chachap 10 Geschrieben 8. Juli 2003 Melden Teilen Geschrieben 8. Juli 2003 Hallo! Habe hier einen DC mit AD aufgesetzt, der zusätzlich noch VPN zugänge über unseren Internetzugang zulassen soll (DSL mit einem Bintec-Router). Bei der Einrichtung von RRAS ist mir der Hinweis entgegen gekommen, das ich (sinngemäß) für VPN nicht die selbe netzwerkkarte verwenden könne wie für das LAN. Also habe ich eine zweite Netzwerkkarte hineingesteck, und sie auch an den Switch gehängt. die Netzwerkkarten haben folgende IP´s: 192.168.60.11 -> für LAN 192.168.60.13 -> für VPN (habe ich mir so gedacht...???) die sich über den Router (interne IP 192.168.60.199) einwählenden VPN Clients werden vom Router per Portforwarding (TCP 1723, UDP 1723 und GRE 1723 auf die selben Ports und Protokolle des VPN Servers auf die IP 192.168.60.13 weitergeleitet. Vom Server bekommen sie eine IP im Bereich 192.168.62.1-254 Soweit zur Hardware. Nachdem ich die zweite Netzerkkarte eingebaut habe, konnte ich die 192.168.60.11 nicht mehr anpingen. Nach dem Ausstellen der Automatischen Metrik (IP-Konfig. der Netzwerkkarte) ging das wieder. Was muss ich bei der "VPN"-Netzwerkkarte bei "Default Gateway" und DNS Eintragen? Kann es daran liegen, das ich keine VPN Verbindung herstellen kann? Danke für eure Hilfe Kommentare! Gruß, Georg Neumaier Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Juli 2003 Melden Teilen Geschrieben 8. Juli 2003 VPN-Netz (zum Router hin) und LAN sollten in zwei verschiedenen Netzwerken sein. Mit den Adressen, die du für die zwei Karten vergeben hast, ist das nicht der Fall. grizzly999 Zitieren Link zu diesem Kommentar
chachap 10 Geschrieben 8. Juli 2003 Autor Melden Teilen Geschrieben 8. Juli 2003 Habe die IP von der zweiten netzwerkkarte auf 192.168.62.1 geändert und den an die Clients zu vergebenden IP Bereich natürlcih auch verändert (10-254) Die Einstellungen im Router habe ich auch alle geändert. funktioniert aber immer noch nicht... Mit dem Windows 2000 rechner habe ich bei früheren versuchen eine andere Fehlermeldung (721) bekommen als jetzt mit dem 2003er Server (678) genaugenommen steht folgendes im Router: PPTP Passtrough -> Yes configuration for sessions : requested from OUTSIDE: 1723/gre ia 192.168.62.1/32, ep 1723, ip 1723 1723/tcp ia 192.168.62.1/32, ep 1723, ip 1723 1723/udp ia 192.168.62.1/32, ep 1723, ip 1723 domain/tcp ia 192.168.62.1/32, ep 53, ip 1723 das sollte doch beim Router alles sein... als benutzer habe ich den Admin für VPN berechtigt, weil ich ja noch keine User anlegen kann... (andere Baustelle... :-( ) Georg Neumaier Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Juli 2003 Melden Teilen Geschrieben 8. Juli 2003 Hast du mal auf dem VPN-Server mit dem Netzwerkmonitor geschaut, ob und was vom Router denn durchkommt? grizzly999 Zitieren Link zu diesem Kommentar
chachap 10 Geschrieben 8. Juli 2003 Autor Melden Teilen Geschrieben 8. Juli 2003 Habe den Netzwerkmonitor gerade nachinstalliert. Kann damit aber irgendwie nicht richtig umgehen... Habe die Netzwerkkarte gewählt, der ich die IP für VPN gegeben habe und das capturing gestartet. Kann den netzwerkverkehr nicht richtig deuten. Was muss ich bei den Filtern einstellen, um mir nur die für mich interessanten Pakete anzeigen zu lassen? Bei station 1 und station 2? mal schauen ob ich es morgen früh hinbekomme... chachap Zitieren Link zu diesem Kommentar
chachap 10 Geschrieben 9. Juli 2003 Autor Melden Teilen Geschrieben 9. Juli 2003 Moin! Der Netzwerkmonitor von w2k3 ist mir zu hoch... Habe mir den ethereal Netzwerkmonitor runtergeladen und installiert. Ziemlich viel traffic bei uns im netz... Leider bin ich nicht fähig mir einen filter zu schreiben, der nur alle pakete zwischen dem router (192.168.60.199) und meinem VPN Server auf der 2.ten Netzwerkkarte (192.168.60.13) anzeigt. In der Hilfe steht, das die notation die selbe ist wie bei TCPDUMP... Leider habe ich keine Ahnung wie das gehen soll... Kann mir da jemand unter die Arme greifen? Danke! Gruß, Chachap Zitieren Link zu diesem Kommentar
