MrTi 10 Geschrieben 5. Dezember 2009 Melden Teilen Geschrieben 5. Dezember 2009 Hallo Zusammen, folgende Konstellation: Im DNS habe ich mehrere A-Records für ein und denselben Host definiert: domain = domain.local dewsus 192.168.1.1 = DC/GC 2008 Modus dewsus 192.168.2.1 = DC/GC 2008 Modus dewsus 192.168.3.1 = DC/GC 2008 Modus dewsus 192.168.4.1 = DC/GC 2008 Modus deproxy 192.168.1.254 deproxy 192.168.2.254 deproxy 192.168.3.254 deproxy 192.168.4.254 Dies habe ich gemacht, weil wir viele mobile Benutzer haben, die oft die Netze wechseln und sich den Proxy und WSUS aus dem lokalen Netz ziehen sollen. Innerhalb des Netzwerks funktioniert dies auch wie gewünscht, jedoch habe ich probleme mit den Usern, die sich per VPN einwählen. Wir haben einen zentralen VPN Entry Point welches das Netz 10.18.1.x hat . Die Clients bekommen über VPN den DNS 192.168.1.1 zugeordnet. Wenn die Clients innerhalb des VPN einen nslookup ausführen, wird auch der richtige als Standard herangezogen. In Sites & Services habe ich das Subnetz des VPN's definiert und dem Site zugeordnet in welchem der Entry-Point ist. Im DNS habe ich auch einen reverse lookup für das VPN Netz angelegt, in welche sich die Clients dynamisch registrieren. Folgendes Problem habe ich: Ich verbinde mich per VPN ins Netzwerk, bekomme die IP 10.18.1.99: bekomme aber folgende Werte zurück: ping dewsus > 192.168.4.1 ping deproxy > 192.168.2.254 ping domain.local > 192.168.3.1 nslookup = Standardserver 192.168.1.1 > dewsus > name = dewsus.domain.local > adresses = 192.168.4.1 192.168.2.1 192.168.1.1 192.168.3.1 > deproxy > name = deproxy.domain.local > adresses = 192.168.2.254 192.168.4.254 192.168.1.254 192.168.3.254 Im DNS ist Round Robin auf allen Server deaktiviert. Ich habe die vermutung, das mein Client nicht weiss welchem Netz er zugeordnet ist und sich deshalb irgendeinen Host aus dem DNS zieht und einem Round Robin ähnelt. Ich will erreichen, das die VPN Clients für dewsus den 192.168.1.1 und für deproxy den 192.168.1.254 bekommen. Kann mir wer unter die Arme greifen, wo ich ansetzten kann ? Danke Hakan Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 5. Dezember 2009 Melden Teilen Geschrieben 5. Dezember 2009 Erm, was bezweckst du mit dieser riesigen Bastelkonfiguration? Mach doch einfach ein sauberes Netz mit einer IP-Adresse pro Server. Zitieren Link zu diesem Kommentar
MrTi 10 Geschrieben 5. Dezember 2009 Autor Melden Teilen Geschrieben 5. Dezember 2009 Erm, was bezweckst du mit dieser riesigen Bastelkonfiguration? Mach doch einfach ein sauberes Netz mit einer IP-Adresse pro Server. was ist denn daran riesig :confused: Vielleicht hätte ich noch erwähnen sollen, das jedes Netz ein eigener Standort ist. 192.168.1.1 = DC/GC 2008 Modus Standort A 192.168.2.1 = DC/GC 2008 Modus Standort B 192.168.3.1 = DC/GC 2008 Modus Standort C 192.168.4.1 = DC/GC 2008 Modus Standort D usw ... Der Zweck ist: Jeder Standort hat einen DC/GC/DNS/WSUS und nen Proxy. Per GPO wird der WSUS nicht mit IP angespochen sondern mit dem Hostnamen: dewsus.domain.local. Gleiches für den Proxy, per GPO bekommen alle Clients die Adresse: dewsus.domain.local als Proxyserver zugewiesen. Wenn ein mobiler Client sich ans Netz im Standort A anstöpselt, nutzt er den WSUS und PROXY aus dem Netz. Wenn gleicher Client in Standort C ist, löst der DNS die Hostnamen aus dem lokalen Netz im Standort C auf. Ich will erreichen, das VPN-Clients aus dem Netz 10.18.1.x die Hosts aus dem Netz vom Standort A zurückbekommen und nicht vom Standort B/C/D. Weil diese sonst die Updates vom WSUS oder ein Download über Proxy, über eventuelle langsame Leitungen zu den Standorten unnötig belastet. Gruss Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 5. Dezember 2009 Melden Teilen Geschrieben 5. Dezember 2009 Jeder Standort hat einen DC/GC/DNS/WSUS und nen Proxy. Per GPO wird der WSUS nicht mit IP angespochen sondern mit dem Hostnamen: dewsus.domain.local. Gleiches für den Proxy, per GPO bekommen alle Clients die Adresse: dewsus.domain.local als Proxyserver zugewiesen. Löse das mit Standortbezogenen GPOs bzw. WPAD. Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 5. Dezember 2009 Melden Teilen Geschrieben 5. Dezember 2009 Oder mittels Split-DNS. Zitieren Link zu diesem Kommentar
MrTi 10 Geschrieben 5. Dezember 2009 Autor Melden Teilen Geschrieben 5. Dezember 2009 Entweder versteht ihr meine Frage nicht, oder ich formuliere die falsch. Solange die Clients sich einem der Standorte befinden, funktioniert die DNS Auflösung wie gewollt. Die Hostnamen der Einträge geben, je nachdem im welchem Standort man sich befindet, die hiesigen Server zurück. Was nicht funktioniert sind die VPN Clients, die zwar im AD per Subnet dem Master Site zugeordnet sind, jedoch per ping einen entfernten Server aus einem anderen Standort zurückbekommen. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 5. Dezember 2009 Melden Teilen Geschrieben 5. Dezember 2009 Entweder versteht ihr meine Frage nicht, oder ich formuliere die falsch. Nein, du hast nur einen etwas verqueren Lösungsansatz für dein Problem gewählt, welcher jetzt an seine Grenzen stösst. Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 5. Dezember 2009 Melden Teilen Geschrieben 5. Dezember 2009 Habe ich schon verstanden. Aber entweder du stellst für das VPN eigene Server bereit, die ebenfalls die Funktion übernehmen oder eben einen DNS-Server, der die Hostnamen nur auf den gewünschten Server auflöst (dafür benötigst du dann aber eine eigene DNS-Zone, wo die anderen Einträge nicht vorhanden sind). Deswegen heisst es ja auch Split-DNS. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.