Jump to content

AD nicht erreichbar, wenn additional DC is down


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Jetzt ist ja alles korrekt konfiguriert und läuft wie es soll. Im Eventlog wird auch keinerlei Fehler auftauchen.

Der fehlerhaft konfigurierte DNS war der Grund, dass das Ganze nicht lief, wie es sollte.

 

Ihr würdet quasi empfehlen, dass für die einfache Bereitstellung eines PPTP-VPN (ich weiß, dass das nicht die sicherste Art ist) ein eigener Server 2008 / 2012 aufgesetzt wird und dort dann die Rolle eingerichtet wird?

Oder alternativ einen Zugang via Router? Da braucht der Anwender dann aber wieder ein anderes Passwort, da die Router ja nicht aufs AD durchgreifen; zumindest nicht die, die ich im Einsatz habe.

 

Spricht denn etwas dagegen, dass die RAS Rolle auf einem Fileserver mitläuft?

 

@zahni: Du empfiehlst jeweils eine eigene NIC für IPv4 und IPv6. Was spricht gegen eine einzelne NIC für IPv4 und UPv6?

bearbeitet von shafner
Link zu diesem Kommentar

Der fehlerhaft konfigurierte DNS war der Grund, dass das Ganze nicht lief, wie es sollte.

 

Was genau war denn nun der Fehler im DNS?

 

 

Ihr würdet quasi empfehlen, dass für die einfache Bereitstellung eines PPTP-VPN (ich weiß, dass das nicht die sicherste Art ist) ein eigener Server 2008 / 2012 aufgesetzt wird und dort dann die Rolle eingerichtet wird?

Nein, ich empfehle eine Firewall als Gateway ins Internet zu benutzen, auf dieser kannst Du dann VPN eingehend konfigurieren. Und vernünftige Geräte lassen auch eine Benutzerauthentifizierung gegen das AD zu.

 

 

Oder alternativ einen Zugang via Router? Da braucht der Anwender dann aber wieder ein anderes Passwort, da die Router ja nicht aufs AD durchgreifen; zumindest nicht die, die ich im Einsatz habe.

 

Fritzboxen können das AFAIR nicht, richtig. :p 

 

Spricht denn etwas dagegen, dass die RAS Rolle auf einem Fileserver mitläuft?

Ja, am besten Du nimmst eine eigene Maschine dafür, die nichts anderes anbietet. Besser wäre natürlich eine ordentlich Firewall.

 

@zahni: Du empfiehlst jeweils eine eigene NIC für IPv4 und IPv6. Was spricht gegen eine einzelne NIC für IPv4 und UPv6?

Ich glaube zahni meinte eine NIC für IPV4 *und* IPV6 zusammen. ;)

Link zu diesem Kommentar

Ja dachte ich mir fast, ist ja nur eine NIC im DC supported.

 

Ich denke, dass da einfach zu viele DNS Einträge drinnen waren, die da nix zu suchen hatten. Mitunter war auch der ADC nicht richtig installiert. Den hatte ich ja auch neu installiert und dann wurde das ganze beim nslookup auch richtig angezeigt.

 

Ich hätte einen Draytek 2820 und einen Lancom 1781EW. Shrew Soft Client ist ja kostenfrei. Lässt sich damit vernünftig etwas zusammen basteln?

Link zu diesem Kommentar

Ich denke, dass da einfach zu viele DNS Einträge drinnen waren, die da nix zu suchen hatten. Mitunter war auch der ADC nicht richtig installiert. Den hatte ich ja auch neu installiert und dann wurde das ganze beim nslookup auch richtig angezeigt.

Du tappst also völlig im Dunkeln.

 

 

Ich hätte einen Draytek 2820 und einen Lancom 1781EW. Shrew Soft Client ist ja kostenfrei. Lässt sich damit vernünftig etwas zusammen basteln?

 

Das kannst Du selbst heraus lesen: http://www.lancom-systems.de/fileadmin/produkte/lc_1781EW/1781EW_DE.pdfFür den zweiten darfst du beim Hersteller selber nachschauen.

Link zu diesem Kommentar

Der Lancom ist unbrauchbar, da nur 5 Sitzungen parallel unterstützt werden.

 

 

 

Und nun beschäftigen wir uns nochmal intensiv mit den möglichen Produkten auf https://www.lancom-systems.de/

Nur als Beispiel:  https://www.lancom-systems.de/produkte/standortvernetzung/zertifizierte-vpn-router/lancom-9100plus-vpn-cc/ueberblick/

 

Edit: Auch der Vorschlag von Sunny kann, nach Einwurf einiger Euros, 25 VPN-Verbindungen.

bearbeitet von zahni
Link zu diesem Kommentar

Sorry wenn ich mich hier einklinke, hab da aber ne Frage zu dem Thema :)

 

Wenn der RAS auf dem DC ist und der DC gleichzeitig auch DNS ist, kommt der DC dann nicht durcheinander, wenn der RAS nach herstellen der Internetverbindung den DNS vom Provider auf dem DC einträgt? Hab sowas noch nicht probiert und auch gerade keine Möglichkeit das zu testen.

Link zu diesem Kommentar

Moin,

 

erstens soll ein DC ja kein RAS-Server sein. Ein DC ist ein DC. Punkt. (Ebenso ist ein Router ein Router. Auch Punkt.)

 

Zweitens ist innerhalb einer AD-Umgebung niemals ein DNS-Server anzugeben, der nicht zu der AD-Umgebung gehört. Natürlich gilt das auch für VPN-Verbindungen. Und auch wenn die Internetverbindung für das LAN über einen Windows-RRAS-Router hergestellt wird, gilt nichts anderes.

 

Den DNS-Server des Providers kann man im internen DNS-Server als Forwarder eintragen. Niemals aber direkt bei Clients oder Servern.

 

Gruß, Nils

Link zu diesem Kommentar

Dacht ichs mir doch. Hmm, auch wenn ich es selbst nicht machen wollen würde (lieber ne ASA hinstellen die all das macht), könnte man im obigen Szenario die WAN/RAS-Karte dann nicht so einstellen, dass DNS nicht automatisch gezogen wird, sondern den DC-DNS selbst eintragen und dann, wie du schreibst, im DC-DNS den ISP-DNS als forwarder eintragen? Mh, wenn ichs mir nochmal anshaue - voll der Fuddelkram :D

 

DC nur eine LAN-Verbindung. Fertig.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...