Zum Inhalt wechseln


Foto

Netzwerk & Gruppenrichtlinie


  • Bitte melde dich an um zu Antworten
44 Antworten in diesem Thema

#16 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 26. Juli 2006 - 12:37

Was ich an der ganzen Sache nicht verstehe, Du hast den Assistenten ausgeführt und der hat doch den RRAS installiert und konfiguriert oder (ich weiss nach wie vor nicht, was dieser Assistent tut) ? Benutzen Deine Clients den Server als Default Gateway, der sie dann ins Internet routet ?
Ich bin S-1-5-XXX-500, ich darf das ...

#17 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 26. Juli 2006 - 13:13

Im Anhang mal ein Versuch, meine Struktur im groben zu erläutern. Ich hoffe, man kann es lesen.

Gruss Rex_Swissly

Angehängte Dateien



#18 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 26. Juli 2006 - 13:36

Das mit dem Anhang kann aber ne Weile dauern ...
Ich bin S-1-5-XXX-500, ich darf das ...

#19 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 26. Juli 2006 - 16:21

Mittlerweile gibt es eine neue Fehlermeldung, die folgendermassen lautet:

Das Format des angegebenen Netzwerknamen ist ungültig.

Danach den Server neu booten und es funktioniert wieder. Aber auf einmal geht es nicht mehr.

Also, ich versuche mal, das angehängte Schema von oben in Worte zu fassen.

Server:

Nic 1: heisst LAN, hat die IP Adresse 10.0.200.3 und ist mit dem Switch verbunden, an dem die Clients hängen.

Nic 2: heisst WAN, hat die IP Adresse 10.0.200.4 und ist mit der Firewall (Zywall 5) verbunden. Hier ist auf der Standardgateway von 10.0.200.22 eingetragen.

Beide Netzwerkkarten haben in den TCP/IP Einstellungen unter 1.DNS die Adresse 10.0.200.3 eingestellt.

Firewall: Hat IP Adresse 10.0.200.22

Clients:

Besitzen statische Adressen (10.0.200.5x aufwärts), als Standard Gateway ist 10.0.200.22 eingetragen, DNS ist auf 10.0.200.3 eingestellt.

So, ich hoffe, man kommt draus.

Nochmals vielen Dank für Eure Bemühungen.

Gruss Rex_Swissly

#20 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 26. Juli 2006 - 16:37

Ich würde das anders machen. Die Zywall bekommt eine andere Adresse (z.B. 192.168.100.1/30) und die WAN-Karte bekommt 192.168.100.2/30. Auf dieser Karte stellst Du das Gateway auf 192.168.100.1, den DNS-Server auf 10.0.200.3 und trägst keinen WINS-Server ein. Alle Bindungen ausser Internetprotokoll werden von der Karte entbunden und NetBT deaktiviert. Zusätzlich wird die dynamische DNS-Registrierung dieser Karte abgeschaltet. Auf der internen Karte wird ebenfalls die 10.0.200.3 als DNS-Server und WINS-Server eingetragen und kein Gateway. Die interne Karte wird in der Bindungsreihenfolge an die erste Stelle gesetzt. Im DNS und DHCP Dienst wird konfiguriert, dass ausschliesslich die interne Karte horcht. Dann wird der RRAS-Dienst deaktiviert und mittels Assistent als Netzwerkübersetzer konfiguriert, wobei die interne Karte die private und die WAN-Karte die öffentliche Karte ist. Die Clients bekommen die 10.0.200.3 als Default Gateway und bevorzugten DNS-Server ...
Ich bin S-1-5-XXX-500, ich darf das ...

#21 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 26. Juli 2006 - 17:22

Löst das mein Problem mit der Gruppenrichtlinie?

Ich nehme an, diese Konfiguration würde mein Security Konzept verbessern oder optimieren.

Ich habe momentan einen struben Kopf, seh den Monitor vor lauter PC Stress nicht mehr :(

Wins Server brauche ich doch gar nicht. Für das habe ich DNS.
Bindungen auf WAN Karte deaktivieren? NetBT?
Assistent für Netzwerkübersetzer? Ich denke, hier meinst Du das Routen zwischen zwei Netzwerkkarten für einen unterschiedlichen Bereich. Mit dem habe ich leider noch meine Mühe.

Ich habe zwar den MCSA, aber ich glaube, momentan macht mir das heisse Wetter zu schaffen, dass sollte ich ja eigentlich wissen.

