Jump to content
Sign in to follow this  
TMP2k1

DirectAccess und DNS

Recommended Posts

Hallo zusammen,

 

eines vorweg: Ich bin gelernter IT-Systemelektroniker, ca. 10 Jahre Berufserfahrung und habe aber leider weder in der Ausbildung, noch im beruflichen Alltag wirklich viel mit den fortgeschrittenen Bereichen der Themen Server, Active Directory, Netzwerk, DNS etc. zu tun gehabt. Alles, was ich weiß, ist autodidaktisch angeeignetes "Halbwissen".

 

Gerade bin ich dabei, auf dem Server 2016 DirectAccess einzurichten - für einen Bekannten, der das einfach ergebnisoffen mal testen möchte.

Ich habe das also alles nach bestem Wissen und Gewissen konfiguriert:

- IPv6 ist aktiviert.

- Die Rolle ist installiert, die Einrichtung mit der Option "nur DirectAccess" durchgelaufen.

- Es wird nur eine Netzwerkkarte verwendet, die Topologie im Assistenten entsprechend ausgewählt worden.

- Als öffentliche Adresse wird eine TLD mit A-Record auf die feste öffentliche WAN-IP des Routers verwendet.

- Die Tunnelerzwingung ist deaktiviert, die lokale Namensauflösung wird erlaubt.

- Nach ein paar Anfangsschwierigkeiten mit Zertifikaten hält sich der Server für "voll funktionsfähig".

- Die Gruppenrichtlinien wurden auf dem Testclient erfolgreich übernommen.

 

Grundsätzlich steht die Verbindung auch. Der Client merkt bei sich zu Hause, dass er nicht mehr im internen Firmennetz ist und stellt die DA-Verbindung her.

Nur habe ich noch folgende Probleme:

- Der Versuch, den Server anzupingen scheitert via ping/4 und auch ping/6.

- Pinge ich die IPv6-Adresse an, die der Server allem Anschein nach hat, bekomme ich eine Antwort.

- Trage ich die Kombination aus IPv6-Adresse und Namen in die Hosts-Datei des Clients ein, läuft alles wie geschmiert. Allerdings auch nur dann.

 

Wo liegt denn hier der Hund begraben?

Das riecht doch schwer nach DNS, oder?

 

Der DNS läuft auch auf dem Domänencontroller, der DirectAccess bereitstellt.

Es existiert in der Forward Lookup Zone ein Eintrag für diesen Server, sowohl für IPv4, als auch für IPv6. In der Reverse Lookup Zone für v4 wurden sämtliche Einträge automatisch gesetzt. Die Zone für v6 musste ich manuell anlegen, seitdem können auch hier grundsätzlich korrekt erscheinende PTR für den Server etc. gefunden werden.

 

Ich habe mir natürlich auch schon diverse Artikel durchgelesen und alles überprüft bzw. korrigiert, was darin so zu finden war und sinnig erschien. Leider bislang ohne Erfolg.

Wie gesagt bin ich kein Vollprofi, was das angeht, speziell nicht bei IPv6.

Hat irgendjemand einen Ansatzpunkt? Wäre wirklich sehr dankbar, da ich gerne verstehen würde, wo hier das Problem liegt und wie es sich lösen lässt.

 

Vielen Dank schon mal!

Edited by TMP2k1
Tippfehler gesehen.

Share this post


Link to post
Share on other sites

IPv4 kannst du ja auch nicht durch den DA Tunnel pingen. Einige Anwendungen werden auch nicht mit der Rückgabe von ipv6 Adressen klarkommen. DA funktioniert mit Namen und ipv6. Insofern works as designt. DA und DC auf einem Host ist keine gute Idee. Wo läuft denn der NLS? Etwa auch noch mit auf dem selben Server? Deine Revocation List hast du hoffentlich auch gleich öffentlich zugänglich konfiguriert, sonst hast du in ca. 7 Tagen ein Problem mit den DA Clients. Interne und externe Domäne unterscheiden sich namentlich, oder sind die identisch?

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Hi,

 

okay, das hatte ich in mehreren Videos so gesehen, deswegen ging ich davon aus, dass das auch gehen müsste.

Dass DA über v6 läuft, war mir schon klar, aber so wie ich das verstanden hatte, wird das ja entsprechend "übersetzt".

 

Ja, das läuft alles über den einen Server. Die haben nur den (kleines Unternehmen mit einer Handvoll Mitarbeiter[innen]).

Ist mir aber bewusst, dass das nicht wirklich der empfohlene Weg ist. ;)

 

Zitat

Deine Revocation List hast du hoffentlich auch gleich öffentlich zugänglich konfiguriert, sonst hast du in ca. 7 Tagen ein Problem mit den DA Clients.

Hmm, dazu habe ich zumindest nicht aktiv beigetragen.

In den Eigenschaften der Zertifizierungsstelle sehe ich als "Standort, von denen Benutzer eine Zertifikatsperrliste erhalten können" unter anderem

http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

Ist das schon ausreichend, weil die Platzhalter entsprechend hinterlegt sind, oder ist das hier ein reines Beispiel?

 

 

Zitat

Interne und externe Domäne unterscheiden sich namentlich, oder sind die identisch?

Naja, intern lautet der Domänenname FIRMA.local, die Domain, die auf die Router-IP verweist, da.meinedomain.de.

Also ... schematisch gesprochen. :D

 

Besten Dank!

