6
Frage zu MPLS Netz und Active Directory
Hallo zusammen,
ich habe ein Problem mit unserem MPLS Netz.
Aber vorher ist es an der Zeit mich kurz Vorzustellen. Ich bin Fachinformatiker und arbeite zur Zeit in der EDV-Abteilung eines mittelständigen Unternehmens, welches sich mit der Arbeitnehmerüberlassung befasst.
In unserer Hauptverwaltung haben wir ca. 30 Clients. Jedoch kommen deutschlandweit noch ca. 150 in unseren Niederlassungen dazu.
Zur Zeit sieht unser Netz wie folgt aus:
Die Clients in unserer Hauptverwaltung sind alle intern vernetzt und werden über ein Active Directory verwaltet. Hier haben wir das 192.168.2.0 Netz. Der Server ist die 10 und unsere Astaro Firewall die 1. Da wir jedoch alle Niederlassungen mit im AD verwalten möchten, haben wir ein MPLS Netz aufbauen lassen. Das bedeutet unsere Hauptverwaltung hat eine 16MBit Glasfaserleitung für die Anbindung der Niederlassungen bekommen und eine 4MBit ADSL Leitung für das Internet.
Hinter der 16MBit Leitung (von Arcor) sitzt ein virtueller Router. Hinter jeder Leitung der Niederlassungen auch. Die Niederlassungen haben alle unterschiedliche Netze (z.B. 192.168.140.0). Der virtuelle Router hat in der Hauptverwaltung die .2 und in den Niederlassungen immer die .1. Das Internet der Niederlassungen soll auch über uns laufen.
Ich habe mal eine kleine Skizze angefügt damit es besser verständlich ist.
Jetzt zu meinem Problem:
Ich bekomme die Clients aus den Niederlassungen nicht in unsere AD gehoben, da er den Server nicht findet. Anpingen über IP können wir jedoch. Denke mal das es an den TCP/IP Einstellungen aus den Niederlassungen liegt. Oder könnte es sein das ich noch was an unserem Server (Windows Server 2008) konfigurieren muss, damit auch andere Netze als die Hauptverwaltung akzeptiert werden? Wie muss das Standart Gateway bzw der DNS Server Eintrag in den Niederlassungen aussehen?
Von Arcor sagte man uns das unser Gateway immer die IP des Virtuellen Routers sein muss. Als DNS Server habe ich schon sämtliche Varianten durch (Firewall, Router, Server).
Ich denke das es ein DNS Problem ist. Wie gesagt, anpingen des Servers über IP aus einer Niederlassung geht ohne Probleme. Jedoch über den Namen nicht.
Ich hoffe das ich alle benötigten Infos zusammengefasst habe. Wenn was fehlt, kurz bescheid geben.
Lieben Gruß aus Köln und schonmal vielen Dank
ich habe ein Problem mit unserem MPLS Netz.
Aber vorher ist es an der Zeit mich kurz Vorzustellen. Ich bin Fachinformatiker und arbeite zur Zeit in der EDV-Abteilung eines mittelständigen Unternehmens, welches sich mit der Arbeitnehmerüberlassung befasst.
In unserer Hauptverwaltung haben wir ca. 30 Clients. Jedoch kommen deutschlandweit noch ca. 150 in unseren Niederlassungen dazu.
Zur Zeit sieht unser Netz wie folgt aus:
Die Clients in unserer Hauptverwaltung sind alle intern vernetzt und werden über ein Active Directory verwaltet. Hier haben wir das 192.168.2.0 Netz. Der Server ist die 10 und unsere Astaro Firewall die 1. Da wir jedoch alle Niederlassungen mit im AD verwalten möchten, haben wir ein MPLS Netz aufbauen lassen. Das bedeutet unsere Hauptverwaltung hat eine 16MBit Glasfaserleitung für die Anbindung der Niederlassungen bekommen und eine 4MBit ADSL Leitung für das Internet.