Warum eigentlich der 192. Range. Ich möchte eigentlich lieber beim 10er bleiben.

Gruss Rex_Swissly

#22 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 26. Juli 2006 - 17:32

Das war nur ein Vorschlag, es muss aber ein anderer Bereich als der interne sein. Ich spreche von NAT, was Dir beim Ausführen des RRAS-Assistenten auch sofort ins Auge springt. WINS brauchst Du nicht unbedingt mehr, mit dem wahrscheinlich installierten Exchange kannst Du es aber schon noch benötigen. NetBT heisst NetBIOS über TCP/IP, das Entbinden heisst, alle Haken raus ausser Internetprotokoll. Die Bindungsreihenfolge stellst Du in den Eigenschaften der Netzwerkumgebung - Erweitert - Erweiterte Einstellungen ein. Die Abhörer für DNS und DHCP stellst Du in den jeweiligen MMC-Konsolen ein (DNS:Eigenschaften des Servers - Schnittstellen;DHCP:Eigenschaften des Servers - Erweitert - Bindungen). Auch das Abschalten der DNS-Registrierung der externen Karte nicht vergessen.
Und ja, ich glaube, dann sind Deine Probleme erledigt ...
Ich bin S-1-5-XXX-500, ich darf das ...

#23 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 26. Juli 2006 - 17:39

Vielen Dank für die Antworten.

Wenn ich für den internen Bereich 10.0.200.x lasse und den extern Bereich auf 10.10.200.x wechsle, sollte das Deinem Vorschlag entsprechen.

Meinst Du mit xxx/30, dass ich eine Subnetmask von 255.255.255.255 nehmen sollte? Normalerweise nehme ich doch 255.255.255.0

Werde diese Umstellung mal, wenn mein Kopf wieder ein bisschen freier ist, in die Tat umsetzen. Ein generelles Arbeiten ist ja momentan möglich, aber natürlich nicht optimal. Werde bei Problemen gerne wieder fragen.

Was würde ich ohne dieses Forum nur machen, wenn ich Euch nicht hätte.

Vielen Dank

Gruss Rex_Swissly

#24 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 26. Juli 2006 - 17:51

30 bedeutet , dass eine 30 Bit Subnetzmaske benutzt wird, also 255.255.255.252. Da sich in dem Transfernetz nur die externe Karte des RRAS und die interne Karte des Routers befinden, muss ich ja kein vollständiges C-Netz zur Verfügung stellen ...
Ich bin S-1-5-XXX-500, ich darf das ...

#25 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 26. Juli 2006 - 17:57

Wow, Du bist ja schneller, als ich lesen kann.

Ich habe jetzt rausgefunden, dass der Fehler dann auftritt, wenn ich von einem Clienten über Remotedesktop auf den Server zugreife.

Vorher konnte ich die Gruppenrichtlinien noch ohne Fehler öffnen, danach über den Remotedesktop auf den Server zugreifen und siehe da, die oben erwähnte Fehlermeldung mit dem Netzwerknamen ist wieder da. Beim ersten Einloggen ging es auch eine Weile bis der Anmeldebildschirm kommt, beim zweiten Versuch geht es ganz schnell.

Und genau zu diesem Zeitpunkt werden in der Ereignisanzeige die Fehler 1030 und 1058 generiert.

Wenigstens weiss ich jetzt, was ich nicht machen darf, dass der Fehler kommt :)

Gruss Rex_Swissly

#26 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 26. Juli 2006 - 18:01

Siehste, da war doch noch was , in der Terminaldienstekonfiguration solltest Du später dann auch nur die interne Karte als Abhörer konfigurieren ...
Ich bin S-1-5-XXX-500, ich darf das ...

#27 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 27. Juli 2006 - 17:44

Hab grad noch gemerkt, dass es nicht so ist, wie in meiner Beschreibung, dass nur der Server direkt mit der Firewall verbunden ist. Von meiner Firewall geht auch noch ein Kabel zu einem der Switch, wo die Clients dran sind.

Wenn ich dieses rausziehe, komme ich von den Clients auf den Server, aber nicht mehr ins Internet. Ich denke, dass liegt daran, dass das Routing zwischen den beiden Netzwerkkarten im Server nicht stimmt. Mit dem eingesteckten Kabel gehen sie einfach direkt auf die Firewall.

