2 IP-Bereiche verbunden durch VPN und 1 Domäne

[Baldrian 10]

Hallo Forum,

 

ich habe folgendes Problem und leider noch keine Lösung hierzu in diesem Forum gefunden:

 

Ich habe ein weiteres Gebäude an das Firmennetz angebunden. Zur Anbindung habe ich 2 Netgear FVS318 VPN Router verwendet. Der VPN Tunnel funktioniert auch.

 

Zentrale

IP-Bereich 192.168.5.x

domäne=firma.de

 

Neues Gebäude

IP-Bereich 192.168.6.x

domäne=firma.de

 

Die neu hinzugekommenen Rechner laufen im Bereich 192.168.6.x und melden sich an

der gleichen Domäne an wie die Rechner in der Zentrale. Die Anmeldung funktioniert. Nur alles viel zu langsam. (Anmeldung dauert 5 min.) Auch der Exchange-Server wird nicht erkannt.

 

Ich tippe auf irgendeinen DNS Fehler. Ich habe bereits im ADS das neue Subnet hinzugefügt und am DNS-Server eine neue Zone für den Bereich 192.168.6.x eingrichtet.

 

Danke für eure Vorschläge.

 

Mit freundlichen Grüßen

 

Baldrian

[SysFromHell 10]

Hi Baldi,

 

ist das eine LAN to LAN VPN ? Wenn ja, hatte ich schon mal mit einer anderen Router Lösung im Einsatz.

Zitat Hersteller:

Netz 1 muß sich deutlch vom 2. Unterscheiden.... 2 verschiedene IP Ranes notwendig...

 

1. 192.168.X.X

2.10.1.X.X

 

Eine static route konfigurieren und gut is....

 

CU

[lefg 276]

Die neu hinzugekommenen Rechner laufen im Bereich 192.168.6.x und melden sich an der gleichen Domäne an wie die Rechner in der Zentrale. Die Anmeldung funktioniert. Nur alles viel zu langsam. (Anmeldung dauert 5 min.) Auch der Exchange-Server wird nicht erkannt.

 

Ich tippe auf irgendeinen DNS Fehler. Ich habe bereits im ADS das neue Subnet hinzugefügt und am DNS-Server eine neue Zone für den Bereich 192.168.6.x eingrichtet.

Hallo,

die Schilderung erscheint mir undeutlich.

 

"Sehen" die Rechner im neuen Netz den Server überhaupt, erhalten sie eine Antwort auf einen Ping?

 

Haben sich die Clients in der Foreward- sowie in der Reverse-Lookupzone des DNS eingetragen?

 

Gruß

 

Edgar

[Operator 10]

Hi,

 

- ist im neuen Gebäude ein seperater DC installiert?

- löst ein "nslookup domain.de" die Domänencontroller richtig auf?

- Ist an den Clients ein passender AD-DNS-Server eingetragen, bzw. via DHCP übermittelt worden? (kein Internet DNS oder ProxyDNS eines Routers)

- Besitzen die Router irgendwelche DoS-Angriff-Erkennungsmechanismen? Die Checkpoint VPN-1 bspw. blockiert standardmäßig alle ICMP-Pings mit Länge > 512 Bytes. Windows bspw. pingt beim Hochfahren seinen DC mit einem ICMP Ping der Länge 2048, der in solch einem Fall blockiert werden würde. Für den PC sieht es dann so aus, als sei der DC nicht verfügbar.

- Die Subnetze im AD hast Du auch dem richtigen Standort zugewiesen? (sprich der Zentrale?)

 

@SysFromHell: Das ist völliger Quatsch. Wenn Du's nicht glauben magst, ladt ich Dich gern zu mir ein, dann kannst Du Dir live anschauen, daß es funzt.

 

Gruß

Andre

[Velius 10]

@Operator

 

BTW und auch etwas OT aber trotzdem:

Das mit dem ICMP Request Size und der Checkpoint stimmt soweit, aber das dann die Rechner die Controller wegen einem scheiternden Ping nicht finden kann ich aus eigener Erfahrung nicht bestätigen. Da müssen schon Protokolle wie (vor allem) Kerberos und LDAP, oder aber auch RPC-Calls gefiltert werden.

 

 

Allerdings ist es sehr ratsam, auch aus diversen andernen Gründen, an beiden Seiten des Tunnels DC('s) zu plazieren.

 

 

Gruss

Velius

[Operator 10]

@Velius: Mit den DC's stimme ich Dir zu. Aber in meiner Umgebung wurden bspw. GPO's nicht angewandt, weil die XP-Rechner angeblich keine DC's finden konnten und im Eventlog USERENV 1054 protokolliert wurde.

 

Auch Anmeldungen wurden dann nur noch aus dem Cache durchgeführt, was ich durch Kennwortänderungen bestätigen konnte.

