MrBraum

Ok, ich werd´s mal so versuchen.. Danke! Kann aber erst Montag weitermachen....hmmmmmm bis denne MB

Hy @ all! Ich hab da ein DHCP problem. Könnte sich aber auch als Netzwerkprob darstellen. vieleicht schaut ihr mal rein ...biddäää!!! http://www.mcseboard.de/windows-forum-lan-wan-32/dhcp-problem-geswitchten-starnetz-141742.html thx MB

Hallo community! Ich komm nicht hinter den Fehler und hoffe mit eurem Saft geht´s! Folgendes Szenario: Wenn ich einen Client an einen Swich klemm bekommt der eine IP vom DHCP. Wenn ich den Client an einen anderen Switch in einem gaaannz anderen Subnetz und VLAN klemme, bekommt er wieder die IP die er beim ersten Netz bekommen hatte. :confused: Lösch ich den Rechnereintrag aus dem DHCP, bekommt er eine neue IP aus dem richtigen Bereich. Das ist nervig! ..vor allem wenns Laptops sind...heute hier morgen da... :suspect: Netzeschreibung Ein Sternnetz mit ca. 30 Hp und Cisco L2(3) untagged Switchen die auf einen L3 switch auflaufen. Alle haben nativ VLAN 1. und sind direckt mit dem Knoten L3switch verbunden. Der Knoten L3 hat 31 VLANS. Die Ports auf dem L3 auf denen die anderen Switche gepatcht sind, sind in verschiedennen VLANS. BOOTP Agent ist auf dem Knoten aktiv. IP Helper ist auf die DHCP Server ip konfiguriert. Server stehen in VLAN 20. Konfigs kann ich leider nicht ziehen! :( Server: Win2K3 AD, DHCP, DNS, etc. DHCP Range pro Subnetz korrekt eingerichtet. EDIT: Hab Danke im voraus vergessen ;) MrBraum

Hy...hast du dein Problem noch? oder war das alles? PS: Die Routingtabelle ist ausschlaggebend welches Interface benutzt wird. wenn die zu routende Ip nicht im Netzbereich deiner Interfaces liegt wird das Paket natürlich gedopt. weiß ja net wohin es routen soll...logisch nicht?!?

Hi, Ich würde auf dem Bri int. zwei subinte. bilden und die dann mit den Dialern beaufschlagen... interface BRI0 no ip address no cdp enable ! interface BRI0.1 no ip address encapsulation ppp load-interval 30 dialer pool-member 1 isdn switch-type basic-net3 isdn answer1 xxx isdn calling-number xxx no cdp enable ! interface BRI0.2 no ip address encapsulation ppp load-interval 30 dialer pool-member 2 isdn switch-type basic-net3 isdn answer1 xxx isdn calling-number xxx no cdp enable ! interface Dialer1 description Verbindung zum ISP ip address negotiated no ip proxy-arp ip nat outside encapsulation ppp no ip route-cache ip tcp header-compression ip tcp compression-connections 64 dialer pool 1 dialer idle-timeout 120 either dialer string 0193670 dialer-group 1 ppp authentication chap pap callin ppp chap hostname xxx ppp chap password 7 xxx ppp pap sent-username xxx password 7 xxx ! interface Dialer2 description Dial-in ip unnumbered Ethernet0 ip nat inside encapsulation ppp no ip split-horizon dialer pool 2 dialer remote-name Dial-inPCs(ISDN) dialer-group 1 peer default ip address dhcp no cdp enable ppp authentication chap pap callin ppp chap hostname xxx ppp chap password 7 xxx nur eine Idee ... MrBraum

Hi Urmel, ich werde mich noch ein wenig mit dem Thema auseinandersetzen um ganz sicher zu gehen das solch ein Fehler nicht nochmal auftritt. dcdiag und netdiag werde ich auch noch machen und dann ab in die Sicherung! ´An solchen Tagen weiss mann dass man gar nichts weiss´ :suspect: Bis dann und wann MrBraum

Hi, OK, den SystemState von Freitag werde ich mir aufbewahren. Dann mal prost! MrBraum