Puh, ich denke, dass wird ein interessantes und fluchreiches Wochenende, bis ich die vorgeschlagene Lösung in die Realität umgesetzt habe.

Hat jemand einen guten Link, wo ich mich ins Routing "einarbeiten" kann?

Gruss Rex_Swissly

PS: ITHome, warum wohnst Du nicht in meiner Nähe :-)

#28 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 27. Juli 2006 - 18:02

Oh, naja, das Kabel muss natürlich ab, aber die Grundkonfiguration des RRAS ist wirklich kein Akt ... :) Mache es so wie beschrieben, dann wirst Du wahrscheinlich relativ schnell Erfolg haben. Wenn nicht, einfach fragen ...
Ich bin S-1-5-XXX-500, ich darf das ...

#29 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 29. Juli 2006 - 16:22

So, hab mal an der Konfiguration gearbeitet.

Folgende Situation:

NIC1 LAN

IP Adresse: 10.0.200.3
Subnet: 255.255.255.0
DNS: 10.0.200.3

NIC2 WAN

IP Adresse: 10.10.200.4
Subnet: 255.255.255.0
DNS: 10.0.200.3
Gateway: 10.10.200.22

Firewall

IP Adresse: 10.10.200.22
Subnet: 255.255.255.0

Clients

IP Adresse: 10.0.200.x
Subnet: 255.255.255.0
DNS: 10.0.200.3
Gateway: 10.0.200.3

Beim Server habe ich das RRAS deaktiviert und danach mit NAT konfiguriert. Der Assistent fragte einfach nach der NIC, die mit dem Internet verbunden war.

Die LAN Karte ist in der Bindungsreihenfolge an erster Stelle.

Ich habe auch versucht, das Subnet zwischen NIC2 (WAN) und der Firewall zu auf 255.255.255.252 zu ändern, aber das geht mit der IP Adresse 10.10.200.x nicht.

Mit dem Entbinden von NetBT und allem anderen bin ich mir noch nicht sicher.

NetBT: rechte MT auf WAN - Eigenschaften - Internetprotokoll -Eigenschaften - Erweitert - Register WINS - "NetBIOS über TCP/IP deaktivieren.

Bei der WAN Karte auch den "Client für Microsoft Netzwerke deaktivieren?

In der DNS Konsole ist unter dem Register "Schnittstellen" nur "10.0.200.3" (LAN) drin. Im Register "Weiterleitungen" sind zwei IP's von DNS Server von meinem Provider drin.

Meinst Du das mit dem "Abhörer"?

Wo finde ich die Option für das Abschalten der DNS-Registrierung für die externe Karten (WAN)?

Wie sieht es jetzt aus mit dem externen Zugang mit dem Remotedesktop (Terminaldienstekonfiguration) und Outlook Web Access aus? Muss da auch noch etwas gemacht werden.

Jedenfalls komme ich jetzt ohne dem Netzwerkkabel, dass vom Switch zur Firewall geht, ins Internet, d.h. Client --> Server --> Firewall --> Router(Bridge) --> Internet.

Und die Fehlermeldungen in der Ereignisanzeige habe ich auch nicht mehr. Und die Gruppenrichtlinien reklamieren auch nicht mehr.

Immerhin schon ein Erfolgserlebnis, aber ich denke noch nicht perfekt :-)

Vielleicht kannst Du mir noch für den Endspurt nochmals unter die Arme greifen.

Gruss Rex_Swissly

#30 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 29. Juli 2006 - 18:36

wenn Du eine 30er Maske benutzt, gib den Karten die Adressen 1 und 2 , nicht 4 und 22. NetBT wird dort deaktiviert, wie Du es geschrieben hast, ebenso alle Haken löschen ausser bei Internetprotokoll (nur Haken löschen, nicht deinstallieren). Die Registrierung schaltest Du in den Eigenschaften der WAN-Karte - Eigenschaften Internetprotokoll - Erweitert - DNS - "Adressen dieser Verbindung in DNS-registrieren" aus. Das was Du unter Schnittstellen eingestellt hast, das meine ich mit Abhörer (DHCP nicht vergessen).
Den Zugang zu RDP und OWA musst Du in den Portumleitungen des RRAS einstellen, oder Du konfigurierst den RRAS, dass er VPN-Verbindungen terminiert (dann muss aber noch ein bisschen mehr konfiguriert werden) ...
Ich bin S-1-5-XXX-500, ich darf das ...