-
Gesamte Inhalte
31 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von MrBraum
-
-
Hy @ all!
Ich hab da ein DHCP problem. Könnte sich aber auch als Netzwerkprob darstellen. vieleicht schaut ihr mal rein ...biddäää!!!
http://www.mcseboard.de/windows-forum-lan-wan-32/dhcp-problem-geswitchten-starnetz-141742.html
thx
MB
-
Hallo community!
Ich komm nicht hinter den Fehler und hoffe mit eurem Saft geht´s!
Folgendes Szenario:
Wenn ich einen Client an einen Swich klemm bekommt der eine IP vom DHCP.
Wenn ich den Client an einen anderen Switch in einem gaaannz anderen Subnetz und VLAN klemme, bekommt er wieder die IP die er beim ersten Netz bekommen hatte. :confused: Lösch ich den Rechnereintrag aus dem DHCP, bekommt er eine neue IP aus dem richtigen Bereich.
Das ist nervig! ..vor allem wenns Laptops sind...heute hier morgen da... :suspect:
Netzeschreibung
Ein Sternnetz mit ca. 30 Hp und Cisco L2(3) untagged Switchen die auf einen L3 switch auflaufen. Alle haben nativ VLAN 1. und sind direckt mit dem Knoten L3switch verbunden. Der Knoten L3 hat 31 VLANS. Die Ports auf dem L3 auf denen die anderen Switche gepatcht sind, sind in verschiedennen VLANS. BOOTP Agent ist auf dem Knoten aktiv. IP Helper ist auf die DHCP Server ip konfiguriert. Server stehen in VLAN 20.
Konfigs kann ich leider nicht ziehen! :(
Server:
Win2K3 AD, DHCP, DNS, etc.
DHCP Range pro Subnetz korrekt eingerichtet.
EDIT: Hab Danke im voraus vergessen ;)
MrBraum
-
Hy...hast du dein Problem noch? oder war das alles?
PS: Die Routingtabelle ist ausschlaggebend welches Interface benutzt wird. wenn die zu routende Ip nicht im Netzbereich deiner Interfaces liegt wird das Paket natürlich gedopt. weiß ja net wohin es routen soll...logisch nicht?!?
-
Hi,
Ich würde auf dem Bri int. zwei subinte. bilden und die dann mit den Dialern beaufschlagen...
interface BRI0
no ip address
no cdp enable
!
interface BRI0.1
no ip address
encapsulation ppp
load-interval 30
dialer pool-member 1
isdn switch-type basic-net3
isdn answer1 xxx
isdn calling-number xxx
no cdp enable
!
interface BRI0.2
no ip address
encapsulation ppp
load-interval 30
dialer pool-member 2
isdn switch-type basic-net3
isdn answer1 xxx
isdn calling-number xxx
no cdp enable
!
interface Dialer1
description Verbindung zum ISP
ip address negotiated
no ip proxy-arp
ip nat outside
encapsulation ppp
no ip route-cache
ip tcp header-compression
ip tcp compression-connections 64
dialer pool 1
dialer idle-timeout 120 either
dialer string 0193670
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxx
ppp chap password 7 xxx
ppp pap sent-username xxx password 7 xxx
!
interface Dialer2
description Dial-in
ip unnumbered Ethernet0
ip nat inside
encapsulation ppp
no ip split-horizon
dialer pool 2
dialer remote-name Dial-inPCs(ISDN)
dialer-group 1
peer default ip address dhcp
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxx
ppp chap password 7 xxx
nur eine Idee ...
MrBraum
-
Hi Urmel,
ich werde mich noch ein wenig mit dem Thema auseinandersetzen um ganz sicher zu gehen das solch ein Fehler nicht nochmal auftritt.
dcdiag und netdiag werde ich auch noch machen und dann ab in die Sicherung!
´An solchen Tagen weiss mann dass man gar nichts weiss´ :suspect:
Bis dann und wann
MrBraum
-
Hi,
OK, den SystemState von Freitag werde ich mir aufbewahren.
Dann mal prost!
MrBraum
-
ALSO....
danke nochmals an alle die mir zur Seite standen! :)
Der Kerberosdienst hat da wohl das ganze blockiert. Die Nutzer können sich wieder anmelden und haben auch wieder zugriff auf Domain Resourcen.
