heinzelrumpel

Hallo,

wie verbindest du dich denn mit deinem inhouse rechner und welches bs ist dort drauf?

die einfachste lösung dürfte sein, den inhouse rechner soweit zu konfigurieren, dass er sicher mit dem kundenrechner kommunizieren kann und du zugriff auf alle nötigen resourcen hast. danach würde ich mich von einem beliebigen standort aus ins internet einwählen und eine terminalsession einleiten, soweit vom bs unterstützt, am eigenen inhouserechner per pptp, ggf. l2tp/ipsec, verbinden. somit entgehst du vielen routing problemen.

gruß

heinzelrumpel

stark, warum hat mir das denn keiner vorher gesagt :D hab gerade heute morgen die 70-216. dann muss ich die 70-218 ja noch nächste woche machen, oder reicht die anmeldung innerhalb des zeitraumes?

gruß

heinzelrumpel

Ja funktioniert.

 

Frank

ist doch schon abgelaufen, oder doch nicht?

hi schneidi,

sollen die vpn-clients nur auf resourcen auf dem 2003 dc zugreifen können, oder gibt es da noch andere server? im ersteren fall könntest du das ip routing für remoteclienst im rras dektivieren. dies beschränkt den zugriff auf lokale resourcen des servers.

ich glaube aber, selbst wenn ein routing vom einem subnetz ins ander auf zertifikatsbasis funktionieren würde, dies kaum ein sicherheitsgewinn ist, denn die daten werden durch den vpn-tunnel zu den clients trotzdem weiterhin nur mit den in pptp gültigen sicherheitseinstellungen übertragen.

als einzigen ausweg sehe ich nur die möglichkeit, für vpn verbindungen neu benutzer und gruppen anzulegen. ist vielleicht etwas umständlich, da die user dann 2 anmeldeinformationen bereitgestellt bekommen müssen.

evtl. ist es auch möglich, den ip-verkehr zwischen subnetz a und subnetz b generell zu beschränken, nämlich mit hilfe der ip-sicherheitsrichlinie. dort kann man definieren, dass der zugriff von einem bestimmten subnetz aus nur verschlüsselt abläuft (sicherer server), mit pre-shared key oder halt auch mit zertifikaten. ich weiss aber nicht, wie das in deinem fall ausschauen würde, da ja beide subnetze, bzw. die dazugehörigen schnittstellen, auf dem gleich server sind. wenn das 2. subnetz rein für remoteclients ist, also im lan nicht gebraucht wird, wäre dies mal ein versuch wert. hast du denn schon gültige zertifikate, die du verwenden kannst?

ist wirklich ein interessantes scenario, was sagen denn die "alten hasen" hier im board dazu?

gruß

heinzelrumpel

p.s hab hier noch nen artikel. der dir evtl. weiterhilft, doch l2tp einzusetzen.

http://support.microsoft.com/default.aspx?scid=kb;de;818043

Mit theoretischem Wissen kann ich hier nicht dienen.

ich bin auch mehr fürs praktische ;) , aber leider muss ich ein bissl für die 70-216 büffeln.

Die von mir eingerichteten Bereichgruppierungen vergeben Adressen erst aus dem Bereich

in dem sich die Netzwerkkarte befindet und dann aus allen anderen zugeordneten Bereichen.

 

Ob sich die Zuteilung, ausser über Reservierungen, steuern lässt ist mir nicht bekannt.

 

bedienst du damit auch clients hinter routern mit dhcp-relay ?

gruß

heinzelrumpel

Hi thorgood,

diese Funktion, bzw. Attribut trifft ja den Relay-Agent oder die RFC 1542 kompatiblen Router zu, aber bei der Bereichsgruppierung geht es ja gerade darum, dass keine Router im Einsatz sind, so sagt es jedenfalls MS. Mein Verständnis der Bereichsgruppierung geht mehr in die Richtung, dass dadurch ein geswitchtes Netz, welches logisch gesehen ein Netz ist, gesubnetted werden soll. Also, 200 Clients am Switch, die sich in versch. Subnetze teilen sollen, ohne Router. Habe ich das falsch verstanden? MS-Press 216 schweigt sich da ziemlich aus, ausser, dass gesagt wird, man dürfe Bereichsgruppierungen nicht auf Netze anwenden, die per DHCP-Relay bedient werden.

