AD nicht erreichbar, wenn additional DC is down

[NilsK 2.795]

Moin,

 

... ich glaube, wir lassen das lieber. Dass man sowas nicht macht, habe ich ja oben schon erwähnt. Mehr gibt es dazu nicht zu sagen.

 

Gruß, Nils

[zahni 524]

Nils wollte wissen, ob Du RAS nun vom DC entfernt hast. Das hat dort nichts zu suchen und ist zu 95% Grund für Deine Probleme.

Ein DC sollte nur ein IP-Interface pro Protokoll haben. Also 1x IPv4 und 1x IPv6. 

[sakoti 11]

Jetzt ist ja alles korrekt konfiguriert und läuft wie es soll. Im Eventlog wird auch keinerlei Fehler auftauchen.

Der fehlerhaft konfigurierte DNS war der Grund, dass das Ganze nicht lief, wie es sollte.

 

Ihr würdet quasi empfehlen, dass für die einfache Bereitstellung eines PPTP-VPN (ich weiß, dass das nicht die sicherste Art ist) ein eigener Server 2008 / 2012 aufgesetzt wird und dort dann die Rolle eingerichtet wird?

Oder alternativ einen Zugang via Router? Da braucht der Anwender dann aber wieder ein anderes Passwort, da die Router ja nicht aufs AD durchgreifen; zumindest nicht die, die ich im Einsatz habe.

 

Spricht denn etwas dagegen, dass die RAS Rolle auf einem Fileserver mitläuft?

 

@zahni: Du empfiehlst jeweils eine eigene NIC für IPv4 und IPv6. Was spricht gegen eine einzelne NIC für IPv4 und UPv6?

bearbeitet 2. Januar 2015 von shafner

[NorbertFe 1.830]

Du weißt, dass PPTP in Sekunden knackbar ist, wenn man sich damit beschäftigt und fragst allen Ernstes, ob das auf einem DC oder sonstigen Memberserver sinnvoll ist? ;)

[Sunny61 773]

Der fehlerhaft konfigurierte DNS war der Grund, dass das Ganze nicht lief, wie es sollte.

 

Was genau war denn nun der Fehler im DNS?

 

 

Ihr würdet quasi empfehlen, dass für die einfache Bereitstellung eines PPTP-VPN (ich weiß, dass das nicht die sicherste Art ist) ein eigener Server 2008 / 2012 aufgesetzt wird und dort dann die Rolle eingerichtet wird?

Nein, ich empfehle eine Firewall als Gateway ins Internet zu benutzen, auf dieser kannst Du dann VPN eingehend konfigurieren. Und vernünftige Geräte lassen auch eine Benutzerauthentifizierung gegen das AD zu.

 

 

Oder alternativ einen Zugang via Router? Da braucht der Anwender dann aber wieder ein anderes Passwort, da die Router ja nicht aufs AD durchgreifen; zumindest nicht die, die ich im Einsatz habe.

 

Fritzboxen können das AFAIR nicht, richtig. :p 

 

Spricht denn etwas dagegen, dass die RAS Rolle auf einem Fileserver mitläuft?

Ja, am besten Du nimmst eine eigene Maschine dafür, die nichts anderes anbietet. Besser wäre natürlich eine ordentlich Firewall.

 

@zahni: Du empfiehlst jeweils eine eigene NIC für IPv4 und IPv6. Was spricht gegen eine einzelne NIC für IPv4 und UPv6?

Ich glaube zahni meinte eine NIC für IPV4 *und* IPV6 zusammen. ;)

[sakoti 11]

Ja dachte ich mir fast, ist ja nur eine NIC im DC supported.

 

Ich denke, dass da einfach zu viele DNS Einträge drinnen waren, die da nix zu suchen hatten. Mitunter war auch der ADC nicht richtig installiert. Den hatte ich ja auch neu installiert und dann wurde das ganze beim nslookup auch richtig angezeigt.

 

Ich hätte einen Draytek 2820 und einen Lancom 1781EW. Shrew Soft Client ist ja kostenfrei. Lässt sich damit vernünftig etwas zusammen basteln?

[Sunny61 773]

Ich denke, dass da einfach zu viele DNS Einträge drinnen waren, die da nix zu suchen hatten. Mitunter war auch der ADC nicht richtig installiert. Den hatte ich ja auch neu installiert und dann wurde das ganze beim nslookup auch richtig angezeigt.

Du tappst also völlig im Dunkeln.

 

 

Ich hätte einen Draytek 2820 und einen Lancom 1781EW. Shrew Soft Client ist ja kostenfrei. Lässt sich damit vernünftig etwas zusammen basteln?

 

Das kannst Du selbst heraus lesen: http://www.lancom-systems.de/fileadmin/produkte/lc_1781EW/1781EW_DE.pdfFür den zweiten darfst du beim Hersteller selber nachschauen.

[sakoti 11]

Der Lancom ist unbrauchbar, da nur 5 Sitzungen parallel unterstützt werden.

 

Was würdet ihr für einen Router für VPN empfehlen, wo 20-25 Sitzungen gleichzeitig aufgebaut werden können, AD für die Authentidizierung genutzt werden kann und was auch noch kostenmäßig günstig ist?

[zahni 524]

Der Lancom ist unbrauchbar, da nur 5 Sitzungen parallel unterstützt werden.

 

 

 

Und nun beschäftigen wir uns nochmal intensiv mit den möglichen Produkten auf https://www.lancom-systems.de/

Nur als Beispiel:  https://www.lancom-systems.de/produkte/standortvernetzung/zertifizierte-vpn-router/lancom-9100plus-vpn-cc/ueberblick/

 

Edit: Auch der Vorschlag von Sunny kann, nach Einwurf einiger Euros, 25 VPN-Verbindungen.

bearbeitet 2. Januar 2015 von zahni

[Reingucker 3]

Sorry wenn ich mich hier einklinke, hab da aber ne Frage zu dem Thema :)

 

Wenn der RAS auf dem DC ist und der DC gleichzeitig auch DNS ist, kommt der DC dann nicht durcheinander, wenn der RAS nach herstellen der Internetverbindung den DNS vom Provider auf dem DC einträgt? Hab sowas noch nicht probiert und auch gerade keine Möglichkeit das zu testen.

[NilsK 2.795]

Moin,

 

erstens soll ein DC ja kein RAS-Server sein. Ein DC ist ein DC. Punkt. (Ebenso ist ein Router ein Router. Auch Punkt.)

 

Zweitens ist innerhalb einer AD-Umgebung niemals ein DNS-Server anzugeben, der nicht zu der AD-Umgebung gehört. Natürlich gilt das auch für VPN-Verbindungen. Und auch wenn die Internetverbindung für das LAN über einen Windows-RRAS-Router hergestellt wird, gilt nichts anderes.

 

Den DNS-Server des Providers kann man im internen DNS-Server als Forwarder eintragen. Niemals aber direkt bei Clients oder Servern.

 

Gruß, Nils

[Reingucker 3]

Dacht ichs mir doch. Hmm, auch wenn ich es selbst nicht machen wollen würde (lieber ne ASA hinstellen die all das macht), könnte man im obigen Szenario die WAN/RAS-Karte dann nicht so einstellen, dass DNS nicht automatisch gezogen wird, sondern den DC-DNS selbst eintragen und dann, wie du schreibst, im DC-DNS den ISP-DNS als forwarder eintragen? Mh, wenn ichs mir nochmal anshaue - voll der Fuddelkram :D

 

DC nur eine LAN-Verbindung. Fertig.