Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Deidziertes Subnetz anbinden an AD

Mitglied: SteveNow

SteveNow (Level 1) - Jetzt verbinden

21.05.2013 um 14:38 Uhr, 1729 Aufrufe, 2 Kommentare

Hallo zusammen,

ich möchte folgendes Realisieren:

Ein Subnetz in dem sich 2 Clients befinden vom Produktivnetz via Firewall abschotten. Das Deidzierte Netz soll keinen eigenen DNS Server erhalten.
Die Clients im Dedizierten Netz sollen sich nur am AD anmelden können und über eine Firmeneigene Software mit einem Server kommunizieren können.


Ist Zustand:
1 Netz: 192.168.1/24
1 Gateway in wan / dmz (route auf 192.168.2/24 eingetragen)
2x DC 2008R2 mit DNS, DHCP,


Bisherige Maßnahmen:
1x Cisco RV042 als Router mit Firewall
1x IP Range hinter der Firewall 192.168.2/24
Clients: 192.168.2.101 feste IP, DNS vom Produktivnetz eingetragen, Firewall als Gateway eingetragen
Firewall regeln auf Allow Any from Any to Any (bisher).

Reverse Lookupzone für ...2/24 Netz eingerichtet, A-Records für die Clients mit IP Hinterlegt.
Clients in der Forwardlookupzone statisch eingetragen, A-Record mit IP des Client.

Test:
Ping von .1.x auf .2.x geht und anderst herum auch.
nslookup der .2 Clients geht, vom .2 Netz gehts auch in .1 Netz
Tracert auch einwandfrei.


Nun zur Problematik:
Ordnerfreigabe funktioniert nicht
AD-Anmeldung funktioniert nicht
AD Beitreten vom .2 Netz aus geht nicht, "Der angegebene Netzwerkname ist nicht mehr verfügbar"
(bevor ich die Records angelegt habe war die Meldung “ Der angegebene Netzwerkname wurde nicht gefunden.“

Woran kann das liegen?
Da die Namen aufgelöst werden können und die Firewall (momentan) alles durchlässt bin ich echt überfragt.
Mitglied: aqui
21.05.2013, aktualisiert um 15:10 Uhr
.. ."1 Gateway in wan / dmz (route auf 192.168.2/24 eingetragen)"
Das ist Unsinn, denn das Gateway befindet sich ja fest in deinen beiden IP Netzen !! Es kennt also beide IP Netze, deshalb ist eine statische Route hier vollkommen überflüssig.
Einen Breitband DSL Router kannst du nicht (oder nur bedingt) verwenden, den dort lassen sich oft nicht die Gateway Funktionen abschalten, sprich das NAT.
Damit kannst du dann aber nicht transparent routen sondern hast nur eine Einbahnstrasse.
Du kannst einzig und allein nur von den Clients in Richtung Produktivnetz routen niemals andersrum, denn das verhindert die NAT Firewall des Routers.
Wenn geht also nur folgendes Szenario:
(Clients, 192.168.2.0 /24)----LANPort-Router-WanPort---(Produktivnetz 192.168.1.0 /24)--Server

Die Reverselookupzone ist also Unsinn in so einem NAT Szenario, denn der DNS oder AD "sehen" die .2.0er Clients gar nicht unter deren IP und kennen folglich dieses Netz auch gar nicht. (OK, nur wenn du die NAT Funktion des Routers NICHT abschalten kannst !)
Das komplette 2.0er IP Netz wird ja im Router umgesetzt auf eine .1.0er Produktiv IP. folglich tauchen diese Clients niemals im Produktivnetz mit .2.0er IPs auf.
Ausnahme ist nur wenn du wirklich im Cisco die Gateway Funktion abschalten kannst und transparent routen kannst.
Diese Tutorials beschreiben das Problem und die Lösung:
https://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
https://www.administrator.de/wissen/mit-einem-wlan-zwei-ip-netzwerke-ver ... (WAN Port Settings, gilt auch für Draht)
https://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ... (Alternative 2 DMZ)
Bitte warten ..
Mitglied: SteveNow
21.05.2013, aktualisiert um 15:16 Uhr
Hi,

Vielen Dank mal soweit!
Die Tutorials werde ich mir gleich anschauen!
Im Cisco kann man den Modi von Gateway (NAT) auf Router umschalten, damit ist transparentes Routing möglich.

(Clients, 192.168.2.0 /24)----LANPort-Router-WanPort---(Produktivnetz 192.168.1.0 /24)--Server
exakt.

Die statisch hinterlegte Route halte ich nicht für Überflüssig.
Die .1 clients kennen das .2 netz nicht, schicken die Pakete also an ihr Gateway, und dieses wiederum an die Firewall.. Ohne diese Route landen die Pakete im WAN oder werden verworfen..
Das sieht man beim Tracert auch ganz gut:
1: Produktiv-Netz Gateway
2: Cisco RV042
3: Client im .2 Netz
Bitte warten ..
Ähnliche Inhalte
Windows Server
Änderung Subnetz an AD Standort
gelöst Frage von hansdampfWindows Server13 Kommentare

Hallo, ich betreue eine Organisation mit 3 AD Standorten, diese sind mittels VPN Tunnel verbunden und haben je ein ...

Windows Server
Nicht definierte Subnetze im AD erkennen
gelöst Frage von 116617Windows Server9 Kommentare

Guten Tag, Ich habe folgende Problemstellung vor mir: Wir betreiben ein Active Directory mit Windows Server 2008 R2 und ...

Netzwerke
Außenstelle anbinden
gelöst Frage von Herbi1984Netzwerke9 Kommentare

Hallo zusammen, wir müssen demnächst eine Außenstelle bei uns anbinden. Aufbau dort: Router <> Sophos RED <> Riverbed <> ...

LAN, WAN, Wireless

Remotestandort anbinden - wie am besten realisieren

Frage von westberlinerLAN, WAN, Wireless8 Kommentare

Hallo, ich muss hier zeitnah (am besten schon vorgestern) einen Remotestandort aufgrund von Auslagerung der Tätigkeiten zu einem Dienstleister ...

Neue Wissensbeiträge
Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 8 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 8 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 8 StundenHardware10 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

MikroTik RouterOS

Mikrotik Advisory: Vulnerability exploiting the Winbox port

Information von colinardo vor 8 StundenMikroTik RouterOS

Brand aktuell: Eine Schwachstelle im Winbox-Port bei Mikrotik Routern erlaubt das Auslesen der User-Datenbank der Router. Patch ist aktuell ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL17 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

LAN, WAN, Wireless
Kommunikation zwischen verschiedenen IP-Bereichen
Frage von DirkHoLAN, WAN, Wireless13 Kommentare

Hallo zusammen, von Unitymedia habe ich ein neues Modem (Connect Box) erhalten, das u.a. IPv4 aber keinen Bridge Mode ...