45455
Jun 28, 2010
5584
6
0
Client in zwei Netzwerken (per VPN verbunden) findet Server nicht
Hallo,
folgene Konfiguration habe ich gerade soweit störungsfrei laufen:
Eine Hauptstelle ist mit W2K3-AD-Server vollständig aufgebaut. Etwa 25 Clients XP.
Server stellt DHCP und DNS.
IP-Adressraum x.x.1.0
Eine Zweigstelle ist per VPN angebunden, dort ist aber wegen der lediglich 2 Clients per lmhosts-Datei eine Namensauflösung der Geräte gewährleistet
Die Clients dort sind der Einfachheit halber lediglich in einer Arbeitsgruppe, die denselben Namen hat wie die Domäne an der Hauptstelle und verwenden lokale Accounts, die bestehenden Accounts in der Hauptstelle entsprechen.
Der Router stellt DHCP und DNS
IP-Adressraum x.x.2.0
Die Verbindung stellen zwei Draytek-Router 2950 als ständige Lan2Lan-Verbindung (diese bieten auch von ausserhalb eine VPN-Einwahl, die problemlos funktioniert).
Soweit funktioniert das eigentlich gut. Server wie Clients sind gegenseitig sichtbar, pingbar, als Admin kann ich durch das VPN auch verwalten (Verwaltungskonsole, serverseitig sind die Clients unter Sitzungen sichtbar).
Nun fällt ein Laptop aus der Reihe. Dieser wechselt desöfteren zwischen Hauptstelle und Zweigstelle.
In der Hauptstelle ist er Teil der Domäne und hält die Userdateien (Eigene Dateien) als Offline-Dateien, um zu gewährleisten, dass weiterhin in der Hauptstelle mit diesem Account die Anmeldung an jedem Rechner möglich ist, ohne dass dazu ständig Profile kopiert werden müssen (Die festen Clients nutzen Roaming-Profile, die beim Abmelden gelöscht werden, nur auf den Laptops bleiben die Profile stehen).
Kommt dieser Laptop nun in die Zweigstelle, kann er sich dort prima verbinden, doch die Verbindung durch das VPN findet er nicht.
Lässt man die Offline-Dateien synchronsieren, kommt zunächst ein Anmeldedialog, dann die Fehlermeldung: Kann nicht verbinden, da die Verbindung mit diesen Anmeldeinformationen bereits versucht wurde.
Baut man mit dem Laptop nun aber eine eigenständige VPN-Verbindung auf, als wäre man völlig ausserhalb der beiden Netze, kann man synchronisieren und das Hauptstellennetzwerk wie auch das lokale Netz der Zweigstelle ist voll erreichbar.
Wo läuft da was falsch?
Ist womöglich durch den wechselnden Laptop ein grundsätzliches Problem erst aufgefallen?
Mit VPN hab ich leider noch nicht so viele Erfahrungen.
Gruß
Kai
folgene Konfiguration habe ich gerade soweit störungsfrei laufen:
Eine Hauptstelle ist mit W2K3-AD-Server vollständig aufgebaut. Etwa 25 Clients XP.
Server stellt DHCP und DNS.
IP-Adressraum x.x.1.0
Eine Zweigstelle ist per VPN angebunden, dort ist aber wegen der lediglich 2 Clients per lmhosts-Datei eine Namensauflösung der Geräte gewährleistet
Die Clients dort sind der Einfachheit halber lediglich in einer Arbeitsgruppe, die denselben Namen hat wie die Domäne an der Hauptstelle und verwenden lokale Accounts, die bestehenden Accounts in der Hauptstelle entsprechen.
Der Router stellt DHCP und DNS
IP-Adressraum x.x.2.0
Die Verbindung stellen zwei Draytek-Router 2950 als ständige Lan2Lan-Verbindung (diese bieten auch von ausserhalb eine VPN-Einwahl, die problemlos funktioniert).
Soweit funktioniert das eigentlich gut. Server wie Clients sind gegenseitig sichtbar, pingbar, als Admin kann ich durch das VPN auch verwalten (Verwaltungskonsole, serverseitig sind die Clients unter Sitzungen sichtbar).
Nun fällt ein Laptop aus der Reihe. Dieser wechselt desöfteren zwischen Hauptstelle und Zweigstelle.
In der Hauptstelle ist er Teil der Domäne und hält die Userdateien (Eigene Dateien) als Offline-Dateien, um zu gewährleisten, dass weiterhin in der Hauptstelle mit diesem Account die Anmeldung an jedem Rechner möglich ist, ohne dass dazu ständig Profile kopiert werden müssen (Die festen Clients nutzen Roaming-Profile, die beim Abmelden gelöscht werden, nur auf den Laptops bleiben die Profile stehen).
Kommt dieser Laptop nun in die Zweigstelle, kann er sich dort prima verbinden, doch die Verbindung durch das VPN findet er nicht.
Lässt man die Offline-Dateien synchronsieren, kommt zunächst ein Anmeldedialog, dann die Fehlermeldung: Kann nicht verbinden, da die Verbindung mit diesen Anmeldeinformationen bereits versucht wurde.
