Catweasel67

Ich bin aber gerade dabei mir zu überlegen ob ich den DNS nicht statisch mache womit ich alles auf dem 172er und dem 10er Netz fahren könnte. die anderen Netze würden dann ihr informationen auch über die Schnittstellen und nicht mehr über die zusätzlichen DMZ Schnittstellen bekommen.

Erster Standort (Extern unseres Office) Controller für zweite Member Domain

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : DETUGSAD01

Prim„res DNS-Suffix . . . . . . . : detug.vx.port

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : detug.vx.port

vx.port

 

Ethernet-Adapter DMZ:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Intel® PRO/1000 MT-Netzwerkverbindung #2

Physikalische Adresse . . . . . . : 00-50-56-99-16-00

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

IPv4-Adresse . . . . . . . . . . : 10.11.0.21(Bevorzugt)

Subnetzmaske . . . . . . . . . . : 255.255.224.0

Standardgateway . . . . . . . . . : 10.11.0.1

NetBIOS ber TCP/IP . . . . . . . : Aktiviert

 

Ethernet-Adapter LAN:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Intel® PRO/1000 MT-Netzwerkverbindung

Physikalische Adresse . . . . . . : 00-50-56-99-22-B6

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

IPv4-Adresse . . . . . . . . . . : 10.10.0.21(Bevorzugt)

Subnetzmaske . . . . . . . . . . : 255.255.224.0

Standardgateway . . . . . . . . . :

DNS-Server . . . . . . . . . . . : 127.0.0.1

172.21.5.91

172.21.5.92

NetBIOS ber TCP/IP . . . . . . . : Aktiviert

 

Tunneladapter LAN-Verbindung*:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : isatap.{7C2180CC-0F26-4C49-BFE1-29070981BBAF}

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter LAN-Verbindung* 8:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : isatap.{B17B4DF4-6528-4513-B5A1-95FA6A2DC459}

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter LAN-Verbindung* 9:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface

Physikalische Adresse . . . . . . : 02-00-54-55-4E-01

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

Erster Standort (Extern unseres Office) Controller für erste Member Domain

 

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : DEFRASAD01

Prim„res DNS-Suffix . . . . . . . : defra.vx.port

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : defra.vx.port

vx.port

 

Ethernet-Adapter DMZ:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Broadcom BCM5708S NetXtreme II GigE (NDIS VBD Client) #2

Physikalische Adresse . . . . . . : 00-19-B9-F4-8C-DA

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

IPv4-Adresse . . . . . . . . . . : 10.254.5.81(Bevorzugt)

Subnetzmaske . . . . . . . . . . : 255.255.0.0

Standardgateway . . . . . . . . . : 10.254.4.10

DNS-Server . . . . . . . . . . . : 127.0.0.1

10.254.5.82

10.254.5.91

10.254.5.92

NetBIOS ber TCP/IP . . . . . . . : Aktiviert

 

Ethernet-Adapter LAN:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Broadcom BCM5708S NetXtreme II GigE (NDIS VBD Client)

Physikalische Adresse . . . . . . : 00-19-B9-F4-8C-D8

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

IPv4-Adresse . . . . . . . . . . : 172.21.5.81(Bevorzugt)

Subnetzmaske . . . . . . . . . . : 255.255.0.0

Standardgateway . . . . . . . . . :

DNS-Server . . . . . . . . . . . : 127.0.0.1

172.21.5.82

172.21.5.91

172.21.5.92

NetBIOS ber TCP/IP . . . . . . . : Aktiviert

 

Tunneladapter LAN-Verbindung*:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : isatap.{32761830-444F-4627-940D-24BC1094CD3F}

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter LAN-Verbindung* 8:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : isatap.{8C4B67CE-531F-41AD-87C4-8A8F55B85A56}

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

Erster Standort (Extern unseres Office) Controller für Forest

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : GLBADS01

Prim„res DNS-Suffix . . . . . . . : vx.port

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : vx.port

 

Ethernet-Adapter Team_SQL:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : BASP Virtual Adapter

Physikalische Adresse . . . . . . : 00-1E-C9-B3-AE-C5

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

IPv4-Adresse . . . . . . . . . . : 10.0.86.91(Bevorzugt)