chachap 10 Geschrieben 9. Juli 2003 Autor Melden Teilen Geschrieben 9. Juli 2003 Habe mal probiert folgendes bei dem capture filter einzugeben: tcp.port == 1723 Habe mir das bei den Display Filtern, Add Expression zusammengestellt. Sollte doch bedeuten, das ich alle Pakete von und zum Port 1723 mitschneiden will. Leider bekomme ich dann die Fehlermeldung: Unable to parse filter string (parse error) Was mache ich falsch? Zitieren Link zu diesem Kommentar
linuxchristoph 10 Geschrieben 6. August 2003 Melden Teilen Geschrieben 6. August 2003 Hallo, habe gerade Deine Beiträge gelesen, ich ein ähnliches Problem. Zuerst aber noch ein Hinweis für Dich: 1. Wenn Dein Switch kein vpn unterstützt mußt Du die VPN-Netzwerkkarte direkt an den DSL-Router patchen, sonst passiert erst mal garnichts! 2. Arbeite bei Testverbindungen nie als Admin, erstelle Dir erst mal einen normalen User, der einwählen darf mittels AD oder so. Falls Du deine VPN Verbindung mittlerweile aufbauen kannst, und alles stabil läuft, könntest Du vielleicht noch mal eine Beispielkonfiguration posten? Meine VPN Verbindung kann zwar aufgebaut werden, aber der ExchangeServer verabschiedet sich in unregemäßigen Abständen und funktioniert nach einem Neustart wieder einwandfrei. Leider konnte ich dieses Problem noch nicht loggen. Zitieren Link zu diesem Kommentar
chachap 10 Geschrieben 7. August 2003 Autor Melden Teilen Geschrieben 7. August 2003 Hallo! Mein Problem hat sich sozusagen in Luft aufgelöst. Nach einem längeren Gespräch mit dem Microsoft Support hat sich folgendes herauskristalisiert: Ein DC, der 2 Netzwerkkarten hat, würde per DNS Server immer beide Netzwerkkarten im lokalen Netz registrieren. Bedeutet, wenn ein Client vom DNS Server die IP Adresse vom DC haben will um sich anzumelden, bekommt er wahlweise eine von den beiden IP Adressen der eingebauten Netzwerkkarten. Da diese in unterschiedlichen Subnetzen sind, würde ein Client seinen DC nicht finden. Man kann die Einträge entweder für ALLE Netzwerkkarten oder für KEINE Netzwerkkarte deaktivieren! Leider nicht seperat. Der Microsoft Support sagt, das wäre bei Windows 2000 schon so gewesen und der Code hätte sich beim 2003 Server nicht geändert (hat bei jemandem mit code-zugriff gefragt). Es wären aber Anfragen für eine Änderung da, um das EVENTUELL :rolleyes: zu ändern. Mir wurde geraten einen seperaten VPN Server aufzusetzen. Da solle ich dann einen IAS-Server installieren. So die Empfehlung vom Support. Hoffe einigen damit geholfen zu haben. @linuxchristoph: Hmmm, warum sollte ein 3COM 24 Port 19" Switch (ich glaube "SuperStack II" oder so ähnlich) kein VPN unterstützen? Gruß, Chachap PS: Hier die Zusammenfassung vom Microsoft Support: Eine einzelne Konfiguration der dynamischen DNS Registrierung auf Netzwerk Adapterbasis ist genau wie bei Windows 2000 auch bei Windows 2003 bei Domänen Controllern nicht möglich. Man kann nur alle Registrierungen oder die Netlogon A Eintragsregistrierung deaktivieren, was aber mit einem enormen manuellen Aufwand verbunden ist. Daher empfehle ich Ihnen den DC nicht multihomed zu gestallten, sondern einen weiteren RRAS (VPN) Server mit zwei Netzwerkkarten auszustatten, der dann nur Member Server der Domäne ist. Dies ist auch aus Sicherheitsaspekten zu empfehlen. Zitieren Link zu diesem Kommentar
