9
Win2K3 Domain Controller per VPN nicht erreichbar
Seit einigen Tagen versuche ich einen VPN-Zugang auf einen Windows 2003 Server - genauer gesagt auf die bereitgestellten Laufwerke - zu etablieren. Offenbar habe ich in der Konfiguration etwas übersehen. Da ich kein Windows-Profi bin und ich auch nach intensiven Googlen keine Lösung gefunden habe würde ich mich über eine kleine Hilfestellung freuen.
Das Setup: Fritz!Box Router, Win2K3 Server mit DHCP, DC, Printserver, etc. Clients sind alle WinXP. Die Fritz!Box hängt im gleichen Segment wie der WinServer
Der Plan: Die Fritz!Box bietet einen einfach zu installierenden IPSec VPN Server (Layer 3 - Routing) an. An diesem VPN-Server melden sich die mobilen Clients (Road-Warrior) mittels Fritz!-VPN-Client Software an und erhalten Zugriff auf das LAN inkl Win2K3 Server.
Das Funktioniert: Die Clients können sich (z.B. per UMTS) auf die Fritz!Box connecten und erhalten Zugriff auf das LAN. Der Win2K3 Server ist unter Angabe seiner IP-Adresse sichtbar.
Das Problem: Möchte man nun auf ein freigegebenes Laufwerk auf dem WinServer zugreifen, so wird nach Benutzername + Passwort gefragt. Ein Zugriff ist nicht möglich - auch bei richtigem Benutzer+Passwort. Eine Windows-Fehlermeldung sagt aus, dass der DomainController nicht gefunden werden konnte.
Dieses Problem tritt nicht auf, wenn der Client mit dem LAN direkt verbunden ist und dann das Kabel entfernt und anschließend über UMTS eine VPN-Verbindung aufgebaut wird. Dann klappt alles einwandfrei! - Offenbar ist der DC auch durch den VPN-Tunnel erreichbar. Ich vermute das Problem im Bereich Namensauflösung. Wenn die IP des DC nicht bekannt ist, dann findet er ihn offenbar nicht.
Kann man die IP des DC bei den Clients manuell/statisch angeben?
Der Plan: Die Fritz!Box bietet einen einfach zu installierenden IPSec VPN Server (Layer 3 - Routing) an. An diesem VPN-Server melden sich die mobilen Clients (Road-Warrior) mittels Fritz!-VPN-Client Software an und erhalten Zugriff auf das LAN inkl Win2K3 Server.
Das Funktioniert: Die Clients können sich (z.B. per UMTS) auf die Fritz!Box connecten und erhalten Zugriff auf das LAN. Der Win2K3 Server ist unter Angabe seiner IP-Adresse sichtbar.
Das Problem: Möchte man nun auf ein freigegebenes Laufwerk auf dem WinServer zugreifen, so wird nach Benutzername + Passwort gefragt. Ein Zugriff ist nicht möglich - auch bei richtigem Benutzer+Passwort. Eine Windows-Fehlermeldung sagt aus, dass der DomainController nicht gefunden werden konnte.
Dieses Problem tritt nicht auf, wenn der Client mit dem LAN direkt verbunden ist und dann das Kabel entfernt und anschließend über UMTS eine VPN-Verbindung aufgebaut wird. Dann klappt alles einwandfrei! - Offenbar ist der DC auch durch den VPN-Tunnel erreichbar. Ich vermute das Problem im Bereich Namensauflösung. Wenn die IP des DC nicht bekannt ist, dann findet er ihn offenbar nicht.
Kann man die IP des DC bei den Clients manuell/statisch angeben?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 133219
Url: https://administrator.de/contentid/133219
Printed on: April 18, 2024 at 16:04 o'clock
9 Comments
Latest comment
Hi,
ob man die IP statisch angegen kann weiss ich nicht genau. Denke aber schon! Wäre nicht auch eine Möglichkeit einen VPN Server auf deinem DC zu erstellen und die Weiterleitung an der Fritzbox einzustellen?
So kannst du explizit angeben wer Zugriff worauf hat. Auch sind darüber statische IP Adressen möglich!
Vielleicht hilft dir das!?!
Grüße
ob man die IP statisch angegen kann weiss ich nicht genau. Denke aber schon! Wäre nicht auch eine Möglichkeit einen VPN Server auf deinem DC zu erstellen und die Weiterleitung an der Fritzbox einzustellen?
So kannst du explizit angeben wer Zugriff worauf hat. Auch sind darüber statische IP Adressen möglich!
Vielleicht hilft dir das!?!