 

Der Zugriff auf den DC, der gleichzeitig FileServices bietet, war dann via SMB aber ganz normal möglich.

 

Aber das nur nebenbei :)

 

Schönes WE noch...

Andre

[Baldrian 10]

Hallo,

 

danke schon jetzt für eure Hilfe. Ich werde mal versuchen das Szenario besser zu erklären.

 

Zentrale und das neue Gebäude sind verbunden durch eine WLAN Verbindung. Und zwar durch 2 Netgear WG302.

 

 

Diese WLAN Router sind im Bridge Mode und stellen im Grunde nur die Verbindung zur Verfügung.

 

Durch das WLAN geht der VPN Tunnel durch die beiden FVS318 Router.

 

Es gibt nur einen DC in der Zentrale.

Es gibt nur einen DNS Server in der Zentrale

und es gibt 1 DHCP Server in der Zentrale und einen DHCP Server (FVS318) im neuen Gebäude.

 

 

Die Subnets sind alle im DNS Server eingetragen.

Die Subnets sind auch dem Standort zugeordnet.

Der Client im neuen Gebäude ist im DNS Server eingetragen.

Der DNS Server der Zentrale ist auch am Client richtig hinterlegt.

 

Es handelt sich um nur 4 Clients im neuen Gebäude. Deswegen habe ich dort keinen neuen DC aufgestellt.

 

Ein ping mit der IP von der Zentrale ins neue Gebäude ist erfolgreich.

Ein ping mit der IP vom neuen Gebäude in die Zentrale ist erfolgreich.

 

Ein ping mit dem Computernamen von der Zentrale ins neue Gebäude ist erfolgreich.

Ein ping mit dem Computernamen vom neuen Gebäude in die Zentrale schlägt fehl.

 

Es sollte an irgendeiner DNS Einstellung liegen.

 

Mit freundlichen Grüßen

 

Baldrian

[lefg 276]

Haben sich die Clients in der Foreward- sowie in der Reverse-Lookupzone des DNS eingetragen?

Ist in den Zonen eine dynamische Aktualisierung erlaubt?

[Hansi 10]

Was sagt denn die Ergebnisanzeige am dns server?

[Operator 10]

Der Client im neuen Gebäude ist im DNS Server eingetragen.

Hast Du die dort manuell eingetragen? Solltest Du nicht tun. Windows ab 2000 registriert sich per Default automatisch im DNS (sofern Aktualisierungen erlaubt sind und DNS AD-integriert ist).

Das ganze hört sich trotzdem verdächtig nach einem DNS Problem an.

 

Bei Wireless-Routern hab ich etwas bedenken was die integrierten DHCP Server angeht.

Liefert der DHCP wirklich den ActiveDirectory DNS als DNS-Server? Bzw. kannst Du das ändern?

Notfalls prüfe mal die Ausgabe von ipconfig /all auf einem der 4 Rechner im neuen Gebäude.

 

Vielleicht kann dein VPN Router auch als DHCP-Agent dienen und DHCP Anfragen an deinen Windows DHCP Server weiterleiten. Damit wirst Du bessere Kontrolle über deine Clients haben.

 

Da du auf mein erstes Posting nicht geantwortet hast: Was liefert ein "nslookup domain.de" auf einem der vier Rechner?

Ergebnis sollten alle bzw. der einzige DC sein.

 

Gruß

Andre

[Baldrian 10]

Hallo,

 

@lefg

Beide Einträge sind vorhanden. Wurden automatisch eingetragen. Dynamische Aktualisierung ist

aktiviert mit der Option "Secure only"

 

@Hansi

Nichts auffälliges

 

@Operator

Hast Du die dort manuell eingetragen? Solltest Du nicht tun. Windows ab 2000 registriert sich per Default automatisch im DNS (sofern Aktualisierungen erlaubt sind und DNS AD-integriert ist).

Wurde automatisch eingetragen.

DNS ist AD-integriert.

 

Bei Wireless-Routern hab ich etwas bedenken was die integrierten DHCP Server angeht.

Der Wireless-Router liefert keine Adressen. Das macht der VPN Router

 

Da du auf mein erstes Posting nicht geantwortet hast: Was liefert ein "nslookup domain.de" auf einem der vier Rechner?

IP: 192.168.xxx.xxx

Server: unknown

 

Danke für eure Hilfe

 

Mit freundlichen Grüßen

 

Baldrian

[Baldrian 10]

Wie kann man hier eigentlich einen Beitrag löschen :-)

[lefg 276]

Wie kann man hier eigentlich einen Beitrag löschen :-)

nach meiner Kenntnis können das nur Moderatoren.

[Velius 10]

Wie kann man hier eigentlich einen Beitrag löschen :-)

 

Auf "Edit" klicken und dann unter "Löschen" auf "Löshen" und dann 'ne Bgründung rein... :D

[lefg 276]

Ich brauch nen Hund. :shock: