g1n 10 Geschrieben 1. September 2010 Melden Teilen Geschrieben 1. September 2010 Hallo Leute, ich habe seit einiger Zeit ein "kleines Problemchen". Hier mal kurz und knapp die Netzwerkkonstellation: -1 Domäne mit 2 Standorten, jeder Standort hat sein eigenes Subnetz, verbunden über einen openVPN-Tunnel - Standort 1 beherbergt 2 DCs mit Windows 2003 R2, auf diesen DCs laufen DFS-Shares die mit dem Standort Hannover synchronisiert werden - Standort 2 beherbergt 1 DC mit Windows 2003 R2 dort laufen die DFS-Shares die mit den Shares an Standort 1 per DFSR replliziert / synchronisiert werden. -Die DFS-Shares / Clients sind so eingestellt, dass standortübergreifende Zugriffe nicht möglich sein sollte (die Clients sollten nur die Sharepoints an ihrem eigenen zur Verfügung gestellt bekommen) - an beiden Standorten hängen Firewalls die den Traffic zwischen iNet / Netzwerk reglementieren, aber den Zugriff über das VPN ist komplett uneingeschränkt (keinerlei Sperren, alles wird durchgelassen). Bis die Firewalls ins System kamen funktionierte alles wunderbar (DFS-Replikation, Bereitstellung der standortbezogenen Shares), die VPN-Verbindung wurde ganz normal mit den Routern an den jeweiligen hergestellt ohne Firewall dazwischen. Seit dem die Firewalls stehen, erkennen die Clientrechner an Standort 2 ihren Standort nicht mehr korrekt. Die Clients geben vor sich an Standort 1 zu befinden und bekommen natürlich nur die Dort vorhandenen Server zur Verfügung gestellt...was natürlich so nicht richtig ist. Die Replikation unter den Server funktioniert hingegen einwandfrei. Ich habe schon diverse Test durchs VPN laufen lassen die mir attestierten dass keinerlei Einschränkungen bei Ports existieren. So langsam bin ich mit meinem Latein am Ende. Weiß jemand anhand welcher Daten ein Client erkennt an welchem Standort er sich befindet? ich bin immer davon ausgegangen dass das anhand der IP-Adresse geschieht, da bin ich aber scheinbar auf dem Holzweg. Ich hoffe meine Angaben sind halbswegs hilfreich ;) Beste Grüße g1n Zitieren Link zu diesem Kommentar
TiTux 10 Geschrieben 1. September 2010 Melden Teilen Geschrieben 1. September 2010 Servus, wenn Ihr Standorte und die dazugehörigen Subnetze korrekt konfiguriert habt, holt sich der Client die Informationen von seinem DNS Server, der die Standorte mit den entsprechenden DCs ja eingetragen hat. Befindet sich der Client also im gleichen Subnetz wie ein DC, sollte er sich auch bei dem DC anmelden, der dem Subnetz/Standort zugeordnet ist. Habt ihr denn die Möglichkeit, alle Firewallregeln zu diagnosen Zwecken komplett zu deaktivieren? Gruß TiTux Zitieren Link zu diesem Kommentar
g1n 10 Geschrieben 1. September 2010 Autor Melden Teilen Geschrieben 1. September 2010 Hallo TiTux, ja der DC vor Ort ist als DHCP und DNS-Server aktiv, die User-Anmeldung erfolgt auch am lokalen DC...meistens jedenfalls. Es kommt auch ab und zu vor, dass der clientrechner seine Anmeldung und ebenfalls die User-Anmeldung am Standort gegenüber vornimmt, auch wenn der lokale DC problemlos erreichbar ist :( Ich muss mal schauen ob ich die Firewallrules vorübergehend außer Kraft setzen kann, bei den Linux-Kisten find ich das manchmal etwas tricky ;) Gruß g1n Zitieren Link zu diesem Kommentar
g1n 10 Geschrieben 8. November 2010 Autor Melden Teilen Geschrieben 8. November 2010 Hi, ich wollte das Thema eigentlich nicht nochmal ausbuddeln, aber evtl. ist die Antwort für andere hilfreichen. Der Auslöser des Problems war die Aufstellung der Netzstruktur (mehr oder weniger). Das Exakte Problem war, dass der Standort der die Probleme hatte zwar in der Firewall nicht gesperrt war, aber diese FW NAT nutzte...was z.b. nur eine einzelne SMB-Verbindung zulässt. Das System wurde leicht umgestrickt so dass kein NAT mehr von Nöten war und schon hat sich das Problem erledigt ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.