Jump to content

W2k Server mit 2 NW-Karten --> Routingprobleme

AlexanderKoch
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

@klausk: Zitat: Ja, m.W. kann man nicht nur ganze Netze routen sondern auch einzelne Hosts und die Route, die am speziellsten ist, wird genommen. In beschriebenen Fall heißt das, dass alles was ins Internet geht, über die NIC 1 an das GW 139.79.156.254 geroutet wird. Das 139.79.156.x-Netz wird über die NIC 2 angesprochen (ist spezieller als 0.0.0.0), Ausnahme ist einzig der Host 139.79.156.254 (GW), für den gibt es die Host-Route (spezieller gehts nimmer ) über NIC 1.

 

hhhmm... ich glaube ich habe schon mal irgendwann davon gehört. Aber das ganze würde wohl größtenteils auch funktionieren, wäre aber ein fürchterlicher Verhau. Und dann klappts an der einen Stelle nicht, oder dieser Dienst hat Probleme damit, oder man hat was vergessen, oder man vergisst was beim Einrichten eines neuen Clients, oder , oder, oder,....

Das ist alles keine saubere ordentliche Lösung. Wenn ich zwei Netze über einen Router trennen will, dann mit zwei verschiedenen Subnetzen. Wenn das Thema Security ins Spiel kommt, dann erst recht. Dann ist Bastelei nicht mehr "erlaubt".

 

Meine Empfehlung an Alexander: Zwei Netze bilden, wie auch immer. Und wenn die Clients keine offiziellen Adressen brauchen, dann sogar ein privates Netz für diese Einrichten

=> 1) security wird erhöht

=> 2) technisch saubere Lösung

=> 3) Standardverfahren haben sich bewährt

=> 4) Hilfe zu erhalten ist dann einfacher

=> ... uns was mir jetzt noch nicht so eingefallen ist

 

 

grizzly999

Link zu diesem Kommentar
AlexanderKoch Apprentice

AlexanderKoch   10

Geschrieben
  • Autor
Geschrieben

Hallo !

 

 

 

Habe ein wenig rumprobiert und mich aus den genannten Sicherheitsgründen für ein

öffentliches Netz entschieden. Folgende konfiguration:

 

1.NIC (Internet) IP 139.79.156.1

Subnetzmaske 255.255.255.0

Standartgetaway 139.79.156.254

DNS 139.79.1.2 u. 28

 

2.NIC (LAN) IP 192.168.0.1

Subnetzmaske 255.255.255.0

Standartgetaway leer

DNS 127.0.0.1

 

Routing und RAS aktiviert -> Internetverbindungsserver NIC1

 

... so funktioniert erstmal alles, nur die Adressauflösung der Clients dauert recht lange.

 

Was muß ich noch im Routing und RAS eintragen?

 

Danke für Eure Antworten!

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Was jetzt?!?!! Vorher dich für ein privates Netz aus Sicherheitsgründen entschieden. Dann ging's mit dem privaten Netz (nur die Namenslauflösung dauerte etwas). 20 Minuten später doch mit "route add" probiert, jetzt tut' halb nicht mehr, was zuschauer und ich dir aber vorhergesagt hatten. Ich weiss nicht , was du willst, deshalb klinke ich mich aus diesem Thread aus.

 

CU

 

grizzly999

Link zu diesem Kommentar
zuschauer Grand Master

zuschauer   10

Geschrieben
Geschrieben
Original geschrieben von AlexanderKoch

Der Test mit route ist fehlgeschlagen.

DC kommt nicht ins Internet, Clients finden keinen DHCP Server mehr.

@grizzly: Ich versteh das so, daß er zum Testen klausk´s Tipp ausprobieren wollte, weil klausk eine Rückmeldung haben wollte- ist doch ok ?

 

@AlexanderKoch:

Du mußt Dich erstmal etwas mit der Materie vertraut machen, und nicht gleich wild drauflos installieren, zumal Du mit öffentlichen IP hantierst.

Ein DC sollte möglichst nur eine Netzwerkkarte haben, da es sonst Probleme mit dem Hauptsuchdienst gibt.

Weiterhin sollte ein DC nie direkt im Internet stehen.

Die 2. Netzwerkkarte gehört in Dein Gateway.

Daß die Anmeldung der Clients lange dauert, läßt einen Konfigurationsfehler des DNS-Servers vermuten. Die DNS-Server Konfig wird auch einfacher, wenn die 2. NIC (die mit der öffentlichen IP) raus ist.

Du bist Dir auch sicher, daß das alles sauber ist, was Du da machst ?

Daß Du über ein gesamtes Class-C-Netz öffentlicher IP verfügst, irrietiert mich zugegebenermaßen doch sehr ! :suspect:

Link zu diesem Kommentar
klausk Mentor

klausk   10

Geschrieben
Geschrieben

@grizzly999 und zuschauer

 

Ob ein privater IP-Bereich sicherer ist als ein öffentlicher hängt vom Gesamtnetzwerk und dessen Konfiguration ab. Ich kenne mindestens ein Beispiel aus eigener Erfahrung, in dem es mehrere interne Netze mit öffentlichen IP-Adressen gibt, die nur über dedizierte, abgesicherte Übergänge mit dem Internet verbunden sind. Da kann auch nicht jede Adresse aus dem Internet erreicht werden. Man erspart sich aber NAT, das auch nicht frei von Problemen ist.