Grüße
Danke für die Anregung. Darüber habe ich auch schonmal nachgedacht, bin jedoch wieder davon abgekommen, da:
1.) Fritz!Box VPN an sich prima funktioniert, z.B. Zugriff auf ein NAS (nicht vom DC verwaltet)
2.) PPTP als nicht besonders sicher gilt und L2TP/IPsec mit Win2K3 nicht so einfach aufzusetzen ist
3.) einige Konfigurationsarbeiten abseits des VPN nötig wären, z.B. RAS/Routing aktivieren+konfigurieren, Firewall konfig, etc
Für einen Win2K3-Profi sicher in 5min erledigt, aber ich würde gerne bei der Fritz!Box-Lösung bleiben.
Ich vermute nach wie vor, dass die DC-Namensauflösung durch einen Layer-3 VPN wie es die Fritz!Box verwendet nicht möglich ist. Daher muss man auch den Fileserver per IP direkt ansprechen. Nach dem gleichen Schema kann man doch bestimmt auch den DC ansprechen, oder habe ich das System nicht richtig verstanden?
1.) Fritz!Box VPN an sich prima funktioniert, z.B. Zugriff auf ein NAS (nicht vom DC verwaltet)
2.) PPTP als nicht besonders sicher gilt und L2TP/IPsec mit Win2K3 nicht so einfach aufzusetzen ist
3.) einige Konfigurationsarbeiten abseits des VPN nötig wären, z.B. RAS/Routing aktivieren+konfigurieren, Firewall konfig, etc
Für einen Win2K3-Profi sicher in 5min erledigt, aber ich würde gerne bei der Fritz!Box-Lösung bleiben.
Ich vermute nach wie vor, dass die DC-Namensauflösung durch einen Layer-3 VPN wie es die Fritz!Box verwendet nicht möglich ist. Daher muss man auch den Fileserver per IP direkt ansprechen. Nach dem gleichen Schema kann man doch bestimmt auch den DC ansprechen, oder habe ich das System nicht richtig verstanden?
ist der Fileserver bei dir nicht gleich DC?!? Das müsste auf jedenfall mögklich sein! Über die VPN verbindung wird meines Wissens keine DNS üebrtragen. Dafür müsstes du im entfernten netz einen erneuten DNS Server aufstellen....
Sorry für die Verwirrung. Die Win2K Maschine ist der eigentliche Fileserver inkl. DHCP-Server, DC, Prinserver, etc. Zu Backup-Zwecken ist ein NAS in einem benachbarten Gebäude vorhanden. Auf dieses NAS, welches nicht vom DC verwaltet wird und sich im gleichen Netz befindet, kann man per VPN problemlos zugreifen.
Es gibt auch kein entfernes Netz, vielmehr soll es möglich sein von unterwegs per UMTS-Stick, WLAN-Hotspot, etc auf die Netzlaufwerke des Win2k3 Servers zuzugreifen.
Anleitungen wie das mit Windows-Boardmitteln funktioniert habe ich schon gefunden und gelesen. Das ist auf jeden Fall machbar. Meine Frage zielt aber auf eine Lösung mit Fritz!VPN ab. Hat jemand eine Lösung dafür?
Es gibt auch kein entfernes Netz, vielmehr soll es möglich sein von unterwegs per UMTS-Stick, WLAN-Hotspot, etc auf die Netzlaufwerke des Win2k3 Servers zuzugreifen.
Anleitungen wie das mit Windows-Boardmitteln funktioniert habe ich schon gefunden und gelesen. Das ist auf jeden Fall machbar. Meine Frage zielt aber auf eine Lösung mit Fritz!VPN ab. Hat jemand eine Lösung dafür?
VPN über Fritz!Box vielleicht hift dir das weiter!?
Der Zugang funktioniert nicht nur mit dem AVM Client sondern auch mit dem freien Shrew Client wie du hier sehen kannst !
Trag den DC einfach statisch bei den Clients in die Datei lmhosts ein ala:
192.168.178.100 server #PRE #DOM:Blaster # DC von Domäne "blaster"
Das löst dein Problem im Handumdrehen. Der Parameter #PRE bewirkt das der Name schon vorher in den Name Cache geladen wird und der Server bzw. DC somit bekannt ist.
Ansonsten findest du hier näheres dazu:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Trag den DC einfach statisch bei den Clients in die Datei lmhosts ein ala:
192.168.178.100 server #PRE #DOM:Blaster # DC von Domäne "blaster"
Das löst dein Problem im Handumdrehen. Der Parameter #PRE bewirkt das der Name schon vorher in den Name Cache geladen wird und der Server bzw. DC somit bekannt ist.
