chachap

Moin! Hat jemand eine Idee für mein Vorhaben? Ich hänge mit meinen Entscheidungen in der Luft.... Danke! Gruß, Chachap

Hmmmmm, ich glaube, mein Problem liegt darin zwei Subnetze miteinander "zu verbinden". Ist das mit einem managed Switch (Layer 2 oder Layer 3) möglich? Soweit ich das bisher verstanden habe, kann ich mit einem Layer 2 Switch einzelne Ports bzw. MAC Adressen zu V-Lans's zusammenschliessen. Ein Layer 3 Switch sollte somit auf IP-Basis V-Lans realisieren. Kann ein Layer 3 Switch auch Subnetze "verbinden"? Also Subnetze zu einem logischen V-Lan zusammenfassen? Würden dabei Sicherheitslücken entstehen, wenn das Subnetz mit öffentlich erreichbaren IP-Adressen an das lokale Netz angeschlossen wird?

Dass das mit VPN gehen würde, ist mir bewusst. So binde ich unser Büro in Süddeutschland an. Mir ist aber die Uploadbandbreite des ADSL Anschlusses zu niedrig (192kbit) Suche als eine möglichst günstige Lösung, ohne ein Scheunentor zu unserem Intranet zu öffnen... Ein Router könnte zwischen dem /24 Subnetz und dem /29 Subnetz die Verbindung übernehemen. Ich vermute, das ich so eine Verbindung aber auch anders (z.B. mit einem Managed Switch(?) herstellen kann. Wenn ich in einen Server mit öffentlicher IP eine zweite Netzwerkkarte stecke, der ich eine Intranet-IP gebe, kann ich diese an den 24Port Switch hängen, und somit aus dem Intranet darauf zu greifen. Ich bin mir aber nicht sicher, ob und welche Sicherheitslücken vieleicht entstehen können...

Die gesamte abgebildete Topologie steht in EINEM Raum! Ich will von den PC's aus auch auf die Laufwerke der "Internetserver" zugreifen können. Einen Router, der beide Subnetze verbindet, will ich nicht einsetzen. Ich dachte, ein Layer3 Switch könnte evtl. so eine Aufgabe übernehmen???? Alternativ wollte ich in die nach aussen mit einer festen öffentlichen IP-Adresse sichtbaren Server mit einer zweiten Netzwerkkarte ausstatten, die ich dann an den 24Port-Switch in unser "internes" Subnetz hänge. Vieleicht ist es jetzt etwas klarer geworden :wink2:

Wie verbinde ich die beiden Netze relativ sicher, so das ich von den PC's auf die "Internetserver" zugreifen kann? Evtl. mit einem Managed Switch? (Layer 2 oder 3?) Oder ist es besser (sicherer?) in einen Server eine zweite Netzwerkkarte zu stecken?

Hallo! Soetwas in der Art möchte ich auch machen. Bisher nutzen wir einen 24Port 3Com Superstack3 unmanaged Switch an dem alle PC's, Server und ein Router als Gateway hängt. Jetzt kommt aber noch ein Router mit integriertem 4Port Switch dazu, der eine eigene Subdomain(/29) mit festen IP-Adressen hat. Auf die Server, die an den internen Switch des neuen Routers kommen, soll auch von unserem Intranet zugegriffen werden können. Kann ich diese Konstellation mit einem Layer3-Switch bewerkstelligen, oder ist es vieleicht sogar besser in einen Server eine zweite Netzwerkkarte zu stecken? Danke! Chachap

Es handel sich um zwei Server! Server A (AC-DC,DNS,DHCP): eine nic: 192.168.60.1/24 Server B (RAS,VPN,DHCP,WINS): erste nic: 192.168.60.2/24 zweite nic: 192.168.62.2/24 Router ethernet interface: 192.168.60.254/24 virtuelles interface: 192.168.62.254/24 dsl-interface: dyn. IP vom Provider 0.0.0.0 0.0.0.0 -> dsl-interface NAT für dsl-interface: eingehende VPN Verbindungen -> 192.168.62.2 alle 192.168.x.x nic's hängen an einem 24 Port-Switch von 3com Habe ich etwas Grundlegendes falsch gemacht??? chachap

