Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Domänenanmeldung über IPSec-VPN (Bintec) klappt nicht

Frage Netzwerke

Mitglied: theStorm

theStorm (Level 1) - Jetzt verbinden

04.11.2008, aktualisiert 05.11.2008, 11330 Aufrufe, 9 Kommentare

Problem: Beitritt zur Windows-Domäne nicht möglich.

Fehlermeldungen:
Bei dem Versuch der Domäne "dnstorck.local" beizutreten, trat der folgende Fehler auf: Der Netzwerkpfad wurde nicht gefunden.
oder:
Der Domänenname "dnstorck" ist möglicherweise ein NetBIOS-Domänenname. Sollte dies der Fall sein, stellen Sie sicher, dass der Name bei WINS registriert ist.
Wenn Sie sicher sind, dass es sich nicht um einen NetBIOS-Domänennamen handelt, können folgende Information bei der Fehlersuche in der DNS-Konfiguration behilflich sein:
Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur Suche eines Domänencontrollers für die Domäne "dnstorck" verwendet wird:
Fehler: "Der DNS-Name ist nicht vorhanden."
(Fehlercode 0x0000232B RCODE_NAME_ERROR)
Die Abfrage war für den SRV-Eintrag für _ldap._tcp.dc._msdcs.dnstorck
Die häufigsten Ursachen dieses Fehlers sind:
- Der DNS-SRV-Eintrag wurde nicht in DNS registriert.
- Mindestens eine der folgenden Zonen enthalten keineDelegierung zu dieser untergeordneten Zone:
dnstorck
. (die Stammzone)
Klicken Sie auf "Hilfe", um weitere Informationen über die Fehlerbehebung zu erhalten.

Bei dieser Fehlermeldung hatte ich mit einer etwas anderen Konfiguration, ich weiss jetzt nicht mehr genau wie, auch schon eine angeblich erfolgreiche srv-Eintrags-Auflösung (oder wie man das nennt) in der Fehlermeldung stehen, aber es funktionierte halt trotzdem nicht.

Netzintern (Im Netz der Zentrale wo der Server steht (192.168.100.0/24)) funktioniert die Domänenanmeldung etc. problemlos.




Netzwerk-Struktur:
Client (Win XP Pro SP2)->Bintec R230aw->DSL-Modem->Internet<-DSL-Modem<-Binetc R230aw<-Level-One-Switch<-Server (Win2003SBS)

VPN-Verbindung über IPSec (Site-To-Site) zwischen den beiden Bintec-Routern erfolgreich.

Subnetz der Client-Seite: 192.168.0.0/24

Subnetz der Server-Seite: 192.168.100.0/24



Konfiguration der beiden Router:
Firewall ist aus. Keine Filter - garnichts. kein NAT.
Routing-Tabellen sollten stimmen (Ping auf die IP's geht).



Konfigurationen des Servers:

DNS:
Forward-Lookupzonen: _msdcs.DNSTORCK.local und DNSTORCK.local
Reverse-Lookupzonen: 192.168.100.x

WINS-Server ist aktiv.

aktuelles ipconfig /all des Servers (DomainController, SBS2003):
Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : server
Primäres DNS-Suffix . . . . . . . : DNSTORCK.local
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : DNSTORCK.local

Ethernet-Adapter LAN-Verbindung des Servers:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : VIA Rhine II Fast Ethernet Adapter
Physikalische Adresse . . . . . . : 00-15-F2-30-6A-77
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.100.250
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.100.1
DNS-Server . . . . . . . . . . . : 192.168.100.250
Primärer WINS-Server . . . . . . : 192.168.100.250




Konfiguration des Clients:

TCP-IP:
DNS (standard): Primäre und Verbindungsspezifische DNS-Suffixe anhängen, Adressen dieser Verbindung in DNS registrieren

WINS (standard): LMHOSTS-Abfrage aktivieren, NETBIOS-Einstellung: Standard.
zur Zeit kein WINS-Server eingetragen, aber auch mit 192.168.100.250 als DNS-Server-Eintrag ging es nicht.

lokale Windows-Firewall testweise abgeschaltet.

Unter System->Computername->weitere->Primäres DNS-Suffix des Computers habe ich DNSTORCK.local eingetragen (aber auch schon ohne, nur DNSTORCK probiert - was auch alles nicht half).