Gruß

Heinzelrumpel

vielleicht kannst ja noch mal ein paar mehr infos rüberwuppen. am meisten interessiert mich, warum du im lan eine ras einwahl brauchst. wenn es dir nämlich nur darum geht, eine sichere verbindung von den clients zum server aufzubauen, kannst du auch nur die ip_richtlinien zur verwendung von ipsec verwenden. da kommen auch u.a zertifikate zum tragen. welches bs setzt du denn ein? ist der ras server auch dc? im einheitlichen modus. wer, ausser den ras clients muss noch auf den ras server zugreifen können?

erkläre doch bitte noch ein wenig genauer, was speziel deine absichten mit diesem scenario sind.

gruß

heinzelrumpel

Hi,

glaube nicht, dass es mit der von dir beschriebenen Methode funktioniert, da die Richtlinie NAS-IP für die Radius Authentifizierung vorgesehen ist. Laut Windowshilfe wäre dann aber auch eine Syntax wie diese notwendig:

So geben Sie einen IP-Adressenbereich an 
Für die Angabe sämtlicher IP-Adressen, die mit 192.168.1 beginnen, lautet die Syntax beispielsweise:

192\.168\.1\..+

Du könntest aber einen Protokollfilter in den RAS Richtlinien definieren. Siehe dir das dort mal genauer an.

Gruß

Heinzelrumpel

Hallo,

mir ist der Sinn und Zweck einer Bereichgruppierung nicht ganz klar. Dort werden IP-Bereiche aus versch. Subnetzten zusammengeführt, damit man aus Ihr eine Verwaltungseinheit bilden kann. Eingesetzt werden soll soetwas lt. MS in einem logischen Koppelnetzwerk, d.h man kann dadurch keine DHCP-Relay Agents bedienen. Wie weiß jetzt aber der Client, aus welchen Bereich er ein IP anfordern soll, bzw. woher weiß der DHCP-Server, welche Adresse er zuteilen muss,da ja alle Anfragen über die gleiche Schnittstelle eintreffen.

Gruß

Heinzelrumpel

hmm, hat sich etwas an der router- bzw. firewallkonfiguration geändert?

moinsen,

evtl hilft dir dies weiter.

Unter HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Atapi\ Parameters\ muss der Wert EnableBigLba als DWORD mit dem Wert 1 angelegt werden.

hast du die platte bereits partitioniert? und wenn ja wie ?

gruß

heinzelrumpel

Hallo Heinzelrumpel,

 

leider fällt mir nichts dazu ein.

 

Ist das OS auf C:\ denn nicht mehr startbar?

 

Gruß

Edgar

hab es jetzt hinbekommen, daher hat meine antwort auch etwas auf sich warten lassen. hatte noch irgendwo ein altes cd-rom laufwerk rumliegen. mit dem ging auch das booten von cd. verstehe ich aber trotzdem nicht, da ich vom dem alten auch schon ne bootinstallation gemacht hatte. vielleicht hat es ja nen defekt bekommen.

gru

heinzelrumpel

Hi,

was mich ja ein wenig stutzig macht ist, dass auf "internet" der dhcp mit 172.16.X.X eine klasse b adresse hat.

zum thema dns: eine neue zone brauchst du nicht anlegen, da du ja domänentechnisch nichts verändern willst.

aber was meinst du damit, dass im wlan-netz nur das internet geht? das ist doch schonmal gut, bedeutet auf jden fall, dass deine gateway-einstellungen und der dns geht.

gruß

heinzelrumpel

Hi,

hast du mal in der Ereignisanzeige nachgeschaut? Läuft der Dienst?

Gruß

Heinzelrumpel

hi edgar,

stimmt mit der erweiterten partition. hatte ich bisher nicht in betracht gezogen. mir kam noch in den sinn, evtl. von der wiederherstellungskonsole die primäre partition c: zu formatieren, um danach gleich auf das logische laufwerk zuzugreifen, dass die installationdateien enthält. geht leider auch nicht. da hat xp wohl einen schutz eingebaut. gibt es denn eine möglichkeit, ohne von cd zu booten, in eine art dos-prompt zu gelangen, von dem aus ich die primäre partition formatieren kann. habe leider kein drittanbieter tool, das mir die erweiterte partition in eine primäre umwandelt.

gruß

heinzelrumpel

Hi,

c: ist start- und systempartition, da kann ich vorher nichts löschen. Die Frage ist die, wie ich der Setuproutine beibringe, dass keine tempörären Dateien auf c: abgelegt werden.

Gruß

Heinzelrumpel

Hi,

wo ist denn "hier oben" ?

Gruß

Heinzelrumpel

p.s ist noch zu früh, die überschrift zu lesen :rolleyes:

Hi,

habe ein Problem bei der Neuinstalllation von XP. Aus irgendwelchen Gründen will mein Rechner nicht von der CD booten. Daher habe ich also den Inhalt auf Partition E: kopiert und danach mit winnt32 /tempdrive:e die installation gestartet. Die Setuproutine fängt dann auch munter an, zu kopieren, doch leider, wenn der Neustart erfolgt und ich zum Übersichtsbildschirm gelange, in dem man die Systempartition auswählen kann, ist ein Löschen der Partition C: nicht möglich.Es wird moniert, dass sich temporäre Dateien darauf befänden. Wie bekomme ich denn die Neuinstallation in den Griff. Habe auch kein Floppylaufwerk, mit dem ich starten könnte.