Ich kann mir dies zwar nicht komplett erklähren (da ich den Server min 5 mal neu gestartet habe und dabei auch alle Dienste down and up gehen) aber ich bin erst einmal wieder Arbeitsfähig.
Hatte einer von euch auch schon mal dieses Problem?
Kann ich jetzt davon ausgehen dass es gefixt ist ?
Muss ich jetzt noch etwas machen um irgentwelche anderen Fehler zu rep?
MrBraum
-
Kapier ich nicht!!!
Ich wollte gerade chkdisk machen da meinte einer "starte doch mal den Kerberusdienst neu" ich "Warum?" egal.. gemacht ..und .. das netz läuft wieder!!?????!!!
Keine Ahnung warum.... sieht aber gut aus... ich muss noch etwas testen...
Bis dann
-
Ich brauch noch ein bischen.....
-
Hi Velius,
Ich vermute dasgleiche...;-(
Ich werden jetzt nochmals chkdisk´n und schauen was draus wird...
DNS kann ich öffnen und auch Einträge andern oder Einstellungen verändern.?!?
Die fragen die Try hat kann ich erst nach dem chkdsk beantworten....ca15min...
Danke das Ihr da seid;-)
-
Hallo Urmel,
Einträge im Eventlog hast du keine?Die nötigen Dienste sind alle gestartet?
Da wirst du wohl mal nachschauen und nacharbeiten müssen
1. Nein
2. Ja
3. Nachgearbeitet ...Nachgearbeitet....Nachge..
Es kann auch ein ADS problem sein. Chdsk habe ich schon gestern gemacht.
heute auch schon mal.
Seltsam...
-
Hi Try to find,
Ja, ipconfig -all gibt mir die richtigen angaben!
...der Eintrag in die Hosts war ein guter tipp!!
Mit dem Eintrag kann der Client sich an der Domain anmelden hat aber keine Berechtigung auf gemappte Laufwerke zuzugreifen?!??!
Seltsam....
-
Hallo Admins,
Seltsame dinge geschehen bei mir....
Gestern hatten wir ein Serverausfall des einzigen(nicht meine Idee) DC in der Domain. Der ist mit einer Fehlermeldung (Windows konnte nicht gestartet werden, da ein Festplattenkonfigurationsproblem vorlag) abgeraucht. Das war nicht gut aber auch nicht so tragisch denn support.microsoft.com und der Artikel-ID : 314477 hat´s wieder gefixt....danauch kam
das Phanomen(?) das sich die Clients(120) nicht mehr anmelden konnten.(Kein Domain...)
Grund hierfür ist, dass die Rechner die Domain nicht finden....
ich ja nicht ganz dumm... mache erst mal ein ping auf den DC .... jo der ist up. OK dann noch ein nslookup auf den Namen und .. nichts!! Shit DNS problem!!! Der dc ist geichzeitig dhcp, wins und dns..
dann auf dem DC net stop und start netlogon...nichts DNS neugestartet... nichts...Server neu gestartet ...nichts. Virus scan gemacht... nichts.... Netzwerk geschäkt;-) ...nichts
Mir fehlen die Ideen was ich jetzt noch machen kann???
HIIILLLFFFEEEE!!!
-
Hallo ...
Hört sich nach config Register 0x2142 an.
Setzt config-Register 0x2102 dann funzt es ;)
Bis dann
MrBraum
-
ich kenn dein Problem nicht ?
Mein Link war keine Werbung (im sinne
Regel Nr. 4: Keine Werbung) sondern eine öffentliche Institution und e.V .
Wenn das als Werbung gilt dann darf ich auch nicht schreiben " Geh zum Arbeitsamt.." oder was?
Sei´s drumm ...
MrBraum
-
Hi ...
bin eben darauf gestoßen und dachte ...könnte dich ja interessieren.
Der Link ist vom Rechenzentrum der RFH Köln...
***** URL editiert ****
Die Netzwerkseminare sind gut.
vS&vG
Mr Braum
-
Hi ...
Da du keine config o.Ä. dabei hast kann ich dir nur allg Ratschläge geben...
Ist http von inside nach outside und anders herum >1023 erlaubt?