Baut man mit dem Laptop nun aber eine eigenständige VPN-Verbindung auf, als wäre man völlig ausserhalb der beiden Netze, kann man synchronisieren und das Hauptstellennetzwerk wie auch das lokale Netz der Zweigstelle ist voll erreichbar.
Wo läuft da was falsch?
Ist womöglich durch den wechselnden Laptop ein grundsätzliches Problem erst aufgefallen?
Mit VPN hab ich leider noch nicht so viele Erfahrungen.
Gruß
Kai
Please also mark the comments that contributed to the solution of the article
Content-Key: 145760
Url: https://administrator.de/contentid/145760
Printed on: April 17, 2024 at 19:04 o'clock
6 Comments
Latest comment
Mit Draytek Routern kenne ich mich nicht so aus.
Aber nicht jeder Router / Firewall kann Site2Site VPN mit NETBIOS.
Steht am Remotestandort auch ein Domaincontroller? Ansonsten kann es sein dass du eben ein Authentifizierungsproblem hast.
Auf welchem Server werden die Offline-Dateien gespeichert, ist das ein DC?
Aber nicht jeder Router / Firewall kann Site2Site VPN mit NETBIOS.
Steht am Remotestandort auch ein Domaincontroller? Ansonsten kann es sein dass du eben ein Authentifizierungsproblem hast.
Auf welchem Server werden die Offline-Dateien gespeichert, ist das ein DC?
Pingen tust du schon immer den DNS namen.
Wenn du dich mit VPN einwählst, funktioniert dass ein bisschen anders als Site to Site VPN.
Wenn sich der VPN Client einwählt erstellt er ja ein virtuelles Netzwerkinterface. Dort ist dann meistens auch der domain-suffix eingetragen.
Wenn du jetzt PING Client1 ausführst, so löst er erst den DNS-Namen Client1.domain.local auf in eine IP Adresse.
Habe ich das so richtig verstanden?
--
2 Standorte, verbunden mit Site2Site VPN zwischen Draytek routern. Authentifizierung funktioniert nicht.
VPN - Einwahl mit Client - Authentifizierung funktioniert.
---
Welchen DNS Server hat der Client zugewiesen wenn er keine VPN-Einwahlverbindung aufgebaut hat.
Was genau hast du in der lmhosts eingetragen?
Wenn wirklich eine ordentliche VPN site2site verbindung zwischen den 2 standorten besteht, kannst du auf den clients im remotestandort die IP des DNS Servers im Hauptstandort eingeben.
Desweiteren kannst du bei einer ordentlichen VPN site2site verbindung mit den clients am remotestandort ganz normal der domäne beitreten.
Damit er diese findet MUSST du aber den DNS Server von deinem Hauptstandort angeben.
Server Hauptstandort: 10.0.1.1 / 255.255.0.0
Client (Remote) IP : 10.0.2.1 / 255.255.0.0
Client (Remote) DNS: 10.0.1.1
Und teste bitte unbedingt folgendes:
Bei der authentifizierung hast du bisher bestimmt domain\username als benutzername verwendet.
Nachdem bei dir die Workgroup genauso heisst wie die domain am remotestandort kann es sein dass der client was durcheinander bringt.
Versuche dich mit domain.LOCAL\username zu authentifizieren.
Wenn du dich mit VPN einwählst, funktioniert dass ein bisschen anders als Site to Site VPN.
Wenn sich der VPN Client einwählt erstellt er ja ein virtuelles Netzwerkinterface. Dort ist dann meistens auch der domain-suffix eingetragen.
Wenn du jetzt PING Client1 ausführst, so löst er erst den DNS-Namen Client1.domain.local auf in eine IP Adresse.
Habe ich das so richtig verstanden?
--
2 Standorte, verbunden mit Site2Site VPN zwischen Draytek routern. Authentifizierung funktioniert nicht.
VPN - Einwahl mit Client - Authentifizierung funktioniert.
---
Welchen DNS Server hat der Client zugewiesen wenn er keine VPN-Einwahlverbindung aufgebaut hat.
Was genau hast du in der lmhosts eingetragen?
Wenn wirklich eine ordentliche VPN site2site verbindung zwischen den 2 standorten besteht, kannst du auf den clients im remotestandort die IP des DNS Servers im Hauptstandort eingeben.
Desweiteren kannst du bei einer ordentlichen VPN site2site verbindung mit den clients am remotestandort ganz normal der domäne beitreten.
Damit er diese findet MUSST du aber den DNS Server von deinem Hauptstandort angeben.
Server Hauptstandort: 10.0.1.1 / 255.255.0.0
Client (Remote) IP : 10.0.2.1 / 255.255.0.0
Client (Remote) DNS: 10.0.1.1
Und teste bitte unbedingt folgendes:
Bei der authentifizierung hast du bisher bestimmt domain\username als benutzername verwendet.
Nachdem bei dir die Workgroup genauso heisst wie die domain am remotestandort kann es sein dass der client was durcheinander bringt.
Versuche dich mit domain.LOCAL\username zu authentifizieren.