Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Linux Linux Netzwerk

GELÖST

Linux Router blockiert Anmeldung von WinXP CLients an W2k3 Server

Mitglied: SB-Admin

SB-Admin (Level 1) - Jetzt verbinden

25.04.2007, aktualisiert 14.05.2007, 5584 Aufrufe, 12 Kommentare

Wenn sich WinXP CLients über einen Linux-ROuter am W2k3-Domänencontroller anmelden, gibt's Probleme ...

Habe 32 PCs (WInXP SP2) und einen DC (WIndows 2003) in einem Subnetz (192.168.1.0/24). Die Anmeldung der Benutzer mit serverbaiserten Profilen klappt in dieser Konfiguration wunderbar.
Möchte die beiden Bereiche (Clients und Server) aber nun auf zwei Netze aufteilen:
Clientnetz: 192.168.2.0/24
Servernetz: 192.168.1.0/24

Die Trennung bzw. das Routing besorgt ein PC mit Debian Linux, der für das 192.168.2.0-Netz auch als DHCP-Server agiert und auch brav alle Anfragen in das 192.168.1.0 Netz leitet.

Mein Problem: Beim Anmelden von Benutzer auf den WinXP-Clients am DC können plötzlich die serverbasierten Profile nicht mehr übertragen werden! Die Benutzeranmeldung geht zwar weiter, jedoch wird ein lokales Profil verwendet.
Pings zwischen Server und Clients funktionieren; ich kann von allen Clients ins Internet und auch auf alle Freigaben im Netz zugreifen.
Nur die verflixte Profilübertragung bringt Probleme - sowohl beim An- als auch beim Abmelden.

Nehme ich den Router raus und verwende wie früher den W2k3 als DHCP-Server, so funktioniert die Sache - d.h. an der Konfiguration des Win2K3-DC bzw. der Clients kann es also nicht liegen!
Mitglied: aqui
25.04.2007 um 21:53 Uhr
Das ist eigentlich unmöglich, denn ein Router "sieht" lediglich den OSI Layer 3, also nur die IP Adressen und sonst nichts mehr. Was dort für Applikationen drauf sind und übertragen wird ist ihm herzlich egal....

Bist du sicher dort nicht irgendwelche iptables Filter aktiv zu haben ??? Ansonsten mal den Wireshark anklemmen auf beiden Seiten und sehen wo es hakt !
Bitte warten ..
Mitglied: SB-Admin
26.04.2007 um 11:34 Uhr
Das mit OSI verstehe ich; allerdings habe ich auf dem Debian-Router auch einen DHCP-Dienst laufen, der möglicherweise ein Problem verursacht(?).

Meine dhcpd.conf sieht so aus:

option domain-name "schule.local";
option domain-name-servers 192.168.1.3;
default-lease-time 600;
max-lease-time 7200;
  1. Nur statische Adressen in 192.168.1.0/24
subnet 192.168.1.0 netmask 255.255.255.0 {
}
  1. DAS ist das Problemnetz
subnet 192.168.2.0 netmask 255.255.255.0
{
range 192.168.2.150 192.168.2.250;
option broadcast-address 192.168.2.255;
default-lease-time 14400;
max-lease-time 2592000;
option routers 192.168.2.1;
option domain-name-servers 192.168.1.3;
option netbios-name-servers 192.168.1.3;
  1. Die folgenden PCs erhalten immer dieselbe Adresse

host R1-02 {
hardware ethernet 00:0C:76:58:29:E8;
fixed-address 192.168.2.65;
}
host R1-03 {
hardware ethernet 00:0C:76:58:29:60;
fixed-address 192.168.2.66;
}
  1. ... usw
}


Ich habe den Eintrag option-domain-name in Verdacht, da es sich ja möglicherweise um ein DNS-problem handelt? Ist der hier überhaupt notwendig, wenn ohnehin alle XP-Clients in die Domäne integriert sind und den Namen somit kennen sollten???