ALSO.... danke nochmals an alle die mir zur Seite standen! :) Der Kerberosdienst hat da wohl das ganze blockiert. Die Nutzer können sich wieder anmelden und haben auch wieder zugriff auf Domain Resourcen. Ich kann mir dies zwar nicht komplett erklähren (da ich den Server min 5 mal neu gestartet habe und dabei auch alle Dienste down and up gehen) aber ich bin erst einmal wieder Arbeitsfähig. Hatte einer von euch auch schon mal dieses Problem? Kann ich jetzt davon ausgehen dass es gefixt ist ? Muss ich jetzt noch etwas machen um irgentwelche anderen Fehler zu rep? MrBraum

Kapier ich nicht!!! Ich wollte gerade chkdisk machen da meinte einer "starte doch mal den Kerberusdienst neu" ich "Warum?" egal.. gemacht ..und .. das netz läuft wieder!!?????!!! Keine Ahnung warum.... sieht aber gut aus... ich muss noch etwas testen... Bis dann

Ich brauch noch ein bischen.....

Hi Velius, Ich vermute dasgleiche...;-( Ich werden jetzt nochmals chkdisk´n und schauen was draus wird... DNS kann ich öffnen und auch Einträge andern oder Einstellungen verändern.?!? Die fragen die Try hat kann ich erst nach dem chkdsk beantworten....ca15min... Danke das Ihr da seid;-)

Hallo Urmel, 1. Nein 2. Ja 3. Nachgearbeitet ...Nachgearbeitet....Nachge.. Es kann auch ein ADS problem sein. Chdsk habe ich schon gestern gemacht. heute auch schon mal. Seltsam...

Hi Try to find, Ja, ipconfig -all gibt mir die richtigen angaben! ...der Eintrag in die Hosts war ein guter tipp!! Mit dem Eintrag kann der Client sich an der Domain anmelden hat aber keine Berechtigung auf gemappte Laufwerke zuzugreifen?!??! Seltsam....

Hallo Admins, Seltsame dinge geschehen bei mir.... Gestern hatten wir ein Serverausfall des einzigen(nicht meine Idee) DC in der Domain. Der ist mit einer Fehlermeldung (Windows konnte nicht gestartet werden, da ein Festplattenkonfigurationsproblem vorlag) abgeraucht. Das war nicht gut aber auch nicht so tragisch denn support.microsoft.com und der Artikel-ID : 314477 hat´s wieder gefixt....danauch kam das Phanomen(?) das sich die Clients(120) nicht mehr anmelden konnten.(Kein Domain...) Grund hierfür ist, dass die Rechner die Domain nicht finden.... ich ja nicht ganz dumm... mache erst mal ein ping auf den DC .... jo der ist up. OK dann noch ein nslookup auf den Namen und .. nichts!! Shit DNS problem!!! Der dc ist geichzeitig dhcp, wins und dns.. dann auf dem DC net stop und start netlogon...nichts DNS neugestartet... nichts...Server neu gestartet ...nichts. Virus scan gemacht... nichts.... Netzwerk geschäkt;-) ...nichts Mir fehlen die Ideen was ich jetzt noch machen kann??? HIIILLLFFFEEEE!!!

Hallo ... Hört sich nach config Register 0x2142 an. Setzt config-Register 0x2102 dann funzt es ;) Bis dann MrBraum

ich kenn dein Problem nicht ? Mein Link war keine Werbung (im sinne Regel Nr. 4: Keine Werbung) sondern eine öffentliche Institution und e.V . Wenn das als Werbung gilt dann darf ich auch nicht schreiben " Geh zum Arbeitsamt.." oder was? Sei´s drumm ... MrBraum

Hi ... bin eben darauf gestoßen und dachte ...könnte dich ja interessieren. Der Link ist vom Rechenzentrum der RFH Köln... ***** URL editiert **** Die Netzwerkseminare sind gut. vS&vG Mr Braum

Hi ... Da du keine config o.Ä. dabei hast kann ich dir nur allg Ratschläge geben... Ist http von inside nach outside und anders herum >1023 erlaubt? Ist "telnet" Port 23 auf das outside Interf erlaubt? (solltest besser "ssh" 22 benutzen) Sind die Interf richtig ..also 0= out 0(WAN) und 1= in 100(LAN)? vG Mr Braum