Hinter der 16MBit Leitung (von Arcor) sitzt ein virtueller Router. Hinter jeder Leitung der Niederlassungen auch. Die Niederlassungen haben alle unterschiedliche Netze (z.B. 192.168.140.0). Der virtuelle Router hat in der Hauptverwaltung die .2 und in den Niederlassungen immer die .1. Das Internet der Niederlassungen soll auch über uns laufen.
Ich habe mal eine kleine Skizze angefügt damit es besser verständlich ist.
Jetzt zu meinem Problem:
Ich bekomme die Clients aus den Niederlassungen nicht in unsere AD gehoben, da er den Server nicht findet. Anpingen über IP können wir jedoch. Denke mal das es an den TCP/IP Einstellungen aus den Niederlassungen liegt. Oder könnte es sein das ich noch was an unserem Server (Windows Server 2008) konfigurieren muss, damit auch andere Netze als die Hauptverwaltung akzeptiert werden? Wie muss das Standart Gateway bzw der DNS Server Eintrag in den Niederlassungen aussehen?
Von Arcor sagte man uns das unser Gateway immer die IP des Virtuellen Routers sein muss. Als DNS Server habe ich schon sämtliche Varianten durch (Firewall, Router, Server).
Ich denke das es ein DNS Problem ist. Wie gesagt, anpingen des Servers über IP aus einer Niederlassung geht ohne Probleme. Jedoch über den Namen nicht.
Ich hoffe das ich alle benötigten Infos zusammengefasst habe. Wenn was fehlt, kurz bescheid geben.
Lieben Gruß aus Köln und schonmal vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 116777
Url: https://administrator.de/contentid/116777
Printed on: April 25, 2024 at 16:04 o'clock
6 Comments
Latest comment
Wenn du alle Clients in den Niederlassungen anpingen kannst, dann kann es ja logischerweise nicht am Netzwerk liegen, denn sonst wäre das ja schon gar nicht möglich !!
Fazit: Am Netzwerk kann es also nicht liegen !!
Das Routing ist für die Niederlassungen recht einfach, denn dort zeigt das Default Gateway immer auf den Niederlassungsrouter, denn es gibt ja laut deiner zeichnung dort nur einen.
In der Hauptverwaltung ist es nicht ganz so einfach und es stellt sich die Frage WIE das Routing dort aufgesetzt ist.
Leider teilst du uns das ja vermutlich aus Unwissenheit nicht mit so das eine qualifizierte Antwort unmöglich ist.
Auch die Frage ob die Firewall zum Internet durch euch gemanaged wird oder extern ???
Fangen wir deshalb mal etwas an zu raten...
Es gibt 2 Möglichkeiten:
1.) Es ist ein dynamisches Routing Protokoll aktiviert !
Da muss dann aber die Firewall mit integriert sein minimum muss sie aber ALLE statischen Routen in die Niederlassungen haben sollte sie default Gateway sein.
2.) Es wird statisch geroutet
Generell ist es möglich entweder die .2.1 oder die .2.2 als Standardgateway einzutragen dabei muss folgendes beachtet werden:
a.) .2.2 ist Standardgateway:
Dieser Router benötigt dann lediglich eine Default Route auf die Firewall mit der .2.1
D.h. alle Pakete werden dann generell auf die .2.2 (Arcor Router) geschickt und der sendet alles was er nicht kennt an Netzen dann an die .2.1 das Internet Gateway. Alles was er kennt sendet er an die Zweigstellen.
Nachteil dieser Lösung:
Das Standard Gateway der gesamten Hauptverwaltung liegt auf einem System was du nicht selber verwalten kannst !!!
Kein verantwortungsvoller Netzwerk Admin macht so etwas, denn sollte es Probleme geben bist du in hohem Maße von einer Hotline und dem Wohlwollen eines externen Dienstleisters abhängig.
Also Unsinn und gleich vergessen.... !!!
b.) .2.1 (Firewall) ist Standardgateway
Sofern die Firewall von euch verwaltet wird ist das die einzig gangbare Lösung da so alles IP verwaltungstechnisch in deiner eigenen Hand liegt.