Hier noch mein Startskript mit Firewallregeln zum Blocken (allerdings Rechner aus einem anderen Netz):


#!/bin/bash

  1. Netzwerkinterfaces starten
/etc/init.d/networking stop
ifconfig eth0 up 192.168.1.22
ifconfig eth1 up 192.168.0.1
ifconfig eth2 up 192.168.2.1
/etc/init.d/networking start

  1. Standard-Route definieren
route add -net 192.168.1.0 netmask 255.255.255.0 dev eth0
route add default gw 192.168.1.1

  1. Routing (IP-Forwarding) mit NAT aktivieren
route add 255.255.255.255 eth1
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE

  1. DHCP-Serverdienst starten
/usr/sbin/dhcpd -cf /etc/dhcp3/dhcpd.conf -lf /etc/dhcp3/dhcpd.leases

  1. Es folgen Firewallregeln zur Filterung der MAC-Adressen
  2. ------------------------------------------------------------
  3. aus 192.168.0.0/24 nur dem Notebook http erlauben
iptables -A FORWARD -s 192.168.0.0/24 - m mac --mac-source 00:02:3f:17:d0:eb -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 –p tcp –dport 80 -j DROP

  1. SSH-Serverdienst starten
/usr/sbin/sshd

  1. FTP-Serverdienst starten
/usr/sbin/proftpd


Die IP-Forwardingregeln beziehen sich jedoch nicht auf die Rechner aus 192.168.2.0/24 - diese werden ja per Default Policy nach 192.168.1.1 durchgeroutet!
Bitte warten ..
Mitglied: aqui
27.04.2007 um 18:24 Uhr
Eigentlich sollte das nicht schaden. Den Eintrag fuer 192.168.1.0 kannst du auch entfernen wenn du hier nur eine statische Vergabe machst !!!

Das sollte aber nicht das Problem sein. Das kannst du ja ganz einfach mal querchecken indem du eine Maschine mit statischer Vergabe nimmst !
Du solltest mal einen Wireshark dazwischenhaengen und nachsehen wo es hapert. Der zeigt dir sofort an wenn irgendwelche Packet geblockt werden wuerden, was aber vermutlich nicht der Fall ist oder sein sollte
Bitte warten ..
Mitglied: SB-Admin
27.04.2007 um 23:13 Uhr
Danke für den Hinweis - WireShark werde ich am Mo probieren!

Allerdings habe ich herausbekommen, warum díe ANmeldung mal funktioniert und mal nicht: Immer dann, wenn mehrere Anfragen durch den Router gehen, bröselt es!
Beispielsweise habe ich heute zwei "große" Dateien (32 MB) gleichzeitig vom Lanserver über den Router gleichzeitig auf zwei Clients kopiert, wobei folgendes passiert ist: Während Client R3-01 noch kopiert, wird Kopiervorgang auf Client R3-02 gestartet - und genau in dem Moment bricht Client R3-01 mit der Fehlermeldung "Kann Quelldatei nicht lesen" ab, während Client 02 den Kopiervorgang aufnimmt. Gleiches passiert mit vier, fünf oder sechs gleichzeitig laufenden Vorgängen: alle bis auf den jeweils "jüngsten" schmieren ab.
Offenbar funktioniert der gleichzeitige Zugriff nicht - scheint so, als ob Paktete "vermischt" würden...
Wenn sich jetzt 32 Leute gleichzeitig am Lanserver anmelden und die Profildaten Kopiert werden (obwohl Eigene Dateien, Desktop, Startmenü ohnehin via Ordnerumleitung laufen) ... kein Wunder, dass es da Probleme gibt!