Edited by TMP2k1

Share this post


Link to post
Share on other sites
vor 10 Minuten schrieb TMP2k1:

Ist das schon ausreichend, weil die Platzhalter entsprechend hinterlegt sind, oder ist das hier ein reines Beispiel?

Das wird nicht reichen, weil dort ja die internen Namen dann in die Zertifikate eingetragen werden. Insgesamt würde ich sagen, dass da für so kleine Unternehmen nicht die sinnvollste Lösung darstellt. Schon allein, weil du dafür afaik die Enterprise Edition vom Client os benötigst.

vor 14 Minuten schrieb TMP2k1:

okay, das hatte ich in mehreren Videos so gesehen, deswegen ging ich davon aus, dass das auch gehen müsste.

Gib mal nen link in dem ein Ping ipv4 durch den Tunnel gezeigt wird.

Share this post


Link to post
Share on other sites
vor 22 Minuten schrieb NorbertFe:

Das wird nicht reichen, weil dort ja die internen Namen dann in die Zertifikate eingetragen werden. Insgesamt würde ich sagen, dass da für so kleine Unternehmen nicht die sinnvollste Lösung darstellt. Schon allein, weil du dafür afaik die Enterprise Edition vom Client os benötigst.

Schade. Dann werde ich wohl mal rausfinden müssen, wie man das öffentlich zugänglich auf den Webserver schaufelt oder so.

Die Enterprise ist kein Problem, die haben sie.

Was wäre dann Deiner Meinung nach eher sinnvoll?

 

vor 23 Minuten schrieb NorbertFe:

Gib mal nen link in dem ein Ping ipv4 durch den Tunnel gezeigt wird.

Ein öffentlich abrufbares Video habe ich auf die Schnelle nicht gefunden. Ich habe aber das Videotrainig von Video2Brain, in dem das alles dargestellt wird.

Der Mensch arbeitet da zwar mit virtuellen Maschinen, vielleicht macht das einen Unterschied, aber der pingt den Server einfach mit Namen an und bekommt das hier:

 

ping.JPG

Share this post


Link to post
Share on other sites

Kann ich mir nicht vorstellen, dass das korrekt ist. Ein Ping auf den Namen durch den da Tunnel liefert afaik immer die ipv6 Adresse zurück die der da Server im einfachsten Fall vergibt.

vor 22 Minuten schrieb TMP2k1:

Dann werde ich wohl mal rausfinden müssen, wie man das öffentlich zugänglich auf den Webserver schaufelt oder s

Ja wirst du wohl müssen. :)

 

kleine Firma aber alles Enterprise Editionen? Naja wer sein Geld so gezielt ausgibt. ;)

Share this post


Link to post
Share on other sites
vor 20 Minuten schrieb NorbertFe:

Kann ich mir nicht vorstellen, dass das korrekt ist. Ein Ping auf den Namen durch den da Tunnel liefert afaik immer die ipv6 Adresse zurück die der da Server im einfachsten Fall vergibt.

Wäre mir abgesehen davon auch egal. ;)

Ich sehe ein, dass der Ping mir der Logik nach am ehesten eine v6-Adresse geben müsste und das wäre ja auch vollkommen okay.

Wenn ich die IPv6 und den Servernamen beim Client in die Hosts schreibe, klappt wie gesagt auch alles ganz hervorragend.

Nur ohne den Eintrag sucht er den Server wohl vergeblich.

 

vor 20 Minuten schrieb NorbertFe:

kleine Firma aber alles Enterprise Editionen? Naja wer sein Geld so gezielt ausgibt. ;)

Ja, kürzlich neu gegründet, großer Kapitalbedarf, da fallen vier oder fünf Enterprise-Lizenzen jetzt nicht mehr so ins Gewicht.

Drei oder mehr potente physische Server hingegen ... und virtualisierte wollte man auch nicht. Naja ...

 

Danke für Deine Antworten so weit!

Edited by TMP2k1

Share this post


Link to post
Share on other sites

Ich weiß nicht, ob ich dir da weiterhelfen kann. Wenn der Server Dc, Nls, da, ca und was weiß ich noch alles ist, sind da soviel Abhängigkeiten, dass ich das freiwillig nie in Erwägung ziehen würde. Wenn da soviel Startkapital sinnlos rumlag, wäre wohl eine vorherige (kostenpflichtige) Beratung sinnvoll erschienen (jedenfalls mir).

Share this post


Link to post
Share on other sites
vor 42 Minuten schrieb NorbertFe:

Ich weiß nicht, ob ich dir da weiterhelfen kann.

Danke trotzdem. :)

 

Fällt sonst vielleicht jemandem was ein?

Es kann gefühlt eigentlich nicht so viel fehlen - die Clients müssten die IP des Servers halt noch selbst finden lernen, ohne Hosts-Eintrag. Ich komme nur noch nicht drauf.

Vielleicht reicht es ja schon, die lokale Namensauflösung zu verbieten. Andererseits hätte ich die schon gern mit drin, da ich ja nicht will, dass das alles über den Server läuft, wenn der Client zu Hause nur mal Google News aufruft oder was auch immer. ;)

Share this post


Link to post
Share on other sites
Am 5/15/2018 um 22:43 schrieb tesso:

nrpt wurde konfiguriert?

Hi,

 

sorry, war ein paar Tage verhindert.

 

Naja, was ich halt im guten Glauben, das wäre ausreichend, gemacht habe, ist in diesem Schritt die externe Domain mit anzugeben:

Unbenannt.jpg

Edited by TMP2k1

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...