1
Bei mehreren VLANs unter Win2k3 nach einigen Stunden keine Netzverbindung mehr.
Mein erster "Beitrag" 
Ich hoffe ich habe alles wichtige erwähnt!
Hallo!
Kurzinfo:
120 XP-Hosts,
1 win2k3-Domäne mit 2 servern
Server1: PDC mit DNS, Fileserver, kein DHCP-Server
Server2: squid-proxy
30 VLANS
Mein Wunschszenario:
Obwohl der eigentliche Zweck der Vernetzung ja die Kommunikation zwischen PCs ist, möchte ich trotzdem, dass nicht jeder PC mit jedem anderen kommunizieren kann. Nach außen (ins Internet) soll jedoch jeder PC eine Verbindung haben.
Mein Lösungsversuch:
Viele VLANs (VLAN fähige Switches), so dass immer nur PCs die miteinander kommunizieren sollen auch ich selbem VLAN liegen. (D.h. es soll nicht geroutet werden, deshalb auch nur Layer2-Switches). Alle Hosts im gleichen VLAN liegen im gleichen Subnet, und jedes VLAN hat ein eigenes Subnet (Hosts mit manueller IP -Vergabe).
Um die Verbindung nach außen zu ermöglichen richte ich Server ein, die in allen VLANs liegen (mit jeweils einer physikalischen Karte, 30 logischen Netzverbindungen mit VLAN Tagging). Jede Verbindung nach außen muss dann über diese Server gehen. (D.h. es gibt kein Standard-Gateway bei den Hosts).
Bei jeder der logischen Netzwerkverbindungen am Server richte ich eine gültige IP-Adresse für das passende Subnet ein:
192.168.1.1, 10.1.2.1, 10.1.3.1, 10.1.4.1, etc. für Server1
192.168.1.2, 10.1.2.2, 10.1.3.2, 10.1.4.2, etc. für Server2.
(Die jeweils dritte Gruppe bei den 10er-Adressen ist gleichzeitig die VLAN-ID)
So kann jeder VLAN-Host mit den Servern kommunizieren. Durch die (automatisch angelegten) statischen Routen beim Server holt sich z.B. der squid-proxy-server die Daten von außen und reicht sie weiter ins richtige VLAN zum richtigen Rechner.
Zusätzlich dazu wird in einem VLAN (ID1) eine ws2003-Domäne eingerichtet. (In den übrigen VLANs sind nur Arbeitsgruppenrechner)
Server1: PDC mit DNS (forward und reverse lookup nur für die Hosts in diesem einen VLAN), Fileserver
Server2: squid-proxy (Mitglied der Domäne, da AD-Informationen benötigt werden)
Bei den Hosts in der Domäne:
Manuelle IP-Adresse und Netzmaske
Kein Gateway
DNS: IP von Server1 (im VLAN ID1) = 192.168.1.1
proxy für web: IP von Server2 (im VLAN ID1) = 192.168.1.2
Bei den Hosts in den VLANs (nicht in der Domäne)
Manuelle IP-Adresse und Netzmaske
Kein Gateway
DNS: IP von Server1 (im richtigen VLAN IDx) = 10.1.x.1
proxy für web: IP von Server2 (im VLAN IDx) = 10.1.x.2
Mein Problem:
Die Domäne in VLAN 1 funktioniert tadellos, auch die Verbindung zum proxy von allen Geräten in den verschiedenen VLANs. Ebenso die Namensauflösung in allen VLANs (sowohl lokale Auflösung als auch Internet-Namensauflösung)
Allerdings ist nach einigen Stunden plötzlich der proxy (Server2) nicht mehr erreichbar. Für keinen einzigen Host der Domäne oder einer Arbeitsgruppe. (ping geht auch nicht mehr).
Nach einem Neustart des proxy-Geräts klappt wieder alles, aber eben nur für einige Stunden bis Tage.