Was mich interessieren würde ist, woran das liegen könnte! Nehme ich nämlich den Router aus der Leitung raus, geht alles problemlos! (Da melden sich im Extrenfall an die 80 bis 100 User an).
Könnte eine defekte NIC schuld sein oder ist am Routing was falsch konfiguriert?
Bitte warten ..
Mitglied: aqui
28.04.2007 um 11:47 Uhr
Wäre denkbar... Was hast du für NICs ??? Sind das Realtek Chip basierende ??? Die machen ein Großteil des Packet assembling/deassembling über die Rechner CPU. Solche Karten wären tödlich für einen Ethernet Router. Bei WAN Verbindungen ist das nicht tragisch, da die meistens begrenzt sind in der Bandbreite.
Wenn du dann noch einen altersschwachen Rechner hast wäre das ein möglicher Grund. Besser ist es hier Karten zu nehmen die das gesamte Packethandling auf dem NIC Chip bedienen, wie z.B. Karten mit Chips von Intel, Marvell, Broadcom etc.....
Bitte warten ..
Mitglied: SB-Admin
28.04.2007 um 17:12 Uhr
Der Router.PC ist tatsächlich eine relativ alte Kiste: Compaq PIII / 750 MHz; die betreffende NIC ist von 3Com (3Com 905 T) und stammt aus einem ausrangierten P IV.
Werde nach dem langen Wochenende einfach eine funktionierende NIC (Intel -Karte!) aus einem neueren Gerät einbauen, das mal ausprobieren und das Ergebnis hier posten.
Bitte warten ..
Mitglied: aqui
29.04.2007 um 15:23 Uhr
Das wird nichts bringen (wahrscheinlich). Die 3Com karten haben einen eigene Packet Chip und machen das Processing auch onboard.
Die Leistung des Rechners sollte als Ethernet Router allemal ausreichen.
Du solltest mal sniffern mit dem Wireshark auf beiden Seiten und dir den Login Prozess mal ansehen und checken was anders ist im Packetfluss (was geht rein und was kommt raus) und was zu dem unterschiedlichen verhalten führt.
Das grenzt wenigstens die Suche ein !
Bitte warten ..
Mitglied: SB-Admin
05.05.2007 um 10:51 Uhr
Mit WireShark bin ich nicht klar gekommen, die Auswertung der Logfiles ist ja eine Wissenschaft für sich ...
Muss ich den am Linux-Router laufen lassen oder am Windows CLient plus WIndows Server und dann die Logfiles vergleichen?

Habe aber etwas anderes bemerkt: Aktives FTP aus dem Problemnetz 192.168.2.0/24 über den Router ins Hauptnetz 192.168.1.0/24 hat auch nicht funktioniert; da wurde der Port 500 als Problem angegeben. Passives FTP hingegen klappt einwandfrei. Erst wenn ich am Linuxrouter den Befehl

modprobe ip_nat_ftp

eingebe, geht dann auch aktives FTP!

Offensichtlich leitet der Linuxrouter die Ports für die Datei- und Druckerfreigabe nicht korrekt an die anfragenden CLients zurück - muss also mit Masquerading o.ä. zu tun haben! Gibt es dafür ein Modul, das nachgeladen werden muss?
Bitte warten ..
Mitglied: aqui
07.05.2007 um 19:19 Uhr
Das ist sehr gut möglich und der Punkt mit dem FTP spricht eigentlich dafür. Ist nur komisch was der Port 500 da zu suchen hat. Der hat freilich mit FTP nicht das Geringste zu tun.

Nein, beim Mitsniffern musst du einmal den Server mit einem Sniffer zusammen auf einen Hub stecken und den Traffic der zum Server geht mitsniffern. Es muss ein Hub sein denn auf einen Switchport kannst du den Sniffer ja logischerweise nicht stecken, denn da kommen die Packet nicht an.
Vice versa musst du das auf der Clientseite vor dem Router auch machen und den Packetfluss dort bei einem Sessionaufbau auch mitsniffern. Anhand der Unterschiede des Packetflusses weisst du dann wenigstens genau was der Router blockt. Normalerweise sollte er das natürlich nicht aber sehr wahrscheinlich sind dort ip_tables oder irgendwas im Einsatz die den Traffic noch , wie auch immer, manipulieren.
Es gilt also herauszufinden was da geblockt wird.
Bitte warten ..
Mitglied: SB-Admin
08.05.2007 um 21:10 Uhr
Problem gelöst! Da der Kanotix-Rechner als Router fungieren soll, habe ich das MASQUERADE-Statement entfernt und statische Routen zwischen den Netzen definiert. Durch die Masquerade glauben die Windowsserver nämlich, dass die Verbindung vom gleichen Rechner (dem Kanotix-Router) aus kommt. Eine neuerliche Verbindung von einem anderen Client unterbricht die vorhergehende Sitzung und es kommt zum Abbruch der Kopiervorgänge (z.B. beim Übertragen der Profildaten o.ä.).

