TMP2k1

Hi, sorry, war ein paar Tage verhindert. Naja, was ich halt im guten Glauben, das wäre ausreichend, gemacht habe, ist in diesem Schritt die externe Domain mit anzugeben:

Danke trotzdem. :) Fällt sonst vielleicht jemandem was ein? Es kann gefühlt eigentlich nicht so viel fehlen - die Clients müssten die IP des Servers halt noch selbst finden lernen, ohne Hosts-Eintrag. Ich komme nur noch nicht drauf. Vielleicht reicht es ja schon, die lokale Namensauflösung zu verbieten. Andererseits hätte ich die schon gern mit drin, da ich ja nicht will, dass das alles über den Server läuft, wenn der Client zu Hause nur mal Google News aufruft oder was auch immer. ;)

Wäre mir abgesehen davon auch egal. ;) Ich sehe ein, dass der Ping mir der Logik nach am ehesten eine v6-Adresse geben müsste und das wäre ja auch vollkommen okay. Wenn ich die IPv6 und den Servernamen beim Client in die Hosts schreibe, klappt wie gesagt auch alles ganz hervorragend. Nur ohne den Eintrag sucht er den Server wohl vergeblich. Ja, kürzlich neu gegründet, großer Kapitalbedarf, da fallen vier oder fünf Enterprise-Lizenzen jetzt nicht mehr so ins Gewicht. Drei oder mehr potente physische Server hingegen ... und virtualisierte wollte man auch nicht. Naja ... Danke für Deine Antworten so weit!

Schade. Dann werde ich wohl mal rausfinden müssen, wie man das öffentlich zugänglich auf den Webserver schaufelt oder so. Die Enterprise ist kein Problem, die haben sie. Was wäre dann Deiner Meinung nach eher sinnvoll? Ein öffentlich abrufbares Video habe ich auf die Schnelle nicht gefunden. Ich habe aber das Videotrainig von Video2Brain, in dem das alles dargestellt wird. Der Mensch arbeitet da zwar mit virtuellen Maschinen, vielleicht macht das einen Unterschied, aber der pingt den Server einfach mit Namen an und bekommt das hier:

Hi, okay, das hatte ich in mehreren Videos so gesehen, deswegen ging ich davon aus, dass das auch gehen müsste. Dass DA über v6 läuft, war mir schon klar, aber so wie ich das verstanden hatte, wird das ja entsprechend "übersetzt". Ja, das läuft alles über den einen Server. Die haben nur den (kleines Unternehmen mit einer Handvoll Mitarbeiter[innen]). Ist mir aber bewusst, dass das nicht wirklich der empfohlene Weg ist. ;) Hmm, dazu habe ich zumindest nicht aktiv beigetragen. In den Eigenschaften der Zertifizierungsstelle sehe ich als "Standort, von denen Benutzer eine Zertifikatsperrliste erhalten können" unter anderem http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl Ist das schon ausreichend, weil die Platzhalter entsprechend hinterlegt sind, oder ist das hier ein reines Beispiel? Naja, intern lautet der Domänenname FIRMA.local, die Domain, die auf die Router-IP verweist, da.meinedomain.de. Also ... schematisch gesprochen. Besten Dank!

Hallo zusammen, eines vorweg: Ich bin gelernter IT-Systemelektroniker, ca. 10 Jahre Berufserfahrung und habe aber leider weder in der Ausbildung, noch im beruflichen Alltag wirklich viel mit den fortgeschrittenen Bereichen der Themen Server, Active Directory, Netzwerk, DNS etc. zu tun gehabt. Alles, was ich weiß, ist autodidaktisch angeeignetes "Halbwissen". Gerade bin ich dabei, auf dem Server 2016 DirectAccess einzurichten - für einen Bekannten, der das einfach ergebnisoffen mal testen möchte. Ich habe das also alles nach bestem Wissen und Gewissen konfiguriert: - IPv6 ist aktiviert. - Die Rolle ist installiert, die Einrichtung mit der Option "nur DirectAccess" durchgelaufen. - Es wird nur eine Netzwerkkarte verwendet, die Topologie im Assistenten entsprechend ausgewählt worden. - Als öffentliche Adresse wird eine TLD mit A-Record auf die feste öffentliche WAN-IP des Routers verwendet. - Die Tunnelerzwingung ist deaktiviert, die lokale Namensauflösung wird erlaubt. - Nach ein paar Anfangsschwierigkeiten mit Zertifikaten hält sich der Server für "voll funktionsfähig". - Die Gruppenrichtlinien wurden auf dem Testclient erfolgreich übernommen. Grundsätzlich steht die Verbindung auch. Der Client merkt bei sich zu Hause, dass er nicht mehr im internen Firmennetz ist und stellt die DA-Verbindung her. Nur habe ich noch folgende Probleme: - Der Versuch, den Server anzupingen scheitert via ping/4 und auch ping/6. - Pinge ich die IPv6-Adresse an, die der Server allem Anschein nach hat, bekomme ich eine Antwort. - Trage ich die Kombination aus IPv6-Adresse und Namen in die Hosts-Datei des Clients ein, läuft alles wie geschmiert. Allerdings auch nur dann. Wo liegt denn hier der Hund begraben? Das riecht doch schwer nach DNS, oder? Der DNS läuft auch auf dem Domänencontroller, der DirectAccess bereitstellt. Es existiert in der Forward Lookup Zone ein Eintrag für diesen Server, sowohl für IPv4, als auch für IPv6. In der Reverse Lookup Zone für v4 wurden sämtliche Einträge automatisch gesetzt. Die Zone für v6 musste ich manuell anlegen, seitdem können auch hier grundsätzlich korrekt erscheinende PTR für den Server etc. gefunden werden. Ich habe mir natürlich auch schon diverse Artikel durchgelesen und alles überprüft bzw. korrigiert, was darin so zu finden war und sinnig erschien. Leider bislang ohne Erfolg. Wie gesagt bin ich kein Vollprofi, was das angeht, speziell nicht bei IPv6. Hat irgendjemand einen Ansatzpunkt? Wäre wirklich sehr dankbar, da ich gerne verstehen würde, wo hier das Problem liegt und wie es sich lösen lässt. Vielen Dank schon mal!