MrBraum

Ok, ich werd´s mal so versuchen.. Danke!

Kann aber erst Montag weitermachen....hmmmmmm

 

bis denne

 

MB

Hy @ all!

 

Ich hab da ein DHCP problem. Könnte sich aber auch als Netzwerkprob darstellen. vieleicht schaut ihr mal rein ...biddäää!!!

 

http://www.mcseboard.de/windows-forum-lan-wan-32/dhcp-problem-geswitchten-starnetz-141742.html

 

thx

MB

Hallo community!

 

Ich komm nicht hinter den Fehler und hoffe mit eurem Saft geht´s!

 

Folgendes Szenario:

Wenn ich einen Client an einen Swich klemm bekommt der eine IP vom DHCP.

Wenn ich den Client an einen anderen Switch in einem gaaannz anderen Subnetz und VLAN klemme, bekommt er wieder die IP die er beim ersten Netz bekommen hatte. :confused: Lösch ich den Rechnereintrag aus dem DHCP, bekommt er eine neue IP aus dem richtigen Bereich.

Das ist nervig! ..vor allem wenns Laptops sind...heute hier morgen da... :suspect:

 

Netzeschreibung

Ein Sternnetz mit ca. 30 Hp und Cisco L2(3) untagged Switchen die auf einen L3 switch auflaufen. Alle haben nativ VLAN 1. und sind direckt mit dem Knoten L3switch verbunden. Der Knoten L3 hat 31 VLANS. Die Ports auf dem L3 auf denen die anderen Switche gepatcht sind, sind in verschiedennen VLANS. BOOTP Agent ist auf dem Knoten aktiv. IP Helper ist auf die DHCP Server ip konfiguriert. Server stehen in VLAN 20.

 

Konfigs kann ich leider nicht ziehen! :(

 

Server:

Win2K3 AD, DHCP, DNS, etc.

DHCP Range pro Subnetz korrekt eingerichtet.

 

EDIT: Hab Danke im voraus vergessen ;)

MrBraum

Hy...hast du dein Problem noch? oder war das alles?

PS: Die Routingtabelle ist ausschlaggebend welches Interface benutzt wird. wenn die zu routende Ip nicht im Netzbereich deiner Interfaces liegt wird das Paket natürlich gedopt. weiß ja net wohin es routen soll...logisch nicht?!?

Hi,

 

Ich würde auf dem Bri int. zwei subinte. bilden und die dann mit den Dialern beaufschlagen...

 

interface BRI0

no ip address

no cdp enable

!

interface BRI0.1

no ip address

encapsulation ppp

load-interval 30

dialer pool-member 1

isdn switch-type basic-net3

isdn answer1 xxx

isdn calling-number xxx

no cdp enable

!

interface BRI0.2

no ip address

encapsulation ppp

load-interval 30

dialer pool-member 2

isdn switch-type basic-net3

isdn answer1 xxx

isdn calling-number xxx

no cdp enable

!

interface Dialer1

description Verbindung zum ISP

ip address negotiated

no ip proxy-arp

ip nat outside

encapsulation ppp

no ip route-cache

ip tcp header-compression

ip tcp compression-connections 64

dialer pool 1

dialer idle-timeout 120 either

dialer string 0193670

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname xxx

ppp chap password 7 xxx

ppp pap sent-username xxx password 7 xxx

!

interface Dialer2

description Dial-in

ip unnumbered Ethernet0

ip nat inside

encapsulation ppp

no ip split-horizon

dialer pool 2

dialer remote-name Dial-inPCs(ISDN)

dialer-group 1

peer default ip address dhcp

no cdp enable

ppp authentication chap pap callin

ppp chap hostname xxx

ppp chap password 7 xxx

 

 

nur eine Idee ...

 

MrBraum

Hi Urmel,

 

ich werde mich noch ein wenig mit dem Thema auseinandersetzen um ganz sicher zu gehen das solch ein Fehler nicht nochmal auftritt.

dcdiag und netdiag werde ich auch noch machen und dann ab in die Sicherung!

 

´An solchen Tagen weiss mann dass man gar nichts weiss´ :suspect:

 

Bis dann und wann

 

MrBraum

Hi,

 

OK, den SystemState von Freitag werde ich mir aufbewahren.

 

Dann mal prost!

 

MrBraum

ALSO....

 

danke nochmals an alle die mir zur Seite standen! :)

 

Der Kerberosdienst hat da wohl das ganze blockiert. Die Nutzer können sich wieder anmelden und haben auch wieder zugriff auf Domain Resourcen.

