Windows Server 2012 RAS

[tomic4real 0]

Ich nutze Windows Server 2012 als Domänencontroller und Fileserver.
Nun wollte ich RAS für VPN aktivieren und habe die Rolle gemäß der folgenden Anleitung hinzugefügt.
http://www.thomasmaurer.ch/2012/07/how-to-install-vpn-on-windows-server-2012/


Den letzten Punkt der Anleitung habe ich nicht verstanden/gemacht.
##########################
Now if this is a standalone server which has only a single Public IP address, add a secondary IP address to the server network interface which is in the same subnet as the IP address pool.
##########################

Vor dem hinzufügen der Rolle als RAS klappte die Anmeldung in der Domäne von einem Client problemlos, nach der Installation leider mit 15 Minutuen Verspätung. In den Ereignissen sehe ich auf dem Client folgendes:
--------------------------------------------------
5719
Der Computer konnte eine sichere Sitzung mit einem Domänencontroller in der Domäne XXX aufgrund der folgenden Ursache nicht einrichten:
Der RPC-Server ist nicht verfügbar.
Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht.

1053
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben:
a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller.
b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroller erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).

1014
Zeitüberschreitung bei der Namensauflösung für den Namen server1.xxx.local, nachdem keiner der konfigurierten DNS-Server geantwortet hat.
--------------------------------------------------

Anbindung ans Netzwerk mit einem RJ45 Kabel an einem Gigabit Switch.
Wenn ich die Rolle RAS wieder entferne, funktioniert es wieder reibungslos.

Was habe ich falsch gemacht bzw. vergessen?

[testperson 1.729]

Hi,

 

das Problem wird sein, dass der DC/DNS jetzt eine IP in deinem Client Subnet und eine im VPN Subnet hat. Beide IPs haben sich im DNS registriert. Der Client bekommt jetzt vom DNS Server bei der Abfrage deiner Domain entweder die IP im richtigen Netz, welches der Client erreicht oder er bekommt die IP im VPN Netz, welche er nicht erreicht.

 

Evtl. kannst du den Schritt mit dem statischen IP Pool weg lassen, sofern im internen Netz ein DHCP läuft.

 

Du siehst, ein VPN Server auf einem DC bzw. ein Multihomed DC ist keine gute Idee.

 

Gruß

Jan

[tomic4real 0]

@Jan:

Danke für die kurze Erklärung

 

Meinst du mit dem Weglassen vom statischen IP-Pool den Punkt "Now add a IP address pool for example 192.168.1.100 – 192.168.1.200".

 

Wenn ich diesen Punkt einfach auslasse, habe ich leider das gleiche Resultat.

 

Was ist denn mit dem Punkt gemeint:

#######################

Now if this is a standalone server which has only a single Public IP address, add a secondary IP address to the server network interface which is in the same subnet as the IP address pool.

#######################

[testperson 1.729]

 

Was ist denn mit dem Punkt gemeint:

#######################

Now if this is a standalone server which has only a single Public IP address, add a secondary IP address to the server network interface which is in the same subnet as the IP address pool.

#######################

Wenn der Server direkt am WAN hängt (Root Server z.B.), dann sollst du auf dem Netzwerkinterface eine weiter IP Adresse aus dem statischen Adress Pool an die NIC binden.

 

Gruß

Jan

[tomic4real 0]

Meine Konstellation:

 

Server - Fritzbox - Internet

Server hat aktuell die 192.168.2.111 - an der Fritzbox liegt eine Feste IP an. Ich würde VPN einrichten und am Router dann die Ports hierfür an den Server weiterleiten.

[testperson 1.729]

Hi,

 

warum installierst du auf dem DC den RemoteAccess? Nutze doch den Fritz VPN Zugang?

 

Gruß

Jan