Die Firewall muss dann allerdings alle statischen Routen zu den Zweigstellen ala
ip route 192.168.140.0 255.255.255.0 gateway 192.168.2.2
ip route 192.168.150.0 255.255.255.0 gateway 192.168.2.2
usw. usw.
eingetragen haben, da diese Pakete ja an den zeigstellenrouter (Arcor) geschickt werden müssen...logisch !
Sofern alle eure Zweigstellen 192.168er Netze haben kann man auch eine einzige Summary Route auf der FW angeben:
ip route 192.168.0.0 255.255.0.0 gateway 192.168.2.2
Was die Sache dann vereinfacht.
So nun kannst du dir ausrechnen wo man am sinnvollsten das Standardgateway des Servers einstellt. Durch deine oberflächliche Beschreibung der Topologie muss man leider mutmaßen was konfiguriert sein könnte..
Wenn du aber vom Server alle Zweigstellenclients pingen kannst hat dein Problem mit dem Netzwerk an sich schon mal rein gar nichts mehr zu tun und ist dann hier eher was für die Rubrik "Windows" !!
Fazit: Am Netzwerk kann es also nicht liegen !!
Das Routing ist für die Niederlassungen recht einfach, denn dort zeigt das Default Gateway immer auf den Niederlassungsrouter, denn es gibt ja laut deiner zeichnung dort nur einen.
In der Hauptverwaltung ist es nicht ganz so einfach und es stellt sich die Frage WIE das Routing dort aufgesetzt ist.
Leider teilst du uns das ja vermutlich aus Unwissenheit nicht mit so das eine qualifizierte Antwort unmöglich ist.
Auch die Frage ob die Firewall zum Internet durch euch gemanaged wird oder extern ???
Fangen wir deshalb mal etwas an zu raten...
Es gibt 2 Möglichkeiten:
1.) Es ist ein dynamisches Routing Protokoll aktiviert !
Da muss dann aber die Firewall mit integriert sein minimum muss sie aber ALLE statischen Routen in die Niederlassungen haben sollte sie default Gateway sein.
2.) Es wird statisch geroutet
Generell ist es möglich entweder die .2.1 oder die .2.2 als Standardgateway einzutragen dabei muss folgendes beachtet werden:
a.) .2.2 ist Standardgateway:
Dieser Router benötigt dann lediglich eine Default Route auf die Firewall mit der .2.1
D.h. alle Pakete werden dann generell auf die .2.2 (Arcor Router) geschickt und der sendet alles was er nicht kennt an Netzen dann an die .2.1 das Internet Gateway. Alles was er kennt sendet er an die Zweigstellen.
Nachteil dieser Lösung:
Das Standard Gateway der gesamten Hauptverwaltung liegt auf einem System was du nicht selber verwalten kannst !!!
Kein verantwortungsvoller Netzwerk Admin macht so etwas, denn sollte es Probleme geben bist du in hohem Maße von einer Hotline und dem Wohlwollen eines externen Dienstleisters abhängig.
Also Unsinn und gleich vergessen.... !!!
b.) .2.1 (Firewall) ist Standardgateway
Sofern die Firewall von euch verwaltet wird ist das die einzig gangbare Lösung da so alles IP verwaltungstechnisch in deiner eigenen Hand liegt.
Die Firewall muss dann allerdings alle statischen Routen zu den Zweigstellen ala
ip route 192.168.140.0 255.255.255.0 gateway 192.168.2.2
ip route 192.168.150.0 255.255.255.0 gateway 192.168.2.2
usw. usw.
eingetragen haben, da diese Pakete ja an den zeigstellenrouter (Arcor) geschickt werden müssen...logisch !
Sofern alle eure Zweigstellen 192.168er Netze haben kann man auch eine einzige Summary Route auf der FW angeben:
ip route 192.168.0.0 255.255.0.0 gateway 192.168.2.2
Was die Sache dann vereinfacht.
