TEET

Client ---- RRAS ---- Internet ---- IAS ---- LAN So denke ich mal haben die sich das vorgestellt.

Wie mache ich das denn? Also ich habe auf dem IAS den Client eingetragen, und was muß ich auf dem Client konfigurieren? Ich habe dort Routing und RAS aktiviert und die RADIUS Authentication eingestellt. Dann wollte ich eine VPN Verbindung aufmachen, doch der IAS antwortete nicht.

Für das Design bin ich nicht verantwortlich, das haben sich andere schlaue Köpfe ausgedacht, deswegen habe ich gedacht, das das so schon seine Richtigkeit hat. Die Firewall nachher ist auch nicht mein Bier. Ich wollte auch eigentlich nur wissen, ob es möglich ist, die Verbindung zwischen dem ISA Server und dem RADIUS Client in einem LAN zu testen, ohne dabei durchs Internet zu gehen. Damit habe ich dann nämlich schon mal einen Anhaltspunkt, was auf dem IAS zu konfigurieren ist.

Die DMZ gehört ja eigentlich zum internen Netz, sie ist nur in meiner Testumgebung als eigenes VLAN auf einem Cisco Router konfiguriert. Später soll da noch ne Firewall zwischenhängen, aber die Server der DMZ sind auch betsandteil der Domain.

Moinsen zusammen, Also, habe da ein Problemchen mit meinem Internet Authentication Server. Und zwar habe ich den IAS auf einem Win2000 Server installiert. Dieser soll in einer DMZ stehen. Der IAS Server ist auch schon im Active Directory registriert. Wie muß ich ihn konfigurieren, wenn ich den RAS-Server (RADIUS-Client) in der gleichen Domain habe und was muß ich auf dem RAS Server einstellen, damit eine Verbindung zum IAS besteht? Kann man das überhaupt so in einem LAN nachstellen, der RAS-Server muß ja die Verbindung über VPN aufbauen was ja normalerweise übers Internet gemacht wird? Vielen Dank im vorraus.

Problem gelöst. Also, der ISA Server war vorher in einem anderen LAN installiert, wie ich schon sagte habe ich den nicht aufgesetzt und hab mich somit natürlich auch nicht für die Einstellungen interessiert. Jetzt habe ich aber da mal hineingeschaut, weil du ja sagtest, das es da vielleicht ein Problem mit der Firewall-Funktionalität geben könnte. Dies war zwar nicht der Fall, da dies deaktiviert war. Aber in der Local Address Table (LAT) stand noch die alte IP Range drin. Die hab ich einfach geändert, reboot und siehe da, es funzt! Da bin ich aber happy, Vielen dank für die Hilfe, ohne dich hätte ich wahrscheinlich noch tagelng gesucht.

Also, habe gerade bemerkt, das der Ping nur in eine Richtung funktioniert und zwar vom ISA weg. Von den anderen lässt sich der ISA nicht anpingen, auch nicht vom SMTP Relay Server, der in der im gleichen Netz ist. Das ist ja das kuriose. Der SMTP Relay hat die IP 172.20.36.35 mit der gleichen Subnetzmaske und dem gleichen Gateway und kann ohne Probs in die Domäne aufgenommen werden schätze mal, das der Cisco die VLans automatisch routet.

Hier die ipconfig /all vom DC: Windows 2000 IP Configuration Host Name: DC1 Primary DNS Suffix: ms1.global.int Node Type: Broadcast IP Routing Enabled: No WINS Proxy Enabled: No DNS Suffix Search List: ms1.global.int global.int Ethernet adapter Local Area Connection: Connection-specific DNS Suffix: Description: HP NC7781 Gigabit Server Adapter DHCP Enabled : No IP Address : 172.20.32.6 Subnet Mask : 255.255.255.0 Default Gateway : 172.20.32.1 DNS Servers : 172.20.32.6 und vom ISA: Windows 2000 IP Configuration Host Name: DMZPROXY Primary DNS Suffix: Node Type: Broadcast IP Routing Enabled: No WINS Proxy Enabled: No DNS Suffix Search List: ms1.global.int Ethernet adapter Local Area Connection: Connection-specific DNS Suffix: ms1.global.int Description: HP NC7781 Gigabit Server Adapter DHCP Enabled : No IP Address : 172.20.36.33 Subnet Mask : 255.255.255.0 Default Gateway : 172.20.32.1 DNS Servers : 172.20.32.6

@lefg: hab ich auch so aufgefasst, wollte ja nur mal besserwisserich klingen :) @Christoph35: Also, beim DCDiag wurden alle Tests bestanden, und beim NetDiag auch alle, bis auf der Trust Relationship Test, der wurde übersprungen, ist das vielleicht ein Anhaltspunkt? PS: ipconfig kommt gleich.

@Christoph35: Werd die mal installieren, kann aber was dauern, bis ich wieder melde. @lefg: Doch, bin ich noch, dann meinst du wohl die VorgV !

@lefg: Welche ipconfig /all? Vom ISA oder vom DC? Was ist denn die VVO? @Christoph35: Woher bekomme ich denn die Support Tools? Windows Komponenten sind das nicht, da hab ich sie nicht gefunden.

@Christoph35: Mit der IP und dem NetBIOS-Namen funtionierts, mit dem FQDN bekomme ich ein Request timed out zurück. @lefg: TCP/IP ist klar, aber wenn er nicht in der Domäne ist, kann ich die doch über den Explorer bzw. in der Netzwerkumgebung gar nicht sehen. Ich versuche den ISA über die Netzwerkidentifikation bei den Systemeigenschaften einzubinden. Dort klicke ich halt die Option Domäne an gebe den Domänen-Namen ein, und diesen gebe ich auch noch als Primäres DNS-Suffix ein. So hat das bei dem anderen Server auch funktioniert.

@lefg: Der DC ist per Ping erreichbar, nicht aber mit dem Explorer, was ja eigentlich auch nicht gehen kann, da der ISA ja nicht in der Domäne ist, oder? @Christoph35: Den ISA hab ich nicht selber installiert, oll ihn nur in die Domäne einbinden. Inwiefern muß ein DNS-Client definiert sein? Es wird nur eine Netzwerkkarte genutzt, dort ist der DC, auf dem auch DNS läuft, eingestellt. Danke für die Willkomennsgrüße. Gruß Teet.

Hi @ all. Habe folgendes Problem: Ich habe auf einem Cisco Router zwei VLans konfiguriert, im Vlan2 ist der Domain-Controller und ein Mail Server. In dem anderen (VLan3) habe ich einen SMTP Relay Server und einen ISA Server. Beide Server aus dem VLan3 sollen in die Domäne mit aufgenommen werden. Dies funktioniert aber nur mit dem SMTP Relay Server. Bei dem Versuch den ISA Server in die Domäne aufzunehmen sagt er mir, das die Domäne entweder nicht existiert oder nicht erreichbar ist. Die beiden Server des VLan3 sind im selben IP-Adressbereich und pingen kann ich den DC vom ISA Server aus auch. Auf allen Systemen läuft Windows Server 2000. Wieso funktioniert die Registrierung des ISA Servers an der Domäne nicht. Bin um jede Hilfe dankbar.