r4z13l

Guten Morgen Zusammen, der Trust funktioniert nun wie er soll. Was wurde getan: 1.) Einen weiteren Server 2019 (mit GUI) zum DC gemacht 2.) Sämtliche FSMO Rollen auf den den 3. DC verschoben - Eine Wichtige tätigkeit hat mich dann davon abgehalten, gestern noch weiter daran zu arbeiten 3.) Morgens angemedet, Trust funktioniert Ich versuche heute noch herauszufinden was sich da im AD getan hat und berichte hier. LG r4

ah jetzt :) Also mit DNS meine ich, dass ich auf beiden Seiten nur ein forwarding für die jeweil andere Domäne konfiguriert habe, keinen Zonenübertragung o.ä. Einen dritten DC (mit GUI) installiere ich bereits. LG r4

Guten Morgen Nils, vielen Dank für deinen Hinweis. Meines Wissens nach kann bei Server 2019 die GUI nicht mehr nachinstalliert werden. Hier müssten also neu DCs installiert und das ganze auf diese verschoben werden (was viel Aufwand bedeutet). Zur DNS - Anmerukung: Was meinst du damit? Zu den Standorten: Ja, die DCs laufen an unterschiedlichen Standorten und können nur über L3 miteinander kommunizieren. Andes geht es leider nicht. LG r4

Hi Knoebbe, ich habe letzte Woche meine ASA5505 außer Betrieb genommen und wollte diese eh über eBay verkaufen. Hättest du interesse? Achtung: Eine 5505 hat nur FastEthernet Ports (100M). Auf der ASA ist nur eine BASE - Lizenz. LG r4

Hallo Community, nach Jahren habe ich endlich mal wieder ein Microsoft Projekt zu realisieren und stoße promt auf ein sehr ungewöhnliches Verhalten... Wir erstellen für unser Büro aktuell eine neue Domain und wollen die User / Dienste aus der alten Domain (domain1.local) in die neue Domain (office.domain2.de) migrieren. Zum Aufbau: domain1.local = Domänen- & Funktionslevel = Server 2008 R2 office.domain2.de = Domänen- & Funktionslevel = Server 2016 (installiert auf MS Windows Server Core 2019)* Die beiden Domains sind über einen S2S IPSec VPN Tunnel verbunden (permit ip any any). *hier die erste Unstimmigkeit - Problem 1: Lasse ich mir das Domänen- & Funktionslevel über die GUI anzeigen, wird mir wie erwartet Server 2016 angezeigt. Frage ich das per PowerShell ab bekomme ich folgende Ausgabe: PS C:\Users\adm.xxx\Documents> [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain() Forest : office.domain2.de DomainControllers : {DC01.office.domain2.de, DC02.office.domain2.de} Children : {} DomainMode : Unknown DomainModeLevel : 7 Parent : PdcRoleOwner : DC01.office.domain2.de RidRoleOwner : DC01.office.domain2.de InfrastructureRoleOwner : DC01.office.domain2.de Name : office.domain2.de Möchte ich den Domain Mode setzen kommt folgender Fehler: PS C:\Users\adm.xxx> Set-ADDomainMode -DomainMode Windows2016Domain -Identity office.domain2.de -AuthType Basic -Credential (Get-Credential OFFICE\adm.xxx) Set-ADDomainMode : Es kann keine Verbindung mit dem Server hergestellt werden. Dies liegt möglicherweise daran, dass der Server nicht vorhanden oder derzeit ausgefallen ist oder dass darauf nicht Active Directory-Webdienste ausgeführt wird. In Zeile:1 Zeichen:1 + Set-ADDomainMode -DomainMode Windows2016Domain -Identity office.domain2 ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ResourceUnavailable: (office.domain2.de:ADDomain) [Set-ADDomainMode], ADServerDownException + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.SetADDomainMode Die AD-WebServices sind jedoch installiert und laufen. Auch kommt diese Meldung, wenn ich das direkt auf dem betroffenen DC ausführe. In der domain1.local steht unter DomainMode ebenfalls wie erwartet Server 2008 R2. ------------------------------- Problem 2: DNS wird über ein Forwarding gemacht. Alle DCs (2 je Domain) können sich problemlos gegenseitig erreichen (ping + telnet auf alle relevanten Ports ist erfolgreich in alle Richtungen). Allerding kann ich den Trust nur von domain1.local nach office.domain2.de einrichten. Wenn ich das so mache, kann ich auch Objekte aus office.domain2.de auf Ressourcen in domain1.local berechtigen. Umgekehrt funktioniert das leider nicht. In office.domain2.de ist der eingerichtet Trust zwar sichtbar (nachdem er in domain1.local eingerichtet wurde) jedoch kann nicht auf Objekte / Ressourcen aus domain1.local zugegriffen werden. Lasse ich den Trust über die MMC überprüfen erscheint folgende Fehlermeldung (s. Anhang: FehlerTrust_office.domain2.de.jgp) Im Eventprotokoll finde ich leider keine weiteren Hinweise, was hier schief läuft :/ Ich bin für jeden Hinweis dankbar. LG r4

