pabbajay
Goto Top

Beitritt in eine Domain aus unterschiedlichen Vlans

Hallo an die Profis,

ich habe bei uns diverse Vlans auf einem Layer 3 Switch konfiguriert.
Mit einigen der Vlans wollte ich jetzt unserer Domain beitreten, die sich natürlich in einem anderen Netz befindet.
Ist dies aus einem anderen IP Adressbereich so möglich? Und ist ein extra DNS oder eine extra Domain für die Ip Adressbereiche auf dem Server Notwendig?
Die Vlans laufen für DNS aktuell über den Internet Router und nicht den Server.
Als Domain und DNS Server läuft bei uns ein Windows Server 2008 R2 im 192.168.51.0 Netz.


Gruß PabbaJay

Content-Key: 254569

Url: https://administrator.de/contentid/254569

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: SlainteMhath
Lösung SlainteMhath 12.11.2014, aktualisiert am 19.12.2014 um 09:49:42 Uhr
Goto Top
Moin,

Ist dies aus einem anderen IP Adressbereich so möglich?
Ja.

Und ist ein extra DNS oder eine extra Domain für die Ip Adressbereiche auf dem Server Notwendig?
Nein und Nein.

Die Vlans laufen für DNS aktuell über den Internet Router und nicht den Server.
Als Domain und DNS Server läuft bei uns ein Windows Server 2008 R2 im 192.168.51.0 Netz.
Zum Domain-Beitritt muss zwingend der DNS eines DC beim Client eingetragen sein, sonst klappt das nicht. Du brauchst also entweder entsprechendes Routing zwischen den VLANs, oder einen DC mit je einer NIC in einem VLAN.

lg,
Slainte
Mitglied: PabbaJay
PabbaJay 12.11.2014 um 11:40:03 Uhr
Goto Top
Hallo,

mein Routing übernimmt der Layer 3 Switch. Dieses ist auch so konfiguriert das die entsprechenden Netze untereinander kommunizieren können.
Ich habe den Domain DNS als sekundären DNS beim Test-Clienten eingetragen, dies sollte doch reichen.
Mir ist allerdings eben aufgefallen das ich alle unterschiedlichen Geräte aus dem Vlan erreichen kann, außer dem Domain Server!
Diesen kann ich nicht anpingen. Muss ich beim Domain den IP Bereich des Subnetz eintragen oder macht eventuell die Firewall mit dem Subnetz kurzen Prozess?
Vielen dank schon mal für die anderen Infos, dann brauche ich dort nicht weitersuchen.

Gruß Jay
Mitglied: SlainteMhath
Lösung SlainteMhath 12.11.2014, aktualisiert am 19.12.2014 um 09:49:50 Uhr
Goto Top
Ich habe den Domain DNS als sekundären DNS beim Test-Clienten eingetragen, dies sollte doch reichen.
Nein, tut es nicht! Der AD-DNS muss der primäre DNS im Client sein. Falls der Client auch ins Internet soll, muss der DNS des Routers im DNS Server am DC als Forwarder eingetragen werden. In den Netzwerkeinstellungen im Client (und auch am DC!) hat nur der AD DNS was verloren - primär wie auch sekundär.

Muss ich beim Domain den IP Bereich des Subnetz eintragen
Nein.

oder macht eventuell die Firewall mit dem Subnetz kurzen Prozess?
Kann sein.
Mitglied: PabbaJay
PabbaJay 12.11.2014 um 13:14:47 Uhr
Goto Top
Habe den primären DNS auf den Domain-Server umgestellt.
Leider ohne Ergebnis. Selbst bei deaktivierter Firewall kann ich die IP des Domain Servers nicht erreichen. Umgekehrt ist dies problemlos möglich.
Pings vom Domainserver kommen im VLAN an und andere Server kann ich problemlos vom Vlan aus erreichen, ob mit oder ohne Domain.

Gruß Jay
Mitglied: Chonta
Chonta 12.11.2014 um 16:49:01 Uhr
Goto Top
Hallo,

PING ist nicht ausschlaggebend, da die MS Firewall ICMP aus anderen Netzen blockt.
Wenn der DC als erste DNS-Server auf dem VLAN-Client ist, kannst du nslookup machen und meldet sich dann der DC und gibt namen und IP-Adressen aus?

Es wird höchstwarscheinlich der VLAN-IP-Bereich beim DC und auch allen Windowsrechnern der Domäne als nicht vertrauenswürdig eingestuft.
Das muss dann noch eingerichtet werden (Windowsfirewall oder eine andere di eim Einsatz ist)
Vorher geht da nicht viel.