Bisherige Lösungsversuche:
Ich habe ganz dringend den DNS-Server auf Server1 in Verdacht:
o Da die Server ja viele IP-Adressen besitzen (eine pro VLAN) war ursprünglich durch dynamische DNS-Updates im DNS-Server die IP-Adressauflösung nicht eindeutig. Auch die SRV-Records für den Domänencontroller waren vielfach im DNS vorhanden (eben mit 30 IP-Adressen, eine für jede logische Netzwerkverbindung). Ich habe das dynamische DNS-Updating am Server deaktiviert und die überflüssigen DNS - A und SRV Records gelöscht. (war das richtig?)
Danach hatte ich den Eindruck, dass das Problem gelöst war aber dann nach einigen Tagen wieder das gleiche Probleme des Verlustes der Netzwerkkonnektivität
o Im Ereignisprotokoll beim proxy-Server gibt es immer wieder Einträge, dass die Gruppenrichtlinien nicht aktualisiert werden konnten - wenn keine Netzverbindung da ist, ganz klar. Oder ist das eine Ursache für das Verschwinden der Netzkonnektivität ?
o Wie wäre es möglich, die (gleiche) Domäne in vielen VLANs anzuwenden? Die Information über die IP-Adresse des Domänencontrollers im SRV-Record im DNS müsste ja dann immer die passende, zum VLAN gehörende IP-Adresse des Servers zurückgeben. Kann man dem DNS-Server beibringen bei unterschiedlichen Netzverbindungen nur spezielle Namensauflösungen zurückzuschicken?
Danke für alle Ratschläge oder andere Lösungsmöglichkeiten für mein Wunschszenario
dynaero
Kurzinfo:
120 XP-Hosts,
1 win2k3-Domäne mit 2 servern
Server1: PDC mit DNS, Fileserver, kein DHCP-Server
Server2: squid-proxy
30 VLANS
Mein Wunschszenario:
Obwohl der eigentliche Zweck der Vernetzung ja die Kommunikation zwischen PCs ist, möchte ich trotzdem, dass nicht jeder PC mit jedem anderen kommunizieren kann. Nach außen (ins Internet) soll jedoch jeder PC eine Verbindung haben.
Mein Lösungsversuch:
Viele VLANs (VLAN fähige Switches), so dass immer nur PCs die miteinander kommunizieren sollen auch ich selbem VLAN liegen. (D.h. es soll nicht geroutet werden, deshalb auch nur Layer2-Switches). Alle Hosts im gleichen VLAN liegen im gleichen Subnet, und jedes VLAN hat ein eigenes Subnet (Hosts mit manueller IP -Vergabe).
Um die Verbindung nach außen zu ermöglichen richte ich Server ein, die in allen VLANs liegen (mit jeweils einer physikalischen Karte, 30 logischen Netzverbindungen mit VLAN Tagging). Jede Verbindung nach außen muss dann über diese Server gehen. (D.h. es gibt kein Standard-Gateway bei den Hosts).
Bei jeder der logischen Netzwerkverbindungen am Server richte ich eine gültige IP-Adresse für das passende Subnet ein:
192.168.1.1, 10.1.2.1, 10.1.3.1, 10.1.4.1, etc. für Server1
192.168.1.2, 10.1.2.2, 10.1.3.2, 10.1.4.2, etc. für Server2.
(Die jeweils dritte Gruppe bei den 10er-Adressen ist gleichzeitig die VLAN-ID)
So kann jeder VLAN-Host mit den Servern kommunizieren. Durch die (automatisch angelegten) statischen Routen beim Server holt sich z.B. der squid-proxy-server die Daten von außen und reicht sie weiter ins richtige VLAN zum richtigen Rechner.