 

Ich kann mir dies zwar nicht komplett erklähren (da ich den Server min 5 mal neu gestartet habe und dabei auch alle Dienste down and up gehen) aber ich bin erst einmal wieder Arbeitsfähig.

 

Hatte einer von euch auch schon mal dieses Problem?

Kann ich jetzt davon ausgehen dass es gefixt ist ?

Muss ich jetzt noch etwas machen um irgentwelche anderen Fehler zu rep?

 

MrBraum

Kapier ich nicht!!!

 

Ich wollte gerade chkdisk machen da meinte einer "starte doch mal den Kerberusdienst neu" ich "Warum?" egal.. gemacht ..und .. das netz läuft wieder!!?????!!!

Keine Ahnung warum.... sieht aber gut aus... ich muss noch etwas testen...

 

Bis dann

Ich brauch noch ein bischen.....

Hi Velius,

 

Ich vermute dasgleiche...;-(

Ich werden jetzt nochmals chkdisk´n und schauen was draus wird...

DNS kann ich öffnen und auch Einträge andern oder Einstellungen verändern.?!?

 

Die fragen die Try hat kann ich erst nach dem chkdsk beantworten....ca15min...

Danke das Ihr da seid;-)

Hallo Urmel,

 

Einträge im Eventlog hast du keine?

Die nötigen Dienste sind alle gestartet?

Da wirst du wohl mal nachschauen und nacharbeiten müssen

1. Nein

2. Ja

3. Nachgearbeitet ...Nachgearbeitet....Nachge..

 

Es kann auch ein ADS problem sein. Chdsk habe ich schon gestern gemacht.

heute auch schon mal.

 

Seltsam...

Hi Try to find,

Ja, ipconfig -all gibt mir die richtigen angaben!

...der Eintrag in die Hosts war ein guter tipp!!

 

Mit dem Eintrag kann der Client sich an der Domain anmelden hat aber keine Berechtigung auf gemappte Laufwerke zuzugreifen?!??!

Seltsam....

Hallo Admins,

Seltsame dinge geschehen bei mir....

Gestern hatten wir ein Serverausfall des einzigen(nicht meine Idee) DC in der Domain. Der ist mit einer Fehlermeldung (Windows konnte nicht gestartet werden, da ein Festplattenkonfigurationsproblem vorlag) abgeraucht. Das war nicht gut aber auch nicht so tragisch denn support.microsoft.com und der Artikel-ID : 314477 hat´s wieder gefixt....danauch kam

das Phanomen(?) das sich die Clients(120) nicht mehr anmelden konnten.(Kein Domain...)

Grund hierfür ist, dass die Rechner die Domain nicht finden....

ich ja nicht ganz dumm... mache erst mal ein ping auf den DC .... jo der ist up. OK dann noch ein nslookup auf den Namen und .. nichts!! Shit DNS problem!!! Der dc ist geichzeitig dhcp, wins und dns..

dann auf dem DC net stop und start netlogon...nichts DNS neugestartet... nichts...Server neu gestartet ...nichts. Virus scan gemacht... nichts.... Netzwerk geschäkt;-) ...nichts

Mir fehlen die Ideen was ich jetzt noch machen kann???

HIIILLLFFFEEEE!!!

Hallo ...

 

Hört sich nach config Register 0x2142 an.

 

Setzt config-Register 0x2102 dann funzt es ;)

 

Bis dann

 

MrBraum

ich kenn dein Problem nicht ?

 

Mein Link war keine Werbung (im sinne

Regel Nr. 4: Keine Werbung) sondern eine öffentliche Institution und e.V .

Wenn das als Werbung gilt dann darf ich auch nicht schreiben " Geh zum Arbeitsamt.." oder was?

 

Sei´s drumm ...

 

MrBraum

Hi ...

 

bin eben darauf gestoßen und dachte ...könnte dich ja interessieren.

Der Link ist vom Rechenzentrum der RFH Köln...

 

***** URL editiert ****

 

Die Netzwerkseminare sind gut.

 

vS&vG

 

Mr Braum

Hi ...

 

Da du keine config o.Ä. dabei hast kann ich dir nur allg Ratschläge geben...

 

Ist http von inside nach outside und anders herum >1023 erlaubt?