chachap 10 Geschrieben 7. August 2003 Autor Melden Teilen Geschrieben 7. August 2003 Netlogon Service (Domain Controller Only) ----------------------------------------- By default, Netlogon registers certain SRV, CNAME, and A records every hour even if some or all of these records are correctly registered in DNS. The list of records Netlogon attempts to register is stored in the %SystemRoot%\System32\Config\Netlogon.dns file. This log file lists records that are required to be registered for this domain controller. Netlogon does not provide a mechanism to control registrations it performs on a per-adapter basis. This section describes how to enable/disable the following items: - All registrations - Netlogon A registrations All Registrations ----------------- To disable all registrations performed by Netlogon, use the following registry key (a restart of the Netlogon service is required, although a reboot is preferred): UseDynamicDns HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters Data type: REG_DWORD Range: 0 - 1 Default value: 1 This determines whether the Netlogon service on this domain controller uses DNS dynamic updates. Netlogon can use DNS dynamic updates to register DNS names identifying the domain controller. DNS dynamic updates provide automatic updates of zone data, such as DNS names, on the zone's primary server whenever an authorized zone server requests an update. It supplements the static, manual method of adding and changing zone records. The DNS dynamic update protocol is defined in RFC 2136. Value Meaning --------------- 0 Netlogon does not use DNS dynamic updates. Records specified in the Netlogon.dns file must be registered manually in DNS. 1 Netlogon uses DNS dynamic updates to register the names identifying this domain controller. You might consider disabling Netlogon's use of DNS dynamic updates if your DNS servers do not support DNS dynamic updates or to eliminate the network traffic associated with periodic registration of Net Logon's DNS records. This entry is supported on domain controllers only. Windows 2000 does not add this entry to the registry. You can add it by editing the registry or by using a program that edits the registry. To make the changes to this value effective, delete "%SYSTEMROOT%\system32\config\netlogon.dnb", and then restart the Netlogon service. A restart of Windows 2000 is preferred. Netlogon A Registrations ------------------------ By default, Netlogon on a domain controller registers SRV, domain A, and GC (Global Catalog) A records every hour. SRV records are mapped to a FQDN and A records are mapped to an IP address. Registration of domain A records for all adapters by Netlogon and subsequent re-registration every hour (by default) can be problematic if clients resolve the domain name to an unreachable IP address. The following registry key enables/disables the registration of A records by Netlogon for a domain controller. The domain A records are not required by Windows 2000, but are registered for the benefit of Lightweight Directory Access Protocol (LDAP) implementations that do not support SRV records. Note that this registry key disables all A record registrations performed by Netlogon, which includes the gc._msdcs.<DnsForestName> records. Registration of gc._msdcs.<DnsForestName> records is required and must be performed manually if the RegisterDnsARecords registry key is set to disabled. For additional information, click the article number below to view the article in the Microsoft Knowledge Base: KBLink:258213.KB.EN-US: Registration of gc._msdcs.DnsForestName Records Is Required RegisterDnsARecords HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters Data type: REG_DWORD Range: 0 - 1 Default value: 1 This determines whether this domain controller registers DNS A (IP address)records for the domain. If this domain controller is a global catalog resource, this entry also determines whether the domain controller registers DNS A records for the global catalog. Value Meaning --------------- 0 Does not register DNS A records. LDAP implementations that do not support SRV records will not be able to locate the LDAP server on this domain controller. 1 Registers DNS A records. NOTE: This entry is used only when it appears in the registry of a domain controller. You might consider setting this value to 0 if DNS does not complete its dynamic updates because it cannot update A records. DNS stops updating when an update attempt does not succeed. Zitieren Link zu diesem Kommentar