@haeckle werde ich gleich mal probieren... @grizzly999 kann ich den DHCP-Server nicht auf eine Netzwerkkarte beschränken? bzw. DHCP-Anfragen auf der lokalen Netzwerkkarte ignorieren/filtern? chachap

Hallo! etliche Beiträge durchforstet, und leider keine Lösung gefunden! Unser internes Netz: 192.168.60.0 Router: 192.168.60.254 AD-DC/DNS/DHCP Server 192.168.60.1 (A) DHCP-Bereich 192.168.60.10 - .20 RAS/VPN/DHCP Nic1 :192.168.60.2 (B) Nic2 : 192.168.62.2 DHCP-Bereich 192.168.62.10 - .20 Alle Clients, die per RAS/VPN eine DHCP anfrage stellen, sollen eine IP vom Server B bekommen. Die lokalen Clients sollen ihre IP vom Server A bekommen. Darauf sind für alle lokalen Clients DHCP-leases vergeben, die erst nach 6 Wochen ablaufen. Das funktioniert eigentlich ganz gut. aber ab und zu bekommt ein lokaler Client trotzdem eine IP vom VPN-Server, und ab und zu bekommen Clients, die sich per RAS/VPN einwählen eine IP vom Server A! Wie kann ich das beeinflussen???? Ich bin froh über jeden Hinweis! Gruß, Chachap

Also, ich konnte mich nicht anmelden, sowohl nicht lokal, als auch nicht remote. Wiederherstellungskonsole habe ich nicht probiert. Ich habe dann aber beim hochfahren, F8 gedrückt, und den Server im "Active directory restore mode" oder so ähnlich hochgefahren. Ist soweit ich das verstanden habe, soetwas wie ein abgesicherter modus. AD wird dann nicht gestartet, und der rechner befindet sich in einer "workgroup" Dann habe ich festgestellt, das das Laufwerk D: mir den zugriff verweigert. Da ich aber die NTDS, das SYSVOL darauf abgelegt habe, dämmerte es mir woher meine Probleme wohl kommen mussten. Habe also (temporär) everyone "full" rechte für das gesammte laufwerk D: erteilt, und den rechner neu gestartet. Dannach auf dem ersten DC DNS und Netlogon gestoppt, ipconfig/flushdns, DNS und Netlogon gestartet und ipconfig/registerDNS durchgeführt. Anschließend war nslookup wieder in beide richtungen möglich, und ich konnte das AD wieder replizieren! Habe die ganze arbeit um an die Daten zu kommen umsonst gemacht (Knoppix gebootet, und alle Daten auf eine zusätzlich reingehängte Platte kopiert) Welche Rechte sollten die Verzeichnisse SYSVOL und NTDS denn haben? momentan habe ich SYSTEM und Administrator auf FULL gestellt. Scheint zu reichen. Trotzdem Danke für eure Bemühungen! Gruß, chachap

Hat denn hier niemand eine Idee??? Vieleicht ist der Beitrag in "Windows - Allgemein" besser aufgehoben? Könnte ein Admin diesen vieleicht dorthin verschieben? Danke! Gruß, Chachap

