VPN LAN-LAN, Domänenanbindung möglich?

[Knorkator 12]

Hallo,

 

habe erstmals eine LAN-LAN Verbindung mit 2 Draytek Routern hergestellt und hab ein paar "Anfängerfragen" bzgl. LAN-LAN Kopplung.

 

Derzeitiger stand:

Netz 1:

192.168.10.0

255.255.255.0

2 Systeme, beide XP-Pro, einer davon ist David.FX Server

1x Draytek Vigor 2700er Serie

 

Netz 2:

192.168.1.0

255.255.255.0

4 Systeme (3x XP Pro, 1x 2008 R2 als DC)

1x Draytek Vigor 2700er Serie

 

Die Router sind per IPSEC miteinander verbunden, Ping in beide Richtungen und net use per 2008er IP/Freigabe /user:xyz passwort vom 10er Netz funktioniert.

 

Für mich, als VPN Einsteiger stellen sich folgende fragen:

- Können die Systeme im 10er Netz an die Domäne angebunden werden und was gibt es dabei zu beachten? Evtl. Änderung im Subnetz, Einträge im DNS Server ect?

- Die Draytek "Firewall" blockt lt. Aussage unseres Lieferanten u.a. Netbios anfragen. Live Demo des Routers: ::: DrayTek Corp - Your reliable networking solutions partner - Support - Live Web Demo :::

Können diese Filter evtl. gefahrlos deaktiviert werden?

 

Thx für Tipps!!

[skippa 10]

Hi,

 

wüsste nicht was dagegen spricht. Subnetz im AD eintragen und tschakka!

Der Paket-Filter auf dem Router wird (kenne ihn nicht, aber gehe davon mal aus) nur in Richtung Internet gehen; vermute die Filterung von Protokollen, etc. wird nicht im VPN greifen.

 

Gruß,

Simon

[Knorkator 12]

Hallo,

 

was muss ich im AD eintragen?

2. FW im DNS oder noch etwas?

 

In den Draytek Router muss der Netbios Filter noch ausgeschaltet werden vermute ich.

 

Auf den Rechnern im 192.168.10.0 Netz sollte der DNS Eintrag dann auf den 2008 verweisen vermute ich.

Kann es dadurch Performanceprobleme geben?

Der XP Client im 10.x Netz greift auch auf den XP "Server" 10.10. zu.

Wären 2 DNS Einträge evtl. sinnvoller? 1. 10.1 Router, 2. 10.25 Srv 2008?

 

Thx für Tipp!

[Ogni85 10]

Habe genau das gleiche Problem! Konntest du das irgendwie lösen, damit die Domänenanbindung klappt??

 

Danke

[lefg 276]

Hallo,

 

was ist denn eigentlich das primäre Problem, der Zugriff der entfernten Clients auf den Server durch den Tunnel oder das Joinen der entfernten Clients in die Domäne?

 

Ich habe an den entfernten Clients TCP/IP die Adressen statisch vergeben, das Subnetz war vorbestimmt, habe den DNS des DC eingetragen und ipconfig /registerdns durchgeführt, mich vergewissert, dass der Eintrag im DNS angekommen, in FWLZ vorhanden, dann klappte auch das Joinen. Der DNS-Zone muss natürlich unsichere Updates akzeptieren, entsprechend eingestellt sein.

 

Gruß

 

Edgar

[Ogni85 10]

Also bei mir das Problem, dass ich den Rechner nicht in Domäne bekomme.

Das Bild sieht folgendermaßer aus.

 

Server(IP 192.168.0.1) - Router (Netz:192.168.0.0) - Internet - Router(Netz:192.168.10.0)-Rechner(IP 192.168.10.20)

 

Die VPN Verbindung zwischen den beiden Rechnern steht. Jedoch klappt kein DNS (daher bekomme ich den Rechner ja auch nicht in die Domäne).

 

Mach ich vom Rechner nen ping auf 192.168.0.1 klappt dieser

Mach ich vom Rechner nen Ping auf srv-firma so klappt dieser nicht. Auch wenn ich als DNS-Server am Rechner den 192.168.0.1 als Primär habe und als Sekundär die IP des Routers vor Ort.

 

Trag den den Server in die hosts Datei im Windows Verzeichnis, so kann ich diesen auch über den Namen pingen, allerdings nicht der Domäne beitreten.

 

Muss ich eventuell noch Routingtabellen anlegen? Oder was am DNS des Servers einrichten?

 

Vielen Dank schonmal im voraus...

[unst 10]

was sagen denn die router logs? wird das vielleicht was geblockt? so DNS mäßig, geht denn ein SMB zugriff auf den server?

[skippa 10]

Hi,

 

versuch folgendes:

Auf dem entfernten Client gehst du in die Eingabeaufforderung und gibst dort den Befehl "nslookup" ohne Parameter ein. Du bist jetzt im nslookup, dort gibst du den Befehl "server [server-ip]" ein.. Also in deinem Fall "server 192.168.0.1", abschließend mit Return. Jetzt gibst du die Domäne ein, welcher du beitreten möchtest z.B. "tasknet.intern" oder so - kriegst du nun die IP-Adressen deiner DCs zurück?

 

Greetz,

Simon

[lefg 276]

Mach ich vom Rechner nen ping auf 192.168.0.1 klappt dieser

Mach ich vom Rechner nen Ping auf srv-firma so klappt dieser nicht. ...

Das bedeutet, die Namensauflösung funktioniert nicht.

Auch wenn ich als DNS-Server am Rechner den 192.168.0.1 als Primär habe und als Sekundär die IP des Routers vor Ort.

Der DNS der Domäne muss primärer DNS am Client sein, übrigens auch am Server selbst.

Trag den den Server in die hosts Datei im Windows Verzeichnis, so kann ich diesen auch über den Namen pingen, allerdings nicht der Domäne beitreten.

Damit kommt man nicht wirklich weiter, das ist ein Versuch an Symtomen zu laborieren, ist keine Lösung für das Problem. Selbst falls es gelingen sollte, auf diese Weise einen Client in die Domäne zu heben, das verbessert die Sache nicht wirklich.

 

Wurde am Client ipconfig /registerdns durchgeführt, und hat das einem aktuellen Eintrag in die FWLZ der Domäne im DNS geführt? Ist solch ein Eintrag vorhanden?

 

Was ist das für ein DNS, ist er AD-integriert?

Muss ich eventuell noch Routingtabellen anlegen? Oder was am DNS des Servers einrichten?

Nein, da muss nichts angelegt werden, schliesslich routen weder Client noch Server; Routen ist Aufgabe von Routern, Tabelleneinträge sind dann auch nur bei statischem Routing nötig.

 

Du schreibst aber die Verbindung zwischen den beiden Netzen selbst sei in Ordnung, sie funktioniere, ein Client könne den Server per IP pingen. Kann der Client denn per IP auf den Server suchen und ist ein Zugriff für einen Benutzer am Client, der auch Member der Domäne ist möglich?