Ist "telnet" Port 23 auf das outside Interf erlaubt? (solltest besser "ssh" 22 benutzen)

 

Sind die Interf richtig ..also 0= out 0(WAN) und 1= in 100(LAN)?

 

vG

 

Mr Braum

Hy Admin´s

 

Ich habe mal nachgeschaut was ich darüber habe....und was als Anhang geschickt . Das müsste dir weiterhelfen.

 

PS: Hier ist eine recht gut auskommentierte conf ...muss nur angepasst werden.

Wichtig!!!! Achte darauf dass in deiner conf die NAMEN Korrekt sind.

 

! VPN-Gatewaykonfiguration .

! EZ-VPN Server akzeptiert IPSec Verbindungen

! von allen moeglichen IP Adressen und fuehrt

! mode-config und xauth durch.

!

! VPN-Remote konnektieren entweder mit einem IOS Router

! oder mit einem cisco VPN-Client 4.x

!

! Fuer beide Faelle ist auf dem Gateway eine EZ-VPN Gruppe

! eingerichtet.

!

! Der Gruppe der IOS-Router wird erlaubt

! xauth mit auf den EZ-VPN-Remote _gespeicherten_ Usern

! Dadurch kann xauth und mode-config ohne weitere EIngabe des

! Users durchgefuehrt werden.

!

! Der Gruppe der Cisco-VPN-Clients wird nicht gestattet mit

! gespeicherten Usernamen/Passwoertern zur Authentifizierung

! zu arbeiten. User muessen beim manuellen Verbindungsaufbau

! Ihr Passwort eingeben.

!

! Die Userauthentifizierung wird gegen IAS Radius Server auf

! dem Infrastrukturserver durchgefuehrt, der ins Active Directory

! ist. Dadurch kann das Recht zur Einwahl im Active Directory

! erteilt werden und der User muss sich kein Passwort merken.

!

! Auf dem IAS ist fuer die IOS-Clients ein User "SITEUSER"

! mit dem Passwort "SITEPASSWORT" angelegt. Alle EZ-VPN-Remote IOS Router

! werden mit diesem gespeicherten User/Passwort gegen den IAS authentifiziert.

!

! Aus Sicherheitsgruenden werden alle Passwoerter auf dem EZ-VPN-Server und

! den EZ-VPN-Remote Routern mit AES verschluesselt.

!

!

version 12.3

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname VPN-Gateway

username ****** password 0 *******

username ****** password *******

!

!

enable secret ******

!

aaa new-model

!

aaa authentication login VPN-XAUTH-LIST group radius local

aaa authorization network VPN-RAS-GROUP local

aaa authorization network VPN-SITE-GROUP local

!

password encryption aes

!

! Die globale ISAKMP Policy mit 3des Verschluesselung und pre-shared key

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

!

!

! Mode-config mit dem lokalen Adresspool "VPN-RAS-POOL"

!

crypto isakmp client configuration address-pool local VPN-RAS-POOL

crypto isakmp xauth timeout 90

!

! Die Gruppe fuer die cisco-VPN-Clients

! mit dem Namen VPN-RAS-GROUP mit dem

! Gruppenpasswort: "VPN-RAS-PASSWORT"

! Ausserdem werden den virtuellen Adaptern

! IP Adressen aus dem Pool "VPN-RAS-POOL"

! 192.168.1.1 - 192.168.1.254 zugewiesen

! sowie DNS & WINS Server.

!

crypto isakmp client configuration group VPN-RAS-GROUP

key *****

!(VPN-RAS-PASSWORT)

!

dns 192.168.2.1

wins 192.168.2.1

domain test.int

pool VPN-RAS-POOL

!

!

! Die Gruppe fuer die EZ-VPN-Remote IOS Router

! "VPN-SITE-GROUP" und dem Gruppenpasswort

! "VPN-SITE-PASSWORT". Mitglieder dieser Gruppe

! duerfen mit gespeicherten Passwoertern xauth

! durchfuehren.

!

crypto isakmp client configuration group VPN-SITE-GROUP

key VPN-SITE-PASSWORT

domain test.de

save-password

!

!

! Das Transform Set

crypto ipsec transform-set VPN-TRANSFORM esp-3des esp-sha-hmac

!

! Mit reverse-Route fuer die VPN-Clients

crypto dynamic-map DYN-MAP 1

set transform-set VPN-TRANSFORM

reverse-route

!

! Fuer die EZ-VPN-Remote IOS Clients (also ohne reverse Route)

crypto dynamic-map DYN-MAP 2

set transform-set VPN-TRANSFORM

!