Ist "telnet" Port 23 auf das outside Interf erlaubt? (solltest besser "ssh" 22 benutzen)
Sind die Interf richtig ..also 0= out 0(WAN) und 1= in 100(LAN)?
vG
Mr Braum
-
Hy Admin´s
Ich habe mal nachgeschaut was ich darüber habe....und was als Anhang geschickt . Das müsste dir weiterhelfen.
PS: Hier ist eine recht gut auskommentierte conf ...muss nur angepasst werden.
Wichtig!!!! Achte darauf dass in deiner conf die NAMEN Korrekt sind.
! VPN-Gatewaykonfiguration .
! EZ-VPN Server akzeptiert IPSec Verbindungen
! von allen moeglichen IP Adressen und fuehrt
! mode-config und xauth durch.
!
! VPN-Remote konnektieren entweder mit einem IOS Router
! oder mit einem cisco VPN-Client 4.x
!
! Fuer beide Faelle ist auf dem Gateway eine EZ-VPN Gruppe
! eingerichtet.
!
! Der Gruppe der IOS-Router wird erlaubt
! xauth mit auf den EZ-VPN-Remote _gespeicherten_ Usern
! Dadurch kann xauth und mode-config ohne weitere EIngabe des
! Users durchgefuehrt werden.
!
! Der Gruppe der Cisco-VPN-Clients wird nicht gestattet mit
! gespeicherten Usernamen/Passwoertern zur Authentifizierung
! zu arbeiten. User muessen beim manuellen Verbindungsaufbau
! Ihr Passwort eingeben.
!
! Die Userauthentifizierung wird gegen IAS Radius Server auf
! dem Infrastrukturserver durchgefuehrt, der ins Active Directory
! ist. Dadurch kann das Recht zur Einwahl im Active Directory
! erteilt werden und der User muss sich kein Passwort merken.
!
! Auf dem IAS ist fuer die IOS-Clients ein User "SITEUSER"
! mit dem Passwort "SITEPASSWORT" angelegt. Alle EZ-VPN-Remote IOS Router
! werden mit diesem gespeicherten User/Passwort gegen den IAS authentifiziert.
!
! Aus Sicherheitsgruenden werden alle Passwoerter auf dem EZ-VPN-Server und
! den EZ-VPN-Remote Routern mit AES verschluesselt.
!
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname VPN-Gateway
username ****** password 0 *******
username ****** password *******
!
!
enable secret ******
!
aaa new-model
!
aaa authentication login VPN-XAUTH-LIST group radius local
aaa authorization network VPN-RAS-GROUP local
aaa authorization network VPN-SITE-GROUP local
!
password encryption aes
!
! Die globale ISAKMP Policy mit 3des Verschluesselung und pre-shared key
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
!
! Mode-config mit dem lokalen Adresspool "VPN-RAS-POOL"
!
crypto isakmp client configuration address-pool local VPN-RAS-POOL
crypto isakmp xauth timeout 90
!
! Die Gruppe fuer die cisco-VPN-Clients
! mit dem Namen VPN-RAS-GROUP mit dem
! Gruppenpasswort: "VPN-RAS-PASSWORT"
! Ausserdem werden den virtuellen Adaptern
! IP Adressen aus dem Pool "VPN-RAS-POOL"
! 192.168.1.1 - 192.168.1.254 zugewiesen
! sowie DNS & WINS Server.
!
crypto isakmp client configuration group VPN-RAS-GROUP
key *****
!(VPN-RAS-PASSWORT)
!
dns 192.168.2.1
wins 192.168.2.1
domain test.int
pool VPN-RAS-POOL
!
!
! Die Gruppe fuer die EZ-VPN-Remote IOS Router
! "VPN-SITE-GROUP" und dem Gruppenpasswort
! "VPN-SITE-PASSWORT". Mitglieder dieser Gruppe
! duerfen mit gespeicherten Passwoertern xauth
! durchfuehren.
!
crypto isakmp client configuration group VPN-SITE-GROUP
key VPN-SITE-PASSWORT
domain test.de
save-password
!
!
! Das Transform Set
crypto ipsec transform-set VPN-TRANSFORM esp-3des esp-sha-hmac
!
! Mit reverse-Route fuer die VPN-Clients
crypto dynamic-map DYN-MAP 1
set transform-set VPN-TRANSFORM
reverse-route
!