Zusätzlich hab ich in der system32\drivers\etc\lmhosts testweise folgende Einträge vorgenommen:
192.168.100.250 server
192.168.100.250 server #PRE #DOM:dnstorck
192.168.100.250 server #PRE #DOM:dnstorck.local

und in der system32\drivers\etc\hosts:
192.168.100.250 server
192.168.100.250 server.dnstorck
192.168.100.250 server.dnstorck.local

aktuelles ipconfig /all eines Clients:
Windows-IP-Konfiguration

Hostname. . . . . . . . . . . . . : laden
Primäres DNS-Suffix . . . . . . . : DNSTORCK.local
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : DNSTORCK.local

Ethernetadapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : NVIDIA nForce 10/100 Mbps Networking
Controller
Physikalische Adresse . . . . . . : 00-21-85-18-CB-0E
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.0.101
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.0.1
DNS-Server. . . . . . . . . . . . : 192.168.100.250




Tests:
Pings vom Client:
ping 192.168.100.250 geht.
ping server geht.
ping dnstorck.local geht.
ping dnstorck geht nicht.


nslookup vom Client:
C:\Dokumente und Einstellungen\Storck>nslookup server
Server: server.dnstorck.local
Address: 192.168.100.250

Name: server.DNSTORCK.local
Address: 192.168.100.250


Pings vom Server:
ping 192.168.0.101 geht.
ping laden geht nicht
ping laden.dnstorck.local geht nicht.
(als ich im DNS-Server einen Eintrag für laden manuell angelegt hatte, konnte ich den Namen anpingen, aber ich weiss halt nicht ob das zwingend notwendig ist - die Domänen-Anmeldung ( bzw. der Beitritt) ging halt tortzdem nicht)


Fazit:
Ich habe diverse Kombinationen der TCP-Einstellungen am Client probiert (speziell was DNS angeht), aber es will einfach nicht funktionieren.

Ein ping server -l 2048 (hatte gelesen, das MTU manchmal ein problem macht) geht problemlos durch.

Habe absolut keine Idee mehr. Verstehe allerdings auch dieses Domänen-Angaben-Zeugs mit dem .local usw. nicht so ganz. Aber eigentlich sagt man dem Client, soweit ich das verstanden habe, mit den Suffixen ja nur wo er suchen soll wenn ich ping server eingebe (also z.b. server.local wenn ich local als suffix mit angegeben habe usw.), oder? Bei diesem Suffix-Kram bin ich mir etwas unsicher wie eine richtige Konfiguration aussehen muss - zudem ja auch unterschiedliche Fehlermeldungen kommen wenn ich ein Beitritt mit dnstorck bzw. dnstorck.local versuche.
(Bei dnstorck.local fragt er mich übrigens nach sehr kurzer Zeit nach Username und Passwort) - erst danach kommt die Fehlermeldung wie oben angegeben, bei dnstorck dauert es relativ lange bis die andere, oben genannte Fehlermeldung kommt)

Ich verstehe nicht, wieso ich dnstorck ohne .local nicht anpingen kann. Das müsste doch normalerweise gehen, oder?

Hat noch jemand eine Idee woran es liegen kann, oder kann mir jemand sagen wie die Einstellungen am Client (und evtl. auch am Server) ganz genau auszusehen haben bei einer 100% richtigen Konfiguration (ohne LMHOSTS oder HOSTS-Einträgen)? Wäre super, super Dankbar für jeden brauchbaren Tipp! Bin echt am verzweifeln.

Grüße
Andi

PS: Beim Zugriff auf eine Freigabe mittels \\192.168.100.250\Freigabename bekomme ich keinen Zugriff (Zugriff verweigert). Vielleicht hängt es damit igendwie zusammen!?

PS2: Bei net view \\192.168.100.250 sagt er nach einiger zeit netzwerkpfad nicht gefunden. irgendwas grundliegendes ist da faul, aber WAS!????

PS3: Pings mit 9000 bytes oder mehr gehen beim ersten versuch meistens nicht durch und auch später verlierter da ab und an ein paket. kann es damit was zutun haben, oder ist das normal?
Mitglied: aqui
05.11.2008 um 17:25 Uhr
Mit dem Netzwerk als solchem hat das nichts zu tun, denn das kannst du an der Erreichbarkeit der Pings usw. sehen. Die IP Connectivity ist also voll da.
Das ist vermutlich ein reines Windows Konfigurationsproblem. Das Zugriff verweigert zeigt die auch, denn das tauch nur auf wenn der Username und das passwort nicht stimmen.
Also vermutlich eher was für die Rubrik Windows -> Netzwerke ?!
Bitte warten ..
Mitglied: theStorm
05.11.2008 um 18:37 Uhr
danke erstmal für die antwort.

