Jump to content

2.DC über VPN einrichten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Zusammen!

Ich nun ein wenig im Forum gesucht, aber leider noch keine Antwort auf meine Frage gefunden, drum

hoffe ich das Ihr mir helfen könnt.

Und zwar habe ich zwei Server, einmal W2K und einmal W2K3, mit RRAS über VPN miteinander

verbunden. Der W2K3 ist der DC meiner Domäne. Nun möchte ich gerne den W2K ebenfalls als

DC einrichten, der der schon vorhandenen Domäne beitritt.

 

Dafür habe ich den Konfigurations-Assistenten von W2K gestartet und dort die nötigen Daten

eingegeben, um eine Verbindung mit der Domäne herzustellen, und hier liegt der Hund begraben.

Ich kann keine Verbindung mit der Domnäne herstellen, da ich als Fehlermeldung immer wieder

mitgeteilt bekomme, dass die Domäne nicht existiert.

 

Hat jemand eine Idee was da schief gelaufen sein kann? Da ich ja VPN verwende sollte doch alles

nötige weitergeleitet werden, oder muss ich noch weitere Änderungen im RRAS-Dienst vornehmen? :confused:

 

Grüße

Sören

Link to comment
Wie wird die VPN-Verbindung hergestellt , ist das eine LAN-LAN Verbindung mit "Wählen bei Bedarf" Schnittstelle oder wählt der Server sich ein (als VPN-Client)

 

Ich bin mir bei deiner Unterscheidung zwischen diesen beiden Varianten nicht sicher was genau du damit meinst. Ich habe die VPN-Verbinung als persistente-Verbindung eingerichtet, so dass der W2K-Server sich als VPN-Client zu dem W2K3-Server verbindet.

 

Wenn ich nur nslookup eingebe wird 127.0.0.1 ausgegeben. Das hat den Grund, das auf der Server noch ein DNS installiert ist, um ihn später wieder zu verwenden. In diesem sind allerdings keine Zonen eingerichtet. Nur eine Weiterleitung zu dem DNS des Internetproviders.

 

Danke schonmal und Grüße

Sören

Link to comment

Dann wundert mich das nicht, dass er ihn nicht findet. Trage zum Joinen den DNS-Server des W2K3 ein, die Zonen werden (falls sie Active Directory integriert sind) repliziert, dann kannst Du den lokalen wieder als DNS-Server eintragen. Mit LAN-LAN Verbindung meine ich, dass der W2K keine DFÜ-Verbindung in der Netzwerkumgebung stehen hat, sondern dass diese "Wählen bei Bedarf" Schnittstelle im RRAS auftaucht.

Link to comment

Ja, das ist bei mir dann eine "Wählen bei Bedarf"-Schnittstelle :)

Ich hab nun also auf dem W2K-DNS die Zonen repliziert und bei Anfragen die nicht beantwortet werden können den

W2K3 als Weiterleitung eingetragen. Leider habe ich trotzdem noch das selbe Problem: Der Assistent will die Domäne nicht

finden, obwohl ich mit nslookup den W2K3 Server und jeden client des W2K3-Servers auflösen kann...

 

Kann das irgendwas mit der Firewall sein? So kann ich in beide Richtungen z.B. über telnet auf verschiedene Dienste des

jeweiligen Servers zugreifen. Wobei ich dafür auf dem W2K im ISA erstmal alle Protokolle zulassen musste, um vom W2K-Server

auf den W2K3-Server zugreifen zu können.

Wie sucht der denn die Active Directory Domäne? Nicht über Broadcast, oder? :suspect:

 

Grüße

Sören

Link to comment

Danke für den Link! Ich habe nun erstmal alle Ports freigegeben, so dass die beiden Server einander nicht mehr blockieren. Leider findet der Window-Assistent die Domäne trotzdem nicht und irgendwie habe ich das dumpfe Gefühl das mir da trotzdem was dem Weg versperrt...

 

Mir ist aufgefallen das ich noch gar nichts zur IP-Konfiguration gesagt habe, drum dazu noch ein paar Daten.

