IThome

Hm, ist mir nichts bekannt (was aber natürlich nicht heissen muss, dass es nicht geht) ...

Ich habe hier 2 2003er RRAS, beide sind mit der benutzerdefinierten Konfiguration installiert worden, bei der NAT und Zweigstellenrouting ausgewählt wurde. Allerdings machen hier beide RRAS NAT. Als private Schnittstellen sind jeweils die interne Schnittstelle und die RRAS-eigene Schnittstelle "Intern" deklariert worden, als öffentliche die externe Schnittstelle. Auf der öffentlichen Schnittstelle ist unter Dienste und Ports PPTP zur 127.0.0.1 geleitet worden. Als Adressvergabe ist statisch definiert, wobei jeweils ein freier Bereich aus dem internen Bereich des jeweiligen RRAS gewählt wurde. Die statische Route auf den jeweiligen Routern zeigt als Ziel auf das gegenüberliegende private Netzwerk, erreichbar über die Wählen bei Bedarf Schnittstelle (KEIN Gateway). Es ist vollkommen egal, welche Seite die Verbindung aufgebaut hat, es kann immer von jeder Seite auf die andere zugegriffen werden ...

Du musst auf beiden Seiten den RRAS konfigurieren, dass eine Wählen bei Bedarf-Schnittstelle zur anderen Seite erzeugt wird, ebenso wie eine Route in das gegenüberliegende Netzwerk über die lokale Wahlschnittstelle. Dann ist es egal, wer die Verbindung aufbaut und sie wird aufgebaut, wenn ein Client eines Netzwerkes eine Adresse des anderen Netzwerkes anspricht. Im RRAS gibt es einen Assistenten bei der Erstkonfiguration, der Schnittstelle und das entsprechende Einwählkonto für den gegenüberliegenden RRAS erzeugt ...

Ich denke, mit dieser Konstellation und dieser Lowcost-Hardware wirst Du Dein Ziel nicht erreichen ... Beide VPN-Partner befinden sich hinter NAT-Geräten und Du willst mit 2 Clients der eine Seite auf den hinter dem NAT-Router befindlichen VPN-Server auf der anderen Seite. Das wird schwierig ... Entweder terminiert der Router auf der einen Seite das VPN (vorausgesetzt, dass der Speedport der anderen Seite mitspielt) oder auf beiden Seiten wird ein VPN-Router installiert und ein LAN-LAN VPN erzeugt (was in Deinem Fall wegen der Kids ausfällt) ... Was Du aber mal ausprobieren kannst, ist, dass Du von zu Hause eine Verbindung zu zwei verschiedenen Zielen machst (wenn die Möglichkeit besteht). So kannst Du feststellen, ob der Speedport überhaupt zwei ausgehende PPTP-Verbindungen zulässt ...

Warum sollte sich Server A nach Server B einwählen, wenn Server B schon mit Server A verbunden ist ? Ist da kein LAN-LAN über Demand-Dial Interfaces konfiguriert worden ?

Achso, Reboot des Routers haste ja gemacht, hab ich überlesen :rolleyes: edit: mehrere PPTP-Verbindungen zu einem VPN-Gateway aus einem Netz hinter einem NAT-Router sind möglich. Draytek Vigor 2900i (auf dieser Seite befinden sich 2 PPTP-Clients) - Watchguard X-700 als PPTP-Server, dahinter mehrere Server (Remotedesktop) Alles kein Problem ... Problematisch ist, wenn sich in dieser Konstellation das VPN-Gateway auch hinter einem NAT-Router befindet ...

PPTP-Verbindungen ? Kannst Du in Deinem Speedport die NAT-Zuordnungstabelle händisch löschen ? Wenn ja, dann mach das mal direkt vor einem Rechnerwechsel (und warte keine 5 Minuten). Ich denke, dass der Speedport das Problem ist ...

Hm, warum ESP bei NAT ? Da sollte doch UDP 500 und UDP 4500 reichen ...

