Jump to content

DirectAccess und DNS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

eines vorweg: Ich bin gelernter IT-Systemelektroniker, ca. 10 Jahre Berufserfahrung und habe aber leider weder in der Ausbildung, noch im beruflichen Alltag wirklich viel mit den fortgeschrittenen Bereichen der Themen Server, Active Directory, Netzwerk, DNS etc. zu tun gehabt. Alles, was ich weiß, ist autodidaktisch angeeignetes "Halbwissen".

 

Gerade bin ich dabei, auf dem Server 2016 DirectAccess einzurichten - für einen Bekannten, der das einfach ergebnisoffen mal testen möchte.

Ich habe das also alles nach bestem Wissen und Gewissen konfiguriert:

- IPv6 ist aktiviert.

- Die Rolle ist installiert, die Einrichtung mit der Option "nur DirectAccess" durchgelaufen.

- Es wird nur eine Netzwerkkarte verwendet, die Topologie im Assistenten entsprechend ausgewählt worden.

- Als öffentliche Adresse wird eine TLD mit A-Record auf die feste öffentliche WAN-IP des Routers verwendet.

- Die Tunnelerzwingung ist deaktiviert, die lokale Namensauflösung wird erlaubt.

- Nach ein paar Anfangsschwierigkeiten mit Zertifikaten hält sich der Server für "voll funktionsfähig".

- Die Gruppenrichtlinien wurden auf dem Testclient erfolgreich übernommen.

 

Grundsätzlich steht die Verbindung auch. Der Client merkt bei sich zu Hause, dass er nicht mehr im internen Firmennetz ist und stellt die DA-Verbindung her.

Nur habe ich noch folgende Probleme:

- Der Versuch, den Server anzupingen scheitert via ping/4 und auch ping/6.

- Pinge ich die IPv6-Adresse an, die der Server allem Anschein nach hat, bekomme ich eine Antwort.

- Trage ich die Kombination aus IPv6-Adresse und Namen in die Hosts-Datei des Clients ein, läuft alles wie geschmiert. Allerdings auch nur dann.

 

Wo liegt denn hier der Hund begraben?

Das riecht doch schwer nach DNS, oder?

 

Der DNS läuft auch auf dem Domänencontroller, der DirectAccess bereitstellt.

Es existiert in der Forward Lookup Zone ein Eintrag für diesen Server, sowohl für IPv4, als auch für IPv6. In der Reverse Lookup Zone für v4 wurden sämtliche Einträge automatisch gesetzt. Die Zone für v6 musste ich manuell anlegen, seitdem können auch hier grundsätzlich korrekt erscheinende PTR für den Server etc. gefunden werden.

 

Ich habe mir natürlich auch schon diverse Artikel durchgelesen und alles überprüft bzw. korrigiert, was darin so zu finden war und sinnig erschien. Leider bislang ohne Erfolg.

Wie gesagt bin ich kein Vollprofi, was das angeht, speziell nicht bei IPv6.

Hat irgendjemand einen Ansatzpunkt? Wäre wirklich sehr dankbar, da ich gerne verstehen würde, wo hier das Problem liegt und wie es sich lösen lässt.

 

Vielen Dank schon mal!

bearbeitet von TMP2k1
Tippfehler gesehen.
Link zu diesem Kommentar

IPv4 kannst du ja auch nicht durch den DA Tunnel pingen. Einige Anwendungen werden auch nicht mit der Rückgabe von ipv6 Adressen klarkommen. DA funktioniert mit Namen und ipv6. Insofern works as designt. DA und DC auf einem Host ist keine gute Idee. Wo läuft denn der NLS? Etwa auch noch mit auf dem selben Server? Deine Revocation List hast du hoffentlich auch gleich öffentlich zugänglich konfiguriert, sonst hast du in ca. 7 Tagen ein Problem mit den DA Clients. Interne und externe Domäne unterscheiden sich namentlich, oder sind die identisch?

 

Bye

Norbert

Link zu diesem Kommentar

Hi,

 

okay, das hatte ich in mehreren Videos so gesehen, deswegen ging ich davon aus, dass das auch gehen müsste.

Dass DA über v6 läuft, war mir schon klar, aber so wie ich das verstanden hatte, wird das ja entsprechend "übersetzt".

 

Ja, das läuft alles über den einen Server. Die haben nur den (kleines Unternehmen mit einer Handvoll Mitarbeiter[innen]).

Ist mir aber bewusst, dass das nicht wirklich der empfohlene Weg ist. ;)

 

Zitat

Deine Revocation List hast du hoffentlich auch gleich öffentlich zugänglich konfiguriert, sonst hast du in ca. 7 Tagen ein Problem mit den DA Clients.

Hmm, dazu habe ich zumindest nicht aktiv beigetragen.

In den Eigenschaften der Zertifizierungsstelle sehe ich als "Standort, von denen Benutzer eine Zertifikatsperrliste erhalten können" unter anderem

http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

Ist das schon ausreichend, weil die Platzhalter entsprechend hinterlegt sind, oder ist das hier ein reines Beispiel?

 

 

Zitat

Interne und externe Domäne unterscheiden sich namentlich, oder sind die identisch?

