziellen Freigaben, die nicht alle nutzen sollen, sind eh die beiden XP-Pro-Rechner und mit dem kann man ja eine Anmeldung mit dem Login-Fenster steuern.

"HapHazard" schrieb:

Arbeitest du bei der Freigabe mit Namen oder IP-Adresse des Zielsystems ? Wenn IP, dann kannst du Netbios deaktivieren. Der Wins macht ja nichts anderes als den Netbios-Verkehr (Broadcast) zu managen, wenn man das so einfach erklären mag

Die Namensauflösung (Netbios) sollte eingeschaltet sein, denn die kommen nur mit den Namen der PCs klar. Den Leuten zu erklären, dass sie auf die IPs achten müssen ... na ja ... lieber mit Namensauflösung

"HapHazard" schrieb:

Aber der Fehler ist relativ einfach zu finden. Du nutzt das komplette private C-Class Netz im Bereich 192.168.0.x Im ersten Bereich nimmst du die 24 Bit Maske. Also 255.255.255.0. In dem anderen Bereich 255.255.255.128 (also teilst du das Netz). So und nun ist genau dort dein Denkfehler. Machst du Subnetting MUSST du auch den ersten Bereich in das Subnetz 255.255.255.128 reinpacken.
Wichtig sind nun hier die IP-Adressen, damit du das Netz trennen kannst. Du musst immer das Class-Netz nutzen und dort die Maske nutzen.
Bedeutet:
Die ersten drei Rechner packst du in folgendes Netz:
192.168.0.0/25 (255.255.255.128)
Die IPs gehen dann bis 192.168.0.126

Code

1. Address: 192.168.0.0 Netmask: 255.255.255.128 = 25Wildcard: 0.0.0.127=>Network: 192.168.0.0/25 HostMin: 192.168.0.1HostMax: 192.168.0.126Broadcast: 192.168.0.127Hosts/Net: 126

Die zwei anderen PCs packst du in 192.168.0.128/25 und dort die IPs bis x.x.x.254

Code

1. Address: 192.168.0.128
2. Netmask: 255.255.255.128 = 25
3. Wildcard: 0.0.0.127
4. =>
5. Network: 192.168.0.128/25
6. HostMin: 192.168.0.129
7. HostMax: 192.168.0.254
8. Broadcast: 192.168.0.255
9. Hosts/Net: 126

Alles anzeigen

Ok, verstehe ich das richtig? Wenn ich den 3 PCs, die ALLE PCs sehen, auch die 255.255.255.128 gebe, so sehen die letzen 2 PCs (IPs ab .129) die anderen 3 nicht, aber die 3 PCs bis .126 sehen alle PCs? Ich müsste also nur die Subnetzmaske ändern und schon sollte es gehen? ... und trotzdem können alle ins Internet mit der Router-IP .254?

Wie gesagt, wenn das Verstecken nicht geht, wäre es nur halb so schlimm, solang es mit dem Login-Fenster an den ersten 2 PCs mit XP Pro geht und das Fenster brauche ich sowieso, damit der HOME-PC auf den Pro-PC kommt.

"HapHazard" schrieb:

Das mit der Anmeldung verstehe ich richtig, dass der sich automatisch anmeldet OHNE Benutzer und Passwort abzufragen ?!
Dann schau mal hier, bevor ich dir das alles schreibe
http://www.wintotal.de/tipparchiv/?id=57
Hoffe du hast das gemeint.
Man kann diese Dinge auch direkt in der Registry einstellen, aber das muss ja nicht so kompliziert gemacht werden.

Nein, das Fenster für den Rechnerstart meine ich nicht. Es gibt ebenso dieses Fenster, wie auch im Bild zu sehen, wenn man über des Netzwerk auf einen Rechner zugreifen will. Dann gibt man dort entweder den eigenen Benutzernamen mit Passwort ein (wenn der auf dem Netzwerk-PC definiert wurde) oder man gibt den Benutzernamen und Kennwort von dem Netzwerk-PC selbst ein. Beides funktioniert nur bei XP Pro - bei XP Home MUSS man den Benutzer des Netzwerk-PCs angeben.

"HapHazard" schrieb:

m auf Netzwerkfreigaben im Netzwerk zu kommen muss die Firewall folgende Dinge durchlassen:

TCP 139 Netbios
TCP 445 SMB over TCP/IP

Eine Liste erhälst du im Internet oder direkt auf deinem PC selbst.

Aha, super.

Also einfach den Prot freigeben

Z.B.

Name: SMB over TCP/IP
Portnummer: 445
TCP

Richtig?

Besten Dank. Vielleicht weißt du ja jetzt welches Login-Fenster ich meine?

Gruß
Back

Hab von meinem Ex-Kollegen eine Info zum Login-Fenster bekommen. Ist noch ungeprüft, aber vielleicht auch gut für dich zu wissen.

Man soll lieber die einfache Freigabe nutzen. Dort kann man zwar nicht einzelne Nutzer direkt für die Freigabe festlegen, aber wenn man beim PC-Start Passwörter bei der Anmeldung verwendet und

Verwaltung > Lokale Sicherheitsrichtlinie > lokale Richtlinien > Sicherheitsoptionen > Konten: lokale Kontenverwendung ... > AKTIVIERT

dann kommt dieses Login-Fenster beim Klick auf den PC.

so heisst es von ihm. Ich muss es dann nur mal testen.

Gruß
Back

"HapHazard" schrieb:

Aber warum soll der eine denn nur Home nutzen ?

SOLL nicht, sondern NUTZT leider Es ist ein vorhandenes Netzwerk, dass leider gemischt aus Home und Pro besteht.

Gruß
Back

Wenns nach mir und meinem Wissen ginge würde ich immer solche Dinge vorschlagen, aber Geld sitzt da nicht locker, daher müssen die vorhandenen Mittel genutzt werden. Es war vorher, wie immer, ein Halbwissender am Werke, daher all diese Probleme, denn welche fähige Admin würde in einem Netzwerk Home-Rechner einsetzen Ich sollte es nur richten, was man ja immer ungern macht, wenn man so ein Wirrwarr vorfindet.

Gruß
Back