Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Frage zu MPLS Netz und Active Directory

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Eddi-Johnson

Eddi-Johnson (Level 1) - Jetzt verbinden

26.05.2009, aktualisiert 09:43 Uhr, 5579 Aufrufe, 6 Kommentare

Hallo zusammen,

ich habe ein Problem mit unserem MPLS Netz.
Aber vorher ist es an der Zeit mich kurz Vorzustellen. Ich bin Fachinformatiker und arbeite zur Zeit in der EDV-Abteilung eines mittelständigen Unternehmens, welches sich mit der Arbeitnehmerüberlassung befasst.
In unserer Hauptverwaltung haben wir ca. 30 Clients. Jedoch kommen deutschlandweit noch ca. 150 in unseren Niederlassungen dazu.

Zur Zeit sieht unser Netz wie folgt aus:
Die Clients in unserer Hauptverwaltung sind alle intern vernetzt und werden über ein Active Directory verwaltet. Hier haben wir das 192.168.2.0 Netz. Der Server ist die 10 und unsere Astaro Firewall die 1. Da wir jedoch alle Niederlassungen mit im AD verwalten möchten, haben wir ein MPLS Netz aufbauen lassen. Das bedeutet unsere Hauptverwaltung hat eine 16MBit Glasfaserleitung für die Anbindung der Niederlassungen bekommen und eine 4MBit ADSL Leitung für das Internet.
Hinter der 16MBit Leitung (von Arcor) sitzt ein virtueller Router. Hinter jeder Leitung der Niederlassungen auch. Die Niederlassungen haben alle unterschiedliche Netze (z.B. 192.168.140.0). Der virtuelle Router hat in der Hauptverwaltung die .2 und in den Niederlassungen immer die .1. Das Internet der Niederlassungen soll auch über uns laufen.

Ich habe mal eine kleine Skizze angefügt damit es besser verständlich ist.
6cd46540a6b0999f39e89d0badc907d8-administrator - Klicke auf das Bild, um es zu vergrößern

Jetzt zu meinem Problem:
Ich bekomme die Clients aus den Niederlassungen nicht in unsere AD gehoben, da er den Server nicht findet. Anpingen über IP können wir jedoch. Denke mal das es an den TCP/IP Einstellungen aus den Niederlassungen liegt. Oder könnte es sein das ich noch was an unserem Server (Windows Server 2008) konfigurieren muss, damit auch andere Netze als die Hauptverwaltung akzeptiert werden? Wie muss das Standart Gateway bzw der DNS Server Eintrag in den Niederlassungen aussehen?
Von Arcor sagte man uns das unser Gateway immer die IP des Virtuellen Routers sein muss. Als DNS Server habe ich schon sämtliche Varianten durch (Firewall, Router, Server).
Ich denke das es ein DNS Problem ist. Wie gesagt, anpingen des Servers über IP aus einer Niederlassung geht ohne Probleme. Jedoch über den Namen nicht.

Ich hoffe das ich alle benötigten Infos zusammengefasst habe. Wenn was fehlt, kurz bescheid geben.

Lieben Gruß aus Köln und schonmal vielen Dank
Mitglied: aqui
26.05.2009 um 09:50 Uhr
Wenn du alle Clients in den Niederlassungen anpingen kannst, dann kann es ja logischerweise nicht am Netzwerk liegen, denn sonst wäre das ja schon gar nicht möglich !!

Fazit: Am Netzwerk kann es also nicht liegen !!

Das Routing ist für die Niederlassungen recht einfach, denn dort zeigt das Default Gateway immer auf den Niederlassungsrouter, denn es gibt ja laut deiner zeichnung dort nur einen.

In der Hauptverwaltung ist es nicht ganz so einfach und es stellt sich die Frage WIE das Routing dort aufgesetzt ist.
Leider teilst du uns das ja vermutlich aus Unwissenheit nicht mit so das eine qualifizierte Antwort unmöglich ist.
Auch die Frage ob die Firewall zum Internet durch euch gemanaged wird oder extern ???
Fangen wir deshalb mal etwas an zu raten...
Es gibt 2 Möglichkeiten:

1.) Es ist ein dynamisches Routing Protokoll aktiviert !
Da muss dann aber die Firewall mit integriert sein minimum muss sie aber ALLE statischen Routen in die Niederlassungen haben sollte sie default Gateway sein.

2.) Es wird statisch geroutet

Generell ist es möglich entweder die .2.1 oder die .2.2 als Standardgateway einzutragen dabei muss folgendes beachtet werden:

a.) .2.2 ist Standardgateway:
Dieser Router benötigt dann lediglich eine Default Route auf die Firewall mit der .2.1
D.h. alle Pakete werden dann generell auf die .2.2 (Arcor Router) geschickt und der sendet alles was er nicht kennt an Netzen dann an die .2.1 das Internet Gateway. Alles was er kennt sendet er an die Zweigstellen.

Nachteil dieser Lösung:
Das Standard Gateway der gesamten Hauptverwaltung liegt auf einem System was du nicht selber verwalten kannst !!!
Kein verantwortungsvoller Netzwerk Admin macht so etwas, denn sollte es Probleme geben bist du in hohem Maße von einer Hotline und dem Wohlwollen eines externen Dienstleisters abhängig.
Also Unsinn und gleich vergessen.... !!!

b.) .2.1 (Firewall) ist Standardgateway
Sofern die Firewall von euch verwaltet wird ist das die einzig gangbare Lösung da so alles IP verwaltungstechnisch in deiner eigenen Hand liegt.
Die Firewall muss dann allerdings alle statischen Routen zu den Zweigstellen ala

ip route 192.168.140.0 255.255.255.0 gateway 192.168.2.2
ip route 192.168.150.0 255.255.255.0 gateway 192.168.2.2


usw. usw.
eingetragen haben, da diese Pakete ja an den zeigstellenrouter (Arcor) geschickt werden müssen...logisch !
Sofern alle eure Zweigstellen 192.168er Netze haben kann man auch eine einzige Summary Route auf der FW angeben:

ip route 192.168.0.0 255.255.0.0 gateway 192.168.2.2

Was die Sache dann vereinfacht.

