ceebee

Hallo zusammen, ich habe einige Threads zu diesem Thema gefunden, die aber entweder nicht gelöst wurden oder aber deren Lösungen mich nicht wirklich weitergebracht haben. Sollte ich hier einen Thread übersehen haben, wäre ich für einen Link dankbar. Mir stellt sich das folgende Problem: Ich habe einen neuen Backup-Server (Windows Server 2008 R2 Enterprise) aufgesetzt, auf dem per Veeam Backup & Replication die virtuellen Maschinen unserer VMware-Umgebung gesichert werden sollen. Die virtuellen Maschinen befinden sich auf iSCSI-SAN-Storage. Das SAN stellt 18 Targets bzw. LUNs zu je 1TB bereit. Für eine möglichst performante Sicherung muss Veeam mit dem SAN verbunden sein. Aus diesem Grund soll der MS iSCSI Initiator auf das SAN zugreifen und Windows die Targets bzw. LUNs als lokale Datenträger einbinden. Der Initiator verbindet sich mit allen 18 Targets ohne Probleme. Allerdings stellt mir Windows in der Datenträgerverwaltung nur 8 der 18 LUNs als Datenträger dar. Der Geräte-Manager verhält sich genauso und diskpart zeigt mit ebenfalls nicht mehr als diese 8 Volumes an. Unternehme ich den gleichen Spaß mit einem Windows Server 2003 R2, dann kann ich problemlos alle Targets konnektieren und bekommen in der Datenträgerverwaltung die entsprechenden Volumes angezeigt. Versuche ich es mit einem anderen Windows Server 2008 R2, dann kann ich wieder alle Targets konnektieren, bekomme aber wieder nur einen Teil der Volumes in der Datenträgerverwaltung bereitgestellt. Die Targets sind alle identisch konfiguriert und befinden sich (bisher) auf einem Gerät (open-e DSS V6). Eine Chap-Authentifizierung zur Konnektierung des Targets ist nicht erforderlich. Für die Verbindung zum SAN wird aktuell (noch) 1GbE verwendet und soll in Kürze auf 10GbE upgegradet werden. SAN und Backup-Server sind direkt ohne Switch verbunden. Die NICs sind (soweit möglich) entsprechend den MS-Best-Practices für iSCSI konfiguriert. Jumbo-Frames waren zu Beginn testweise eingestellt, wurden dann aber auf Default-Werte (1500) zurückgesetzt. Mir gehen die Ideen aus. Existiert seitens des Betriebssystems irgendein Maximum, was die Anzahl der iSCSI-Volumes beschränkt? Aktuell verfügt der Server mit den 8 verbundenen Volumes theoretisch über 40TB lokalen Speicher. Ist das vielleicht ein Problem? Bei dem oben erwähnten zweiten Testserver wären es allerdings gerade mal 18,5TB gewesen, wenn alle Volumes verbunden worde wären... Für Fragen und Anregungen wäre ich sehr dankbar! Gruß ceebee

Das ist teilweise notwendig, weil sie auf Labor- und Entwickler-Maschinen Software installieren und deinstallieren, Dienste starten und stoppen sowie auf bestimmte Konfigurationsdateien zugreifen können müssen.

Das ist ja auch korrekt. Nur müssen ein paar meiner User über lokale Administrationsrechte verfügen und haben somit auch Zugriff auf die Gateway-Konfiguration. Für den Fall, dass einer dieser User am Gateway spielt möchte ich halt einen Alarm definieren.

Hallo zusammen, weiß jemand von Euch, wie bei einer Windows-Maschine (XP Pro) die Änderung des Standardgateways protokolliert wird? Hintergrund: Ich möchte gerne über unsere Netzwerküberwachung eine Benachrichtigung erhalten, wenn an einem Windows-Rechner ein anderes als das für das Subnetz gültige und per DHCP verteilte Gateway konfiguriert ist. Hilfreich wäre es, wenn eine entsprechende Meldung im Eventlog auftauchen würde. Allerdings kann ich nach Änderung der entsprechenden Einstellung keine derartige Meldung entdecken, obwohl alle Ereignisse protokolliert werden. Habe ich hier vielleicht eine Einstellung verpasst? Und wenn ja, wie kann ich diese per GPO auf ca. 200 Clients verteilen? Sollte das nicht über das Eventlog möglich sein: Hat vielleicht jemand eine kreative andere Idee? Oder sehe ich vielleicht den Wald vor lauter Bäumen nicht? Danke und Gruß Ceebee