Hallo Zusammen, wir haben am Wochenende folgendes (neu) aufgebaut: - Windows Server 2016 std. als Domain Controller - Windows Server 2016 std. + Exchange 2016 std. (+POP3 Connector) Nach Problemen bei der Installation (was nur mit MS Exchange 2016 CU4 möglich war) lief nach mehreren Stunden der Exchange. Jedoch war kein Mailempfang noch -versand möglich. Nach mehreren Einstellungsänderungen an den Empfangsconnectoren, DNS - Einstellungen (von Exchange, nicht vom Server selbst) war es möglich, mit dem Server e-Mails zu Empfangen. Leider ist der Versand von eMails (weder nach intern noch nach extern) möglich. Die eMails bleiben in Ordner "Drafts/Entwürfe" liegen (Über Outlook wie auch über OWA). Im ersten Schritt geht es mir um den internen Mailversand. Gerne stelle ich Logs, Konfig-Einstellungen, ps-ausgaben etc zur Verfügung. LG r4

und kannst du den server per ping erreichen? config des switches?

Auf welche finale Version? Windows 10 wurde von MS freigegeben und es gibt massenhaft Beispiele im Internet wie es zu konfigurieren ist und auch das es funktioniert.

Hallo Zusammen, wir haben in unserer Firma die RA bisher mit dem Windowsboardmittel MSRA realisiert. Von einem geupdateten Windows 10 Arbeitsplatz funktioniert das versenden eines RA Offers jedoch nicht mehr. Es kommt sofort nach dem klicken folgende Fehlermeldung (egal ob mit Hostname, FQDN oder IP): Ideen? LG r4

Hallo Zusammen, falls jemand mal das selbe problem haben sollte, hier die Lösung: nat (outside,inside) 1 source static Destination_LAN Destination_LAN destination static NAT_LAN Source LAN access-list inside_access_in_1 line 1 extended permit ip object Source LAN object NAT_LAN Grüße r4

Hallo Zusammen, folgendes Szenario ist gegeben: Ein VPN - Tunnel zu einem Kunde soll mit genatteten IP Adressen aufgebaut werden. Der VPN Tunnel wird auch sauber und korrekt aufgebaut. Jedoch nattet die ASA das Source LAN nicht. Source LAN: 192.168.10.0/24 NAT LAN: 172.31.31.0/24 Destination LAN 10.15.20.0/24 Es soll ein 1-1 NAT für das Source LAN auf das NAT LAN stattfinden, wenn dieses über den Tunnel kommunizieren möchte. Meine ACL´s passen laut Packettracer alle. Wenn ich jedoch ein "sh nat" mache, sehe ich keine hits auf der NAT Regel welche aus dem Source LAN das NAT Lan machen soll: nat (inside, outside) source static SourceLAN NATLan destination DestinationLAN VPN Tunnel und ACL´s müssten wie gesagt i.O. sein. Hat hier einer eine Idee, was ich falsch mache? Vielen Dank für eure Unterstüzung Grüße r4

config des AP´s?

Hast du entsprechende ACL´s eingerichtet? Sprich, darf man vom inside - LAN der ASA auf das Netz der FB zugreifen? Dashier ist dein Problem: du schickst den Traffic wieder zurück. Hast du beim Routing das richtige Interface ausgewählt?