Hallo! !!!!!!!!!!!!!!Bin wirklich verzweifelt!!!!! Ich habe einen Primary und einen Secondary DC. Auf dem ersten läuft auch DNS. Das Replizieren hat immer schön funktioniert. Und heute morgen war der zweite DC auf einmal nicht mehr erreichbar! Ping geht. aber die Freigegebenen Laufwerke sind nicht erreichbar! Wollte mich dann am Server selbst anmelden, ABER es geht nicht! Ich kann mich nicht mehr anmelden! mit KEINEM benutzer! auch nicht mit dem Administrator! Habe gestern abend unseren Bintec Router neu Konfiguriert. Das passt zeitlich auch in das schema der DNS-Fehlermeldungen im Eventlog. Hier mal exemplarisch eine davon (sind alle bis auf die IP Adressen gleich): Event Type: Error Event Source: DNS Event Category: None Event ID: 7063 Date: 18.11.2003 Time: 10:46:36 User: N/A Computer: ASD-OS-W2K3-S01 Description: The DNS server is configured to forward to a non-recursive DNS server at 193.108.154.17. DNS servers in forwarders list MUST be configured to process recursive queries. Either 1) fix the forwarder (193.108.154.17) to allow recursion - connect to it with DNS Manager - bring up server properties - open "Advanced" tab - uncheck "Disable Recursion" - click OK OR 2) remove this forwarder from this servers forwarders list - DNS Manager - bring up server properties - open "Forwarders" tab - remove (193.108.154.17) from list of forwarders - click OK Davon habe ich seid gestern abend alle 2 Stunden wieder so 5-10 Stück, die mit einem 3000er event abschließen, das es zu viele sind, und erstmal keine mehr angezeigt werden. Wenn ich versuche die beiden DC zu manuell zu replizieren, bekomme ich die Fehlermeldung, das der RPC Server zu busy ist. habe schon die alte konfiguration des routers eingespielt, und ipconfig/registerdns durchgeführt. Sieht jemand eine Chance den secondary DC wieder zum leben zu erwecken??? Bin dankbar für jeden Tipp! Gruß, Chachap

Hast du schon eine Lösung? Ich vermute, das es an deinem DNS server liegt. In eine Richtung kann die Verbindung aufgelöst werden, in die andere richtung aber nicht. Oder ao ähnlich... Gruß, Chachap

Hallo! Ich bin jetzt der Empfehlung des Microsoft Supports gefolgt, und habe einen dedizierten VPN Server aufgesetzt. So sieht jetzt die Konfiguration aus: drei w2k3 Server im AD: 1. DC, DNS, FILE 192.168.60.11 2. 2nd DC, FILE 192.168.60.12 3. VPN 192.168.60.13 und eine zweite Netzwerkkarte mit 192.168.61.1 Der Router hat die IP 192.168.60.199 Diese ist bei allen Clients und Servern (auser VPN Server) als Standard Gateway eingetragen. Router Config: PPTP Passtrough -> Yes configuration for sessions : requested from OUTSIDE: 1723/gre ia 192.168.61.1/32, ep 1723, ip 1723 1723/tcp ia 192.168.61.1/32, ep 1723, ip 1723 1723/udp ia 192.168.61.1/32, ep 1723, ip 1723 domain/tcp ia 192.168.61.1/32, ep 53, ip 53 Alle Server, Clients und der Router (Bintec X3200) hängen an einem 3com 24 Port Switch. Der Router ist von aussen per DynDNS erreichbar. (ping) VPN Verbindungen sollten nun an den VPN Server weitergeleitet werden. Der VPN Server soll den VPN-Benutzer im AD authentifizieren und dann registrieren. so das alle Freigaben und AD Resourcen dem VPN-User zur verfügung stehen. Leider scheitert es bereits an der Verbindung. (Fehler 678) Hat jemand eine Idee, was ich mal testen sollte? Oder eine Änderung der Gesamtkonfiguration? Den VPN-Server kann ich (meines wissens) leider nicht zwischen den Router und das Lan hängen, da die Klients auch den virtuellen CAPI-Port des Routers nutzen müssen. Gruß, Chachap

Moin! Habe in der Ereignisliste auch den Fehler: "Der Dienst "Routing und RAS" wurde mit folgendem dienstspezifischem Fehler beendet: 2147483720 (0x80000048)." Wenn ich "net helpmsg 7024" eingebe, bekomme ich folgende Antwort: Der angeforderte Vorgang konnte nicht ausgeführt werden, da die Terminalverbindung momentan einen Verbindungs-, Trennungs-, Reset- oder Löschvorgang verarbeitet. Ich nutze momentan nur die Internetverbindungsfreigabe, und könnte auf den Routing und Ras Dienst verzichten. Würde mich trottzdem aber interessieren, warum ich den Dienst nicht mehr starten kann... Gruß, Chachap