Bei einer bedingten Weiterleitung wird alles, was den Domänennamen dieser Weiterleitung trägt und wofür der DNS-Server nicht authoritativ ist, zu der angegebenen IP-Adresse geleitet. Wogegen bei einer Weiterleitung zu "Alle anderen DNS-Domänen" alles weitergeleitet wird, wofür der DNS-Server nicht autoritativ ist (nicht nur, wie in Deinem Beispiel, CONTOSO.MSFT)

Es sind die Vorlagen, ich kann den Fehler hier reproduzieren und mit Hilfe des von Dir geposteten Artikels beheben :) Maaan, sowas ****es, ich frage mich allerdings, warum es mit Abschalten von NetBT funktioniert ?

Wenn der RRAS nur routet und über einen Internetrouter nach aussen gelangt, benötigt der Inetrouter noch eine Rückroute ins Clientnetz. Macht der RRAS NAT, benötigt der Inetrouter keine Rückroute. In beiden Fällen müssen die Clients eine Default-Route zu der ihnen zugewandten Schnittstelle des RRAS haben, der RRAS nur auf der externen Karte eine Defaultroute zum Inetrouter. Das mit dem Router ist aber nur geraten. Wenn Du eine Lösung möchtest, musst Du mehr Informationen liefern ... :)

Moin Yusuf, das mit den Vorlagen hatte ich auch schon im Sinn, da werde ich mal schauen (gilt hoffentlich auch für höhere Versionen als Word 97). Das erklärt auch, dass beim Einfügen des Inhaltes einer Datei in eine neue Datei und beim Öffnen dieser Datei kein Geschwindigkeitsproblem auftaucht. Das Netzwerk an sich ist schnell, Kopieroperationen laufen normal, der Exchangezugriff ist normal, SQL-Zugriffe auch. Danke für den Tip ... :) Gruss Sven

Hallo MCSEboard :) , ich habe bei einem Kunden ein Problem, was ich mir nicht so recht erklären kann. Der Kunde hatte einen NT4-Server (PDC), auf dem auch alle Worddateien des Kunden gespeichert waren. Der Server ist abgeraucht und der Kunde hat einen neuen Small Business Server bekommen. Es wurden also die Dateien (die man alle noch kopieren konnte) auf den Server kopiert und freigegeben. Der Zugriff auf die Worddateien ist sehr langsam, es dauert beispielsweise 15 Sekunden, wenn eine Worddatei von etwa 1.1 MB Grösse geöffnet wird. Das Kopieren der Datei auf den Client bringt auch nichts, da die Zeit zum Öffnen der Datei etwa gleich lang dauert. Markiere ich den Inhalt der Datei und füge ihn in eine neue Datei auf dem Server ein, speichere und öffne dieses Datei, ist der Zugriff normal schnell. Deaktiviere ich auf dem CLient NetBIOS über TCP/IP, ist der Zugriff auch auf die alten Dateien normal schnell. Was habe ich bisher gemacht ... Ich habe einen DNS-Alias erstellt, so dass ich den Server mit dem Namen des alten Servers ansprechen kann (DisableStrictNameChecking ist auf 1). Ich habe in "OptionalNames" in der Registry den Namen des alten Servers geschrieben. WINS und DNS kontrolliert, sieht alles in Ordnung aus. Ich bin noch nicht zum Sniffen gekommen, da ich ziemlich lange mit einem Workaround (Disable NetBT) beschäftigt war, das kann ich aber noch nachreichen. Virenscanner kann ich auch ausschliessen, da es auch mit deaktiviertem Virenscanner auf Server- und Clientseite keine Besserung gibt. Selbst auf meinem Notebook ist das Öffnen sehr langsam (kein Domänenmitglied). Sobald ich auf einem Client NetBT deaktiviere oder eine Datei vom Server auf den Client kopiere und vor dem Öffnen das Netzwerkkabel ziehe, kann ich in normaler Geschwindigkeit öffnen (auch auf einem frisch installierten Client) . Hm, irgendwie fällt mir dazu nichts mehr ein, vielleicht kann mir einer von Euch helfen ... :) Clients:W2K/XP - Server:SBS2003 - Word 2003 Gruss Sven

Ich habe bis jetzt noch nie Probleme mit Workstations gehabt, wenn ich die Domänenfunktionsebene angehoben habe ...