das es ein windows-problem ist, glaube ich so nicht so ganz, denn warum sagt er dann bei net view netzwerkpfad nicht gefunden?

zudem beschäftige ich mich nun schon seit vielen jahren mit der windows-welt und zugriff verweigert ergibt keinen sinn, auch dauert es viel zu lange bis er mich nach benutzername und passwort fragt. (ca. 22 sekunden).

quasi ein beweis dafür, das es nicht an windows liegt, habe ich jetzt auch entdeckt.
vor etwa einer stunde habe ich entdeckt, das dieser beschissene - sorry, aber die teile gehen mir mittlerweile echt auf den sack - bintecrouter TROTZ deaktivierter Firewall einfach pakete blockt.

11 2008-11-05 18:31:16 Informationen INET refuse from if 100001 prot 17 192.168.0.101:137->192.168.100.250:137 (RI 1 FI 1)

und ich verstehe beim besten willen nicht wieso er das macht - und die hotline von denen scheint mit ca. einem mann besetzt zu sein, habe ich das gefühl. hoffentlich meldet der sich morgen.
Bitte warten ..
Mitglied: aqui
05.11.2008 um 19:25 Uhr
Wenn du bei " net view netzwerkpfad nicht gefunden?" beide beteiligten Endgeräten untereinander pingen kannst kann es de facto nicht mit dem Netz zu tun haben.
Router arbeiten maximal auf dem OSI Layer 3, sehen also maximal auf die IP Adresse aber nicht was dadrüber im Paket ist.

Es kann aus diesem Grund also niemals mit dem Netz selber zu tun haben wenn ein Ping, Traceroute (tracert bei Winblows) oder pathping sauber durchgeht zum Ziel !
Bitte warten ..
Mitglied: 51705
05.11.2008 um 19:29 Uhr
Zitat von theStorm:
11 2008-11-05 18:31:16 Informationen INET refuse from if 100001 prot 17 192.168.0.101:137-192.168.100.250:137 (RI 1 FI 1)

Du magst die SIF (Stateful Inspection Firewall) deaktiviert haben, aber die Portfilter nicht (RI 1 FI 1). Standardmässig werden Netbios-(Broadcast)-Pakete durch den Portfilter blockiert.

Mein Tipp, SIF richtig konfigurieren, und die Portfilter löschen.

Grüße, Steffen
Bitte warten ..
Mitglied: theStorm
05.11.2008 um 21:55 Uhr
@aqui: die pakete gehen aber eben gerade nicht sauber durch, trotz funktionierendem ping, das schrieb ich ja gerade. ausserdem, generell, auch wenn ein ping mal funktioniert, heisst das nicht zwingend dass das netzwerk generell vollständig richtig funktioniert - leider.

@51705: das trifft es vermutlich genau auf den punkt, aber wo zur hölle finde ich diese portfilter? als "bintec-frischling" arbeite ich zunächst hauptsächlich mit der weboberfläche, und da finde ich sowas wie portfilter nirgends - oder ich bin zu doof oder blind. wäre super, wenn du da noch einen hinweis hättest!!
Bitte warten ..
Mitglied: 51705
05.11.2008 um 22:06 Uhr
Hallo Andreas,

Web-Gui - keine Ahnung, mach ein telnet oder ssh, setup -> Security -> Filter -> lösche alles.

[SECURITY][ACCESS]: IP Access Lists ...
Bitte warten ..
Mitglied: theStorm
05.11.2008 um 22:16 Uhr
@51705:

TAUUUUUUUSEND DANK!!!!!!!!!!!!!!!!!!!!

es geht - die zwei netbios-filter gelöscht und alles funktioniert sofort. du weisst nicht wie glücklich du mich gemacht hast und wie sehr du mir geholfen hast. wirklich. vielen vielen dank. ich suchte seit 3 tagen nach dem problem.....

ich frage mich, wieso die bintec-leute sowas nicht in die weboberfläche einbauen oder zumindest einen hinweis irgendwo hinschreiben "webfilter nur über ssh etc. konfigurierbar".



wie auch immer, somit ist der fall gelöst!

danke!!!! *freufreufreu*
Bitte warten ..
Mitglied: 51705
05.11.2008 um 22:31 Uhr
Wünsche eine angenehme Nachtruhe

Grüße, Steffen
Bitte warten ..
Mitglied: theStorm
05.11.2008 um 22:49 Uhr
Danke - allerdings geht die eigentliche Arbeit ja jetzt erst richtig los...

Dir aber auch eine angenehme Nachtruhe.

Grüße
Andi
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...