Netlogon Service (Domain Controller Only) ----------------------------------------- By default, Netlogon registers certain SRV, CNAME, and A records every hour even if some or all of these records are correctly registered in DNS. The list of records Netlogon attempts to register is stored in the %SystemRoot%\System32\Config\Netlogon.dns file. This log file lists records that are required to be registered for this domain controller. Netlogon does not provide a mechanism to control registrations it performs on a per-adapter basis. This section describes how to enable/disable the following items: - All registrations - Netlogon A registrations All Registrations ----------------- To disable all registrations performed by Netlogon, use the following registry key (a restart of the Netlogon service is required, although a reboot is preferred): UseDynamicDns HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters Data type: REG_DWORD Range: 0 - 1 Default value: 1 This determines whether the Netlogon service on this domain controller uses DNS dynamic updates. Netlogon can use DNS dynamic updates to register DNS names identifying the domain controller. DNS dynamic updates provide automatic updates of zone data, such as DNS names, on the zone's primary server whenever an authorized zone server requests an update. It supplements the static, manual method of adding and changing zone records. The DNS dynamic update protocol is defined in RFC 2136. Value Meaning --------------- 0 Netlogon does not use DNS dynamic updates. Records specified in the Netlogon.dns file must be registered manually in DNS. 1 Netlogon uses DNS dynamic updates to register the names identifying this domain controller. You might consider disabling Netlogon's use of DNS dynamic updates if your DNS servers do not support DNS dynamic updates or to eliminate the network traffic associated with periodic registration of Net Logon's DNS records. This entry is supported on domain controllers only. Windows 2000 does not add this entry to the registry. You can add it by editing the registry or by using a program that edits the registry. To make the changes to this value effective, delete "%SYSTEMROOT%\system32\config\netlogon.dnb", and then restart the Netlogon service. A restart of Windows 2000 is preferred. Netlogon A Registrations ------------------------ By default, Netlogon on a domain controller registers SRV, domain A, and GC (Global Catalog) A records every hour. SRV records are mapped to a FQDN and A records are mapped to an IP address. Registration of domain A records for all adapters by Netlogon and subsequent re-registration every hour (by default) can be problematic if clients resolve the domain name to an unreachable IP address. The following registry key enables/disables the registration of A records by Netlogon for a domain controller. The domain A records are not required by Windows 2000, but are registered for the benefit of Lightweight Directory Access Protocol (LDAP) implementations that do not support SRV records. Note that this registry key disables all A record registrations performed by Netlogon, which includes the gc._msdcs.<DnsForestName> records. Registration of gc._msdcs.<DnsForestName> records is required and must be performed manually if the RegisterDnsARecords registry key is set to disabled. For additional information, click the article number below to view the article in the Microsoft Knowledge Base: KBLink:258213.KB.EN-US: Registration of gc._msdcs.DnsForestName Records Is Required RegisterDnsARecords HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters Data type: REG_DWORD Range: 0 - 1 Default value: 1 This determines whether this domain controller registers DNS A (IP address)records for the domain. If this domain controller is a global catalog resource, this entry also determines whether the domain controller registers DNS A records for the global catalog. Value Meaning --------------- 0 Does not register DNS A records. LDAP implementations that do not support SRV records will not be able to locate the LDAP server on this domain controller. 1 Registers DNS A records. NOTE: This entry is used only when it appears in the registry of a domain controller. You might consider setting this value to 0 if DNS does not complete its dynamic updates because it cannot update A records. DNS stops updating when an update attempt does not succeed.

