Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Beitritt in eine Domain aus unterschiedlichen Vlans

Frage Microsoft Windows Server

Mitglied: PabbaJay

PabbaJay (Level 1) - Jetzt verbinden

12.11.2014 um 10:35 Uhr, 1462 Aufrufe, 12 Kommentare

Hallo an die Profis,

ich habe bei uns diverse Vlans auf einem Layer 3 Switch konfiguriert.
Mit einigen der Vlans wollte ich jetzt unserer Domain beitreten, die sich natürlich in einem anderen Netz befindet.
Ist dies aus einem anderen IP Adressbereich so möglich? Und ist ein extra DNS oder eine extra Domain für die Ip Adressbereiche auf dem Server Notwendig?
Die Vlans laufen für DNS aktuell über den Internet Router und nicht den Server.
Als Domain und DNS Server läuft bei uns ein Windows Server 2008 R2 im 192.168.51.0 Netz.


Gruß PabbaJay
Mitglied: SlainteMhath
LÖSUNG 12.11.2014, aktualisiert 19.12.2014
Moin,

Ist dies aus einem anderen IP Adressbereich so möglich?
Ja.

Und ist ein extra DNS oder eine extra Domain für die Ip Adressbereiche auf dem Server Notwendig?
Nein und Nein.

Die Vlans laufen für DNS aktuell über den Internet Router und nicht den Server.
Als Domain und DNS Server läuft bei uns ein Windows Server 2008 R2 im 192.168.51.0 Netz.
Zum Domain-Beitritt muss zwingend der DNS eines DC beim Client eingetragen sein, sonst klappt das nicht. Du brauchst also entweder entsprechendes Routing zwischen den VLANs, oder einen DC mit je einer NIC in einem VLAN.

lg,
Slainte
Bitte warten ..
Mitglied: PabbaJay
12.11.2014 um 11:40 Uhr
Hallo,

mein Routing übernimmt der Layer 3 Switch. Dieses ist auch so konfiguriert das die entsprechenden Netze untereinander kommunizieren können.
Ich habe den Domain DNS als sekundären DNS beim Test-Clienten eingetragen, dies sollte doch reichen.
Mir ist allerdings eben aufgefallen das ich alle unterschiedlichen Geräte aus dem Vlan erreichen kann, außer dem Domain Server!
Diesen kann ich nicht anpingen. Muss ich beim Domain den IP Bereich des Subnetz eintragen oder macht eventuell die Firewall mit dem Subnetz kurzen Prozess?
Vielen dank schon mal für die anderen Infos, dann brauche ich dort nicht weitersuchen.

Gruß Jay
Bitte warten ..
Mitglied: SlainteMhath
LÖSUNG 12.11.2014, aktualisiert 19.12.2014
Ich habe den Domain DNS als sekundären DNS beim Test-Clienten eingetragen, dies sollte doch reichen.
Nein, tut es nicht! Der AD-DNS muss der primäre DNS im Client sein. Falls der Client auch ins Internet soll, muss der DNS des Routers im DNS Server am DC als Forwarder eingetragen werden. In den Netzwerkeinstellungen im Client (und auch am DC!) hat nur der AD DNS was verloren - primär wie auch sekundär.

Muss ich beim Domain den IP Bereich des Subnetz eintragen
Nein.

oder macht eventuell die Firewall mit dem Subnetz kurzen Prozess?
Kann sein.
Bitte warten ..
Mitglied: PabbaJay
12.11.2014 um 13:14 Uhr
Habe den primären DNS auf den Domain-Server umgestellt.
Leider ohne Ergebnis. Selbst bei deaktivierter Firewall kann ich die IP des Domain Servers nicht erreichen. Umgekehrt ist dies problemlos möglich.
Pings vom Domainserver kommen im VLAN an und andere Server kann ich problemlos vom Vlan aus erreichen, ob mit oder ohne Domain.

Gruß Jay
Bitte warten ..
Mitglied: Chonta
12.11.2014 um 16:49 Uhr
Hallo,

PING ist nicht ausschlaggebend, da die MS Firewall ICMP aus anderen Netzen blockt.
Wenn der DC als erste DNS-Server auf dem VLAN-Client ist, kannst du nslookup machen und meldet sich dann der DC und gibt namen und IP-Adressen aus?

Es wird höchstwarscheinlich der VLAN-IP-Bereich beim DC und auch allen Windowsrechnern der Domäne als nicht vertrauenswürdig eingestuft.
Das muss dann noch eingerichtet werden (Windowsfirewall oder eine andere di eim Einsatz ist)
Vorher geht da nicht viel.

