Laninchen 10 Geschrieben 18. Mai 2005 Melden Teilen Geschrieben 18. Mai 2005 Hallo liebe Kolleginnen und Kollegen, ich habe ein eigenwilliges Problem beim Zugriff von XP-Clients auf die Netzwerfreigaben eines W2K-Small Business Server über eine VPN-Strecke. Die Konfiguration ist wie folgt: XP-Client (Notebook mit SafeNet VPN-Client) -> VPN > Netgear-FVS318 (VPN-Endpunkt) -> W2K-SBS (ADS, mit installiertem ISA-Server). Auf dem W2k-Server sind diverse Freigaben vorhanden mit der Berechtigung "Jeder darf alles kaputt machen :-)". Melde ich mich im LAN direkt am AD an, kann ich mich ohne Probleme mit den Freigaben verbinden. Versuche ich das gleiche jedoch aus der Ferne (lokale Laptop-Anmeldung, VPN), bekomme ich nur das Login-Fenster und egal welche Benutzerdaten ich auch verwende, ich kann mich nicht am Server authentifizieren. Hat eventuell jemand ´ne Idee, woran das liegen könnte? Über eine Antwort würde ich mich sehr freuen. PS: Die ISA-Server Konfiguration ist sauber und dort werden nach Messung keine Pakete geblockt. Alle anderen Verbindungen zum Server (Terminal-Server u. andere IP-Dienste) funktionieren einwandfrei. Nette Grüße Laninchen Zitieren Link zu diesem Kommentar
Schleiffer 10 Geschrieben 18. Mai 2005 Melden Teilen Geschrieben 18. Mai 2005 Hi Lanichen, klappt denn die Namensauflösung? Blockt der Router vielleicht die Ports für das Anmeldeprotokoll? Gruß Schleiffer Zitieren Link zu diesem Kommentar
Laninchen 10 Geschrieben 23. Mai 2005 Autor Melden Teilen Geschrieben 23. Mai 2005 Hallo Schleiffer, vielen Dank für Deine Antwort, ... Eine Filterung findet auf dem Router nicht statt. Ein Problem ist evtl. die Namensauflösung, ... Und zwar ist der DNS auf das interne Interface gebunden. Router ----> W-2K-Server(ISA2000) ----> LAN Int.Interface Ext.Interface Int.Interface 192.168.0.1 192.168.0.11 192.168.16.2 192.168.16.0 Leider kann ich trotz eingerichteter Regeln auf dem ISA-Server (Port:445) Inbound auf das Externe Interface keine Freigabe mappen. ( \\192.168.0.11\Daten ). Eine Verbindung findet jedoch statt, da ich ein Login bekomme. Allerdings scheint irgendetwas bei der Authentifizierung schiefzugehen. Gibt es AD-technisch irgendetwas zu beachten, wenn im Server mehrere Netzwerkkarten eingerichtet sind? Gibt es Einschränkungen auf dem ISA2000 in Bezug auf Freigaben auf dem gleichen Server. Bin leider erst Mittwoch wieder bei dem Kunden, somit kann ich erst dann weitere Tests durchführen. Gruß Laninchen Zitieren Link zu diesem Kommentar
Schleiffer 10 Geschrieben 24. Mai 2005 Melden Teilen Geschrieben 24. Mai 2005 Hi Laninchen, überwach doch mal Deine Anmeldeversuche am DC und den Netzwerkverkehr zum DC. Insbesondere die Anmeldungen und schau mal ob da überhaupt was durchkommt. Meine Vermutung ist, dass entweder der DC vom Client für die Anmeldung nicht gefunden wird (DNS Problem) oder dass der Anmeldeverkehr (NTLanMan oder Kerberos) geblockt wird. Gruß Schleiffer Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. Mai 2005 Melden Teilen Geschrieben 24. Mai 2005 Wie ich es deiner Konfiguration nach entnehme, ist der Router VPN Endpunkt, dahinter der ISA. Wenn du dann ins internen Netz willst, kommst du nur mit Serververöffentlichung da rein. Da gibts in deinem Fall (Filezugriff) zwei Probleme: 1.) Der Port 445 allein reicht nicht aus. Für eine Authentifizierung brauchts da etwas mehr (RPC, HighPorts us.w) 2.) Stichwort Socket Pooling (suche mal in der KB danach). Meine dringende Empfehlung für dieses Vorhaben: VPN auf den ISA, dann klappt das auch und ist alles VIEL einfacher ;) grizzly999 Zitieren Link zu diesem Kommentar
Laninchen 10 Geschrieben 25. Mai 2005 Autor Melden Teilen Geschrieben 25. Mai 2005 Hallo Grizzly, Hallo Schleiffer, int. Int Router ---------> ext. Int Server -----------------> int. Int Server 192.168.0.1------------->192.168.0.11 -------------------> 192.168.16.2 So wie die Konfiguration derzeit eingerichtet ist, versuche ich auf das externe Interface des ISA-Servers per "net use" zuzugreifen. Das VPN spielt eigentlich dabei keine Rolle mehr, da es bereits am Router terminiert. Messungen am externen Interface des Servers, sowie im Netzsegment zwischen Router und ISA-Server haben beim Verbindungsversuch über das VPN lediglich Pakete "nach 445" und "von 445" aufgezeichnet. Bei einem Verbindungsversuch aus dem Netz (192.168.0.0) auf das ext. Interface des ISA-Servers messe ich ebenfalls nur 445 Pakete, jedoch funktioniert die Verbindung! Ein DNS Request findet irgendwie dabei nicht statt. ? Highports konfigurieren? Macht der ISA-Server nicht "Stateful Packet Inspection? ? Server veröffentlichen? Bitte nicht, ... Die Variante, den sowieso schon mit Anwendungen zugemüllten W2KSBS (gewachsenes Kundenproblem) auch noch als VPN-Concentrator zu vergewaltigen, ist eigentlich nicht geplant. Außerdem möchte ich den Server nicht direkt im Internet stehen haben. Ein weiteres Problem würde entstehen, da der VPN-Tunnel mit dynamischen Adressen arbeitet (auf beiden seiten DynDNS) und der VPN-Tunnel in der jetzigen Konfiguration stabil läuft. Evtl. noch eine Frage: Warum funktioniert das ganze, wenn ich statt einem W2K-SBS (mit ISA-2000), einen Standard W2K-Server (mit ISA-2004) benutze Gruß Laninchen PS: Leider ist dieser Small-Business-Server beim Kunden vorhanden. Eine Umstellung kommt nicht in Frage... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.