NilsK 2.918 Geschrieben 2. Januar 2015 Melden Teilen Geschrieben 2. Januar 2015 Moin, ... ich glaube, wir lassen das lieber. Dass man sowas nicht macht, habe ich ja oben schon erwähnt. Mehr gibt es dazu nicht zu sagen. Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 2. Januar 2015 Melden Teilen Geschrieben 2. Januar 2015 Nils wollte wissen, ob Du RAS nun vom DC entfernt hast. Das hat dort nichts zu suchen und ist zu 95% Grund für Deine Probleme. Ein DC sollte nur ein IP-Interface pro Protokoll haben. Also 1x IPv4 und 1x IPv6. Zitieren Link zu diesem Kommentar
sakoti 11 Geschrieben 2. Januar 2015 Autor Melden Teilen Geschrieben 2. Januar 2015 (bearbeitet) Jetzt ist ja alles korrekt konfiguriert und läuft wie es soll. Im Eventlog wird auch keinerlei Fehler auftauchen. Der fehlerhaft konfigurierte DNS war der Grund, dass das Ganze nicht lief, wie es sollte. Ihr würdet quasi empfehlen, dass für die einfache Bereitstellung eines PPTP-VPN (ich weiß, dass das nicht die sicherste Art ist) ein eigener Server 2008 / 2012 aufgesetzt wird und dort dann die Rolle eingerichtet wird? Oder alternativ einen Zugang via Router? Da braucht der Anwender dann aber wieder ein anderes Passwort, da die Router ja nicht aufs AD durchgreifen; zumindest nicht die, die ich im Einsatz habe. Spricht denn etwas dagegen, dass die RAS Rolle auf einem Fileserver mitläuft? @zahni: Du empfiehlst jeweils eine eigene NIC für IPv4 und IPv6. Was spricht gegen eine einzelne NIC für IPv4 und UPv6? bearbeitet 2. Januar 2015 von shafner Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 2. Januar 2015 Melden Teilen Geschrieben 2. Januar 2015 Du weißt, dass PPTP in Sekunden knackbar ist, wenn man sich damit beschäftigt und fragst allen Ernstes, ob das auf einem DC oder sonstigen Memberserver sinnvoll ist? ;) Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 2. Januar 2015 Melden Teilen Geschrieben 2. Januar 2015 Der fehlerhaft konfigurierte DNS war der Grund, dass das Ganze nicht lief, wie es sollte. Was genau war denn nun der Fehler im DNS? Ihr würdet quasi empfehlen, dass für die einfache Bereitstellung eines PPTP-VPN (ich weiß, dass das nicht die sicherste Art ist) ein eigener Server 2008 / 2012 aufgesetzt wird und dort dann die Rolle eingerichtet wird? Nein, ich empfehle eine Firewall als Gateway ins Internet zu benutzen, auf dieser kannst Du dann VPN eingehend konfigurieren. Und vernünftige Geräte lassen auch eine Benutzerauthentifizierung gegen das AD zu. Oder alternativ einen Zugang via Router? Da braucht der Anwender dann aber wieder ein anderes Passwort, da die Router ja nicht aufs AD durchgreifen; zumindest nicht die, die ich im Einsatz habe. Fritzboxen können das AFAIR nicht, richtig. :p Spricht denn etwas dagegen, dass die RAS Rolle auf einem Fileserver mitläuft? Ja, am besten Du nimmst eine eigene Maschine dafür, die nichts anderes anbietet. Besser wäre natürlich eine ordentlich Firewall. @zahni: Du empfiehlst jeweils eine eigene NIC für IPv4 und IPv6. Was spricht gegen eine einzelne NIC für IPv4 und UPv6? Ich glaube zahni meinte eine NIC für IPV4 *und* IPV6 zusammen. ;) Zitieren Link zu diesem Kommentar