! Hier wir die Crypto-MAP "VPN-MAP" konfiguriert:

! mit Authentifizierung ueber die Liste VPN-XAUTH-LIST

! basierend auf dem dynamischen Template "DYN-MAP"

!

crypto map VPN-MAP client authentication list VPN-XAUTH-LIST

crypto map VPN-MAP isakmp authorization list VPN-SITE-GROUP

crypto map VPN-MAP client configuration address respond

crypto map VPN-MAP 1 ipsec-isakmp dynamic DYN-MAP

!

!

!

! Auf dem Interface wird die crypto-map angewendet:

interface FastEthernet0/0

ip address PUBLIC1

duplex auto

speed auto

crypto map VPN-MAP

!

!

! Der lokale Pool mit den IP-Adressen fuer die VPN-Clients

ip local pool VPN-RAS-POOL 192.168.1.1 192.168.1.254

!

no ip http server

no ip http secure-server

ip classless

!

! Es gibt nur eine default-route: Richtung Bastion-Host!

ip route 0.0.0.0 0.0.0.0 1.2.3.4

!

!

! Die Liste "VPN-XAUTH-LIST" definiert als erste Methode radius. Hier

! wird der zu benutzende RADIUS Server angegeben und der benutzte PSK

!

radius-server host 192.168.2.1 auth-port 1645 acct-port 1646

radius-server retransmit 5

radius-server timeout 10

radius-server key *****

!

!

end

 

Schau mal hier: http://www.cisco.com/pcgi-bin/search/search.pl?searchPhrase=VPN+conf&nv=Search+All+cisco.com%23%23cisco.com&nv=Technical+Support+%26+documentation%23%23cisco.com%23TSD&language=en&country=US&accessLevel=Guest&siteToSearch=cisco.com

 

Gruß

 

MrBraum

Jo ...

 

Bist der einzige der´s geschnallt hat ;)

 

Wollte mal was "intelligentes" schreiben...hahaha

 

Nichts für ungut...

 

 

MrBraum

 

-----------------------------

Sonst kann ich nix.

Kann mir hier keiner helfen???

 

Das ist wirklich Schade

 

Mr Braum

Ich habe natürlich nicht vor MCSE schlecht zu machen..(bin selber einer... )aber bei dem ganzen Zertizierungs-Jungle kann man schnell den Überblick verlieren welches Zert jetzt Weltweit anerkannt und welche nur "Zertizierungs-Geldmachzug-" Produkts sind.

Z.Z findet eine Neugliederung der ´Wissensansprüche´ bzw. der Bedürfnisse der IT- Unternehmen statt, weg von Spezialisieung hin zu Flexibilisierung.

Dabei möchte ich nicht auf der Strecke bleiben....

 

Daher meine Frage wie geht´s weiter....?

 

Gruß

 

MrBraum ;)

-------------------------------------------------------------

"Schöne Worte sind oft nicht wahr,wahre Worte oft nicht schön" K.C.

dann hab ich mich wohl in der ix´verlesen... oder doch nicht....

 

 

PS.: For more information please go to http://giac.org//cert_programs.php

 

MrBraum :p

Hi ....

 

Mach mal nen update .... und zieh die Sp gleich ...das kann schon helfen.

 

Mr Braum ;-)

Hallo zusammen...

 

 

Stand der Umgebung:

 

- Win2KSP4 Domain mit AD

- 4 DC , 2 www, etc...... :D

- 1SUS ( kein DC) der mir Probleme bereitet...

 

Problem: Ich kann mich auf dem Server nur Lokal mit admin oder mit einem Dienstkonto aus der Domain anmelden.!?

 

Bei dem versuch sich mit einem Domainadmin oder einem anderen DomBenutzer an den Server anzumelden passiert folgendes.... Anmeldebildschirm erscheint .....

Username ..... PAssworD....OK.(er meldet mich an)....Benutzeridentifizierte Einstellungen werden übernommen....(und dann meldet er mich sofort wieder ab) ...Einstellungen werden gespeichert...Anmeldebildschirm...(SUUUPPERR)...

 

Also mit Dom Dienstkonnto oder Lokal Admin Jo.... rest ....ne

Keine Richtlinien vergeben... weder lokal noch global.

 

 

Bin für jeden guten Vorschlag außer Format c:

 

MrBraum

_______________

? ? ? ? ? ? ? ? ? ? ?