So nun kannst du dir ausrechnen wo man am sinnvollsten das Standardgateway des Servers einstellt. Durch deine oberflächliche Beschreibung der Topologie muss man leider mutmaßen was konfiguriert sein könnte..
Wenn du aber vom Server alle Zweigstellenclients pingen kannst hat dein Problem mit dem Netzwerk an sich schon mal rein gar nichts mehr zu tun und ist dann hier eher was für die Rubrik "Windows" !!
Hallo, ich bin ein Kollege von Eddi-Johnson.
Das Problem liegt wohl doch nicht an der DNS Eintragung.
Ich habe die Server IP + den Server Namen in die Hosts Datei eingetragen und ich kann den Server nun auch über den Namen anpingen.
Die Virtuellen Router der Niederlassungen Routen laut Aussage von Arcor alles durch.
Sobald eine Route unklar ist, wird diese automatisch auf unsere Firewall (192.168.2.1) verwiesen.
Dennoch bekomme ich die Fehlermeldung: Es konnte keien Verbindung mit einem Domänecontroller für die Domäne "xxx" hergestellt werden.
Weis einer ob man noch irgendwo Manuell eine Einstellung machen kann, dass der PC den Domänecontroler mit einer bestimmten IP sucht? Weil wie schon oben gepostet wurde, können wir die Adresse ohne Probleme anpingen.
Die komplette Problematik kann meiner Meinung nach auch nicht an der Firewall liegen, da das MPLS Netz nicht über die Firewall in unser Netzwerk geht.
Muss man auf dem DC vieleicht noch eine zusätzliche Route oder so eintragen? Ich kann im Moment ohne Probleme den Router, sowie den PC einer Niederlassunge anpingen. An einem Timeout kann es auch nicht liegen, da die Pingzeiten ca. 6ms sind.
p.s. in unserer Firewall sind Routen zu den einzelnen Niederlassungen gesetzt (ja WIR verwalten die Firewall).
Das Problem liegt wohl doch nicht an der DNS Eintragung.
Ich habe die Server IP + den Server Namen in die Hosts Datei eingetragen und ich kann den Server nun auch über den Namen anpingen.
Die Virtuellen Router der Niederlassungen Routen laut Aussage von Arcor alles durch.
Sobald eine Route unklar ist, wird diese automatisch auf unsere Firewall (192.168.2.1) verwiesen.
Dennoch bekomme ich die Fehlermeldung: Es konnte keien Verbindung mit einem Domänecontroller für die Domäne "xxx" hergestellt werden.
Weis einer ob man noch irgendwo Manuell eine Einstellung machen kann, dass der PC den Domänecontroler mit einer bestimmten IP sucht? Weil wie schon oben gepostet wurde, können wir die Adresse ohne Probleme anpingen.
Die komplette Problematik kann meiner Meinung nach auch nicht an der Firewall liegen, da das MPLS Netz nicht über die Firewall in unser Netzwerk geht.
Muss man auf dem DC vieleicht noch eine zusätzliche Route oder so eintragen? Ich kann im Moment ohne Probleme den Router, sowie den PC einer Niederlassunge anpingen. An einem Timeout kann es auch nicht liegen, da die Pingzeiten ca. 6ms sind.
p.s. in unserer Firewall sind Routen zu den einzelnen Niederlassungen gesetzt (ja WIR verwalten die Firewall).
Nein, zusätzliche Routen wären völliger Unsinn, denn ihr habt ja nur ein Netzwerk in der Hauptniederlassung und der Server zeigt dann logischerweise mit seinem Standardgateway auch auf die Firewall und die weiss ja wo alle Netze sind durch deren Routen.
Wichtig ist nur hier das du in den erweiterten Eigenschaften der Server Firewall unter ICMP den Haken setzt bei
"Umleitungen zulassen "
Damit der Server ICMP redirect Pakete von den Routern bzw. Firewall versteht, sonst müssten Pakete in die Niederlassungen immer über die Firewall gehen was nicht sein muss da FW und Router in einem Netz sind.