Das sieht nun so aus:

#!/bin/bash

#Netzwerkkarten aktivieren
ifconfig eth0 up 192.168.1.22 # Schnittstelle ins Grenznetz
ifconfig eth2 up 192.168.2.1 # Schnittstelle ins interne Netz
  1. Alles ins Netz 192.168.1.0 geht über eth0 raus
route add -net 192.168.1.0 netmask 255.255.255.0 dev eth0
  1. Alles ins Netz 192.168.2.0 geht über eth2 raus
route add -net 192.168.2.0 netmask 255.255.255.0 dev eth2
  1. Standard-Route ins Internet geht über 192.168.1.1 (Grenznetzrechner)
route add default gw 192.168.1.1
  1. IP-Forwarding einschalten
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -P FORWARD ACCEPT


Am Grenznetzrechner 192.168.1.1 musste ich noch folgende Route hinzufügen:
route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.22


Da der Grenznetzrechner (hat eine weltweite eindeutige fixe IP) dann Masquerading betreibt, muss das der Kanotixrouter nicht extra machen.
Ach ja: Die statische Route für Ziel 192.168.2.0/255.255.255.0 nach gw 192.168.1.22 muss nun auf allen Rechnern im Grenznetz eingetragen werden (sind eh nur 4).


Herzlichen Dank für deine Bemühungen - jetzt weiß ich endlich, wie man mit WireShark umgeht; wird mir bei zukünftigen Projekten eine große Hilfe sein!
Bitte warten ..
Mitglied: aqui
12.05.2007 um 17:30 Uhr
Ach ja: Die statische Route für Ziel 192.168.2.0/255.255.255.0 nach gw 192.168.1.22 muss nun auf allen Rechnern im Grenznetz eingetragen werden (sind eh nur 4)... .

Das ist eigentlich kompletter Unsinn, denn wenn diese Geräte den Router unter der 192.168.1.1 als default Gateway eingetragen habe erledigt der das automatisch, denn du hast ihm ja die Route:
route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.2 2
konfiguriert !!!

Auch wenn diese 4 Clients den IPCop als Gateway haben (192.168.1.22) wäre es Blödsinn, denn der hat ja:
route add -net 192.168.2.0 netmask 255.255.255.0 dev eth 2
konfiguriert.

Irgendwie hast du da ein paar sinnlose, überflüssige Routen zuviel !!!

Wenns das war bitte Thread oben als
gelöst
markieren !
Bitte warten ..
Mitglied: SB-Admin
14.05.2007 um 09:24 Uhr
Das war's in der Tat - man lernt nie aus. Überflüssige Route entfernt - System läuft.
Danke!
Bitte warten ..
Ähnliche Inhalte
Windows Server
Client Anmeldung bei Server nicht möglich
gelöst Frage von AtoAtoWindows Server35 Kommentare

Hallo Admin Ich habe eine Frage bzgl. Windows Server 2012 und Client, hier meine Beschreibung: Auf einem PC ist ...

Windows Server
Gruppenrichtlinie wird nur bei Anmeldung am Server, aber nicht am Client ausgeführt
gelöst Frage von klanaxWindows Server3 Kommentare

Hallo an alle! Wir haben einen Windows Server 2011 SBS (also eigentlich Windows Server 2008 R2) als Domain-Controller und ...

Windows Userverwaltung
Usern auf WinXP Rechnern die Anmeldung verbieten
Frage von BerraBerraWindows Userverwaltung19 Kommentare

Hallo, wir haben letztens alle Rechner auf Win7 umgestellt bzw. neue gekauft. Wir haben im AD alle Computeraccounts der ...

Exchange Server
Anmeldung klappt nicht beim client
Frage von jensgebkenExchange Server17 Kommentare

hallo gemeinschaft habe einen windows 2008 server aufgesetzt - die verbindung zum client klappt gut - ich kann auf ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 17 StundenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit25 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...