Der DHCP ist keine physische sondern eine virtuelle Maschine. Ich habe keine Möglichkeit, beide Netze physisch voneinander zu trennen. Die Netzwerkkarten sind mit dem gleichen physischen Netz verbunden, in dem zwei Subnetze existieren. Die Telefone hängen an dem gleichen Switch, wie alle anderen physischen Maschinen auch, inkl. dem Host für die VM. VLANs sind nicht definiert. Das Problem, das sich mir nun stellt, ist, wie verhindere ich, dass die Telefone eine IP aus dem eigentlich für die Rechner vorgesehenen Subnetz bekommen und umgekehrt? Eine Reservierung kommt nicht in Frage weil zu unflexibel. Der DHCP Client Identifier ist doch bei einem DHCP-Discover gleich der MAC-Adresse, oder? Eine DHCP-Klasse für den Telefon-Hersteller kann ich definieren. Jedoch stelle ich darüber doch nur wieder DHCP-Optionen bereit, welche das Telefon konfigurieren, wenn es sein IP-Lease erhält. Ich möchte ja die Spreu schon während des Discover vom Weizen trennen.

Hallo zusammen, falls dieses Thema schonmal behandelt wurde, entschuldigt bitte den Doppelpost. Habe allerdings über die Suche keinen passenden Beitrag gefunden. Zum Szenario: -------------- Die VoIP-Telefone in unserem Netz bekommen per DHCP (Win 2k3 R2) ihre IP zugewiesen. Soweit kein Problem. Nun hätten wir aber gerne die Telefone in einem eigenen Subnetz, in dem der gleiche DHCP seine Aufgabe verrichten soll. Also wird auf dem DHCP ein neuer Scope für das zweite Subnetz eingerichtet und eine zusätzliche NIC in Betrieb genommen, die in dem entsprechenden Subnetz hängt. Besteht die Möglichkeit, und wenn ja welche, während des DHCP-Request des Telefons, es auf Basis des herstellerspezifischen MAC-Prefix in das für die Telefone vorgesehene Subnetz zu schicken? Wie kann ich also eine Serveroption nach dem folgenden Muster erstellen: "If MAC-Prefix = VoIP-Telefon then TK-Subnetz else Rechner-Subnetz." Sinn und Zweck der Übung ist, dass bestimmte, teilweise herstellerspezifische, DHCP-Optionen nur für die Telefone, nicht jedoch für andere Teile der TK-Infrastruktur gelten sollen. Vielen Dank schonmal im Voraus! Ceebee

Naja, Azubis halt. Man kann ihnen ja noch nicht mal böse sein .... Aber an die einfachsten Dinge denkt man ja immer zuletzt ;)

sooo ... das Problem scheint gelöst ... und es war weniger kompliziert als gedacht: Ich war fälschlicherweise der festen Überzeugung, dass die Firewall auf dem Server deaktiviert ist. Dummerdings wird diese Testumgebung auch von einem Kollegen benutzt, der eben diese Firewall auf dem Serversystem testet und sie nach seinem Test wieder deaktivieren sollte, was er anscheinend vergessen hat :mad: ... Vertrauen ist gut, Kontrolle eben auch ... Wie dem auch sei, Ping VPN->Server geht, nslookup VPN->Domäne funzt auch einwandfrei. Ich danke euch trotzdem vielmals für Eure Tipps :thumb1: ceebee

@ IThome: Der Sniffer sagt mir, dass von dem VPN-Client zwar ein Echo request angefordert wird, allerdings erfolgt kein reply. Aus dem lokalen Netz ist der Ping erfolgreich. Statische Routen sind nicht eingerichtet. @ catao: Es läuft kein Virenscanner und keine Firewall auf dem Server. Vielleicht eine lokale Sicherheitsrichtlinie, die ich übersehen haben könnte?

