5
Lancom 1711VPN Standortverknüpfung und Domänenanmeldung
Hallo zusammen,
bin neu in dem ganzen Thema Netzwerkmanagement. Deeshalb könnte ich mal Eure Hilfe benötigen.
Also die Problemstellung ist folgende.
Wir verwenden in der Firma einen bzw. jetzt zwei Lancom 1711VPN Router. Da wir nun eine kleine Filiale eröffnen
möchten, haben wir die mittels der Beiden Router eine permanente VPN verbindung eingerichtet.
Funktioniert auch alles einwandfrei. Ich kann das andere Netz und die darin enthaltenen Rechner anpingen
und mittels VNC z.B. auch fernwarten.
Was noch nicht funktioniert ist die Anmelldung am Server. Also in der "Zentrale" steht der Server. Nun soll sich
die Kollegin an diesem Server anmelden. -> Geht aber nicht. Der Domänencontroller wäre nicht verfügbar.
Jetzt ist es so dass die "Zentrale" ein anderes IP Netz hat als die "Filiale" -> und da wird wohl das Problem sein.
Mir ist nur noch nicht klar, an welcher Schraube ich drehen muss, damit der Client in der "Filiale" weiß
dass der Domänen Controller in einem anderen IP Netz steht......
Kann mir da jemand helfen?
Ich wäre Euch sehr dankbar über einen Denkanstoß
Gruß Carsten
bin neu in dem ganzen Thema Netzwerkmanagement. Deeshalb könnte ich mal Eure Hilfe benötigen.
Also die Problemstellung ist folgende.
Wir verwenden in der Firma einen bzw. jetzt zwei Lancom 1711VPN Router. Da wir nun eine kleine Filiale eröffnen
möchten, haben wir die mittels der Beiden Router eine permanente VPN verbindung eingerichtet.
Funktioniert auch alles einwandfrei. Ich kann das andere Netz und die darin enthaltenen Rechner anpingen
und mittels VNC z.B. auch fernwarten.
Was noch nicht funktioniert ist die Anmelldung am Server. Also in der "Zentrale" steht der Server. Nun soll sich
die Kollegin an diesem Server anmelden. -> Geht aber nicht. Der Domänencontroller wäre nicht verfügbar.
Jetzt ist es so dass die "Zentrale" ein anderes IP Netz hat als die "Filiale" -> und da wird wohl das Problem sein.
Mir ist nur noch nicht klar, an welcher Schraube ich drehen muss, damit der Client in der "Filiale" weiß
dass der Domänen Controller in einem anderen IP Netz steht......
Kann mir da jemand helfen?
Ich wäre Euch sehr dankbar über einen Denkanstoß
Gruß Carsten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 27529
Url: https://administrator.de/contentid/27529
Printed on: April 23, 2024 at 18:04 o'clock
5 Comments
Latest comment
Zunächst mal solltest Du auch posten, welche FW auf beiden Seiten verwendet wird !
Hast Du folgende Schritte im LANConfig durchgeführt bzw. überprüfen:
<li>IP-Router-> Routing-Tabelle -> steht dort Dein Zentral-Netz drin ?
<li>TCP/IP -> DNS -> Weiterleitungen -> Domäne und Gegenstelle eingetragen ?
<li>Net-Bios aktiviert ? -> in Routing-Tabelle eingetragen?
Hast Du schon den Traffic auf der VPN-Verbindung getraced ?
Hast Du folgende Schritte im LANConfig durchgeführt bzw. überprüfen:
<li>IP-Router-> Routing-Tabelle -> steht dort Dein Zentral-Netz drin ?
<li>TCP/IP -> DNS -> Weiterleitungen -> Domäne und Gegenstelle eingetragen ?
<li>Net-Bios aktiviert ? -> in Routing-Tabelle eingetragen?
Hast Du schon den Traffic auf der VPN-Verbindung getraced ?
Wenn er mit VNC alles remote managen kann bzw. alle Rechner untereinander in den unterschiedlichen Netzen per Ping erreichen kann kann es kein Problem der Routing Tabelle bzw. des Fehlens statischer Routen mehr sein 
IP Connectivity ist also gegeben. Trotzdem ist der Einwand richtig, das deine statischen Routen dem Router bekannt gemacht werden müssen !
