Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Windows Server 2008 R2 hinter ISA 2006 - kein Ping und RDP über VPN möglich

Mitglied: Nasenmann

Nasenmann (Level 1) - Jetzt verbinden

22.02.2011 um 08:22 Uhr, 6297 Aufrufe, 2 Kommentare

Vermutlich ein Problem mit 2008 R2 Firewall und/oder Richtlinien?

Hallo zusammen,

als Langezeitleser dieses Forums, das mir schon viele Problemlösungen beschert hat, möchte ich mich jetzt mit einem Problem an Euch wenden,
auf das ich im Netz über die letzten Tage keine wirkliche Antwort fand.

Folgende Situation:

Ein lokales Netzwerk mit DC, ISA 2006(Gateway), Exchange und 2 Terminalservern soll von außen mit RDP über VPN (PPtP) zugänglich sein.

internes Netz: 192.168.0.xxx / 255.255.255.0
(externes) VPN-Netz: 169.254.12.xxx / 255.255.255.255

Der ISA ist konfiguriert, Traffic von extern in das interne Netz zu lassen - und umgekehrt. Die Regeln umfassen unter anderem ICMP und RDP, Routing
und RAS ist konfiguriert. Die gesamte Konfiguration war und ist erfolgreich im Einsatz; die Server laufen auf Windows Server 2003. Beide Terminalserver
sind VMs auf einem ESXi 4.1. Jeder Server lässt sich nach Herstellen der VPN-Verbindung anpingen und mit RDP ansteuern. Alles läuft wie gewünscht.

Außer dem zweiten TS - der kam kürzlich dazu und läuft mit Windows Server 2008 R2. Kein Ping, kein RDP, nicht für Geld dabei. Im internen Netz ist beides
kein Problem - nur über VPN (von extern). Firewallfunktionen sind auf das Nötigste beschränkt. Zur Klarstellung: der 2008er ist NICHT der ISA, er routet nicht
selbst. Datei- und Druckerfreigabe, Netzwerkerkennung, ICMP und RDP sind in der Windowseigenen Firewall nochmals explizit eingerichtet.

Was mich hier wurmt, ist die Tatsache, dass es aus dem internen Netz einwandfrei klappt, aber nicht über VPN, obwohl doch der ISA die Verbindung
durchstellen sollte. Es gibt ja für den 2008er faktisch kein anderes Netz als das interne.

Sollte jemand einen Hinweis für mich haben, was da faul ist, wäre ich auf ewig dankbar - ich knabbere seit einer Woche an dem Kram herum, für mich leider
noch relatives Neuland, und habe nichts zu speziell dieser Zusammenstellung gefunden. Selbstverständlich nehme ich an, dass die Infos hier eventuell
nicht ausreichen, bin aber für jeden Denkanstoß dankbar, und werde auf Nachfrage sehr gerne Details liefern.
Mitglied: dog
22.02.2011 um 08:29 Uhr
VPN-Netz: 169.254.12.xxx / 255.255.255.255

APIPA IPs sind eigentlich nicht routebar und sollten hier nicht benutzt werden!

Davon ab nimm dir Wireshark und teste ob der Server 2008 erstmal den Traffic empfängt und ob er dann auch antwortet.
Bitte warten ..
Mitglied: Nasenmann
22.02.2011 um 19:09 Uhr
EDIT:
Um Himmels Willen, es war tatsächlich einzig und allein eine Frage des VPN-Subnetzes. Sobald ich DHCP deaktiviert hatte, einen festen Adresspool und DNS/WINS definiert hatte,
klappte alles auf Anhieb. Dog, vielen Dank, dass Du mich auf die APIPA-Sache hingewiesen hast, darauf wäre ich so rasch nicht gekommen (weil ja der Rest vorher funktionierte)!



Vielen Dank schonmal für Deine Antwort! Ich komme leider erst jetzt dazu, etwas zu schreiben, da nach Entnahme meiner Weisheitszähne... bah, wen interessiert das.

Die APIPA IPs sind eher ein Relikt der Bequemlichkeit meines Kollegen, der das Netz vor mir betreut hat - ich bekam es quasi auf's Auge gedrückt, und werde zumindest das heute
nach Dienstschluss erledigen. Wobei mich immer noch wundert, dass es ja scheinbar für den Rest der Server funktioniert.

Wireshark ist für mich komplettes Neuland (tolles Tool übrigens!). Allerdings konnte ich der Kurzeinführung entnehmen, dass rot erstmal schlecht ist.

2008 R2 TS: 192.168.0.60
2003 DC2: 192.168.0.50
2003 DC1: 192.168.0.10

Verkehr und Anfragen auf 192.168.0.60 geben scheinbar keine Probleme. Allerdings, sobald 192.168.0.60 auf Anfragen von z.B. 192.168.0.50 oder 192.168.0.10 reagiert, gibt es
Header Checksum [incorrect] Fehler. Das gilt (laut meinem ersten kurzen Capture) für:

IGMP: V3 Membership Report
TPKT Continuation
TCP (49233) > epmap
TCP (49236) > blackjack
SMB
EPM
DCERP
LDAP

Ich sitze momentan noch daran, Hand und Fuß daraus zu machen - vielleicht hat ja jemand eine Idee. Sollte ich ein ganzes Capture posten sollen, nur zu, ich werde es dann hochladen.

Die Pings vom internen Netz gehen alle ohne einen einzigen Fehler durch und werden beantwortet. Der Ping von außen (über VPN) liefert durchgängig dies hier:

169.254.111.213 192.168.0.60 ICMP Echo (ping) request
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60

Das heißt, dass der 2008er TS mich nicht kennt, und auch keine Antwort auf seinen Broadcast bekommt. Woran kann das liegen? Ich seh mich mal weiter um, danke nochmal!
Bitte warten ..
Ähnliche Inhalte
Windows Server
Server 2008 R2 RDP
Frage von FutschelWindows Server6 Kommentare

Hallo Mitstreiter =) Folgende Frage : An einem Server 2008 R2 von dem Hause Microsoft melden sich Administrative- User ...

Windows Server
ISA Server 2006 Systemanforderungen
Frage von SillyBeanWindows Server4 Kommentare

Guten Tag ich habe mal eine Frage zu den Systemanforderungen von ISA Server 2006. Das Programm ist zwar etwas ...

Windows Server

Kein RDP zu Server 2008 über (AVM-)VPN möglich

gelöst Frage von duffy6Windows Server3 Kommentare

Hallo zusammen, ich habe zuhause einen SB2011 stehen, auf den ich zuhause auch wunderbar per RDP zugreifen kann. Wenn ...

Windows Server

Kein RDP-Zugriff auf Windows Server 2012 R2 möglich

gelöst Frage von honeybeeWindows Server7 Kommentare

Hallo, beim Versuch, via RDP auf den Server zuzugreifen, kam die Fehlermeldung: Der Remotedesktop kann aus einem der folgenden ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 2 TagenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 2 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 3 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 3 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement17 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android13 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware12 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...