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

DNS-Server . . . . . . . . . . . : 127.0.0.1

10.0.86.92

NetBIOS ber TCP/IP . . . . . . . : Aktiviert

 

Ethernet-Adapter Team_LAN:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Gruppe: Team_LAN

Physikalische Adresse . . . . . . : 00-15-17-7B-4E-FB

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

IPv4-Adresse . . . . . . . . . . : 172.21.5.91(Bevorzugt)

Subnetzmaske . . . . . . . . . . : 255.255.0.0

Standardgateway . . . . . . . . . :

DNS-Server . . . . . . . . . . . : 127.0.0.1

172.21.5.92

NetBIOS ber TCP/IP . . . . . . . : Aktiviert

 

Ethernet-Adapter Team_DMZ:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Gruppe: Team_DMZ

Physikalische Adresse . . . . . . : 00-15-17-7B-4E-FA

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

IPv4-Adresse . . . . . . . . . . : 10.254.5.91(Bevorzugt)

Subnetzmaske . . . . . . . . . . : 255.255.0.0

Standardgateway . . . . . . . . . : 10.254.4.10

DNS-Server . . . . . . . . . . . : 127.0.0.1

10.254.5.92

NetBIOS ber TCP/IP . . . . . . . : Aktiviert

 

Tunneladapter LAN-Verbindung*:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface

Physikalische Adresse . . . . . . : 02-00-54-55-4E-01

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter LAN-Verbindung* 2:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : isatap.{A7F64C15-3821-43E2-9C2A-EDC207C70394}

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter LAN-Verbindung* 8:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : isatap.{2DAF1FB6-3C06-4618-B9F6-301F3C10AB11}

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter LAN-Verbindung* 9:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : isatap.{BAB28593-BCE1-49A6-8784-C4CF6E3BD2DD}

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

Was den RPC Server angeht so läuft der, er wird nur auf der falschen IP gefragt somit kann er nicht antworten da auf dieser keine Verbindung zwischen den Netzen besteht. Das genau ist ja das Problem. Solabge die Member Domains im gleichen Netz sind rennt die Domäne mit allen memberdomains ohne Probleme.

 

Das Design ist leider nicht wandelbar da es duch den Externen Standort, welcher schon Live läuft aber ohne Domain, schon vorgegeben ist. Ich muss also in die Live Umgebung den Forest rein bauen. Das einzige Problem was ich zur Zeit habe ist einfach das bescheidene RoundRobin im DNS wenn die Verzeichnis Replikation anspringt. :-(

Also folgenden Stand habe ich zur Zeit:

1. Standort

- 2 AD Server die den Forest bilden (Globale Katalog Server)

Adressbereiche 172.21.0.0/16 + 10.254.0.0/16 + 10.0.86.0/16

- 2 AD Server die eine Memberdomain bilden (Globale Katalog Server)

Adressbereiche 172.21.0.0/16 + 10.254.0.0/16 + 10.0.86.0/16

 

2. Standort

- 2 AD Server die eine Memberdomain bilden (Globale Katalog Server)

Adressbereiche 10.10.0.0/19 + 10.11.0.0/19

 

Die Netze 172.21.0.0/16 und 10.10.0.0/19 werden über das VPN verbunden.

 

Die Standorte können untereinander jeweils nur einen Adressbereich sehen und das sind jeweils die ersten Adressbereiche 172.21 + 10.10 welche. Diese werden mit einem VPN verbunden. Der Tunnel darf alle Protokolle und alle Anfragen Transportieren, arbeitet als ohne einschränkungen.

 

Wenn einer der Standorte eine Replikation (DNS + LDAP etc.) anstoßen will kann er den RPC Server nicht erreichen. Dummerweise fragt er einfach den DNS und bekommt aber aus den Netzen die DNS Adressen der Server welche nicht verbunden sind.

 

Was ich schon die hosts editiert und die richtigen Zieladressen eingetragen aber er fragt ja den DNS Server und da lässt er die hosts natürlich außer acht. Sicher ist aber das der RPC Server läuft da die Domains, welche in einem Standort liegen, alles Replizieren können.

Guten Morgen noch mal!