Das sind Domänenmitglieder und die haben kein primäres DNS-Suffix ? Die Ausgabe sieht bei mir aber anders aus ... Aber schau mal, dass der Suffix des VPN-Clients zum internen Suffix passt und probiere dann noch mal. Wenn das immer noch nicht klappt, musst Du wohl sniffen ...

Die Ausgabe des internen Clients ist nicht vollständig (vom externen auch nicht) oder warum wird kein Suffix angezeigt ? Da auch er kein Verbindungs-Suffix hat, wird auch keins per DHCP verteilt ... Eine vollständige Ausgabe von beiden wäre hilfreich (es ist private Adressierung und ein privater Domänenname, Du gibst also nichts preis) ...

Trag mal unter "DNS-Suffix für diese Verbindung" ein und poste danach die Ausgabe von IPCONFIG /ALL (bei Verbindung). Poste auch die Ausgabe eines Clients im VPN-Netz ... Die Bereichsoption stellst Du am DHCP-Server ein, nicht am RRAS ...

Du meinst wohl ausgeschlossen, nicht reserviert ?! Ist die Firewall am SBS an ?

Ist in den DHCP-Bereichsoptionen ein DNS-Suffix eingetragen (Option 015) ? Trage zum Testen doch erstmal händisch auf dem Client einen ein ...

Perfekt ist aber was anderes ;) Mehrere Karten im Server ? Poste mal IPCONFIG /ALL des Servers. Schau mal in der DHCP-Konsole - Eigenschaften des Servers - Erweitert - Bindungen , ob richtig gebunden ist. Starte den DHCP-Dienst neu und beobachte die Ereignisanzeige (vorher leeren). Starte den gesamten Server neu ... Welchen Bereich verteilt der Server, welche IP-Adresse hat er selbst ?

Ist der DHCP-Server autorisiert ? Läuft der überhaupt ? Ist ein Symbol vor dem Server in der DHCP-Konsole zu sehen ?

Gibt es in der Ereignisanzeige des SBS eine Meldung bezüglich DHCP ? Du kannst auch mit dem Supporttool DHCPLOC die Existenz eines weiteren DHCP-Servers feststellen. Ist das ein Draytek-Router ?

Wenn Du die Einstellungen im DHCP angepasst hast, dass WINS und DNS auf den neuen Server zeigen bzw. das fest eingestellt hast, kann Du den Server mit DCPROMO entfernen (es ist nicht der letzte Server der Domäne). Der Server wird dann zum Member. Überprüfe, bevor Du das Konto dieses Servers deaktivierst/löschst, die DNS-Zonen und die WINS-Datenbank und entferne gegebenenfalls die Einträge. Auf dem Server würde ich keine Firewall aktivieren ...

Er hat keinen Suffix ... Jetzt die Frage, verteilt der DHCP-Server keinen ? Wenn er einen verteilt, wie sind die DHCP-Relay Einstellungen des RRAS (offenbar funktioniert die Zuweisung via DHCP ja, dann ist wohl keiner definiert als Bereichsoption) ? Du kannst auch erstmal probeweise dem VPN-Client einen primären Suffix (Rechtsklick auf Arbeitsplatz - Eigenschaften - Computernamen ändern - Weitere) oder einen Verbindungssuffix (Rechtsklick auf die VPN-Verbindung - Eigenschaften - Netzwerk - Internetprotokoll - Erweitert - DNS) geben. Der Suffix muss so heissen, wie die Forward Lookupzone des DNS-Server, in dem die Rechner alle registriert sind. Wird der primäre Suffix geändert, musst Du neu starten, beim Verbindungssuffix musst Du Dich nur noch mal neu verbinden ... Die 32 Maske ist okay, das ist eine PPP-Verbindung. Das doppelte Auftauchen der Adressen kommt daher, da der RRAS per Default seine bei sich eingetragenen DNS-Server und WINS-Server übermittelt und zusätzlich die Einträge vom DHCP-Server kommen. Dieses Verhalten kann man aber abschalten. Wenn auf dem RRAS auch DNS und/oder WINS läuft, muss die Konfiguration auch noch etwas angepasst werden ... How to Prevent Routing and Remote Access from Assigning WINS and DNS Addresses to Clients Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS

Poste mal IPCONFIG /ALL eines VPN-Clients bei bestehender Verbindung ...