Es bringt nichts NetBios einzustellen, denn NetBios ist nicht routebar da nur ein Layer 2 Protokoll. Es kann somit nicht über Router übertragen werden !
Wenn dann macht NetBios über TCP/IP Sinn das ist aber sowieso default bei Windows immer eingeschaltet.
Das Problem werden wahrscheinlich UDP Broadcasts sein die über die geroutete Verbindung nicht übertragen werden sofern das dynamisch konfiguriert ist. Meist geschieht das über ein sog. IP Helper Adresse im Router, das Handbuch sollte dir da weiterhelfen. Ansonsten solltest du den Servernamen statisch in die lmhosts oder hosts Datei des Clients eintragen, damit nicht erst umständlich nach Einwahl eine WINS oder DNS Namensauflösung gemacht werden muss.
Falls der Router Firewall Funktionalitäten haben sollte, musst du prüfen ob ggf. solche Ports nicht geblockt werden.
Bei ISDN ist das häufig der Fall, damit Windows Broadcast Packete den Wählprozess nicht permanent zyklisch triggern und unnötige hohe Kosten auf der ISDN Leitung verursachen.
IP Connectivity ist also gegeben. Trotzdem ist der Einwand richtig, das deine statischen Routen dem Router bekannt gemacht werden müssen !Es bringt nichts NetBios einzustellen, denn NetBios ist nicht routebar da nur ein Layer 2 Protokoll. Es kann somit nicht über Router übertragen werden !
Wenn dann macht NetBios über TCP/IP Sinn das ist aber sowieso default bei Windows immer eingeschaltet.
Das Problem werden wahrscheinlich UDP Broadcasts sein die über die geroutete Verbindung nicht übertragen werden sofern das dynamisch konfiguriert ist. Meist geschieht das über ein sog. IP Helper Adresse im Router, das Handbuch sollte dir da weiterhelfen. Ansonsten solltest du den Servernamen statisch in die lmhosts oder hosts Datei des Clients eintragen, damit nicht erst umständlich nach Einwahl eine WINS oder DNS Namensauflösung gemacht werden muss.
Falls der Router Firewall Funktionalitäten haben sollte, musst du prüfen ob ggf. solche Ports nicht geblockt werden.
Bei ISDN ist das häufig der Fall, damit Windows Broadcast Packete den Wählprozess nicht permanent zyklisch triggern und unnötige hohe Kosten auf der ISDN Leitung verursachen.
Hallo Ragazzo,
Hallo aqui,
also erstmal vielen Dank für Eure Antworten.
Zu den offenen Fragen bzw. wie ist was konfiguriert:
Es sind zwei Lancom 1711VPN Router.
Beide kommunizieren einwandfrei über die VPN Verbindung miteinander.
Die VPN Verbindung ist stabil und alle Rechner im entfernten und aus dem entfernten Netz heraus sind pingbar sowohl über die IP-Adresse als auch über Ihren Namen. Die Namen der einzelnen Rechner können in den Routern mit einer IP Adresse hinterlegt werden.
Als Server steht hier ein Suse 9.1 mit Samba.
Aus dem entfernten Netz kann ich an den Arbeitsstationen nach Abfrage von Benutzername und Passwort Volumes von dem Server verbinden und auf die Daten zugreifen.
Tobit als Messaging System läuft auch.
-> Nur die Anmeldung / das Hinzufügen von neuen Arbeitsstationen am Server funktionert nicht. (aus dem lokalen Netz schon)
Ich habe mit ethereal auf dem Server mal nachgesehen ob überhaupt was ankommt.
Jetzt muss ich dazu sagen, dass ich nicht so tief in der Protokoll Materie drin steclke, aber irgendwie sehen die Anfragen an den Server aus dem lokalen Netz anders aus als die aus dem entfernten. zB. feheln die Broadcast Anfragen, aber das hat ja aqui schon erklärt warum.
