Reingucker

Gibt es eine erfolgreiche Replikation zwischen den DC? https://technet.microsoft.com/en-us/library/cc794749(v=ws.10).aspx Auch mal nachschauen auf dem DC02 ob die DNS-Partition auf ihm zu erreichen ist. Also auf dem DC02 das AD abfragen und schauen ob der eine DNS-Partition hat. http://www.it-zeugs.de/active-directory-und-dns-partitionen-verstehen.html

Edit: Ich hab mal ein Video gemacht von damit die Zusammenhänge mit Reg, DNS-Suffix, Profilename und Netprofile besser verständlich werden. http://linuzdreck.de/netprofile.mp4

Ja, sorry, war ein Tiefflug-Post. Ein klassischer "Forum auf, nix richtig durchlesen, Kommentar ablassen" :( In der Reg gibt es schon den Wert "Category", z.B. hier mal die WLan von meinem Server 2016 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\{5E68F6CD-78AD-46A0-A182-DF6CD5DA103D}] "ProfileName"="Fischmehl" "Description"="Fischmehl" "Managed"=dword:00000000 "Category"=dword:00000000 "DateCreated"=hex:e0,07,0a,00,05,00,15,00,0e,00,00,00,1a,00,71,00 "NameType"=dword:00000047 "DateLastConnected"=hex:e0,07,0c,00,05,00,02,00,12,00,16,00,2c,00,ce,02 Und die hat Category 0, also öffentlich. Dort einstellen macht aber auch nichts anderes als "set-netconnectionprofile". Lösung: Ich hab bei mir mal mit den Hyper-V-switches experimentiert welche auch "nicht identifiziertes Netzwerk" hatten. Wenn ich unter den IP4-Eigenschaften unter DNS und da bei "DNS Suffix für diese Verbindung" die Domäne die hintendran ist eingebe, also z.B. bla.com oder in deinem Fall die Domäne in der dein domänen-dhcp ist, dann verschwindet sofort das "nicht identifiziertes Netzwerk" und statt dessen steht der Domänenname da und diese "Netzwerk durchsuchen?" Abfrage taucht auf. Edit: Hmm, so wie es aussieht tauchen unter [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\] keine Adapter mit "nicht identifiziertes Netzwerk" auf. Das könnte auch erklären warum mit "set-netconnectionprofile" der Adapter nicht wirklich aus dem öffentlichen Profil raus geschoben wird, weil er nicht unter [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\] eingetragen ist und das set-netconnectionprofile dort dann nichts fest eintragen kann.

Also im Server 2016 unter "Firewall" und da die "Eigenschaften" unter dem gleichnamigen Link auf der rechten Seite kann ich die Profile ein und aus schalten und auch unter in jeweiligen Profil unter "anpassen" festlegen für welche Netzwerkschnittstelle das Profil gilt.

Das einfachste bei dem Hyper-V vpm TO ist es wirklich mit dynamischen auszuloten. Einfach mal die 20 gig nehmen und dynamisch RAM machen mit start 15 gig und dann den dynamischen nach oben durch testen ausloten. Allerdings kann es sein dass bei dynamischen RAM der Server zwar startet, aber dann nicht alle Dienste starten weil die Obergrenze dynamischer RAM zu niedrig ist. Da muss man halt dann schauen bzw. wissen welche Dienste die Anwendungen denn so normaler Weise brauchen. Man kann sie dann einzeln nachsarten und im Hyper-V-Manager bei der VM dann im Reiter Arbeitsspeicher sehen wie der benutzte Speicher dann ansteigt und bekommt dann eine Warnung wenn der zuletzt gestartete bzw. versucht zu startende Dienst an die eingestellte Speichergrenze stößt. Sieht dann so aus Und so kann man dann sich nach oben hangeln mit der Obergrenze Dynamischer Speicher, welche man im laufenden Betrieb erhöhen kann, bis man an dem Punkt angekommen ist wo alle Dienste bzw. Anwendungen laufen. Dann die Anwendungen unter Last setzen wie sie im normalen Betrieb sein würden und wieder entsprechend Obergrenze dynamischer Speicher im laufenden Betrieb erhöhen bis man "zufrieden" ist mit der Performance....falls man je zufrieden ist. So kann man sich an den wirklich gebrauchten Speicher rantasten.