Ich denke auch, es gibt durchaus Firmen und Einrichtungen, die noch über ausreichend öffentliche IP-Adressen verfügen. In der Anfangszeit des Internet wurden die recht großzügig verteilt.

 

grizzly999

Und dann klappts an der einen Stelle nicht, oder dieser Dienst hat Probleme damit, oder man hat was vergessen, oder man vergisst was beim Einrichten eines neuen Clients, oder , oder, oder,....

Es ist sicherlich eine ungewöhnliche Lösung, die wie jede andere Lösung auch genauestens dokumentiert werden sollte. Ob Windows 2000 mit dieser Lösung grundsätzlich Probleme haben wird kann ich nicht abschätzen. Theoretisch sollte es jedenfalls laufen.

 

zuschauer

Ein DC sollte möglichst nur eine Netzwerkkarte haben, da es sonst Probleme mit dem Hauptsuchdienst gibt.

Der Hauptsuchdienst ist eine NetBIOS-Geschichte und wird unter W2K eigentlich nicht mehr benötigt. Hier ist eine saubere DNS-Konfiguration wichtiger.

 

@AlexanderKoch

Welche Fehlermeldungen sind denn beim Test gekommen? Ging gar nichts oder nur ein Teil nicht, z.B. die Namensauflösung nicht? Hat ein Ping vom Server auf das Gateway und auf einen Client funktioniert (jeweils mit IP-Adresse)?

 

klaus

Link zu diesem Kommentar
klausk Mentor

klausk   10

Geschrieben
Geschrieben

@AlexanderKoch

 

Mir ist gerade ein böser Fehler bei der Definition der Routen aufgefallen - es konnte gar nicht klappen, daher die richtigen Routen (Zeile mit Änderung fett):

 

route -p add 139.79.156.254 mask 255.255.255.255 139.79.156.1 metric 1 IF 0x1000001 (1)

route -p add 0.0.0.0 mask 0.0.0.0 139.79.156.254 metric 1 IF 0x1000001 (1)

route -p add 139.79.156.0 mask 255.255.255.0 139.79.156.2 metric 1 IF 0x1000002 (1)

 

Der dritte Route-Befehl muß natürlich als Netz die 139.79.156.0 und nicht die 139.79.156.254 enthalten!

 

sorry &gruß

klaus

Link zu diesem Kommentar
AlexanderKoch Apprentice

AlexanderKoch   10

Geschrieben
  • Autor
Geschrieben

Hallo!

 

Die Beiträge sind in falscher Reihenfolge ins Board gelangt.

Habe erst die Variante mit den routen getestet um eine Antwort geben zu können. Als das nicht funzte habe ich mich für priv. IP enschieden, da ich etwas unter Zeitnot leide und der DC fertig werden muss.Netbios ist nicht im Einsatz.An das Gateway ist kein rankommen.Zur Zeit siehts so aus das 50 PCs + Drucker + DC usw. direkt über das GW am Internet sind.Das ist m. E. nicht optimal, deswegen alle PCs ins interne Lan, DC mit 2 NICs als Router und VPN Server, Firewall ( Hardware) ist noch vor DC geschaltet.Damit sind die PCs erst mal abgesichert und sämtlicher Internetverkehr geht über den DC.Jetzt noch ein ordentlicher Virenscanner auf dem DC installiert und dann müsste die Sicherheit grösser sein als vorher.

 

In der Zwischenzeit haut die Adressauflösung ganz gut hin, nur manchmal gibts für externe Adressen ein Timeout, bein 2.Versuch klappts dann.

Neuerdings meldet Netlogon noch Fehler 5775.

Irgendwo ist also noch der Fehler im Detail.

(Einstellungen siehe Beitrag 20)

Vielleicht gibts dafür noch eine Lösung.

Vielen Dank an alle für die zahlreichen und schnellen Antworten!

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Der Netlogon Dienst kann sich nicht im DNS registrieren. Gehe mal her und mache folgendes:

 

1) Schaue nach unter Start/Verwaltung/DNS, ob die bei den Eigenschaften deiner Zone unter "Dynamische Aktualisierungen" Ja drin steht

 

Falls ja dan Step2:

 

2) Führe ntbackup.exe aus. In dem Fenster, das sich öffnet, wähle den untersten Punkt "Notfalldiskette aktualisieren". Wenn das kleine Fenster erscheint, in dem das Häkchen für die Aktualisierung der Notfalldiskette gesetzt werden kann, das nicht setzen, ok. klicken, nachfolgende Fehlermeldung wegklicken (Regisrty ist jetzt gesichert).

Nun mit regedt32.exe die Registry öffnen und zu folgendemm Key navigieren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon

Im rechten Fenster ein Doppelklick auf DependOnService. Es öffnet sich ein neues Fenster, drin einegtragen ist LanManWorkstation, der Cursor steht schon in einer neuen Zeile. VORSICHT!!! Dort nochmals hinklicken, den sonst, wird LanManWorkstation gelöscht. Jetzt DNS in der zweiten Zeile eingeben. Es sieht nun so da drin aus:

 

 

LanManWorkstation

DNS

 

Fenster schliessen, alles schliessen, rebooten. Sollte jetzt klappen. Wenn nicht nochmal posten

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...