(Abhängig von den beteiligten Server und ClientOS-Versionen bei mir mit Server 2012R2 und Windows 8.1 ar das so - nicht mit VLAN aber anderen IP-netzen)

Gruß

Chonta
Mitglied: PabbaJay
PabbaJay 13.11.2014 aktualisiert um 10:46:06 Uhr
Goto Top
Hallo,

wenn ich "nslookup" ausführe bekomme ich folgendes:
DNS request timed out.
timeout was 2 seconds.
Standardserver: UnKnown
Address: 192.168.51.5


Dies ist die Adresse unseres DC.
Internetverbindung aus dem Vlan ist dann auch nicht mehr möglich. Auch mit 8.8.8.8 kein Ping.
Da das Thema DC für mich Neuland ist, hoffe ich auf eure Hilfe.
Wo muss ich auf dem Server 2008 R2 das Netzwerk als vertrauenswürdig hinzufügen?


Gruß Jay
Mitglied: SlainteMhath
SlainteMhath 13.11.2014 um 11:33:38 Uhr
Goto Top
Ok, jetzt ist der Zeitpunkt erreicht wo mal eine kleine Skizze des Netzeerks nötig wäre. Wichtifg hier sind alle beteiligten VLANs, IP-Netzwrek, Switche, Clients, Server und Router.

Alles andere ist sonst wildes Gerate.
Mitglied: PabbaJay
PabbaJay 13.11.2014 um 14:03:47 Uhr
Goto Top
Habe die wichtigen Komponenten mal zusammengefasst.

Die Vlans sind untereinander geroutet und können sich aktuell sehen.
Vlan 1,50,201 haben in dieser Konstellation Internetzugriff. Vlan202 soll mit in die Domain,
hat aber aktuell keinen Internetzugriff da der DNS auf den DC eingestellt ist und von diesem scheinbar nicht akzeptiert wird.


198b57903f99890839cf23c54024a1b0

Gruss Jay
Mitglied: PabbaJay
PabbaJay 24.11.2014 um 13:44:20 Uhr
Goto Top
Hallo,
habe die Firewall auf dem Clienten und dem Server für das Subnetz entsprechend konfiguriert und die Echoanforderung zugelassen.
Trotzdem ist es mit nicht möglich den Server zu pingen, geschweige denn eine Verbindung zur Domain aufzubauen.
Bei versuchter Anmeldung mit einem Domain User bekomme ich die Fehlermeldung "es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar"
Und beim Versuch der Domain beizutreten bekomme ich folgende Fehlermeldung:
6e46b63647f84e4fedba15c90dbd11ba
Bitte um Hilfe.
Mitglied: Chonta
Chonta 24.11.2014 um 14:13:50 Uhr
Goto Top
Hallo,

kannst Du von dem Rechner keine IP aus dem Netz des DC erreichen?
Wenn nein, dann können deine VLans untereinander nicht reden.
Wenn ja, dann in den Windowsfirewalleinstellungen des DC dafür sorgen, das das VLAN-Netz vertrauenswürdig ist und die Kommunikation erlaubt ist.

Da nichtmal nslookup funktioniert, gehe ich davon aus das das VLNAN Setum nicht sauber läuft, es sei denn es gelten sonderbare Sicherheitseinstellungen.

Kann der DC seinerseits einen PING auf den Rechner abgeben?
Wenn ja was sagt Tracert? (ggf auch auf dem anderen VLAN-Rechner und pathping ggf auch mal machen, dann weist Du welchen Weg die Rechner nehmen würdenum zum Ziel zu kommen)

Gruß

Chonta
Mitglied: PabbaJay
PabbaJay 24.11.2014 um 14:30:20 Uhr
Goto Top
Hallo,

danke für die rasche Antwort.
ich kann von dem betroffenen Rechner nahezu jede IP im Netzwerk erreichen, nur nicht den Domainserver. Vlan Routing läuft aktiv, dort laufen diverse Geräte schon einige Zeit über das Routing ohne Vorkommnisse.
Vom Server aus kann ich den betreffenden Client problemlos erreichen. Tracert und Pathping von Serverseite laufen über den Router und den Layer 3 Switch zum Client.
Vom Rechner aus dem Vlan laufen Tracert und Pathping nicht zum Server. Andere Server und Geräte lassen sich alle direkt ansprechen, bis hin zu Ordnerfreigaben bei denen ich die Firewall der Rechner im Standard Lan angepasst habe.
Und die Firewall auf dem Server habe ich zur probe auch schon kurzzeitig deaktiviert, ohne Erfolg.
Mitglied: PabbaJay
PabbaJay 19.12.2014 um 09:49:10 Uhr
Goto Top
Hallo Leute,

habe inzwischen eine Lösung für mein Problem gefunden.
Ich habe den DNS Server zusätzlich zur Weiterleitung im Lancom Router, noch als Station eingetragen.
Und Zack, sofort eine Verbindung zur Domain aus dem Vlan möglich.
Vollkommen an der falschen Stelle nach einer Lösung gesucht.
Danke für eure Unterstützung.

Beste Grüße Pabba Jay