Zusätzlich dazu wird in einem VLAN (ID1) eine ws2003-Domäne eingerichtet. (In den übrigen VLANs sind nur Arbeitsgruppenrechner)
Server1: PDC mit DNS (forward und reverse lookup nur für die Hosts in diesem einen VLAN), Fileserver
Server2: squid-proxy (Mitglied der Domäne, da AD-Informationen benötigt werden)
Bei den Hosts in der Domäne:
Manuelle IP-Adresse und Netzmaske
Kein Gateway
DNS: IP von Server1 (im VLAN ID1) = 192.168.1.1
proxy für web: IP von Server2 (im VLAN ID1) = 192.168.1.2
Bei den Hosts in den VLANs (nicht in der Domäne)
Manuelle IP-Adresse und Netzmaske
Kein Gateway
DNS: IP von Server1 (im richtigen VLAN IDx) = 10.1.x.1
proxy für web: IP von Server2 (im VLAN IDx) = 10.1.x.2
Mein Problem:
Die Domäne in VLAN 1 funktioniert tadellos, auch die Verbindung zum proxy von allen Geräten in den verschiedenen VLANs. Ebenso die Namensauflösung in allen VLANs (sowohl lokale Auflösung als auch Internet-Namensauflösung)
Allerdings ist nach einigen Stunden plötzlich der proxy (Server2) nicht mehr erreichbar. Für keinen einzigen Host der Domäne oder einer Arbeitsgruppe. (ping geht auch nicht mehr).
Nach einem Neustart des proxy-Geräts klappt wieder alles, aber eben nur für einige Stunden bis Tage.
Bisherige Lösungsversuche:
Ich habe ganz dringend den DNS-Server auf Server1 in Verdacht:
o Da die Server ja viele IP-Adressen besitzen (eine pro VLAN) war ursprünglich durch dynamische DNS-Updates im DNS-Server die IP-Adressauflösung nicht eindeutig. Auch die SRV-Records für den Domänencontroller waren vielfach im DNS vorhanden (eben mit 30 IP-Adressen, eine für jede logische Netzwerkverbindung). Ich habe das dynamische DNS-Updating am Server deaktiviert und die überflüssigen DNS - A und SRV Records gelöscht. (war das richtig?)
Danach hatte ich den Eindruck, dass das Problem gelöst war aber dann nach einigen Tagen wieder das gleiche Probleme des Verlustes der Netzwerkkonnektivität
o Im Ereignisprotokoll beim proxy-Server gibt es immer wieder Einträge, dass die Gruppenrichtlinien nicht aktualisiert werden konnten - wenn keine Netzverbindung da ist, ganz klar. Oder ist das eine Ursache für das Verschwinden der Netzkonnektivität ?
o Wie wäre es möglich, die (gleiche) Domäne in vielen VLANs anzuwenden? Die Information über die IP-Adresse des Domänencontrollers im SRV-Record im DNS müsste ja dann immer die passende, zum VLAN gehörende IP-Adresse des Servers zurückgeben. Kann man dem DNS-Server beibringen bei unterschiedlichen Netzverbindungen nur spezielle Namensauflösungen zurückzuschicken?
Danke für alle Ratschläge oder andere Lösungsmöglichkeiten für mein Wunschszenario
dynaero
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 128329
Url: https://administrator.de/contentid/128329
Printed on: April 24, 2024 at 01:04 o'clock
1 Comment
Gleich Vorweg: Windows hat so einige Probleme, wenn ein DNS-Server, AD-Server oder WINS-Server mehrere Netzwerkinterfaces besitzt.
Die Probleme kannst du eliminieren, wenn du nur ein VLAN mit Active Directory brauchst und alle anderen sekundär behandelst.
Brauchst du die AD-Funktionalität aber in mehreren VLANs kommst du um Routing nicht drum herum. D.h. du steckst die Server in ein eigenes Subnetz (mit nur einer IP) und routest die einzelnen VLANs dort hin.
Probleme mit Multihomed DCs vermeiden
Grüße
Max
Die Probleme kannst du eliminieren, wenn du nur ein VLAN mit Active Directory brauchst und alle anderen sekundär behandelst.
Brauchst du die AD-Funktionalität aber in mehreren VLANs kommst du um Routing nicht drum herum. D.h. du steckst die Server in ein eigenes Subnetz (mit nur einer IP) und routest die einzelnen VLANs dort hin.
Probleme mit Multihomed DCs vermeiden
Grüße
Max