Firewall Regeln stehen übrigens nicht im Weg, da sie nur für die Default Route gelten , nicht für die VPN verbindung.
Jetzt habe ich zwei Fragen:
1. aqui -> wie kann ich die Namen in die lmhost statisch eintragen. Ist das die Datei unter Windows/system32/..... hosts ?
2. Muss ich im Samba ein Subnetz erst erlauben bevor es auf den Server darf? Habe in der smb.conf die allow regel auf beide Netze definiert, aber ohne Erfolg.
Vielleicht kann sich nochmals jemand dem Problem annehmen, arbeiten geht zwar momentan aber nur über einen Workaround und ohne Benutzeranmeldung.
Vielen Dank an alle,
Carsten
Hallo aqui,
also erstmal vielen Dank für Eure Antworten.
Zu den offenen Fragen bzw. wie ist was konfiguriert:
Es sind zwei Lancom 1711VPN Router.
Beide kommunizieren einwandfrei über die VPN Verbindung miteinander.
Die VPN Verbindung ist stabil und alle Rechner im entfernten und aus dem entfernten Netz heraus sind pingbar sowohl über die IP-Adresse als auch über Ihren Namen. Die Namen der einzelnen Rechner können in den Routern mit einer IP Adresse hinterlegt werden.
Als Server steht hier ein Suse 9.1 mit Samba.
Aus dem entfernten Netz kann ich an den Arbeitsstationen nach Abfrage von Benutzername und Passwort Volumes von dem Server verbinden und auf die Daten zugreifen.
Tobit als Messaging System läuft auch.
-> Nur die Anmeldung / das Hinzufügen von neuen Arbeitsstationen am Server funktionert nicht. (aus dem lokalen Netz schon)
Ich habe mit ethereal auf dem Server mal nachgesehen ob überhaupt was ankommt.
Jetzt muss ich dazu sagen, dass ich nicht so tief in der Protokoll Materie drin steclke, aber irgendwie sehen die Anfragen an den Server aus dem lokalen Netz anders aus als die aus dem entfernten. zB. feheln die Broadcast Anfragen, aber das hat ja aqui schon erklärt warum.
Firewall Regeln stehen übrigens nicht im Weg, da sie nur für die Default Route gelten , nicht für die VPN verbindung.
Jetzt habe ich zwei Fragen:
1. aqui -> wie kann ich die Namen in die lmhost statisch eintragen. Ist das die Datei unter Windows/system32/..... hosts ?
2. Muss ich im Samba ein Subnetz erst erlauben bevor es auf den Server darf? Habe in der smb.conf die allow regel auf beide Netze definiert, aber ohne Erfolg.
Vielleicht kann sich nochmals jemand dem Problem annehmen, arbeiten geht zwar momentan aber nur über einen Workaround und ohne Benutzeranmeldung.
Vielen Dank an alle,
Carsten
Samba ist es egal aus welchem Subnetz die Requests kommen. Die Vermutung liegt nahe das es an geblockten UDP Broadcasts liegt. Das ist auch ein normales Verhalten für einen Router.
Deine Annahme ist richtig mit der (lm)hosts Datei unter /windows/system32 .
Die Syntax ist eigentlich sebsterklärend in der Datei. Weitere Infos dazu findest du hier:
http://www.microsoft.com/windows2000/de/server/help/default.asp?url=/wi ...
Ggf. musst du die Datei auf alle Rechner des remoten Subnetzes kopieren.
Deine Annahme ist richtig mit der (lm)hosts Datei unter /windows/system32 .
Die Syntax ist eigentlich sebsterklärend in der Datei. Weitere Infos dazu findest du hier:
http://www.microsoft.com/windows2000/de/server/help/default.asp?url=/wi ...
Ggf. musst du die Datei auf alle Rechner des remoten Subnetzes kopieren.
Wir haben bereits mehrer Standort-Kopplungen mit dem o.g. Szenario (auch mit ADS-Anmeldung am Server der Zentrale) erfolgreich eingerichtet.
Wie bereits geschrieben würde ich mal den VPN-Verkehr tracen.
Wie bereits geschrieben würde ich mal den VPN-Verkehr tracen.