So nun kannst du dir ausrechnen wo man am sinnvollsten das Standardgateway des Servers einstellt. Durch deine oberflächliche Beschreibung der Topologie muss man leider mutmaßen was konfiguriert sein könnte..

Wenn du aber vom Server alle Zweigstellenclients pingen kannst hat dein Problem mit dem Netzwerk an sich schon mal rein gar nichts mehr zu tun und ist dann hier eher was für die Rubrik "Windows" !!
Bitte warten ..
Mitglied: Steffen-Bernd
26.05.2009 um 10:40 Uhr
Hallo, ich bin ein Kollege von Eddi-Johnson.

Das Problem liegt wohl doch nicht an der DNS Eintragung.
Ich habe die Server IP + den Server Namen in die Hosts Datei eingetragen und ich kann den Server nun auch über den Namen anpingen.

Die Virtuellen Router der Niederlassungen Routen laut Aussage von Arcor alles durch.
Sobald eine Route unklar ist, wird diese automatisch auf unsere Firewall (192.168.2.1) verwiesen.

Dennoch bekomme ich die Fehlermeldung: Es konnte keien Verbindung mit einem Domänecontroller für die Domäne "xxx" hergestellt werden.

Weis einer ob man noch irgendwo Manuell eine Einstellung machen kann, dass der PC den Domänecontroler mit einer bestimmten IP sucht? Weil wie schon oben gepostet wurde, können wir die Adresse ohne Probleme anpingen.

Die komplette Problematik kann meiner Meinung nach auch nicht an der Firewall liegen, da das MPLS Netz nicht über die Firewall in unser Netzwerk geht.

Muss man auf dem DC vieleicht noch eine zusätzliche Route oder so eintragen? Ich kann im Moment ohne Probleme den Router, sowie den PC einer Niederlassunge anpingen. An einem Timeout kann es auch nicht liegen, da die Pingzeiten ca. 6ms sind.


p.s. in unserer Firewall sind Routen zu den einzelnen Niederlassungen gesetzt (ja WIR verwalten die Firewall).
Bitte warten ..
Mitglied: aqui
26.05.2009 um 11:35 Uhr
Nein, zusätzliche Routen wären völliger Unsinn, denn ihr habt ja nur ein Netzwerk in der Hauptniederlassung und der Server zeigt dann logischerweise mit seinem Standardgateway auch auf die Firewall und die weiss ja wo alle Netze sind durch deren Routen.
Wichtig ist nur hier das du in den erweiterten Eigenschaften der Server Firewall unter ICMP den Haken setzt bei
"Umleitungen zulassen "
Damit der Server ICMP redirect Pakete von den Routern bzw. Firewall versteht, sonst müssten Pakete in die Niederlassungen immer über die Firewall gehen was nicht sein muss da FW und Router in einem Netz sind.
Das ist aber eher ne' Performance Geschichte und hat mit deinem eigentlichen Problem nichts zu tun !!
Wichtig ist natürlich das du die Server Firewall auch noch customized und sicherstellst das sie Verbindungen von Fremdnetzen wie den Niederlassungsnetzen zulässt !!!
Normalerweise blockt die lokale Firewall Zugriffe aus nicht lokalen IP Netzen !!!

Ein Netzwerk Problem ist es ja de facto auch nicht wenn du von den Niederlassungsclients den Server pingen kannst !
Dadurch ist ja die vollständige TCP/IP Connectivity gegeben, der Rest ist also nur noch eine Anwendungssache.

Du kannst den Server mit Domäne statisch bei den Clients in der Datei lmhosts angeben !! Sieh dir einfach die Beispiele dazu an wie:

192.168.0.100 maestro #PRE #DOM:technik # DC von "Technik"

Damit sollte der Zugriff dann problemlos klappen wenn du die Sample (Beispiel) Datei lmhosts.sam in eine lmhosts kopierst am Client !!
Bitte warten ..
Mitglied: Eddi-Johnson
26.05.2009 um 12:17 Uhr
Hallo aqui,
da bin ich wieder. wir werden gleich alles nochmal durchgehen.
erstmal vielen lieben dank für deine mühen und ausführliche hilfe
Bitte warten ..
Mitglied: Steffen-Bernd
26.05.2009 um 16:08 Uhr
Ok, das Problem ist jetzt behoben. Es scheint wohl ein Problem für den DNS gewesen zu sein über das Standartgateway (firewall) mit der vordefinierten Route zu dem anderen Netz zu gelangen.
Wenn wir den Virtuellen Router als Standartgateway nutzen funktioniert es.

Danke für eure Hilfe.
Bitte warten ..
Mitglied: aqui
27.05.2009 um 10:32 Uhr
Normalerweise ist das KEIN Problem und zeigt eher auf das eurer Routing nicht sauber konfiguriert ist !!!
Bei korrektem Routing ist es vollkommen egal welches Gateway du verwendest !
Das solltest du also nochmal sehr genau kontrollieren !!

Wenns dann denn aber war bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Windows Server
gelöst Verschlüsselungsmethode Active-Directory Domänen Usern (4)

Frage von User79 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...