(Abhängig von den beteiligten Server und ClientOS-Versionen bei mir mit Server 2012R2 und Windows 8.1 ar das so - nicht mit VLAN aber anderen IP-netzen)

Gruß

Chonta
Bitte warten ..
Mitglied: PabbaJay
13.11.2014, aktualisiert um 10:46 Uhr
Hallo,

wenn ich "nslookup" ausführe bekomme ich folgendes:
DNS request timed out.
timeout was 2 seconds.
Standardserver: UnKnown
Address: 192.168.51.5

Dies ist die Adresse unseres DC.
Internetverbindung aus dem Vlan ist dann auch nicht mehr möglich. Auch mit 8.8.8.8 kein Ping.
Da das Thema DC für mich Neuland ist, hoffe ich auf eure Hilfe.
Wo muss ich auf dem Server 2008 R2 das Netzwerk als vertrauenswürdig hinzufügen?


Gruß Jay
Bitte warten ..
Mitglied: SlainteMhath
13.11.2014 um 11:33 Uhr
Ok, jetzt ist der Zeitpunkt erreicht wo mal eine kleine Skizze des Netzeerks nötig wäre. Wichtifg hier sind alle beteiligten VLANs, IP-Netzwrek, Switche, Clients, Server und Router.

Alles andere ist sonst wildes Gerate.
Bitte warten ..
Mitglied: PabbaJay
13.11.2014 um 14:03 Uhr
Habe die wichtigen Komponenten mal zusammengefasst.

Die Vlans sind untereinander geroutet und können sich aktuell sehen.
Vlan 1,50,201 haben in dieser Konstellation Internetzugriff. Vlan202 soll mit in die Domain,
hat aber aktuell keinen Internetzugriff da der DNS auf den DC eingestellt ist und von diesem scheinbar nicht akzeptiert wird.


198b57903f99890839cf23c54024a1b0 - Klicke auf das Bild, um es zu vergrößern

Gruss Jay
Bitte warten ..
Mitglied: PabbaJay
24.11.2014 um 13:44 Uhr
Hallo,
habe die Firewall auf dem Clienten und dem Server für das Subnetz entsprechend konfiguriert und die Echoanforderung zugelassen.
Trotzdem ist es mit nicht möglich den Server zu pingen, geschweige denn eine Verbindung zur Domain aufzubauen.
Bei versuchter Anmeldung mit einem Domain User bekomme ich die Fehlermeldung "es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar"
Und beim Versuch der Domain beizutreten bekomme ich folgende Fehlermeldung:
6e46b63647f84e4fedba15c90dbd11ba - Klicke auf das Bild, um es zu vergrößern
Bitte um Hilfe.
Bitte warten ..
Mitglied: Chonta
24.11.2014 um 14:13 Uhr
Hallo,

kannst Du von dem Rechner keine IP aus dem Netz des DC erreichen?
Wenn nein, dann können deine VLans untereinander nicht reden.
Wenn ja, dann in den Windowsfirewalleinstellungen des DC dafür sorgen, das das VLAN-Netz vertrauenswürdig ist und die Kommunikation erlaubt ist.

Da nichtmal nslookup funktioniert, gehe ich davon aus das das VLNAN Setum nicht sauber läuft, es sei denn es gelten sonderbare Sicherheitseinstellungen.

Kann der DC seinerseits einen PING auf den Rechner abgeben?
Wenn ja was sagt Tracert? (ggf auch auf dem anderen VLAN-Rechner und pathping ggf auch mal machen, dann weist Du welchen Weg die Rechner nehmen würdenum zum Ziel zu kommen)

Gruß

Chonta
Bitte warten ..
Mitglied: PabbaJay
24.11.2014 um 14:30 Uhr
Hallo,

danke für die rasche Antwort.
ich kann von dem betroffenen Rechner nahezu jede IP im Netzwerk erreichen, nur nicht den Domainserver. Vlan Routing läuft aktiv, dort laufen diverse Geräte schon einige Zeit über das Routing ohne Vorkommnisse.
Vom Server aus kann ich den betreffenden Client problemlos erreichen. Tracert und Pathping von Serverseite laufen über den Router und den Layer 3 Switch zum Client.
Vom Rechner aus dem Vlan laufen Tracert und Pathping nicht zum Server. Andere Server und Geräte lassen sich alle direkt ansprechen, bis hin zu Ordnerfreigaben bei denen ich die Firewall der Rechner im Standard Lan angepasst habe.
Und die Firewall auf dem Server habe ich zur probe auch schon kurzzeitig deaktiviert, ohne Erfolg.
Bitte warten ..
Mitglied: PabbaJay
19.12.2014 um 09:49 Uhr
Hallo Leute,

habe inzwischen eine Lösung für mein Problem gefunden.
Ich habe den DNS Server zusätzlich zur Weiterleitung im Lancom Router, noch als Station eingetragen.
Und Zack, sofort eine Verbindung zur Domain aus dem Vlan möglich.
Vollkommen an der falschen Stelle nach einer Lösung gesucht.
Danke für eure Unterstützung.

Beste Grüße Pabba Jay
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...