 

W2K3

- der W2K3 Server hat den IP Bereich 192.168.0.X, wobei er die 192.168.0.1 sein eigen nennt

- verbunden mit dem Internet ist er über einen Router im Netzwerk mit der IP 192.168.0.4, die als Gateway eingetragen ist.

- auf dem Rechner ist ebenfalls eine ISA installiert, die den Bereich 192.168.0.X in der LAT enthält

 

W2K

- der W2K Server liegt in dem 192.168.1.X Bereich wobei er selber auf die IP 192.168.1.1 hört

- auch dieser Server ist über einen Router mit dem Internet verbunden, mit der IP: 192.168.1.4

- auf dem Rechner ist eine ISA installiert, die in der LAT den Bereich 192.168.1.X eingetragen hat

 

Interessant dabei ist, dass der ISA-Server des W2K-Servers bei nicht weiter geänderter Konfiguration, also nur die Standard-Ports offen 80/3389 usw., keine Verbindung zum W2K3 Server erlaubt. Soll heißen, dass auch wenn beim W2K3 Server z.B. der Port 3389 geöffnet ist kann ich über telnet keine Verbindung zu diesem Port aufbauen.

Ändere ich jedoch die ISA-Konfig am W2K-Server so ab, dass alle Port und Protokolle TCP/UDP zugelassen werden kann ich eine Verbindung herstellen. Ist das nicht merkwürdig, da ausgehende Anfragen ja eigentlich immer zugelassen sein sollten?

 

Ich bin mit meinem Latein hier am Ende...

Link to comment

Danke für den Artikelhinweis. Leider wird der wichtige Teil dort nicht beschrieben...

Ab trotzdem bin ich nun schonmal einen Schritt weiter. Ich musste die Arbeitsgruppe des W2K-Server komischerweise erst genauso nennen wie die Domäne. Dann hat er die Domäne gefunden! :D

Nun meldet er nachdem ich alle Angaben gemacht habe und der Assistent die Mitgleidschaftsänderungen durchführen möchte, eine Fehlermeldung.

Der Vorgang ist Fehlgeschlagen. Fehler:

Dieser Computer konnte kein Mitglied der Domäne %domäne% werden.

"Der Netzwerkpfad wurde nicht gefunden."

Nun hab ich mal im Forum geschaut und dort wurde das Problem dadurch behoben, dass der korrekte DNS-Server im W2K-Server eingetragen wurde.

 

http://www.mcseboard.de/showthread.php?t=12549&highlight=netzwerkpfad+mitglied+dom%E4ne

 

Aber welcher ist der korrekte DNS-Server? Da ich ja die Daten auf dem W2K-Server von dem W2K3-Server repliziere, habe ich diesen eingetragen mit 127.0.0.1. Beide können auch mit nslookup auf dem W2K-Server aufgelöst werden. Leider kann ich auch keine nähere Pdafangabe oder Fehlerbeschreibung finden...

 

Ich bin für weitere Hilfe dankbar!

 

Grüße

Sören

Link to comment

Ich hab dann doch noch ein log-File gefunden das mal durchforstet. Der ich gehe nun mal davon aus, das die Zeile

 

Error 0x... (!0 => error)

 

bedeutet, dass falls nicht 0x0 da steht es zu einem Fehler kommt. Somit wäre dann die erste Stelle wo ein Fehler auftritt diese:

dcpromoui t:0x868 00584 Enter PromoteThreadProc

dcpromoui t:0x868 00585 Enter State::GetRunContext NT5_STANDALONE_SERVER

dcpromoui t:0x868 00586 Exit State::GetRunContext NT5_STANDALONE_SERVER

dcpromoui t:0x868 00587 top of retry loop

dcpromoui t:0x868 00588 Enter disableConsoleLocking

dcpromoui t:0x868 00589 Enter RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

dcpromoui t:0x868 00590 Exit RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

