Client-Netz über VPN / Serverseitige-Übersetzung?

[NorbertFe 1.807]

Ich möchte da nicht wirklich basteln...

Warum führst du dann hier die Diskussion über die letzten Seiten? ;)

bearbeitet 4. Mai 2017 von NorbertFe

[kosta88 2]

Warum führst du dann hier die Diskussion über die letzten Seiten? ;)

Ich meinte ja nur so VPN via VPN (basteln im RZ).

Gebastelt (oder besser gesagt eingerichtet) hätte ich nur was auf meiner Seite, aber nachdem da nix möglich ist, habe ich nur wegen Registry Eintrag nachgedacht, aber nachdem das auch so ne Sache ist, lassen wir es lieber.

Dann gibt es einfach die Grenze.

bearbeitet 4. Mai 2017 von kosta88

[lefg 276]

Nun gut :)

 

Bitte berichte doch über des weitere Geschehen!

[kosta88 2]

Mache ich.

 

Nun doch noch was:

Auf der 1. Seite wurde geschrieben dass DHCP via NAT keine gute Idee ist.

Funktioniert es nicht oder wie soll ich das verstehen? Habe ich da nicht ein Problem mit dynamischen updates?

bearbeitet 4. Mai 2017 von kosta88

[magheinz 100]

DHCP ist broadcast und endet an routinggrenzen.

[kosta88 2]

Man kann es per Relay herausrouten, oder? Ist ja nur die Frage ob das Paket retour findet?

[lefg 276]

Ob DHCP unbedingt benötigt vom Server/DC im RZ?

 

Was stellt denn jetzt DHCP, ein LANCOM oder das RZ als DL?

[kosta88 2]

Besser wäre wenn DHCP lokal agiert, eigentlich. Ist wohl klar warum. Die Frage stellt sich für mich wegen dynamischen Updates, da diese in so einem Fall nicht stattfinden... glaube ich?

 

Jetzt ist LANCOM2 DHCP, der zu vergebende DNS in DHCP Einstellungen ist einer der zwei Laptops die als DCs agieren. Daweil spüre ich keine Probleme, aber ich weiß nur von der Empfehlung her (also "best practice") dass sich DHCP am DC befinden soll.

Übrigens, Antwort aus einem anderen Forum, zum gleichen Thema:

 

"Das Problem, warum das Rechenzentrum auf das N:N-NAT besteht, wird mit Sicherheit sein, dass euer lokal verwendetes Subnet 10.146.32.0/24 im RZ bereits verwendet wird oder auch nur ein Teil eines dort bereits verwendeten Subnetzes ist. Daher dann die N:N-Maskierung im RZ um die Eindeutigkeit und damit Routebarkeit (geiles Wort...) zu wahren."

bearbeitet 4. Mai 2017 von kosta88

[kosta88 2]

Es wäre eventuell besser das Thema DC over NAT hier weiterzuführen, als in dem anderen Thread.

Wie schon erwähnt, derzeit muss es so sein, dass ich wohl beide DCs, sowohl lokal und RZ, betreibe - wahrscheinlich nicht langfristig, aber ich muss es zum laufen bringen.

 

Es rennt bereits und alle 3 syncen. Und zwar so: DC im RZ hat den primären DNS Server den lokalen DC. Also lautet der primäre DNS im RZ-DC: 10.241.56.131 (das ist die genatete IP des lokalen DCs, 10.146.32.131).

 

Jedoch ist für mich interessant, wie ich das bewerkstelligen könnte, so wie es sich eigentlich gehört: primärer DNS ist der DNS (DC) selbst.

 

Also das habe ich bisher:

https://blogs.technet.microsoft.com/enterprisemobility/2009/04/22/dcs-and-network-address-translation/ -> eingetragen. Funktioniert auch, NSLOOKUP S02 localhost zeigt beide IPs.

 

So, und wenn ich im RZ-DC den primären DNS ändere:

- ping domain.local -> keine Antwort, die angezeigte IP ist die Original-IP des lokal DCs, also 10.146.32.131, anstatt 10.241.56.131

- ping S02 -> in Ordnung, zeigt auch die genatete IP

 

Damit die Replikation funkt muss man domain.local pingen können. Kann ich das irgendwie in DNS lösen? Vor allem ist es so dass DNS alles repliziert, so wie soll ich denn genau sagen dass von RZ-DC domain.local per 10.241.56.131 zu erreichen ist?

Alternativ denke ich an die hosts Datei, da kann ich sagen dass domain.local per 10.241.56.131 zu erreichen ist.

 

So, Ideen?

bearbeitet 18. Mai 2017 von kosta88

[lefg 276]

Moin

 

Was verstehst Du unter primärer DNS? Für was und wen primärer DNS? Oder ist der Eintrag Primärer DNS in den Netzwerkeinstellungen gemeint?

 

Es gibt in der Domäne keinen primären DNS-Server und keinen sekundären DNS-Server. Das sind nur Netzwerkeinstekllungen an einem Server oder einem Client, welcher DNS benutzt werden soll, falls der erste nicht antwortet nach einer Weile der weitere gefragt wird.