Das ist aber eher ne' Performance Geschichte und hat mit deinem eigentlichen Problem nichts zu tun !!
Wichtig ist natürlich das du die Server Firewall auch noch customized und sicherstellst das sie Verbindungen von Fremdnetzen wie den Niederlassungsnetzen zulässt !!!
Normalerweise blockt die lokale Firewall Zugriffe aus nicht lokalen IP Netzen !!!
Ein Netzwerk Problem ist es ja de facto auch nicht wenn du von den Niederlassungsclients den Server pingen kannst !
Dadurch ist ja die vollständige TCP/IP Connectivity gegeben, der Rest ist also nur noch eine Anwendungssache.
Du kannst den Server mit Domäne statisch bei den Clients in der Datei lmhosts angeben !! Sieh dir einfach die Beispiele dazu an wie:
192.168.0.100 maestro #PRE #DOM:technik # DC von "Technik"
Damit sollte der Zugriff dann problemlos klappen wenn du die Sample (Beispiel) Datei lmhosts.sam in eine lmhosts kopierst am Client !!
Wichtig ist nur hier das du in den erweiterten Eigenschaften der Server Firewall unter ICMP den Haken setzt bei
"Umleitungen zulassen "
Damit der Server ICMP redirect Pakete von den Routern bzw. Firewall versteht, sonst müssten Pakete in die Niederlassungen immer über die Firewall gehen was nicht sein muss da FW und Router in einem Netz sind.
Das ist aber eher ne' Performance Geschichte und hat mit deinem eigentlichen Problem nichts zu tun !!
Wichtig ist natürlich das du die Server Firewall auch noch customized und sicherstellst das sie Verbindungen von Fremdnetzen wie den Niederlassungsnetzen zulässt !!!
Normalerweise blockt die lokale Firewall Zugriffe aus nicht lokalen IP Netzen !!!
Ein Netzwerk Problem ist es ja de facto auch nicht wenn du von den Niederlassungsclients den Server pingen kannst !
Dadurch ist ja die vollständige TCP/IP Connectivity gegeben, der Rest ist also nur noch eine Anwendungssache.
Du kannst den Server mit Domäne statisch bei den Clients in der Datei lmhosts angeben !! Sieh dir einfach die Beispiele dazu an wie:
192.168.0.100 maestro #PRE #DOM:technik # DC von "Technik"
Damit sollte der Zugriff dann problemlos klappen wenn du die Sample (Beispiel) Datei lmhosts.sam in eine lmhosts kopierst am Client !!
Hallo aqui,
da bin ich wieder. wir werden gleich alles nochmal durchgehen.
erstmal vielen lieben dank für deine mühen und ausführliche hilfe
da bin ich wieder. wir werden gleich alles nochmal durchgehen.
erstmal vielen lieben dank für deine mühen und ausführliche hilfe
Ok, das Problem ist jetzt behoben. Es scheint wohl ein Problem für den DNS gewesen zu sein über das Standartgateway (firewall) mit der vordefinierten Route zu dem anderen Netz zu gelangen.
Wenn wir den Virtuellen Router als Standartgateway nutzen funktioniert es.
Danke für eure Hilfe.
Wenn wir den Virtuellen Router als Standartgateway nutzen funktioniert es.
Danke für eure Hilfe.
Normalerweise ist das KEIN Problem und zeigt eher auf das eurer Routing nicht sauber konfiguriert ist !!!
Bei korrektem Routing ist es vollkommen egal welches Gateway du verwendest !
Das solltest du also nochmal sehr genau kontrollieren !!
Wenns dann denn aber war bitte dann auch
How can I mark a post as solved?
nicht vergessen !!
Bei korrektem Routing ist es vollkommen egal welches Gateway du verwendest !
Das solltest du also nochmal sehr genau kontrollieren !!
Wenns dann denn aber war bitte dann auch
How can I mark a post as solved?
nicht vergessen !!