Hy Admin´s Ich habe mal nachgeschaut was ich darüber habe....und was als Anhang geschickt . Das müsste dir weiterhelfen. PS: Hier ist eine recht gut auskommentierte conf ...muss nur angepasst werden. Wichtig!!!! Achte darauf dass in deiner conf die NAMEN Korrekt sind. ! VPN-Gatewaykonfiguration . ! EZ-VPN Server akzeptiert IPSec Verbindungen ! von allen moeglichen IP Adressen und fuehrt ! mode-config und xauth durch. ! ! VPN-Remote konnektieren entweder mit einem IOS Router ! oder mit einem cisco VPN-Client 4.x ! ! Fuer beide Faelle ist auf dem Gateway eine EZ-VPN Gruppe ! eingerichtet. ! ! Der Gruppe der IOS-Router wird erlaubt ! xauth mit auf den EZ-VPN-Remote _gespeicherten_ Usern ! Dadurch kann xauth und mode-config ohne weitere EIngabe des ! Users durchgefuehrt werden. ! ! Der Gruppe der Cisco-VPN-Clients wird nicht gestattet mit ! gespeicherten Usernamen/Passwoertern zur Authentifizierung ! zu arbeiten. User muessen beim manuellen Verbindungsaufbau ! Ihr Passwort eingeben. ! ! Die Userauthentifizierung wird gegen IAS Radius Server auf ! dem Infrastrukturserver durchgefuehrt, der ins Active Directory ! ist. Dadurch kann das Recht zur Einwahl im Active Directory ! erteilt werden und der User muss sich kein Passwort merken. ! ! Auf dem IAS ist fuer die IOS-Clients ein User "SITEUSER" ! mit dem Passwort "SITEPASSWORT" angelegt. Alle EZ-VPN-Remote IOS Router ! werden mit diesem gespeicherten User/Passwort gegen den IAS authentifiziert. ! ! Aus Sicherheitsgruenden werden alle Passwoerter auf dem EZ-VPN-Server und ! den EZ-VPN-Remote Routern mit AES verschluesselt. ! ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname VPN-Gateway username ****** password 0 ******* username ****** password ******* ! ! enable secret ****** ! aaa new-model ! aaa authentication login VPN-XAUTH-LIST group radius local aaa authorization network VPN-RAS-GROUP local aaa authorization network VPN-SITE-GROUP local ! password encryption aes ! ! Die globale ISAKMP Policy mit 3des Verschluesselung und pre-shared key crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! ! ! Mode-config mit dem lokalen Adresspool "VPN-RAS-POOL" ! crypto isakmp client configuration address-pool local VPN-RAS-POOL crypto isakmp xauth timeout 90 ! ! Die Gruppe fuer die cisco-VPN-Clients ! mit dem Namen VPN-RAS-GROUP mit dem ! Gruppenpasswort: "VPN-RAS-PASSWORT" ! Ausserdem werden den virtuellen Adaptern ! IP Adressen aus dem Pool "VPN-RAS-POOL" ! 192.168.1.1 - 192.168.1.254 zugewiesen ! sowie DNS & WINS Server. ! crypto isakmp client configuration group VPN-RAS-GROUP key ***** !(VPN-RAS-PASSWORT) ! dns 192.168.2.1 wins 192.168.2.1 domain test.int pool VPN-RAS-POOL ! ! ! Die Gruppe fuer die EZ-VPN-Remote IOS Router ! "VPN-SITE-GROUP" und dem Gruppenpasswort ! "VPN-SITE-PASSWORT". Mitglieder dieser Gruppe ! duerfen mit gespeicherten Passwoertern xauth ! durchfuehren. ! crypto isakmp client configuration group VPN-SITE-GROUP key VPN-SITE-PASSWORT domain test.de save-password ! ! ! Das Transform Set crypto ipsec transform-set VPN-TRANSFORM esp-3des esp-sha-hmac ! ! Mit reverse-Route fuer die VPN-Clients crypto dynamic-map DYN-MAP 1 set transform-set VPN-TRANSFORM reverse-route ! ! Fuer die EZ-VPN-Remote IOS Clients (also ohne reverse Route) crypto dynamic-map DYN-MAP 2 set transform-set VPN-TRANSFORM ! ! Hier wir die Crypto-MAP "VPN-MAP" konfiguriert: ! mit Authentifizierung ueber die Liste VPN-XAUTH-LIST ! basierend auf dem dynamischen Template "DYN-MAP" ! crypto map VPN-MAP client authentication list VPN-XAUTH-LIST crypto map VPN-MAP isakmp authorization list VPN-SITE-GROUP crypto map VPN-MAP client configuration address respond crypto map VPN-MAP 1 ipsec-isakmp dynamic DYN-MAP ! ! ! ! Auf dem Interface wird die crypto-map angewendet: interface FastEthernet0/0 ip address PUBLIC1 duplex auto speed auto crypto map VPN-MAP ! ! ! Der lokale Pool mit den IP-Adressen fuer die VPN-Clients ip local pool VPN-RAS-POOL 192.168.1.1 192.168.1.254 ! no ip http server no ip http secure-server ip classless ! ! Es gibt nur eine default-route: Richtung Bastion-Host! ip route 0.0.0.0 0.0.0.0 1.2.3.4 ! ! ! Die Liste "VPN-XAUTH-LIST" definiert als erste Methode radius. Hier ! wird der zu benutzende RADIUS Server angegeben und der benutzte PSK ! radius-server host 192.168.2.1 auth-port 1645 acct-port 1646 radius-server retransmit 5 radius-server timeout 10 radius-server key ***** ! ! end Schau mal hier: http://www.cisco.com/pcgi-bin/search/search.pl?searchPhrase=VPN+conf&nv=Search+All+cisco.com%23%23cisco.com&nv=Technical+Support+%26+documentation%23%23cisco.com%23TSD&language=en&country=US&accessLevel=Guest&siteToSearch=cisco.com Gruß MrBraum