Hallo! Mein Problem hat sich sozusagen in Luft aufgelöst. Nach einem längeren Gespräch mit dem Microsoft Support hat sich folgendes herauskristalisiert: Ein DC, der 2 Netzwerkkarten hat, würde per DNS Server immer beide Netzwerkkarten im lokalen Netz registrieren. Bedeutet, wenn ein Client vom DNS Server die IP Adresse vom DC haben will um sich anzumelden, bekommt er wahlweise eine von den beiden IP Adressen der eingebauten Netzwerkkarten. Da diese in unterschiedlichen Subnetzen sind, würde ein Client seinen DC nicht finden. Man kann die Einträge entweder für ALLE Netzwerkkarten oder für KEINE Netzwerkkarte deaktivieren! Leider nicht seperat. Der Microsoft Support sagt, das wäre bei Windows 2000 schon so gewesen und der Code hätte sich beim 2003 Server nicht geändert (hat bei jemandem mit code-zugriff gefragt). Es wären aber Anfragen für eine Änderung da, um das EVENTUELL :rolleyes: zu ändern. Mir wurde geraten einen seperaten VPN Server aufzusetzen. Da solle ich dann einen IAS-Server installieren. So die Empfehlung vom Support. Hoffe einigen damit geholfen zu haben. @linuxchristoph: Hmmm, warum sollte ein 3COM 24 Port 19" Switch (ich glaube "SuperStack II" oder so ähnlich) kein VPN unterstützen? Gruß, Chachap PS: Hier die Zusammenfassung vom Microsoft Support: Eine einzelne Konfiguration der dynamischen DNS Registrierung auf Netzwerk Adapterbasis ist genau wie bei Windows 2000 auch bei Windows 2003 bei Domänen Controllern nicht möglich. Man kann nur alle Registrierungen oder die Netlogon A Eintragsregistrierung deaktivieren, was aber mit einem enormen manuellen Aufwand verbunden ist. Daher empfehle ich Ihnen den DC nicht multihomed zu gestallten, sondern einen weiteren RRAS (VPN) Server mit zwei Netzwerkkarten auszustatten, der dann nur Member Server der Domäne ist. Dies ist auch aus Sicherheitsaspekten zu empfehlen.

Habe mal probiert folgendes bei dem capture filter einzugeben: tcp.port == 1723 Habe mir das bei den Display Filtern, Add Expression zusammengestellt. Sollte doch bedeuten, das ich alle Pakete von und zum Port 1723 mitschneiden will. Leider bekomme ich dann die Fehlermeldung: Unable to parse filter string (parse error) Was mache ich falsch?

Moin! Der Netzwerkmonitor von w2k3 ist mir zu hoch... Habe mir den ethereal Netzwerkmonitor runtergeladen und installiert. Ziemlich viel traffic bei uns im netz... Leider bin ich nicht fähig mir einen filter zu schreiben, der nur alle pakete zwischen dem router (192.168.60.199) und meinem VPN Server auf der 2.ten Netzwerkkarte (192.168.60.13) anzeigt. In der Hilfe steht, das die notation die selbe ist wie bei TCPDUMP... Leider habe ich keine Ahnung wie das gehen soll... Kann mir da jemand unter die Arme greifen? Danke! Gruß, Chachap

Habe den Netzwerkmonitor gerade nachinstalliert. Kann damit aber irgendwie nicht richtig umgehen... Habe die Netzwerkkarte gewählt, der ich die IP für VPN gegeben habe und das capturing gestartet. Kann den netzwerkverkehr nicht richtig deuten. Was muss ich bei den Filtern einstellen, um mir nur die für mich interessanten Pakete anzeigen zu lassen? Bei station 1 und station 2? mal schauen ob ich es morgen früh hinbekomme... chachap

Danke!!!! Nach dem manuellen umstellen auf: Password must meet complexity requirements -> Disabled hat es funktioniert! Kann mir aber trotdem nicht vorstellen, warum ihc keine User anlegen konnte. Habe doch schon wirklcih superlange Passwörter mit sonderzeichen und allem drumm und drann ausprobiert... Auf jeden fall ist es beruhigend zu erfahren, das M$ standardmäßig nicht mehr alles offen lässt, wie bei XP... Gruß, Georg Neumaier