 

Normalerweise, in einer Domäne mit AD-integriertem DNS zeigt am DC der Eintrag Primärer DNS auf die IP-Adresse des Servers/DC selbst. Gibt es einen zweiten DC, zeigt der Eintrag Sekundärer DNS auf den. Beim zweiten DC ist es ebenso.

 

Sind die DNS an beiden DC denn AD-integriert?

 

Worauf welche Adresse zeigt den der sekundärer Eintrag am DC im RZ? Zeigt er auf die 32- oder auf die 56er-Adresse des DC im LAN? Da die 32 nicht existent aus dem RZ, muss der 56er-holder dafür eingetragen sein. So mein Gedanke.

 

Aus Sicht des DCRZ gibt es kein 32er-Netz, der Elemente werden durch 56er-Adressen repräsentiert.

 

Nun, trage doch nal an den Clients, testweise an einem Client, bei DNS die Adresse des RZDC ein (als weitere?), danach ipconfig/registerdns.

 

Normalerweise, in einer Domäne mit AD-integriertem DNS zeigt am DC der Eintrag Primärer DNS auf die IP-Adresse des Servers/DC selbst. Gibt es einen zweiten DC, zeigt der Eintrag Sekundärer DNS auf den. Beim zweiten DC ist es ebenso.

 

Es kann sein, gegenfalls kehrt man das um, das eine Gerät kann beim Hochfahren den DNS des anderen fragen. Aber ob das in diesem Fall eine Rolle spielt? Wohl nicht.

bearbeitet 18. Mai 2017 von lefg

[kosta88 2]

Entschuldige meine offensichtlich unklare Ausdruckweise: mit primärer DNS war für mich klar dass es sich um DNS Einstellungen in der IPv4 Netzwerk-Einstellungen der NIC.

 

Normalerweise, in einer Domäne mit AD-integriertem DNS zeigt am DC der Eintrag Primärer DNS auf die IP-Adresse des Servers/DC selbst. Gibt es einen zweiten DC, zeigt der Eintrag Sekundärer DNS auf den. Beim zweiten DC ist es ebenso.

 

 

Um das genau zu verstehen, nicht das hier Missverständnis herrscht:

DC1:

1.DNS: DC1

2.DNS: DC2

DC2:

1.DNS: DC2

2.DNS: DC1

So ist gemeint?

 

Sind die DNS an beiden DC denn AD-integriert?

 

Ja natürlich, und auch die Replizierung geht an alle (also genau gesagt die Default Einstellung alle Domains in der Forest).

 

Worauf welche Adresse zeigt den der sekundärer Eintrag am DC im RZ? Zeigt er auf die 32- oder auf die 56er-Adresse des DC im LAN? Da die 32 nicht existent aus dem RZ, muss der 56er-holder dafür eingetragen sein. So mein Gedanke.

Dieser ist derzeit noch leer, aber ist sozusagen reserviert. RZ braucht den 2.DNS für eigenen DNS, wegen Windows Updates soweit mir gesagt wurde.

D.h. ich kann angeblich nur 1.DNS verwenden... obwohl mir hier ein wenig unklar ist, warum soll ich nicht einen 3., 4. usw. eintragen können? Ist doch grundlegend egal, oder?

 

Da hast du Recht - ist auch das was mir der Kollege aus RZ gesagt hat - ein DNS, also der 1.DNS muss auf 10.241.56.131 hinzeigen, da sonst kein Rechner im 32-er Netz gefunden wird.

 

Aber, wenn die oben genannte Einträge bei 1.DNS/2.DNS das übliche sind, dann mache ich das ja auch so, jedoch will ich den 1.DNS schon immer als DC selber behalten. Da sonst keine Auflösung zustande kommt, wenn der andere DC ausfällt.

 

Wenn ich das ganze so lösen kann, 3 DNS Einträge zu haben, und bevorzugterweise 3. DNS ist das RZ-DNS, dann glaube ich dass ich das Thema abhaken kann. Hoffentlich...

[lefg 276]

Natürlich sind mehr als zwei DNS-Einträge möglich. Unter Erweitert, Reiter DNS der IP-Adressseinstellungen.

 

Ich muss nochmals fragen, was ist DC1, was ist DC2? Sind das beides DC im LAN, im 32?

bearbeitet 18. Mai 2017 von lefg

[kosta88 2]

Ich muss nochmals fragen, was ist DC1, was ist DC2? Sind das beides DC im LAN, im 32?

 

Das sind nur Beispiele, keine spezifischen Namen. Ist nur ein Beispiel, und Frage an dich, welche DNS man in Netzwerkeinstellungen eintragen soll?

 

Das wäre, in meinem Beispiel von S02 und ZAUBERKISTE:

S02:

1.DNS: S02

2.DNS: ZAUBERKISTE

ZAUBERKISTE:

1.DNS: ZAUBERKISTE

2.DNS: S02

 

Jedoch ist derzeit so konfiguriert:

S02:

1.DNS: S02

2.DNS: leer

ZAUBERKISTE:

1.DNS: ZAUBERKISTE

2.DNS: leer

RZ-DC:

1.DNS: S02 (genatet)

2.DNS: RZ-DC

3.DNS: voraussichtlich das benötigte RZ-DNS

bearbeitet 18. Mai 2017 von kosta88