Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Deidziertes Subnetz anbinden an AD

Frage Microsoft Windows Netzwerk

Mitglied: SteveNow

SteveNow (Level 1) - Jetzt verbinden

21.05.2013 um 14:38 Uhr, 1663 Aufrufe, 2 Kommentare

Hallo zusammen,

ich möchte folgendes Realisieren:

Ein Subnetz in dem sich 2 Clients befinden vom Produktivnetz via Firewall abschotten. Das Deidzierte Netz soll keinen eigenen DNS Server erhalten.
Die Clients im Dedizierten Netz sollen sich nur am AD anmelden können und über eine Firmeneigene Software mit einem Server kommunizieren können.


Ist Zustand:
1 Netz: 192.168.1/24
1 Gateway in wan / dmz (route auf 192.168.2/24 eingetragen)
2x DC 2008R2 mit DNS, DHCP,


Bisherige Maßnahmen:
1x Cisco RV042 als Router mit Firewall
1x IP Range hinter der Firewall 192.168.2/24
Clients: 192.168.2.101 feste IP, DNS vom Produktivnetz eingetragen, Firewall als Gateway eingetragen
Firewall regeln auf Allow Any from Any to Any (bisher).

Reverse Lookupzone für ...2/24 Netz eingerichtet, A-Records für die Clients mit IP Hinterlegt.
Clients in der Forwardlookupzone statisch eingetragen, A-Record mit IP des Client.

Test:
Ping von .1.x auf .2.x geht und anderst herum auch.
nslookup der .2 Clients geht, vom .2 Netz gehts auch in .1 Netz
Tracert auch einwandfrei.


Nun zur Problematik:
Ordnerfreigabe funktioniert nicht
AD-Anmeldung funktioniert nicht
AD Beitreten vom .2 Netz aus geht nicht, "Der angegebene Netzwerkname ist nicht mehr verfügbar"
(bevor ich die Records angelegt habe war die Meldung “ Der angegebene Netzwerkname wurde nicht gefunden.“

Woran kann das liegen?
Da die Namen aufgelöst werden können und die Firewall (momentan) alles durchlässt bin ich echt überfragt.
Mitglied: aqui
21.05.2013, aktualisiert um 15:10 Uhr
.. ."1 Gateway in wan / dmz (route auf 192.168.2/24 eingetragen)"
Das ist Unsinn, denn das Gateway befindet sich ja fest in deinen beiden IP Netzen !! Es kennt also beide IP Netze, deshalb ist eine statische Route hier vollkommen überflüssig.
Einen Breitband DSL Router kannst du nicht (oder nur bedingt) verwenden, den dort lassen sich oft nicht die Gateway Funktionen abschalten, sprich das NAT.
Damit kannst du dann aber nicht transparent routen sondern hast nur eine Einbahnstrasse.
Du kannst einzig und allein nur von den Clients in Richtung Produktivnetz routen niemals andersrum, denn das verhindert die NAT Firewall des Routers.
Wenn geht also nur folgendes Szenario:
(Clients, 192.168.2.0 /24)----LANPort-Router-WanPort---(Produktivnetz 192.168.1.0 /24)--Server

Die Reverselookupzone ist also Unsinn in so einem NAT Szenario, denn der DNS oder AD "sehen" die .2.0er Clients gar nicht unter deren IP und kennen folglich dieses Netz auch gar nicht. (OK, nur wenn du die NAT Funktion des Routers NICHT abschalten kannst !)
Das komplette 2.0er IP Netz wird ja im Router umgesetzt auf eine .1.0er Produktiv IP. folglich tauchen diese Clients niemals im Produktivnetz mit .2.0er IPs auf.
Ausnahme ist nur wenn du wirklich im Cisco die Gateway Funktion abschalten kannst und transparent routen kannst.
Diese Tutorials beschreiben das Problem und die Lösung:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
http://www.administrator.de/wissen/mit-einem-wlan-zwei-ip-netzwerke-ver ... (WAN Port Settings, gilt auch für Draht)
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ... (Alternative 2 DMZ)
Bitte warten ..
Mitglied: SteveNow
21.05.2013, aktualisiert um 15:16 Uhr
Hi,

Vielen Dank mal soweit!
Die Tutorials werde ich mir gleich anschauen!
Im Cisco kann man den Modi von Gateway (NAT) auf Router umschalten, damit ist transparentes Routing möglich.

(Clients, 192.168.2.0 /24)----LANPort-Router-WanPort---(Produktivnetz 192.168.1.0 /24)--Server
exakt.

Die statisch hinterlegte Route halte ich nicht für Überflüssig.
Die .1 clients kennen das .2 netz nicht, schicken die Pakete also an ihr Gateway, und dieses wiederum an die Firewall.. Ohne diese Route landen die Pakete im WAN oder werden verworfen..
Das sieht man beim Tracert auch ganz gut:
1: Produktiv-Netz Gateway
2: Cisco RV042
3: Client im .2 Netz
Bitte warten ..
Ähnliche Inhalte
Windows Server
AD Überwachung nach unterschiedlichen Ereignissen (3)

Frage von WinLiCLI zum Thema Windows Server ...

Windows Server
Fehler Vertrauensstellung im AD (17)

Frage von thomas-99 zum Thema Windows Server ...

Grafikkarten & Monitore
4Monitore über Glasfaser anbinden. Systeme (8)

Frage von blade999 zum Thema Grafikkarten & Monitore ...

Samba
Samba AD V 4.3.11-Ubuntu (Frage zu Best-Practice) (6)

Frage von Belephor zum Thema Samba ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(2)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Statische Routen mit ISC-DHCP Server für Android Devices (22)

Frage von terminator zum Thema LAN, WAN, Wireless ...

Server
gelöst Wie erkennen, dass nur deutsche IPs Zugang zu einer Website haben? (22)

Frage von Coreknabe zum Thema Server ...

Exchange Server
gelöst Migration Exchange 2007 zu 2013 - Public Folder teilweise weg (16)

Frage von Andy1987 zum Thema Exchange Server ...

Outlook & Mail
Outlook 2010 mit Exchange 2016 (15)

Frage von slansky zum Thema Outlook & Mail ...