Jo ... Bist der einzige der´s geschnallt hat ;) Wollte mal was "intelligentes" schreiben...hahaha Nichts für ungut... MrBraum ----------------------------- Sonst kann ich nix.

Kann mir hier keiner helfen??? Das ist wirklich Schade Mr Braum

Ich habe natürlich nicht vor MCSE schlecht zu machen..(bin selber einer... )aber bei dem ganzen Zertizierungs-Jungle kann man schnell den Überblick verlieren welches Zert jetzt Weltweit anerkannt und welche nur "Zertizierungs-Geldmachzug-" Produkts sind. Z.Z findet eine Neugliederung der ´Wissensansprüche´ bzw. der Bedürfnisse der IT- Unternehmen statt, weg von Spezialisieung hin zu Flexibilisierung. Dabei möchte ich nicht auf der Strecke bleiben.... Daher meine Frage wie geht´s weiter....? Gruß MrBraum ;) ------------------------------------------------------------- "Schöne Worte sind oft nicht wahr,wahre Worte oft nicht schön" K.C.

dann hab ich mich wohl in der ix´verlesen... oder doch nicht.... PS.: For more information please go to http://giac.org//cert_programs.php MrBraum :p

Hi .... Mach mal nen update .... und zieh die Sp gleich ...das kann schon helfen. Mr Braum ;-)

Hallo zusammen... Stand der Umgebung: - Win2KSP4 Domain mit AD - 4 DC , 2 www, etc...... :D - 1SUS ( kein DC) der mir Probleme bereitet... Problem: Ich kann mich auf dem Server nur Lokal mit admin oder mit einem Dienstkonto aus der Domain anmelden.!? Bei dem versuch sich mit einem Domainadmin oder einem anderen DomBenutzer an den Server anzumelden passiert folgendes.... Anmeldebildschirm erscheint ..... Username ..... PAssworD....OK.(er meldet mich an)....Benutzeridentifizierte Einstellungen werden übernommen....(und dann meldet er mich sofort wieder ab) ...Einstellungen werden gespeichert...Anmeldebildschirm...(SUUUPPERR)... Also mit Dom Dienstkonnto oder Lokal Admin Jo.... rest ....ne Keine Richtlinien vergeben... weder lokal noch global. Bin für jeden guten Vorschlag außer Format c: MrBraum _______________ ? ? ? ? ? ? ? ? ? ? ?