Ansonsten findest du hier näheres dazu:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Danke, danach hatte ich gesucht. Leider scheint dieser Ansatz mein Problem nicht zu beheben.
Ich habe die Datei lmhosts entsprechend bearbeitet - natürlich habe ich IP-Adresse, Domain und Server entsprechend angepasst. Das Ergebnis: keine Änderung. Vielleicht habe ich mich zu schnell auf die Namensauflösung gestürzt, denn die Fehlermeldung lautet ungefähr so: "DomainController konnte nicht gefunden werden oder die Authentifizierung ist Fehlgeschlagen". Das erinnert mich ein wenig an Win95-Fehlermeldungen ala "Es ist ein Fehler aufgetreten"....
Gibt es nicht irgendwelche Log-Dateien oder Ähnliches mit denen man den genauen Fehler herausfinden kann?
Ich habe die Datei lmhosts entsprechend bearbeitet - natürlich habe ich IP-Adresse, Domain und Server entsprechend angepasst. Das Ergebnis: keine Änderung. Vielleicht habe ich mich zu schnell auf die Namensauflösung gestürzt, denn die Fehlermeldung lautet ungefähr so: "DomainController konnte nicht gefunden werden oder die Authentifizierung ist Fehlgeschlagen". Das erinnert mich ein wenig an Win95-Fehlermeldungen ala "Es ist ein Fehler aufgetreten"....
Gibt es nicht irgendwelche Log-Dateien oder Ähnliches mit denen man den genauen Fehler herausfinden kann?
Hast du die Datei lmhosts auch umbenannt oder kopiert wie es im Tutorial steht ?? Normalerweise heisst sie lmhosts.sam wie .sam = sample = Beispiel.
Sie muss natürlich lmhosts OHNE eine Extension heissen !!
Ferner kannst du noch in den TCP/IP Settings unter Eigenschfaten -> Erweitert -> Den Haken bei "LMHOSTS Abfrage aktivieren" setzen !!
Das muss dann klappen, denn genau so schlägt Microsoft es auch in seiner Knowledge Base vor !!!
Sie muss natürlich lmhosts OHNE eine Extension heissen !!
Ferner kannst du noch in den TCP/IP Settings unter Eigenschfaten -> Erweitert -> Den Haken bei "LMHOSTS Abfrage aktivieren" setzen !!
Das muss dann klappen, denn genau so schlägt Microsoft es auch in seiner Knowledge Base vor !!!
Vllt. solltest du die Namensauflösung nicht so schnell verwerfen...
Wenn das Connecten hin haut aber das "Einloggen" auf den Shares nicht, dann kann es im grunde genommen
fast nur die Authentifizierung des DC sein und das wiederum nur daran das auf die ACL vom Server nicht zugegriffen werden kann weil
diese vom Client nicht gefunden werden kann. Guck mal bei den Clients ob die DNS-Suffixliste auch mit angegeben wurde
bzw. ob der DC wirklich per Lookup sowie Reverse-Lookup am DNS eingerichtet ist.
Also erster check Suffixliste ob die mitgegeben wird! Wenn das nicht ist muss das halt am DNS eingerichet werden.
Und als zweites nimmst Du dir am besten mal einen Client und führst auf dem CMD aus und sobald der im VPN ist, führst Du ein "nslookup" auf den
Server durch. Wenn dort steht : "Non-existent domain" müsste das auf jeden fall an dem DNS liegen da er den namen dann nicht
auflösen kann. Wiederum am DNS einrichten und es sollte gehen.
Wenn das Connecten hin haut aber das "Einloggen" auf den Shares nicht, dann kann es im grunde genommen
fast nur die Authentifizierung des DC sein und das wiederum nur daran das auf die ACL vom Server nicht zugegriffen werden kann weil
diese vom Client nicht gefunden werden kann. Guck mal bei den Clients ob die DNS-Suffixliste auch mit angegeben wurde
bzw. ob der DC wirklich per Lookup sowie Reverse-Lookup am DNS eingerichtet ist.
Also erster check Suffixliste ob die mitgegeben wird! Wenn das nicht ist muss das halt am DNS eingerichet werden.
Und als zweites nimmst Du dir am besten mal einen Client und führst auf dem CMD aus und sobald der im VPN ist, führst Du ein "nslookup" auf den
Server durch. Wenn dort steht : "Non-existent domain" müsste das auf jeden fall an dem DNS liegen da er den namen dann nicht
auflösen kann. Wiederum am DNS einrichten und es sollte gehen.