Der Client brauch noch das Recht. Ist ja der Webserver der es benutzt. Ok, etwas ausführlicher: Der Client, also der Webserver, braucht das Recht. Ganz ausführlich: http://www.carbonwind.net/blog/post/Quick-Dirty-Trick-e28093-Enroll-a-web-server-certificate-from-an-Enterprise-CA(installed-on-Windows-Server-2008-SP2)-using-the-mmc-on-a-Windows-Server-2008-SP2-or-Windows-7-RC-domain-member-machine.aspx

Soweit ich das bei ESXi verstanden habe gehr Layer 3 LACP nicht, aber Layer 2 soll gehen. Man muß halt "Routing mit IP" einstellen @Matze1708 Wie genau hast du den Bond konfiguriert? Mit IP? Oder so wie ich vorschlug nur Layer 2? Lass nal wissen :) Edit: Hier ist mal Layer 2 LACP und vSwitch, allerdings mit Cisco oder HP. Und hier ist natürlich der Mode eingestellt. Da fehlt mir Info was der Mikrotik standardmäßig einstellt. Ich vermute mal active oder on. https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1004048 Und da ich noch nicht weiß welche ESXi du benutzt - es sollte mindestens Host auf 5.5 sein. https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2051307 Edit: Versuchs mal so auf dem Mikrotik /inteface bonding add slaves=Port_Wo_ESXi_ankommt_1,Port_Wo_ESXi_ankommt_2 mode=broadcast link-monitoring=mii-type1 \ transmit-hash-policy=layer-2-and-3 "mode=802.3ad" ist dynamisch :rolleyes: Hier mal die Linuxeinstellungen dazu. https://www.kernel.org/doc/Documentation/networking/bonding.txt

Geht beides. Nimm Layer 2 weil bei Layer 3 scheint es laut Foren die CPU zu belasten da es dann nur als "Masterport" zu gehen scheint. Wobei ich ja unter VLAN-Interface ein virtuelles Interface verstehe. Bei Mikrotik bin ich noch nicht so ganz durchgestiegen. Die verstehen darunter anscheinend ein reales Interface, also einen real existierenden Port. Oder es ist extrem ungeschickt erklärt. Zum Vergleich mal Cisco auf einem Layer 3 Switch: #Zack VLAN Switch#vlan database Switch(vlan)#vlan 2 VLAN 2 added: Name: VLAN0002 Switch(vlan)#exit #Zack VLAN-Schnittstelle Switch(config)#interface Vlan2 Switch(config-if)#ip address 10.1.2.1 255.255.255.0 Switch(config-if)#no shutdown #Zack Port ins VLAN rein schieben switch(config)# interface fa 0/1 switch(config-if)# switchport mode access switch(config-if)# switchport access vlan 5 Aber bei Mikrotik ist es irgendwie so daß man, anstatt virtuell eine VLAN-Schnittstelle zu haben, das auf einen der realen Ports des Gerätes legen muss. Ich muß da erst mal weiter schmökern. Vielleicht gehts ja doch aber ist nicht Mikrotik-mainstream und man muß erst mal suchen wo es steht :suspect: Edit: Tja, was immer die sich dabei gedacht haben (wenn überhaupt :D ) Also Layer-3 LACP. Bonding mit IP auf dem Mikrotik....und auf dem ESXi? Noch mehr edit: Was ich mir noch vorstellen kann ist die beiden Ports, wo der ESXi dran hängt, auf eine Bridge zu schieben und dann Bonding ohne IP /interface bridge add name="ESXi_bridge" disabled=no /interface bridge port add interface=Port_Wo_ESXi_ankommt_1 bridge=ESXi_bridge /interface bridge port add interface=Port_Wo_ESXi_ankommt_2 bridge=ESXi_bridge Dann, wenn es überhaupt möglich ist /inteface bonding add slaves=Port_Wo_ESXi_ankommt_1,Port_Wo_ESXi_ankommt_2 mode=802.3ad lacp-rate=30secs link-monitoring=mii-type1 \ transmit-hash-policy=layer-2-and-3 Tja, und dann muss ich raten ip address> add address="IP_welche_dann_Gateway_für_die_VMs_auf_dem_ESXi_wird" interface=ESXi_bridge

