Domänen-Beitritt aus Subnetz

[PathFinder 10]

Hallo zusammen,

 

Ich habe einen SBS2011 DC und einen zweiten Standort mit nur 4 PCs.

 

Die Internetleitung auf beiden Seiten ist sehr schnell.

 

Die Standorte sind per LANCOM Site-2-Site-VPN verbunden.

 

Mein Test-PC hat sowohl als DNS als auch als WINS-Server die IP des SBS2011 eingetragen.

 

Ich kann pingen, nslookup ist sauber. Netzwerkzugriff ist möglich eigentlich sieht alles gut aus.

 

Versuche ich aber der Domäne beizutreten bekomme ich Fehler.

 

Ereignisprotokolle sind nicht sehr hilfreich (ich finde nichts was auch nur ansatzweise in die Richtung deutet)

 

Forensuche war erfolglos.

 

Fehler lautet:

 

"Bei dem Versuch der Domäne "domain.local" beizutreten, trat der folgende Fehler auf: Der angegebene Server kann den angeforderten Vorgang nicht ausführen"

 

Ich kann auch andere PCs durch den Tunnel pingen.

 

Ich habe versucht das Computerkonto schonmal im AD anzulegen. Den Domänenbeitritt habe ich auch mit dem UPN versucht domadmin@domain.local

 

Der WINS Server hat auf der Gegenseite den PC registriert. Ich habe ihn zur Sicherheit mal im DNS angelegt. Kann auch den PC vom SBS aus pingen.

 

Unter AD Standorte und Dienste das Subnetz hinzugefügt.

 

Woran kann das denn noch liegen? =)

 

danke fürs lesen, der Path

[NeMiX 76]

Wie ist den die LanCom Firewall eingestellt?

[PathFinder 10]

Hallo,

 

ich hab z.b. darauf geachtet das Netbios Verkehr erlaubt ist, aber die Frage müsste etwas präziesier sein =)

 

Gibt es etwas worauf ich unbedingt achten sollte? Der LANCOM Support ist schon aktiviert, das wird vielleicht morgen.

[XP-Fan 234]

Hallo,

 

hast du an der Netzwerkkarte des Clients IPv6 aktiv ? Wenn ja schalte es mal ab und prüfe dann den Beitritt. Besser ?

Weiterhin funken gerne Security Lösungen dazwischen, sind die auf dem Client / Server installiert ?

[NorbertFe 2.283]

Ich tippe eher auf MTU size. Gibt immer mal wieder Späße bei vpn, dass es eben nicht automatisch am Client funktioniert.

[daabm 1.431]

MTU, stimmt - und Kerberos (UDP) über VPN -> MaxPacketSize anpassen, damit TCP verwendet wird. Gibt da über VPN das Problem, wenn die Kerberos-Pakete nicht mehr in ein UDP-Paket passen, aber noch kleiner als 2k sind (dann würde automatisch TCP) verwendet werden - dann kommen die 2 Pakete gerne out of order am Server an und das geht schief.

 

Ansonsten sollte die Firewall dns, kerberos, kpasswd, ldap/ldaps, gc, NBT und SMB durchlassen. Eigentlich sollte sie alles durchlassen :D

[testperson 1.859]

Hi,

 

was melden denn die Lancoms wenn du mal einen Trace startest beim Domain Join?

 

trace # firewall @ <IP-des-Clients>

 

Gruß

Jan

[PathFinder 10]

Vielen Dank für eure Antworten,

 

ich werde das alles durcharbeiten und dann bescheid sagen!

 

 

EDIT:

 

@XPFAN - ipv6 deaktiviert, ändert nichts an der Meldung. Auf den Maschinen ist halt ein AntiVirus. So einen "InternetSecurity-Blödsinn" meide ich wie der Teufel das Weihwasser =)

 

@Testperson - Das Problem sitzt ja im Regelfall vor dem Monitor =/

Mit einem MS-TMG wusste ich wie man Firewalllogs richtig auswertert und live protokolliert. Bei LANCOM stehe ich gerade am Anfang.

Mit deinem Tip hats auch genau 2 Sekunden gedauert zu erkennen das es eine Regel gibt die den Port 389 im LOCALNET und aus unserem RZ erlaubt (Verwaltungssoftware).

Das Remote Netzwerk war natürlich nicht bedacht. Durch die Aufnahme des Remote-Netzes in diese Regel ist der PC auch sofort in der Domäne. Ist peinlich aber ich danke schön =)

 

Wegen der MTU:

wie kann ich das am besten zur Sicherheit nochmal gegenchecken?

 

Vielen Dank für eure Hilfe!!!

bearbeitet 15. Oktober 2014 von PathFinder

[testperson 1.859]

Hi,

 

wir migrieren derzeit ziemlich viele Rechner über Lancom Site2Site VPNs in Domänen in unserem RZ. Probleme mit der MTU hatten wir da noch nie. Als Leitungen beim Kunden kommt da auch so ziemlich alles zum Einsatz (ADSL, VDSL, Kabel, LTE, SDSL).

 

Gruß

Jan