Hallo Zusammen, weiß jemand, wie ich im AD sperren kann, dass neue (unbekannte) Computer beitreten können? Ich will, dass bevor ein PC der Domain hinzugefügt wird, er im AD angelegt werden muss. Bei neuen Domains kann man das soweit ich weiß bei der Installation einstellen. Ich finde jedoch nicht, wo ich das nachträglich umstellen kann. DC1 = 2008R2 DC2 = 2012R2 Funktionsebene & Schema = 2008R2 Vielen Dank für euere Hilfe! LG r4

Bekommst du im Logging der ASA ein Meldung wenn du "Echtdaten" durch die Leitung schickst?

Hallo, ich habe es nun soweit am laufen :) SSID01 im VLAN 1 (native) SSID02 im VLAN 10 hier die config vom Switchport: interface GigabitEthernet1/0/31 description testIT switchport trunk allowed vlan 1,10 switchport mode trunk switchport nonegotiate macro description cisco-switch und hier die config des AP: ap#sh run Building configuration... Current configuration : 8993 bytes ! version 12.4 no service pad service timestamps debug uptime service timestamps log datetime msec service password-encryption service sequence-numbers ! hostname ap ! enable secret 5 xxx ! aaa new-model ! ! aaa authentication login default local none ! aaa session-id common clock timezone CET 1 clock summer-time CET recurring last Sun Mar 2:00 last Sun Oct 3:00 ip domain name xxx.xxx ! ! dot11 association mac-list 700 dot11 syslog dot11 vlan-name DHCP vlan 10 dot11 vlan-name festeIP vlan 1 ! dot11 ssid SSID01 vlan 1 authentication open mbssid guest-mode ! dot11 ssid SSID02 vlan 10 authentication open authentication key-management wpa version 2 mbssid guest-mode wpa-psk ascii 7 xxx ! power inline negotiation prestandard source ! crypto pki trustpoint TP-self-signed-3041608536 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3041608536 revocation-check none rsakeypair TP-self-signed-3041608536 ! ! crypto pki certificate chain TP-self-signed-3041608536 certificate self-signed 01 xxxx quit username Cisco password 7 xxx ! ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache ! encryption vlan 10 mode ciphers aes-ccm ! ssid SSID01 ! ssid SSID02 ! mbssid channel 2437 station-role root l2-filter bridge-group-acl ! interface Dot11Radio0.1 encapsulation dot1Q 1 native no ip route-cache bridge-group 1 bridge-group 1 input-address-list 700 bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface Dot11Radio0.10 encapsulation dot1Q 10 no ip route-cache bridge-group 10 bridge-group 10 block-unknown-source no bridge-group 10 source-learning no bridge-group 10 unicast-flooding bridge-group 10 spanning-disabled ! interface Dot11Radio1 no ip address no ip route-cache no dfs band block channel dfs station-role root bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto ! interface FastEthernet0.1 encapsulation dot1Q 1 native no ip route-cache bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface FastEthernet0.10 encapsulation dot1Q 10 no ip route-cache bridge-group 10 no bridge-group 10 source-learning bridge-group 10 spanning-disabled ! interface BVI1 ip address 192.168.xx.xx 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.xx.xx ip http server ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag logging trap warnings logging 192.168.xx.xx access-list 700 permit xxxx.xxxx.xxxx 0000.0000.0000 access-list 700 deny 0000.0000.0000 ffff.ffff.ffff snmp-server view dot11view ieee802dot11 included snmp-server view ieee802dot11 ieee802dot11 included snmp-server community xxx view ieee802dot11 RO snmp-server chassis-id BLD_AP01 snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps entity snmp-server enable traps disassociate snmp-server enable traps deauthenticate snmp-server enable traps authenticate-fail snmp-server enable traps dot11-qos snmp-server enable traps switch-over snmp-server enable traps rogue-ap snmp-server enable traps wlan-wep snmp-server enable traps config-copy snmp-server enable traps config snmp-server enable traps syslog snmp-server enable traps cpu threshold snmp-server enable traps aaa_server snmp-server host 192.168.xx.xx xxx bridge 1 route ip ! ! ! line con 0 logging synchronous line vty 0 4 logging synchronous ! end nun habe ich nur noch ein Problem: Ich möchte für SSID01 + VLAN1 einen MAC-Filter einsetzen. Definiere ich einen und setzte diesen nur für VLAN1 zeigt er keine Wirkung (Geräte die nicht definiert sind kommen ins WLAN). interface Dot11Radio0.1 ... bridge-group 1 input-address-list 700 ... Setzte ich den Filter mit dot11 association mac-list 700 funktioniert dieser, jedoch muss jedes Gerät, egal welche mit welchee SSID/VLAN es sich verbindet in der Liste definiert sein. Gibt es eine Möglichkeit, den MAC-Filter nur für VLAN1 zu aktivieren?