Naja, intern lautet der Domänenname FIRMA.local, die Domain, die auf die Router-IP verweist, da.meinedomain.de.

Also ... schematisch gesprochen. :D

 

Besten Dank!

bearbeitet von TMP2k1
Link zu diesem Kommentar
vor 10 Minuten schrieb TMP2k1:

Ist das schon ausreichend, weil die Platzhalter entsprechend hinterlegt sind, oder ist das hier ein reines Beispiel?

Das wird nicht reichen, weil dort ja die internen Namen dann in die Zertifikate eingetragen werden. Insgesamt würde ich sagen, dass da für so kleine Unternehmen nicht die sinnvollste Lösung darstellt. Schon allein, weil du dafür afaik die Enterprise Edition vom Client os benötigst.

vor 14 Minuten schrieb TMP2k1:

okay, das hatte ich in mehreren Videos so gesehen, deswegen ging ich davon aus, dass das auch gehen müsste.

Gib mal nen link in dem ein Ping ipv4 durch den Tunnel gezeigt wird.

Link zu diesem Kommentar
vor 22 Minuten schrieb NorbertFe:

Das wird nicht reichen, weil dort ja die internen Namen dann in die Zertifikate eingetragen werden. Insgesamt würde ich sagen, dass da für so kleine Unternehmen nicht die sinnvollste Lösung darstellt. Schon allein, weil du dafür afaik die Enterprise Edition vom Client os benötigst.

Schade. Dann werde ich wohl mal rausfinden müssen, wie man das öffentlich zugänglich auf den Webserver schaufelt oder so.

Die Enterprise ist kein Problem, die haben sie.

Was wäre dann Deiner Meinung nach eher sinnvoll?

 

vor 23 Minuten schrieb NorbertFe:

Gib mal nen link in dem ein Ping ipv4 durch den Tunnel gezeigt wird.

Ein öffentlich abrufbares Video habe ich auf die Schnelle nicht gefunden. Ich habe aber das Videotrainig von Video2Brain, in dem das alles dargestellt wird.

Der Mensch arbeitet da zwar mit virtuellen Maschinen, vielleicht macht das einen Unterschied, aber der pingt den Server einfach mit Namen an und bekommt das hier:

 

ping.JPG

Link zu diesem Kommentar

Kann ich mir nicht vorstellen, dass das korrekt ist. Ein Ping auf den Namen durch den da Tunnel liefert afaik immer die ipv6 Adresse zurück die der da Server im einfachsten Fall vergibt.

vor 22 Minuten schrieb TMP2k1:

Dann werde ich wohl mal rausfinden müssen, wie man das öffentlich zugänglich auf den Webserver schaufelt oder s

Ja wirst du wohl müssen. :)

 

kleine Firma aber alles Enterprise Editionen? Naja wer sein Geld so gezielt ausgibt. ;)

Link zu diesem Kommentar
vor 20 Minuten schrieb NorbertFe:

Kann ich mir nicht vorstellen, dass das korrekt ist. Ein Ping auf den Namen durch den da Tunnel liefert afaik immer die ipv6 Adresse zurück die der da Server im einfachsten Fall vergibt.

Wäre mir abgesehen davon auch egal. ;)

Ich sehe ein, dass der Ping mir der Logik nach am ehesten eine v6-Adresse geben müsste und das wäre ja auch vollkommen okay.

Wenn ich die IPv6 und den Servernamen beim Client in die Hosts schreibe, klappt wie gesagt auch alles ganz hervorragend.

Nur ohne den Eintrag sucht er den Server wohl vergeblich.

 

vor 20 Minuten schrieb NorbertFe:

kleine Firma aber alles Enterprise Editionen? Naja wer sein Geld so gezielt ausgibt. ;)

Ja, kürzlich neu gegründet, großer Kapitalbedarf, da fallen vier oder fünf Enterprise-Lizenzen jetzt nicht mehr so ins Gewicht.

Drei oder mehr potente physische Server hingegen ... und virtualisierte wollte man auch nicht. Naja ...

 

Danke für Deine Antworten so weit!

bearbeitet von TMP2k1
Link zu diesem Kommentar

Ich weiß nicht, ob ich dir da weiterhelfen kann. Wenn der Server Dc, Nls, da, ca und was weiß ich noch alles ist, sind da soviel Abhängigkeiten, dass ich das freiwillig nie in Erwägung ziehen würde. Wenn da soviel Startkapital sinnlos rumlag, wäre wohl eine vorherige (kostenpflichtige) Beratung sinnvoll erschienen (jedenfalls mir).

Link zu diesem Kommentar
vor 42 Minuten schrieb NorbertFe:

Ich weiß nicht, ob ich dir da weiterhelfen kann.

Danke trotzdem. :)

 

Fällt sonst vielleicht jemandem was ein?

Es kann gefühlt eigentlich nicht so viel fehlen - die Clients müssten die IP des Servers halt noch selbst finden lernen, ohne Hosts-Eintrag. Ich komme nur noch nicht drauf.

Vielleicht reicht es ja schon, die lokale Namensauflösung zu verbieten. Andererseits hätte ich die schon gern mit drin, da ich ja nicht will, dass das alles über den Server läuft, wenn der Client zu Hause nur mal Google News aufruft oder was auch immer. ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...