Habe die IP von der zweiten netzwerkkarte auf 192.168.62.1 geändert und den an die Clients zu vergebenden IP Bereich natürlcih auch verändert (10-254) Die Einstellungen im Router habe ich auch alle geändert. funktioniert aber immer noch nicht... Mit dem Windows 2000 rechner habe ich bei früheren versuchen eine andere Fehlermeldung (721) bekommen als jetzt mit dem 2003er Server (678) genaugenommen steht folgendes im Router: PPTP Passtrough -> Yes configuration for sessions : requested from OUTSIDE: 1723/gre ia 192.168.62.1/32, ep 1723, ip 1723 1723/tcp ia 192.168.62.1/32, ep 1723, ip 1723 1723/udp ia 192.168.62.1/32, ep 1723, ip 1723 domain/tcp ia 192.168.62.1/32, ep 53, ip 1723 das sollte doch beim Router alles sein... als benutzer habe ich den Admin für VPN berechtigt, weil ich ja noch keine User anlegen kann... (andere Baustelle... :-( ) Georg Neumaier

Sorry für diese wahrscheinlich blöde Frage, aber wo kann ich diesen standard ausschalten/ändern? Ich habe, wie vorhin geschrieben schon etliche passworte mit längen > 10 und Sonderzeichen sowie Zahlen ausprobiert, und bekomme diese Fehlermeldung trotzdem.... *binamverzweifeln* Georg Neumaier

Hallo! Ich habe hier gerade einen neuen Windows 2003 DC mit AD aufgesetzt. leider kann ich keine User anlegen! Ich bekomme immer die fehlermeldung, das die "Password policy requirements" nicht eingehalten werden. dabei gebe ich schon superlange passwörter mit sonderzeichen und ähnliches ein (z.b. dies*ist*ein*test oder sommer@winter oder sommer-winter oder daskannnichtsein!) Kann mir einer sagen, wo ich das ändern kann? In den "Administrative Tools" -> Domain Security Policy und -> Domain Controller Security Policy habe ich die Einstellungen überprüft und auf folgende Werte geändert: Security Settings/Account Policies/ enforce password history -> Not Defined Maximum password age -> 60 days Minimum password age -> 3 days Minimum password length -> 6 chars Password must meet complexity requirements -> Not Defined Store passwords using reversible encryption -> Disable Anscheinend war das nicht der richtige Ort... (handelt sich hier um die Englische Windows 2003 Server Standard Version) Danke für eure Mühe Gruß, Georg Neumaier

Hallo! Habe hier einen DC mit AD aufgesetzt, der zusätzlich noch VPN zugänge über unseren Internetzugang zulassen soll (DSL mit einem Bintec-Router). Bei der Einrichtung von RRAS ist mir der Hinweis entgegen gekommen, das ich (sinngemäß) für VPN nicht die selbe netzwerkkarte verwenden könne wie für das LAN. Also habe ich eine zweite Netzwerkkarte hineingesteck, und sie auch an den Switch gehängt. die Netzwerkkarten haben folgende IP´s: 192.168.60.11 -> für LAN 192.168.60.13 -> für VPN (habe ich mir so gedacht...???) die sich über den Router (interne IP 192.168.60.199) einwählenden VPN Clients werden vom Router per Portforwarding (TCP 1723, UDP 1723 und GRE 1723 auf die selben Ports und Protokolle des VPN Servers auf die IP 192.168.60.13 weitergeleitet. Vom Server bekommen sie eine IP im Bereich 192.168.62.1-254 Soweit zur Hardware. Nachdem ich die zweite Netzerkkarte eingebaut habe, konnte ich die 192.168.60.11 nicht mehr anpingen. Nach dem Ausstellen der Automatischen Metrik (IP-Konfig. der Netzwerkkarte) ging das wieder. Was muss ich bei der "VPN"-Netzwerkkarte bei "Default Gateway" und DNS Eintragen? Kann es daran liegen, das ich keine VPN Verbindung herstellen kann? Danke für eure Hilfe Kommentare! Gruß, Georg Neumaier