Gruß

Heinzelrumpel

Hi,

wie versuchst Du denn, den DC aus der Domäne zu entfernen?

Heinzelrumpel

Hi,

das mit der80/20 Regel stammt direkt von MS. Folgendes Beispiel.

Du möchtest 100 Clients per DHCP bedienen, dann konfigurierst du auf DHCP1 einen Bereich für 80 IP`S und eine Bereich für 20 Ip`s. Genau die exakten Einstelllungen machst du auch auf DHCP2, nur mit dem unterschied, dass du auf DHCP1 den 80er Bereich aktivierst und auf DHCP2 den 20er. Sollte ein DHCP dir abschmieren, kann du entsprechend den fehlenden Bereich auf dem funktionierenden DHCP Serever aktivieren, bis das Problem behoben ist. Die Adressbereiche sind natürlich nur exemplarisch gewählt, für 100 Clients bracht man natürlich mehr IP`s als oben beschrieben, wegen der Leases etc.

Gruß

Heinzelrumpel

http://www.cisco.com/en/US/products/hw/contnetw/ps792/products_configuration_guide_chapter09186a00801ee748.html

im obigen artikel habe ich folgendes gefunden

Displaying the DHCP Relay Configuration

Use the show dhcp-relay-agent global command to display the DHCP configuration information on the CSS. This command is available in all modes. For example:

# show dhcp-relay-agent global

check das mal in einem der standorte aus. aber es sieht für mich so aus, als dass die cisco dinger das wohl alle unterstützen, sodass du die konfiguration nach deinen wünschen anpassen kannst.

Meine Sorge dabei ist ja, dass ja alle Server untereinander Verbindung haben und auch alle Clients und sich somit theoretisch alle von überall her eine IP-Konfiguration holen können.

also standleitung zwischen den standorten? ist daher von bedeutung, da man ansonsten, wenn wählen bei bedarf konfiguriert ist, einen filter auf die schnittstelle ansetzen könnte, die die dhcp request pakete nicht weiterleitet.

p.s. sorry hab mal wieder nicht genau hingeschaut. " frame relay" hab ich doch glatt überlesen. tja, davon hab ich ja überhaupt keine ahnung.sorry, aber da kann ich dir nicht weiterhelfen

p.p.s

wenn ich mich nicht täusche, sollte der cisco router doch in der lage sein, dhcp traffic zu blocken, damit wäre das problem doch behoben. hast du das handbuch zur hand? gibt es davon ne online version, dann schaue ich mir die gerne mal an. interessiert mich nämlich auch :D

hi nochmal,

hatte überlesen, dass du an jedem Standort ein einen Dc hast. Somit brauchst du eigentlich nur dort einen neuen IP-Bereich konfigurieren und sicherstellen, dass der Relay Agent deaktiviert ist. Solllte der DC ausfallen, dann bekommen deine Clients in dem Netz keine IP, auch nicht vom Server eines anderen Netzes.

Gruß

Heinzelrumpel

Hallo,

das Problem, welches Du beschreibst ist eigentlich keins ;) .Leider hast Du nicht geschrieben, wie diese 4 Standorte miteinander verbunden sind, also per Wählverbindung oder Standleitung mit fester IP. I.d.R ist das so, dass ein DHCP Client sich immer nur IP`s von einem DHCP Serevr in seinem Segment, bzw. Subnetzbereich holt. Eine Ausßnahme bestünde darin, sofern ein DHCP-Relay Agent im Subnetz des Clients installiert ist, der DHCP Anfragen der Client weiterrreicht, oder, es ist ein Router zwischengeschaltet, der nach RFC1492 Bootp unterstützt. Da ich davon ausgehe, dass sich Deine 4 Standorte in 4 verschiedenen Netzen befinden, sollte es eigentlich kein Problem sein, in jedem Standort einnen DHCP Server einzurichten. Skizziere doch mal kurz, wie es Hard- und Softwareseitig in den Standorten aussieht, auf Serverseite meine ich.

Gruß

Heinzelrumpel

hi,

habe den tunnel serverseitig mal herausgenommen und ganz normal auf transportmodus umgestellt. jetzt klappt es auch mit ipsec. mir ist aber noch nicht ganz klar, warum im tunnelmodus verschiedene subnetze da sein müssen. wen ich mich per vpn ipsec einwähle, sind der host und client doch auch im selben netz, trotz tunnelmodus.

gruß

heinzelrumpel