Hi Myoey, habe ich gemacht und nochmal auf VLAN 5 umgestellt. Leider hat das ebenfalls nicht geholfen. Ich überlege mir einen anderen Weg, vielen Dank für euer Hilfe!

VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Gi1/0/9, Gi1/0/11, Gi1/0/14 Gi1/0/17, Gi1/0/27, Gi1/0/30 Gi1/0/47, Gi1/0/51, Gi1/0/52 5 mmFesteIP active 10 mmDHCP active Gi1/0/32, Gi1/0/33, Gi1/0/34 Gi1/0/35, Gi1/0/36, Gi1/0/37 Gi1/0/38, Gi1/0/39, Gi1/0/40 Gi1/0/41, Gi1/0/42, Gi1/0/43 Gi1/0/44, Gi1/0/45, Gi1/0/46 53 ZFvLan53 active 1002 fddi-default act/unsup 1003 trcrf-default act/unsup 1004 fddinet-default act/unsup 1005 trbrf-default act/unsup VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 0 5 enet 100005 1500 - - - - - 0 0 10 enet 100010 1500 - - - - - 0 0 VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 53 enet 100053 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 0 0 1003 trcrf 101003 4472 1005 3276 - - srb 0 0 1004 fdnet 101004 1500 - - - ieee - 0 0 1005 trbrf 101005 4472 - - 15 ibm - 0 0 VLAN AREHops STEHops Backup CRF ---- ------- ------- ---------- 1003 7 7 off Remote SPAN VLANs ------------------------------------------------------------------------------ Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------

wenn ich mich der SSID01 (also VLAN5 auf dem AP & Switch) verbinde komme ich nicht ins Internet. Mit SSID02 (VLAN10) funktioniert es Problemlos. Hänge ich einen PC mit fester IP an den Switch kommt dieser ebenfalls ins Internet. Es funktioniert also nur SSID01 nicht richtig. EDIT: Es funktioniert: dot11 ssid ACDMaxMuelleRiD48 no vlan 5 vlan 1 d.h. ich muss das bestehende Netz im nativen VLAN lassen. Kann man das anders machen? Falls nicht, herzlichen Dank für deine Unterstüzung!

Total statistics for 802.1Q VLAN 1: 12115 packets, 1109812 bytes input 5735 packets, 552069 bytes output Total statistics for 802.1Q VLAN 5: 5810 packets, 475058 bytes input 3565 packets, 257766 bytes output Total statistics for 802.1Q VLAN 10: 17019 packets, 3875667 bytes input 15844 packets, 3787274 bytes output Ja Ja Ja, beides

