Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Deidziertes Subnetz anbinden an AD

Frage Microsoft Windows Netzwerk

Mitglied: SteveNow

SteveNow (Level 1) - Jetzt verbinden

21.05.2013 um 14:38 Uhr, 1645 Aufrufe, 2 Kommentare

Hallo zusammen,

ich möchte folgendes Realisieren:

Ein Subnetz in dem sich 2 Clients befinden vom Produktivnetz via Firewall abschotten. Das Deidzierte Netz soll keinen eigenen DNS Server erhalten.
Die Clients im Dedizierten Netz sollen sich nur am AD anmelden können und über eine Firmeneigene Software mit einem Server kommunizieren können.


Ist Zustand:
1 Netz: 192.168.1/24
1 Gateway in wan / dmz (route auf 192.168.2/24 eingetragen)
2x DC 2008R2 mit DNS, DHCP,


Bisherige Maßnahmen:
1x Cisco RV042 als Router mit Firewall
1x IP Range hinter der Firewall 192.168.2/24
Clients: 192.168.2.101 feste IP, DNS vom Produktivnetz eingetragen, Firewall als Gateway eingetragen
Firewall regeln auf Allow Any from Any to Any (bisher).

Reverse Lookupzone für ...2/24 Netz eingerichtet, A-Records für die Clients mit IP Hinterlegt.
Clients in der Forwardlookupzone statisch eingetragen, A-Record mit IP des Client.

Test:
Ping von .1.x auf .2.x geht und anderst herum auch.
nslookup der .2 Clients geht, vom .2 Netz gehts auch in .1 Netz
Tracert auch einwandfrei.


Nun zur Problematik:
Ordnerfreigabe funktioniert nicht
AD-Anmeldung funktioniert nicht
AD Beitreten vom .2 Netz aus geht nicht, "Der angegebene Netzwerkname ist nicht mehr verfügbar"
(bevor ich die Records angelegt habe war die Meldung “ Der angegebene Netzwerkname wurde nicht gefunden.“

Woran kann das liegen?
Da die Namen aufgelöst werden können und die Firewall (momentan) alles durchlässt bin ich echt überfragt.
Mitglied: aqui
21.05.2013, aktualisiert um 15:10 Uhr
.. ."1 Gateway in wan / dmz (route auf 192.168.2/24 eingetragen)"
Das ist Unsinn, denn das Gateway befindet sich ja fest in deinen beiden IP Netzen !! Es kennt also beide IP Netze, deshalb ist eine statische Route hier vollkommen überflüssig.
Einen Breitband DSL Router kannst du nicht (oder nur bedingt) verwenden, den dort lassen sich oft nicht die Gateway Funktionen abschalten, sprich das NAT.
Damit kannst du dann aber nicht transparent routen sondern hast nur eine Einbahnstrasse.
Du kannst einzig und allein nur von den Clients in Richtung Produktivnetz routen niemals andersrum, denn das verhindert die NAT Firewall des Routers.
Wenn geht also nur folgendes Szenario:
(Clients, 192.168.2.0 /24)----LANPort-Router-WanPort---(Produktivnetz 192.168.1.0 /24)--Server

Die Reverselookupzone ist also Unsinn in so einem NAT Szenario, denn der DNS oder AD "sehen" die .2.0er Clients gar nicht unter deren IP und kennen folglich dieses Netz auch gar nicht. (OK, nur wenn du die NAT Funktion des Routers NICHT abschalten kannst !)
Das komplette 2.0er IP Netz wird ja im Router umgesetzt auf eine .1.0er Produktiv IP. folglich tauchen diese Clients niemals im Produktivnetz mit .2.0er IPs auf.
Ausnahme ist nur wenn du wirklich im Cisco die Gateway Funktion abschalten kannst und transparent routen kannst.
Diese Tutorials beschreiben das Problem und die Lösung:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
http://www.administrator.de/wissen/mit-einem-wlan-zwei-ip-netzwerke-ver ... (WAN Port Settings, gilt auch für Draht)
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ... (Alternative 2 DMZ)
Bitte warten ..
Mitglied: SteveNow
21.05.2013, aktualisiert um 15:16 Uhr
Hi,

Vielen Dank mal soweit!
Die Tutorials werde ich mir gleich anschauen!
Im Cisco kann man den Modi von Gateway (NAT) auf Router umschalten, damit ist transparentes Routing möglich.

(Clients, 192.168.2.0 /24)----LANPort-Router-WanPort---(Produktivnetz 192.168.1.0 /24)--Server
exakt.

Die statisch hinterlegte Route halte ich nicht für Überflüssig.
Die .1 clients kennen das .2 netz nicht, schicken die Pakete also an ihr Gateway, und dieses wiederum an die Firewall.. Ohne diese Route landen die Pakete im WAN oder werden verworfen..
Das sieht man beim Tracert auch ganz gut:
1: Produktiv-Netz Gateway
2: Cisco RV042
3: Client im .2 Netz
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
AD Replikation zwischen untergeordneten Domäne zwingend? (1)

Frage von Gien-app zum Thema Windows Server ...

Windows Server
AD DC Failover zeitintensiv und DHCP repliziert nicht (5)

Frage von JiggyLee zum Thema Windows Server ...

Windows Userverwaltung
AD Gruppe der Domänen-Admins überwachen (5)

Frage von ThorstenRay zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...