Pingbare Workstation: ============== Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : ws-01 Primäres DNS-Suffix . . . . . : dot.local Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert. . . . . . : Nein WINS-Proxy aktiviert. . . . . : Nein DNS-Suffixsuchliste . . . . . . : dot.local Ethernetadapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: dot.local Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller Physikalische Adresse . . . . . . : 00-18-31-70-A2-CF DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.10.22 Subnetzmaske. . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . : 192.168.10.1 DHCP-Server . . . . . . . . . . . : 192.168.10.19 DNS-Server. . . . . . . . . . . . : 192.168.10.20 192.168.10.21 192.168.10.19 Primärer WINS-Server. . . . : 192.168.10.19 Sekundärer WINS-Server.. . : 192.168.10.21 Lease erhalten. . . . . . . . . . : Dienstag, 8. Mai 2007 09:08:37 Lease läuft ab. . . . . . . . . . : Freitag, 11. Mai 2007 09:09:37 Nicht pingbarer Server: =============== Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : server Primäres DNS-Suffix . . . . . : dot.local Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . : Nein WINS-Proxy aktiviert . . . . : Nein DNS-Suffixsuchliste . . . . . : dot.local Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : Intel® PRO/1000 CT Network Connection Physikalische Adresse . . . . .: 00-04-23-B8-BA-E7 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.10.125 Subnetzmaske . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . .: 192.168.10.1 DNS-Server . . . . . . . . . . . : 192.168.10.19 192.168.10.20 Primärer WINS-Server . . . : 192.168.10.19

Schön ... Ich meine zwar schon, dass mein Problem ähnlich gelagert ist ... aber gut, gibt's halt noch nen Thread: http://www.mcseboard.de/windows-forum-lan-wan-32/vpn-tunnel-aufgebaut-kein-ping-ws2k3-systeme-moeglich-113049.html?highlight=vpn+ping

Hallo zusammen, folgendes Problem: Ich baue einen L2TP/IPSec-Tunnel zwischen einem VPN-Client (Win XP, Netgear SafeNet) und einem Router (Netgear FVX538) auf. Funktioniert soweit auch wunderbar. Der Client bekommt vom Router IP, DNS und WINS mitgeteilt (ipconfig /all am Client zeigt dies auch korrekt an). Ping auf Workstations und Netzwerkgeräte geht. Einzig Ping auf Serversysteme (WS2k3 SP2) im LAN endet mit Timeout. Entsprechend kann ich dem Client auch keine Namensauflösung anbieten (nslookup liefert kein Ergebnis), da die DNS-Server auf diesen Systemen laufen. Habe ich auf den Serversystemen eine Sicherheitseinstellung vergessen, die entsprechende Anfragen blockt? In der Testumgebung ist sowohl am Client wie auch auf dem Testserver die Windowsfirewall deaktiviert, ohne Effekt. Hat jemand 'ne Idee? ceebee

Hallo zusammen, habe das gleiche Problem. Allerdings zwischen einem Client (WinXP, Netgear SafeNet) und einem Router (Netgear) FVX538. Der Client bekommt vom Router IP, DNS und WINS mitgeteilt (ipconfig /all zeigt dies auch korrekt an). Ping auf Workstations und Netzwerkgeräte geht. Ping auf Serversysteme (WS2k3 SP2) im LAN endet mit Timeout. Entsprechend kann ich dem Client auch keine Namensauflösung anbieten (nslookup liefert kein Ergebnis), da die DNS-Server auf diesen Systemen laufen. Habe ich auf den Serversystemen eine Sicherheitseinstellung vergessen, die entsprechende Anfragen blockt? In der Testumgebung ist sowohl am Client wie auch auf dem Testserver die Windowsfirewall deaktiviert, ohne Effekt. Hat jemand 'ne Idee? ceebee

Hi Sedu! Hast du vielleicht schonmal überlegt, IMAP für diesen Zweck zu nutzen? Wir benutzen zwar Exchange nicht als Mailserver sondern KERIO, aber vom Prinzip her sollte es doch ähnlich sein. Wir haben für einen ähnllichen Zweck ein eigenes über IMAP abgefragtes Konto eingerichtet und die entsprechenden Zugangsdaten an die berechtigten User verteilt. Richtet man dieses Konto in Outlook ein, bekommt man zwar einen eigenen Posteingang, jedoch landen auch hier die gesendeten Objekte in dem entsprechenden Ordner des jeweiligen User-Accounts und siind damit für die anderen User wiederrum nicht greifbar. Allerdings kann man sich hier mit einer Regel behelfen, die automatisch eine Kopie der gesendeten Mail in den "Sent-Items"-Ordner des IMAP-Kontos schiebt. CU Ceebee