Server kommt nicht ins Inet

[nerd 28]

Hi,

 

ich habe gerade ein kleines Problem mit einem meiner Server. Ich schaffe es einfach nicht diesen ins I-net zu bekommen um das Windows update auszuführen.

 

Folgendes ist gegeben:

- geswitches Netz

- alle Rechern aus dem IP Bereich ...20 bis ...60 dürfen nicht ins I-net (ist über das Switch bzw. den Proxy geregelt)

- der Server hat 2 nic

- 1. nic liegt in o. g. IP bereich

 

So, das sollte reichen. Ich habe nun schon versucht den Rechner über die 2. Nic ins Netz zu bekommen und habe ihm deshalb eine IP Adresse aus dem clientbereich zugewiesen bzw. über dhcp zuweisen lassen. Leider führte dies nicht zum Erfolg. (die 1. NIC habe ich auch schon deaktiviert).

 

Zudem haben wir dem Rechner auch schon eine IP eines anderen Servers, der ebenfalls ausserhalb der Server IP´s liegt zugewiesen und sogar dessen Port am Switch verwendet - kein Erfolg. (Selbstverändlich war der Server in der Zeit nicht am Netz! ;-)

 

Hat jemand eine Idee an was das liegend könnte? Ich weiß zwar noch nicht über welchen Layer und Switch arbeitet aber da ich die 2. Nic verwende die noch nicht im Switch registiert ist sollte das kein Problem sein. (sobald ich den Layer kenne poste ich´s).

 

Wenn jemand eine Lösung für das ganze hätte wäre ich sehr dankbar, da das manuelle Einspielen der Updates sehr viel arbeit macht... (das ist nicht der einzige Server...)

 

Eine Idee war auch schon so ne art Spiegel der ms Seiten zu benutzen und diesen im Intranet einzustellen (auf dieses haben dir Rechnern Zugriff). Ich habe aber noch nie gehört, dass jemand etwas vergleichbares gemacht hat daher vermute ich mal, dass das eine Idee bleiben wird...

 

Gruß

[zuschauer 10]

Hi Johannes !

 

Weit weit kommst Du mit dem Server, kannst Du den Proxy noch anpingen ?

[klausk 10]

Schon mal versucht, eine Route fürs Internet anzulegen - z.B. route -p add 0.0.0.0 mask 0.0.0.0 GW metric 1 IF NIC2?

 

Ansonsten schließe ich mich Zuschauer an - wie weit kommst du mit einem Ping? Hast du das auch mal mit Tracert oder Pathping überprüft? Ist eventuell auf dem Server eine FW installiert?

 

klaus

[nerd 28]

Hi,

 

kann das ganze erste am Dienstag testen. (Muß dazu nach Stuttgart...).

 

Ich hab zwar den Proxy noch nicht gepingt ich bin jedoch, soweit ich das noch im Kopf habe schon am Gateway gescheitert. (ich geb mal genaueres raus, wenn ich wieder am Server sitze... Ich hab an dem Tag auch noch einen neuen server aufgesetzt und deshalb ein zwei Pings ausgeführt... ;-)

 

@klausK wie meinst du das mit eine Route anlegen? Das sollte im Prinzip durch das umschalten auf die 2. nic erledigt sein. Hier besteht ja die "richtige" Route und zwar über den Gateway zum Proxy. Wir wollen, dieses System wenn möglich so aufsetzten, dass wir die 2. Nic nur dann zuschalten, wenn wir updaten wollen. -> Nur keine Angriffsfälche nach aussen hin bieten...

 

Gruß

[klausk 10]

Hallo,

 

mit einer Route anlegen meine ich, dass ich dem System mitteile, welche NIC für welche Adressen zuständig sind. Also Intranet über NIC1 und Internet über NIC2. Das geht deshalb, da zuerst die Routen-Einträge zum Zuge kommen, die das Ziel genauer beschreiben.

 

Ich habe z.B. bei einem PC mit 2 NICs die erste NIC für das Intranet konfiguriert. Bei der zweiten NIC habe ich alle Bindungen bis auf TCP/IP entfernt und den Routen-Eintrag hizugefügt. Man kann nun beim Surfen ganz deutlich sehen, dass zuerst der interne DNS-Server über die NIC1 angesprochen wird, der weitere Verkehr geht dann nur noch über die NIC2.

 

Wenn der Internetzugang nur für bestimmte Adressen funktionieren soll, könnt ihr ja auch eine PFW auf dem Server installieren und entsprechend konfigurieren. Zugriffe von außen wird doch sicher eure Firewall zwischen Intranet/Internet abblocken!?

 

klaus

[blub 115]

Hi Johannes,

Schalt doch den Netzwerkmonitor auf dem Server scharf, bevor du versuchst ins Internet zu gehen. Dann solltest du schon erkennen, ob die richtigen DNS-Server gefragt werden, ob in irgendwelchen Päkchen "Access denied" oder "unknown" steht, etc.

Ob prinzipiell an den Netzeinstellungen alles in Ordnung ist, lässt sich mitttels "netdiag /v >c:\bla.txt" herausbekommen.

 

Du arbeitest an einem W2K-Memberserver, oder? W2k3 hat nämlich noch zusätzliche Sec-Features bezüglich Internetzugang eingebaut.

 

Cu

blub

[klausk 10]

Könnte es sein, dass irgendwo nach MAC-Adressen gefiltert wird?

 

klaus

[nerd 28]

Hi,

 

danke mal für eure Antworten. Komme jetzt doch erst am Mittwoch wieder an den Server. Mal sehen ob sich einer der Admins in den Keller traut und das mal kurz testet (-;

 

Das mit der MAC befürchte ich auch. Wobei die Mac der 2. Nic bisher unbekannt sein sollte. (wurde noch nicht eingesetzt.

 

@Routen ist schon klar. Kann ich aber ausschließen, da ich die 2. Netzwerkkarte fürs Intranet immer deaktiviere wenn ich die Internetverbindung aktiviere. Somit sollte keine "falsche" Route vorliegen da er nur auf die 2. nic mit den richtigen Einstellunge (Gateway, dns, etc) zugreift.

 

mfg

[klausk 10]

Johannes Schmidt

Das mit der MAC befürchte ich auch. Wobei die Mac der 2. Nic bisher unbekannt sein sollte. (wurde noch nicht eingesetzt.

Kann ja auch sein, dass nur bekannte MAC-Adressen ins Internet dürfen, schau auch mal in die Richtung.

 

Das mit den Routen war ein bißchen am Thema vorbei, hatte Deinen ersten Beitrag nicht aufmerksam genug gelesen.

 

klaus