sh vlan: Virtual LAN ID: 1 (IEEE 802.1Q Encapsulation) vLAN Trunk Interfaces: Dot11Radio0.1 FastEthernet0.1 This is configured as native Vlan for the following interface(s) : Dot11Radio0 FastEthernet0 Protocols Configured: Address: Received: Transmitted: Bridging Bridge Group 1 21709 1529 Other 0 643 0 packets, 0 bytes input 1543 packets, 145348 bytes output Bridging Bridge Group 1 21711 1531 Other 0 643 3251 packets, 283480 bytes input 11 packets, 4114 bytes output Virtual LAN ID: 5 (IEEE 802.1Q Encapsulation) vLAN Trunk Interfaces: Dot11Radio0.5 FastEthernet0.5 Protocols Configured: Address: Received: Transmitted: Bridging Bridge Group 5 3778 2571 Other 0 9 1537 packets, 169585 bytes input 2577 packets, 179574 bytes output Bridging Bridge Group 5 3778 2571 Other 0 9 2469 packets, 167892 bytes input 51 packets, 7769 bytes output Virtual LAN ID: 10 (IEEE 802.1Q Encapsulation) vLAN Trunk Interfaces: Dot11Radio0.10 FastEthernet0.10 Protocols Configured: Address: Received: Transmitted: Bridging Bridge Group 10 12079 12088 Other 0 18 2548 packets, 354341 bytes input 9586 packets, 2662745 bytes output Bridging Bridge Group 10 12082 12090 Other 0 18 10351 packets, 2721500 bytes input 2534 packets, 353822 bytes output show dot11 associations: 802.11 Client Stations on Dot11Radio0: SSID [sSID01] : MAC Address IP address Device Name Parent State 0446.65xx.xxxx 192.168.0.x unknown - self Assoc verbinde ich das Gerät mit der zweiten SSID: 802.11 Client Stations on Dot11Radio0: SSID [sSID02] : MAC Address IP address Device Name Parent State 0446.65xx.xxxx 192.168.16.x unknown - self Assoc

Hi, habe ich gerade eingetragen. Leider ohne Verbesserung: interface Dot11Radio0.1 encapsulation dot1Q 1 native no ip route-cache bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled interface FastEthernet0.1 encapsulation dot1Q 1 native no ip route-cache bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled EDIT: Ich habe auch einen PC mit einer festen IP an den kleinen Switch gehängt. Dieser kommt problemlos ins Internet und in lokale Netzwerk. Die Switchconfig scheint also i.O. zu sein. Vielen Dank für eure Hilfe & Geduld :)

Vom AP: Virtual LAN ID: 1 (IEEE 802.1Q Encapsulation) vLAN Trunk Interfaces: Dot11Radio0 FastEthernet0 This is configured as native Vlan for the following interface(s) : Dot11Radio0 FastEthernet0 Protocols Configured: Address: Received: Transmitted: Bridging Bridge Group 1 16738 0 Other 0 529 0 packets, 0 bytes input 70 packets, 23975 bytes output Bridging Bridge Group 1 16739 0 Other 0 529 20997 packets, 1937932 bytes input 459 packets, 32663 bytes output Virtual LAN ID: 5 (IEEE 802.1Q Encapsulation) vLAN Trunk Interfaces: Dot11Radio0.5 FastEthernet0.5 Protocols Configured: Address: Received: Transmitted: Bridging Bridge Group 5 2815 1974 Other 0 3 1104 packets, 134039 bytes input 1981 packets, 137405 bytes output Bridging Bridge Group 5 2815 1974 Other 0 3 1905 packets, 129540 bytes input 35 packets, 5537 bytes output Virtual LAN ID: 10 (IEEE 802.1Q Encapsulation) vLAN Trunk Interfaces: Dot11Radio0.10 FastEthernet0.10 Protocols Configured: Address: Received: Transmitted: Bridging Bridge Group 10 9638 9609 Other 0 10 2301 packets, 317727 bytes input 7343 packets, 2260834 bytes output Bridging Bridge Group 10 9643 9614 Other 0 10 7860 packets, 2300469 bytes input 2290 packets, 317448 bytes output

Hi, dann verstehe ich nicht, warum es nicht funktioniert: Ausgabe vom Switch: sh interface GigabitEthernet1/0/31 trunk Port Mode [color="Red"]Encapsulation[/color] Status Native vlan Gi1/0/31 on [color="Red"]802.1q[/color] trunking 1 Port Vlans allowed on trunk Gi1/0/31 1,5,10 Port Vlans allowed and active in management domain Gi1/0/31 1,5,10 Port Vlans in spanning tree forwarding state and not pruned Gi1/0/31 1,5,10 Ausgabe AP: sh interface dot11Radio 0 Dot11Radio0 is up, line protocol is up ... [color="Red"]Encapsulation 802.1Q[/color] Virtual LAN, Vlan ID 1., loopback not set Das heißt doch, dass beide die selbe encapsulation methode verwenden?

Hi , momentan ist der AP ja mit encapsulation dot1Q konfiguriert. Mein Problem liegt momentan darin, dass ich am Switch nicht auf dot1Q oder am AP nicht auf 802.1Q umstellen kann :(