Genau, einfach mal den ESXi alleine in ein VLAN und mit dem Bonding ect. Wegen, DHCP: Ja, dazu gibt es bei cisco auf der VLAN-Schnittstelle "ip helper", allgemein auch unter "DHCP-Relay" bekannt. Beim Mikrotik heißt das auch DHCP-Relay. http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay Im DCHP in der VM musst du entsprechend Bereiche mit entsprechenden Ranges anlegen in denen dann die IP-Adressen der VLAN-Schnittstellen liegen. Der DHCP weiß dann selbst aus welchem Bereich er den Request des Clients vergeben soll da er ja die IP des Relays hat. Edit: Das Routing zwischen den VLANs sollte automatisch funktionieren da der Mikrotik als Router (nennen wir ihn mal so) als Grundfiguration routing eingeschaltet hat und in seine Routingtabelle automatisch alle seine ihm bekannten Schnittstellen, auch VLAN, mit ihren Netzwerken und die Schnittstellen selbst als Routinggateway für diese ihre Netze einträgt. Hm, wie gesagt, in der Grundfunktion.

Ja, schreib ich ja daß es in Gast/Admin Netz geht. Mir gings darum vielleicht etwas bessere Verbindung/weniger Latenz zu beommen. Aber wenn die außen fest installiert ist ist der Aufwand für paar "ungewisse" ms weniger zu hoch :) Die Mitschnitte zeigen zwar daß Pakete verloren gehen und viele ooo/reassamble sind, aber es geht nicht klar daraus hervor WO die verloren gehen. Es bringt so also nichts (falls doch Jemand da was rauslesen kann - hier melden). Fakt ist daß es mit Admin/Gast-Netz geht. Und Fakt ist auch, Matze hat es ja getestet, auch mit einem Client direkt am Mikrotik im Verwaltungsnetz es nicht geht. Und von Einer VM geht es nur sporadisch. Wir kommen da immer zum gleichen Punkt: Das Netz und der Mikrotik. Wie schon gesagt, ich würde - die Clients im Verwaltungsnetz in ein eigenes VLAN. - den ESXi in ein eigenes VLAN und die beiden Ports dafür auf dem Mikrotik als "Bonding" konfigurieren und auf dem ESXi mit "routing mit ip" - den WLAN-Part entsprechen zu den einzelnen VLANs konfigurieren, also Admin/Gast/Client-VLAN (nicht ins ESXi-VLAN) - die VLANs mit dhcp, dns ect konfigurieren, routing einrichten - ACLs implementieren "wer darf von welchem VLAN wohin und welchen Port nur wenn überhaupt" - die unmanaged Switch verschenken oder verkaufen - und noch Portkonfiguration, aber erst nachdem Fehler gefunden Wenn es dann so eingerichtet ist, dann kann man das Ganze genauer eingrenzen falls dann in einem der VLANs Internet nicht geht. Fehlersuche wird einfacher. Wenn dann z.B. die VMs gehen aber die CLients nicht, dann würde man bei clients NICs überprüfen, Treiber, Kabel. Wenn die Clients gehen aber die VMs nicht dann z.B. auf dem ESXi die NIC, Treiber, Kabel.

Mal so als Idee. Vielleicht hängt es auch mit einem Zeitunterschied von Client und DC zusammen. Beim Start bekommt der Client ein Ticket egal wie der Zeitunterschied ist, aber das erneuern nach 10 Stunden geht dann nicht wegen zu großem Zeitunterschied.