linuxchristoph 10 Geschrieben 7. August 2003 Melden Teilen Geschrieben 7. August 2003 Moin, moin nochmal. Hatte ja schon berichtet, dass ich ein ähnliches Problem habe. Ich habe mal etwas neues getestet. Mein Server sieht so aus: Mein Netzwerk läuft in einer 255.255.255.0/27 Subnetzmaske Ich habe allen Rechnern eine eigene IP zugeordnet also kein DHCP intern aufgesetzt. interne Netzwerkkarte: IP 192.168.0.29 SUB 255.255.255.224 GW 192.168.0.30 DNS 127.0.0.1 externe Netzwerkkarte (direkt am DSL-Router gepatched): IP 192.168.0.27 SUB 255.255.255.224 GW 192.168.0.30 DNS 192.168.0.27 -> wie Du schon beschrieben hattest (oder Microsoft) werden beide zum DC registriert Routing und RAS: Adressbereich 192.168.0.22 - 192.168.0.26 VPN - Clients: steht alles auf automatisch Diese Konfiguration läuft bisher sehr stabil, bin aber noch nicht überzeugt davon, ob dies der Königsweg ist. Vielleicht gibt es ja noch bessere Lösungen außer natürlich der Microsoft Lösung. Zitieren Link zu diesem Kommentar
chachap 10 Geschrieben 29. September 2003 Autor Melden Teilen Geschrieben 29. September 2003 Hallo! Ich bin jetzt der Empfehlung des Microsoft Supports gefolgt, und habe einen dedizierten VPN Server aufgesetzt. So sieht jetzt die Konfiguration aus: drei w2k3 Server im AD: 1. DC, DNS, FILE 192.168.60.11 2. 2nd DC, FILE 192.168.60.12 3. VPN 192.168.60.13 und eine zweite Netzwerkkarte mit 192.168.61.1 Der Router hat die IP 192.168.60.199 Diese ist bei allen Clients und Servern (auser VPN Server) als Standard Gateway eingetragen. Router Config: PPTP Passtrough -> Yes configuration for sessions : requested from OUTSIDE: 1723/gre ia 192.168.61.1/32, ep 1723, ip 1723 1723/tcp ia 192.168.61.1/32, ep 1723, ip 1723 1723/udp ia 192.168.61.1/32, ep 1723, ip 1723 domain/tcp ia 192.168.61.1/32, ep 53, ip 53 Alle Server, Clients und der Router (Bintec X3200) hängen an einem 3com 24 Port Switch. Der Router ist von aussen per DynDNS erreichbar. (ping) VPN Verbindungen sollten nun an den VPN Server weitergeleitet werden. Der VPN Server soll den VPN-Benutzer im AD authentifizieren und dann registrieren. so das alle Freigaben und AD Resourcen dem VPN-User zur verfügung stehen. Leider scheitert es bereits an der Verbindung. (Fehler 678) Hat jemand eine Idee, was ich mal testen sollte? Oder eine Änderung der Gesamtkonfiguration? Den VPN-Server kann ich (meines wissens) leider nicht zwischen den Router und das Lan hängen, da die Klients auch den virtuellen CAPI-Port des Routers nutzen müssen. Gruß, Chachap Zitieren Link zu diesem Kommentar
Seijin 10 Geschrieben 30. September 2003 Melden Teilen Geschrieben 30. September 2003 Original geschrieben von grizzly999 VPN-Netz (zum Router hin) und LAN sollten in zwei verschiedenen Netzwerken sein. Mit den Adressen, die du für die zwei Karten vergeben hast, ist das nicht der Fall. grizzly999 Wären dies zwei verschiedene? 1. 10.0.0.140 2.10.10.10.1 Ich habe ein ähnliches Problem, ich will mich ins Internet einwählen, was leider nicht ganz funktioiert! Einstellungen: 1. netzwerkkarte zum DSL Modem: IP:10.0.0.140 Sub:255.255.255.0 2. Netzwerkkarte internes netzwerk: IP:10.10.10.1 Sub:255.255.255.0 Nun habe ich eine DFü Verbindung über VPN erstellt Ziel: 10.0.0.138 (ist ds DSL-Modem) IP: Automatisch DNS:195.3.96.67 Nachdem ich nun sage er soll mich verbinden arbeitet er zwar, kann jedoch die Verbindung nicht herstellen, obwohl ich sie anpingen kann (Fehler 800 angezeigt). Darauf hin wurde mir gesagt, ich sollte erneut den Server installieren und die Standard einstellungen installieren lassen. Nun geht es aber immer noch nicht. Hat einer eine Idee? Danke im voraus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.