dcpromoui t:0x868 00591 Enter RegistryKey::SetValue-DWORD DisableLockWorkstation

dcpromoui t:0x868 00592 Exit RegistryKey::SetValue-DWORD DisableLockWorkstation

dcpromoui t:0x868 00593 Exit disableConsoleLocking

dcpromoui t:0x868 00594 Enter State::SetOperationResultsMessage

dcpromoui t:0x868 00595 Exit State::SetOperationResultsMessage

dcpromoui t:0x868 00596 Enter CheckSmallBusinessServerLimitations

dcpromoui t:0x868 00597 Enter State::GetOperation REPLICA

dcpromoui t:0x868 00598 Exit State::GetOperation REPLICA

dcpromoui t:0x868 00599 Exit CheckSmallBusinessServerLimitations

dcpromoui t:0x868 00600 Enter State::GetOperation REPLICA

dcpromoui t:0x868 00601 Exit State::GetOperation REPLICA

dcpromoui t:0x868 00602 Enter State::GetReplicaDomainDNSName domain.de

dcpromoui t:0x868 00603 Exit State::GetReplicaDomainDNSName domain.de

dcpromoui t:0x868 00604 Enter Computer::IsJoinedToDomain domain.de

dcpromoui t:0x868 00605 This machine is NOT joined to domain.de

dcpromoui t:0x868 00606 Exit Computer::IsJoinedToDomain domain.de

dcpromoui t:0x868 00607 Enter GetJoinAndReplicaDcName

dcpromoui t:0x868 00608 W2KSERVER$

dcpromoui t:0x868 00609 Enter MyDsGetDcNameWithAccount

dcpromoui t:0x868 00610 Calling DsGetDcNameWithAccount

dcpromoui t:0x868 00611 ComputerName : (null)

dcpromoui t:0x868 00612 AccountName : W2KSERVER$

dcpromoui t:0x868 00613 AllowableAccountFlags : 0x3000

dcpromoui t:0x868 00614 DomainName : domain.de

dcpromoui t:0x868 00615 DomainGuid : (null)

dcpromoui t:0x868 00616 SiteGuid : (null)

dcpromoui t:0x868 00617 Flags : 0x11

dcpromoui t:0x868 00618 Error 0x525 (!0 => error)

dcpromoui t:0x868 00619 Exit MyDsGetDcNameWithAccount

dcpromoui t:0x868 00620 Falling back to non-account DsGetDcName

 

Es geht dann noch ein wenig weiter, aber da es hier die erste Stelle ist wo ein Fehler auftritt, sind die weiteren Fehler bestimmt nur Folgefehler, hoffe ich. Sag jemanden diese Stelle etwas? Darf da überhaupt null stehen?

 

Grüße

Sören

Link to comment

Sag mal an welchen DNS Server du auf der Netzwerkkarte des DNS eingetragen hast.

gebe dort die IP-Adr. des DNS aus W2k3 an

Selbst jeder Dns-Server ist auch ein Client mit seiner NIC.

 

Denn dein W2k Dns ist, soweit ich es verstanden habe dem Dns im w2k3 hierchisch untergeordnet (oder soll es in Zukunft werden)?

 

Mit der 127.0.0.1 als DNS-Eintrag in der NIC- Eigenschaften verweist du deinen zukünftigen DC mit DNS auf sich selbst. damit kann der Name der Domäne in der du den DC hinzufügen möchtest nicht aufgelöst werden.

Link to comment

Also der DNS-Server ist ebenfalls auf dem W2K3-Server installiert. Für diesen habe ich

auch den W2K3-Server selbst als DNS-Server eingetragen, also die 127.0.0.1.

 

Auf dem W2K-Server habe ich auch einen DNS installiert. Und du hast recht, dieser ist dem

DNS des W2K3 untergeordnet, da er ja nur die Daten des W2K3-Servers repliziert. Bei dem

W2K-Server habe ich mal beide DNS-Server, d.h. einmal die 127.0.0.1 und einmal den

W2K3-Server ausprobiert.

Das hat erwartungsgemäß keinen Unterschied gemacht, da ja beide die selben Daten enthalten... :cry:

 

Nun ist es so, dass der W2K3-Server im 192.16.0.X Netz liegt und der W2K-Server im

192.168.1.X. Wenn ich nun die Daten des DNS-Server auf dem W2K-Server repliziere, fehlt

natürlich das 1er Netz. Sollte ich da noch eine Reverse-Lookup-Zone hinzufügen, oder nicht?

Kann das denn der Fehler den ich erhalte am DNS liegen? :confused:

 

Danke nochmal und Grüße

Sören

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...