 

Jetzt kommt ein neues Problem hinzu. Der Anmelde Server hat unter anderem ein Subnetz welches als DMZ genutzt wird. Dieses kann aber nur der in dieser Site installierte Server sehen. Bei einer Anfrage des DC aus einem anderen Standort wird aber die IP Adresse aus der DMZ zum Anmelden an der Domain präferiert. Das resultat davon ist das der RPC Server nicht erreichbar ist.

 

Kann mir hier vielleicht jemand weiterhelfen? Dies würde auch geschehen wenn ich nur eine Domain überall verwende, das habe ich nömlich schon versucht.

Als erstes erst mal Danke für die Antwort und den Tipp zu der Webseite.

 

Nun ja, wir haben den Office Standort bereits mit einer Flachen Struktur versehen. Sprich, ein hinzugekaufter Standort hat kompletten Anschluss an unseren Hauptstandort. Dies war aber nicht die beste Wahl, wie jetzt festgestellt wurde.

 

Die Portalstandorte werden auch in der zukunft nicht nur in Deutschland stehen sondern auch im Ausland und dann auch von einem anderen Team verwaltet, das aber keinen Zugriff haben soll auf den kompletten Forest.

 

Das war der Beweggrund für die Entscheidung zu einem Forest hin, da man dann die Möglichkeit hat über Universelle Gruppen die Berechtigungen zu Strukturieren.

Hallo,

 

ich habe vor einen Globalen Forest zu Stricken. Ist es hier ausreichend mit einem W2K8 STD Server heran zu gehen oder sollte man den Enteroprise Server verwenden? Wäre schön wenn auch eine Begründung dabei wäre wenn es sich um die Empfehlung zum Enterprise Server zu wechseln wäre.

 

Gruß und Danke! ;)

Im Regelfall wird der DNS nur auf einem Interface einngetragen. und dort steht dann laut Standard die 127.0.0.1 und als zweiter Server wird ein Externer, möglichst von dem DSL-Anbieter der Leitung. Alles andere sollte eigentlich von dem Forward des Authortitiven DNS-Server Servers der Domäne übernommen. Wenn ich das Gednaklich richtig durchgehe fragst du zuerst deinen eigenen DNS-Server und danach fragt diese, sollte er die ANfrage nicht auflösen können, seinen Forward der dann über das Interface im Externen Netz nachfragt.

Hatte das Problem auch einige Zeit und mich damit abgekämpft. Habe dann einje Einfach Lösung gebaut. Ein Gerät gekauft von Teamix und dann Tunnelkonfigs angelegt. Die Porst freigeschaltet und eine Externe IP genommen, welche nicht in dem Netz des ISA Servers liegt und die Leute Arbeiten lassen.

 

auf der Basis kann ich bis zu der Magischen Zahl von Microsoft Tunnel anlegen und gefirewallt nach drinnen in mein Privates Netz Routen.

 

Da ich jetzt auch nicht mehr die Anforderung eines ISA Servers habe, nutze ich die Chance uind schmeiß ihn ganz schnell aus dem Netz. Alles andere kann man dann mit Astaro in Kombination mit Netscreen spielend machen.

 

Gruß

 

Catweasel67 :p

Ich fahre bei solchen Problemen immer mit einer Windows 98 Bootdisk hoch womit ich dann acuh an die Partitionstabelle ran komme. So kann ich mit FIXBOOT oder auch mit dem Tool, wenn es auf der Diskette mit hinterlegt worden ist, XFDISK alles löschen was auf der Platte Existiert.

 

Mit XFDISK kann man dann auch wenn man möchte die Partitionen vorbereiten un die Platte schon im Vorfeld aufteilen.

 

Gruß

 

Catweasel67

Gibt es da nicht Probleme mit der Vererbung? Dann kann man doch auch nicht mehr umbennen in allen unter in der Struktur. Ich denke das dann jemand eingesetzt werden müßte der diese Rechte noch weiter hält, außer dem Admin meine ich.

 

Gruß

 

Catweasel67

Hallo,

 

wie sieht den deine komplette Netzwerkkonfiguration aus? Es hört sich nach einem Routingproblem an.

 

Gruß Catweasel67