! Fuer die EZ-VPN-Remote IOS Clients (also ohne reverse Route)
crypto dynamic-map DYN-MAP 2
set transform-set VPN-TRANSFORM
!
! Hier wir die Crypto-MAP "VPN-MAP" konfiguriert:
! mit Authentifizierung ueber die Liste VPN-XAUTH-LIST
! basierend auf dem dynamischen Template "DYN-MAP"
!
crypto map VPN-MAP client authentication list VPN-XAUTH-LIST
crypto map VPN-MAP isakmp authorization list VPN-SITE-GROUP
crypto map VPN-MAP client configuration address respond
crypto map VPN-MAP 1 ipsec-isakmp dynamic DYN-MAP
!
!
!
! Auf dem Interface wird die crypto-map angewendet:
interface FastEthernet0/0
ip address PUBLIC1
duplex auto
speed auto
crypto map VPN-MAP
!
!
! Der lokale Pool mit den IP-Adressen fuer die VPN-Clients
ip local pool VPN-RAS-POOL 192.168.1.1 192.168.1.254
!
no ip http server
no ip http secure-server
ip classless
!
! Es gibt nur eine default-route: Richtung Bastion-Host!
ip route 0.0.0.0 0.0.0.0 1.2.3.4
!
!
! Die Liste "VPN-XAUTH-LIST" definiert als erste Methode radius. Hier
! wird der zu benutzende RADIUS Server angegeben und der benutzte PSK
!
radius-server host 192.168.2.1 auth-port 1645 acct-port 1646
radius-server retransmit 5
radius-server timeout 10
radius-server key *****
!
!
end
Gruß
MrBraum
-
Jo ...
Bist der einzige der´s geschnallt hat ;)
Wollte mal was "intelligentes" schreiben...hahaha
Nichts für ungut...
MrBraum
-----------------------------
Sonst kann ich nix.
-
Kann mir hier keiner helfen???
Das ist wirklich Schade
Mr Braum
-
Ich habe natürlich nicht vor MCSE schlecht zu machen..(bin selber einer... )aber bei dem ganzen Zertizierungs-Jungle kann man schnell den Überblick verlieren welches Zert jetzt Weltweit anerkannt und welche nur "Zertizierungs-Geldmachzug-" Produkts sind.
Z.Z findet eine Neugliederung der ´Wissensansprüche´ bzw. der Bedürfnisse der IT- Unternehmen statt, weg von Spezialisieung hin zu Flexibilisierung.
Dabei möchte ich nicht auf der Strecke bleiben....
Daher meine Frage wie geht´s weiter....?
Gruß
MrBraum ;)
-------------------------------------------------------------
"Schöne Worte sind oft nicht wahr,wahre Worte oft nicht schön" K.C.
-
dann hab ich mich wohl in der ix´verlesen... oder doch nicht....
PS.: For more information please go to http://giac.org//cert_programs.php
MrBraum :p
-
Hi ....
Mach mal nen update .... und zieh die Sp gleich ...das kann schon helfen.
Mr Braum ;-)
-
Hallo zusammen...
Stand der Umgebung:
- Win2KSP4 Domain mit AD
- 4 DC , 2 www, etc...... :D
- 1SUS ( kein DC) der mir Probleme bereitet...
Problem: Ich kann mich auf dem Server nur Lokal mit admin oder mit einem Dienstkonto aus der Domain anmelden.!?
Bei dem versuch sich mit einem Domainadmin oder einem anderen DomBenutzer an den Server anzumelden passiert folgendes.... Anmeldebildschirm erscheint .....
Username ..... PAssworD....OK.(er meldet mich an)....Benutzeridentifizierte Einstellungen werden übernommen....(und dann meldet er mich sofort wieder ab) ...Einstellungen werden gespeichert...Anmeldebildschirm...(SUUUPPERR)...
Also mit Dom Dienstkonnto oder Lokal Admin Jo.... rest ....ne
Keine Richtlinien vergeben... weder lokal noch global.
Bin für jeden guten Vorschlag außer Format c:
MrBraum
_______________
? ? ? ? ? ? ? ? ? ? ?
DHCP Problem im geswitchten Starnetz
in Windows Forum — LAN & WAN
Geschrieben
Ok, ich werd´s mal so versuchen.. Danke!
Kann aber erst Montag weitermachen....hmmmmmm
bis denne
MB