Jo. Mir gehts da um Latenz. Ich vermute ja daß der Router falsch konfiguriert ist und/oder über die angeschlossene unmanaged Switch Mac-Flodding stattgefunden hat welche auch den Switchteil im Mikrotik abgeschossen hat. Oder die unmanaged Switch hat nen Schlag ab (Port defekt oder so). Oder ein Kabel hat nen Schlag ab. Zwar kommt das Gastnetz und das Adminnetz optimal ins Netz, aber die sitzen auf einer eigenen Bridge (ist Linuxstyle da im Mikrotik-Router) und bekommen von Störungen im Verwaltungsnetz nichts mit, z.B. Broadcaststurm oder dergleichen. Also brauchs auf jeden Fall einen Neustart um das eventuelle Mac-Flodding als Ursache auszuschalten. Und mit dem LTE anders positionieren wollte ich auf gut Glück vielleicht eine geringere Latenz erreichen so daß dann im Verwaltungsnetz vielleicht trotz Störungen es die Pakete doch schaffen, wenn auch zäh.

Hab noch ne Idee wie man etwas ohne Routerkonfiguration (trau dich :D ) testen könnte. Manchmal hilft bei LTE eine geringe Ortsveränderung. Es kann vorkommen daß es eben noch an diesem Standort funktioniert hat und dann plötzlich nicht mehr, was aber dann nicht am LTE-Empfänger liegt (oder schon zum Teil aber wer gibt dafür schon tausende Euro aus), sondern sich irgendeine Störung im Signalweg gebildet hat. Der Test wäre das LTE-Modem am Router etwas anders zu positionieren und dabei jeweils testen. Und unbedingt einmal vorher den Router neu starten.

Jo, hab sie. Also dem Wireshark nach funktioniert DNS. Es fehlt da auch noch was an Mitschnitt. Der Server will FIN weil alles gesendet aber der Client hat noch nicht alles und da hört der Mitschnitt auf. Es fehlt noch etwas von 217.160.0.184 Nach der Nr. 855. Ansonsten sieht das "normal" aus weil ja über LTE.

Jo, macht nix. Aber den Wireshark mal als Bild und zwar den Bereich wo du auf Web zugreifst. Kannst hier rein stellen. Edit: Oder schick es an ..... Dann schau ich mir das mal an.

------skip--- Edit: Ah, gut, als Bild geht hier zum einfügen.

Also liegt es höchstwahrscheinlich nicht an den Einstellungen der OS in den VM. Hmm, es sieht ganz nach den Einstellungen auf dem Mikrotik Router aus. Man müßte halt wissen ob die einzelnen Netze in VLANs sind und welche Accesslisten es auf den Routingschnittstellen zu den einzelnen VLANs eingetragen sind. Und die Clients sind auch alle im Verwaltungsnetz?

Aber Portweiterleitung kann der Hybridrouter der Telekom? Kannst ja hintendran das hier hin stellen http://www.ipfire.org/ . Dann vielleicht ipsec über tcp port 10000 wegen NAT-T-Geraffels. Edit: Oder mit openvpn. Da haste dann bequem die Anwendung in der Taskleiste und mit einem Klick biste mit den Remotenetz verbunden. Der Zielport der Anwendung auf dem Telekomrouter ist da egal - Hauptsache das Portforwarding geht dann am IPfire auf den richtigen Port.