sakoti 11 Geschrieben 2. Januar 2015 Autor Melden Teilen Geschrieben 2. Januar 2015 Ja dachte ich mir fast, ist ja nur eine NIC im DC supported. Ich denke, dass da einfach zu viele DNS Einträge drinnen waren, die da nix zu suchen hatten. Mitunter war auch der ADC nicht richtig installiert. Den hatte ich ja auch neu installiert und dann wurde das ganze beim nslookup auch richtig angezeigt. Ich hätte einen Draytek 2820 und einen Lancom 1781EW. Shrew Soft Client ist ja kostenfrei. Lässt sich damit vernünftig etwas zusammen basteln? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 2. Januar 2015 Melden Teilen Geschrieben 2. Januar 2015 Ich denke, dass da einfach zu viele DNS Einträge drinnen waren, die da nix zu suchen hatten. Mitunter war auch der ADC nicht richtig installiert. Den hatte ich ja auch neu installiert und dann wurde das ganze beim nslookup auch richtig angezeigt. Du tappst also völlig im Dunkeln. Ich hätte einen Draytek 2820 und einen Lancom 1781EW. Shrew Soft Client ist ja kostenfrei. Lässt sich damit vernünftig etwas zusammen basteln? Das kannst Du selbst heraus lesen: http://www.lancom-systems.de/fileadmin/produkte/lc_1781EW/1781EW_DE.pdfFür den zweiten darfst du beim Hersteller selber nachschauen. Zitieren Link zu diesem Kommentar
sakoti 11 Geschrieben 2. Januar 2015 Autor Melden Teilen Geschrieben 2. Januar 2015 Der Lancom ist unbrauchbar, da nur 5 Sitzungen parallel unterstützt werden. Was würdet ihr für einen Router für VPN empfehlen, wo 20-25 Sitzungen gleichzeitig aufgebaut werden können, AD für die Authentidizierung genutzt werden kann und was auch noch kostenmäßig günstig ist? Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 2. Januar 2015 Melden Teilen Geschrieben 2. Januar 2015 (bearbeitet) Der Lancom ist unbrauchbar, da nur 5 Sitzungen parallel unterstützt werden. Und nun beschäftigen wir uns nochmal intensiv mit den möglichen Produkten auf https://www.lancom-systems.de/ Nur als Beispiel: https://www.lancom-systems.de/produkte/standortvernetzung/zertifizierte-vpn-router/lancom-9100plus-vpn-cc/ueberblick/ Edit: Auch der Vorschlag von Sunny kann, nach Einwurf einiger Euros, 25 VPN-Verbindungen. bearbeitet 2. Januar 2015 von zahni Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 8. Januar 2015 Melden Teilen Geschrieben 8. Januar 2015 Sorry wenn ich mich hier einklinke, hab da aber ne Frage zu dem Thema :) Wenn der RAS auf dem DC ist und der DC gleichzeitig auch DNS ist, kommt der DC dann nicht durcheinander, wenn der RAS nach herstellen der Internetverbindung den DNS vom Provider auf dem DC einträgt? Hab sowas noch nicht probiert und auch gerade keine Möglichkeit das zu testen. Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 8. Januar 2015 Melden Teilen Geschrieben 8. Januar 2015 Moin, erstens soll ein DC ja kein RAS-Server sein. Ein DC ist ein DC. Punkt. (Ebenso ist ein Router ein Router. Auch Punkt.) Zweitens ist innerhalb einer AD-Umgebung niemals ein DNS-Server anzugeben, der nicht zu der AD-Umgebung gehört. Natürlich gilt das auch für VPN-Verbindungen. Und auch wenn die Internetverbindung für das LAN über einen Windows-RRAS-Router hergestellt wird, gilt nichts anderes. Den DNS-Server des Providers kann man im internen DNS-Server als Forwarder eintragen. Niemals aber direkt bei Clients oder Servern. Gruß, Nils Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 8. Januar 2015 Melden Teilen Geschrieben 8. Januar 2015 Dacht ichs mir doch. Hmm, auch wenn ich es selbst nicht machen wollen würde (lieber ne ASA hinstellen die all das macht), könnte man im obigen Szenario die WAN/RAS-Karte dann nicht so einstellen, dass DNS nicht automatisch gezogen wird, sondern den DC-DNS selbst eintragen und dann, wie du schreibst, im DC-DNS den ISP-DNS als forwarder eintragen? Mh, wenn ichs mir nochmal anshaue - voll der Fuddelkram :D DC nur eine LAN-Verbindung. Fertig. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.