Ja, sag ich ja: Das Gastnetz ist in einem eigenen VLAN. Daher wird es auch nicht von den Broadcasts ect. der Restlichen gestört und surfen dort ist toll ^^ Und Es können nicht alle anderen Ports gleich sein auf dem Microtik weil du für die beiden ESXi ports laut VMWare auf der Gegenstelle, also dem Microtek, "link aggregation" brauchst. Beim Microtik nennt sich das "Bonding". http://wiki.mikrotik.com/wiki/Manual:Interface/Bonding Weiterhin kommst du, wie du erwähnt hast, vom Server aus nicht nur auf goggle und ms, sondern auch auf heise.de. Und damit sind die Grundlegenden Einstellungen auf den VM richtig da du, wenn auch nicht immer, heise.de erreichst. Somit ist es irgendwas im Netzwerk. Ich vermute ja einen Broadcaststurm welcher in seiner Intensität etwas schwankt, aber im großen und ganzen das Netz, an dem der ESXi und der AP-Firmen dran hängen, zu macht. Wobei mich hier immer noch die Clients wundern, da die ja, wie du sagst, im gleichen Subnetz sind, aber keine Störungen haben. Ich würde mal den Microtik und die "unmanaged 8-Port-Switch" neu starten. Wenn sich es dann immer noch nicht ändert kann es auch ein defektes Kabel oder ein defekter Port sein. Und die Konfiguration vom Microtik solltest du nochmal kontrollieren von wegen "Bonding", VLANS, gesicherte Accessports ect. Edit: Hier noch der VMWare Part: https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1004088 Ah, HALT, link aggregation hast du ja nicht eingestellt. Hm, ob das dann der Microtik kann... ich schmöker mal Edit: Aha, das hier brauchst du auf dem ESXi: Routen anhand des IP-Hash . Und Bonding auf dem Microtek. Weil es ja im Moment ziemlich so aussieht bei dir https://pubs.vmware.com/vsphere-60/index.jsp#com.vmware.vsphere.networking.doc/GUID-523FDFBD-EAEC-44A5-9451-F63EB792F156.html

Worauf ich hinaus will und Vorschlag: Reboote doch am WE mal alle Router und Switches. Dann wäre zumindest mal ein eventuell stattgefundenes MAC-Flodding repariert. (unmanaged Switch am unkonfigurierten Port des Mikrotik).

Das ist wohl wahr! :) War auch mehr ein "in den Raum werfen" wie man es eventuell ohne roaming profile machen könnte.

Also wenn es mit ausgeschaltetem Virus\Endpoint auch nicht ging, da denke ich hat es mit den OS-Einstellungen in den VMs nichts zu tun. Ist ja jetzt schon fast alles auf den OS geprüft/getestet ohne Befund. Bleibt also der ESXi und der Mikrotek und der AP. Wobei ich immer noch nicht ganz nachvollziehen kann wie die zusammen sind. Ich hätte den ESXi, die Clients, das WLAN und das Gastnetz jeweils in ein eigenes VLAN und hätte dann über den Microtek geroutet mit entsprechenden ACLs. Das WLAN-Gastnetz ist wahrscheinlich auch in einem eigenen VLAN. Mich wundert auch daß die Clients keine Probleme haben obwohl sie im gleichen Netz/VLAN(?) wie der ESXi und der AP sind. Ich finde auch keine gescheite Doku zu Mikrotik. Hast du da eine? Edit: Wah? Was hängt denn an dem noch dran? Und wie ist der Port auf dem Hauptswitch konfiguriert an dem der 8-Port dran hängt? Beim ESXi sieht das Netzwerk richtig aus, soweit ich das anhand deiner Bilder sehen kann. Bleibt noch die Gegenseite am Mikrotik. Und wie die VMs auf dem vSwitch dran sind. Und am "Hauptswitch" hängen die Clients und der ist mit einem Kabel am Mikrotik?

Jo, kenn ich mich auch nicht aus mit. Gabs da mal ein Update, also nicht nur Virendefinitionen, Anfang September? Hm, was genau verstehst du unter Switch? Und was unter Bridge? (Echt? Ne Bridge? :eek: )

Was gibt es denn sonst noch außer roaming profile mit folderredirection? Bliebe ja nur noch Virtual Desktop, jeder seinen persönlichen, und Zugriff per VPN und RDP, oder? Oder Jeder sein persönliches Firmen-Laptop und dann mit Direct Access?

Hm, dann hat es nichts mit ipv6 zu tun wenn du six.heise.de nicht erreichen kannst. Was ist den als Virenscanner/Securitysuite drauf? Regelt die auch den Internetzugriff? Könnte nach einem Update eine andere Regelliste gelten oder sowas.