Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Bei mehreren VLANs unter Win2k3 nach einigen Stunden keine Netzverbindung mehr.

Frage Microsoft Windows Server

Mitglied: dynaero

dynaero (Level 1) - Jetzt verbinden

30.10.2009, aktualisiert 17:36 Uhr, 4614 Aufrufe, 1 Kommentar

Mein erster "Beitrag" Ich hoffe ich habe alles wichtige erwähnt!

Hallo!

Kurzinfo:
120 XP-Hosts,
1 win2k3-Domäne mit 2 servern
Server1: PDC mit DNS, Fileserver, kein DHCP-Server
Server2: squid-proxy
30 VLANS

Mein Wunschszenario:
Obwohl der eigentliche Zweck der Vernetzung ja die Kommunikation zwischen PCs ist, möchte ich trotzdem, dass nicht jeder PC mit jedem anderen kommunizieren kann. Nach außen (ins Internet) soll jedoch jeder PC eine Verbindung haben.

Mein Lösungsversuch:
Viele VLANs (VLAN fähige Switches), so dass immer nur PCs die miteinander kommunizieren sollen auch ich selbem VLAN liegen. (D.h. es soll nicht geroutet werden, deshalb auch nur Layer2-Switches). Alle Hosts im gleichen VLAN liegen im gleichen Subnet, und jedes VLAN hat ein eigenes Subnet (Hosts mit manueller IP -Vergabe).
Um die Verbindung nach außen zu ermöglichen richte ich Server ein, die in allen VLANs liegen (mit jeweils einer physikalischen Karte, 30 logischen Netzverbindungen mit VLAN Tagging). Jede Verbindung nach außen muss dann über diese Server gehen. (D.h. es gibt kein Standard-Gateway bei den Hosts).
Bei jeder der logischen Netzwerkverbindungen am Server richte ich eine gültige IP-Adresse für das passende Subnet ein:

192.168.1.1, 10.1.2.1, 10.1.3.1, 10.1.4.1, etc. für Server1
192.168.1.2, 10.1.2.2, 10.1.3.2, 10.1.4.2, etc. für Server2.
(Die jeweils dritte Gruppe bei den 10er-Adressen ist gleichzeitig die VLAN-ID)

So kann jeder VLAN-Host mit den Servern kommunizieren. Durch die (automatisch angelegten) statischen Routen beim Server holt sich z.B. der squid-proxy-server die Daten von außen und reicht sie weiter ins richtige VLAN zum richtigen Rechner.

Zusätzlich dazu wird in einem VLAN (ID1) eine ws2003-Domäne eingerichtet. (In den übrigen VLANs sind nur Arbeitsgruppenrechner)
Server1: PDC mit DNS (forward und reverse lookup nur für die Hosts in diesem einen VLAN), Fileserver
Server2: squid-proxy (Mitglied der Domäne, da AD-Informationen benötigt werden)

Bei den Hosts in der Domäne:
Manuelle IP-Adresse und Netzmaske
Kein Gateway
DNS: IP von Server1 (im VLAN ID1) = 192.168.1.1
proxy für web: IP von Server2 (im VLAN ID1) = 192.168.1.2

Bei den Hosts in den VLANs (nicht in der Domäne)
Manuelle IP-Adresse und Netzmaske
Kein Gateway
DNS: IP von Server1 (im richtigen VLAN IDx) = 10.1.x.1
proxy für web: IP von Server2 (im VLAN IDx) = 10.1.x.2

Mein Problem:
Die Domäne in VLAN 1 funktioniert tadellos, auch die Verbindung zum proxy von allen Geräten in den verschiedenen VLANs. Ebenso die Namensauflösung in allen VLANs (sowohl lokale Auflösung als auch Internet-Namensauflösung)
Allerdings ist nach einigen Stunden plötzlich der proxy (Server2) nicht mehr erreichbar. Für keinen einzigen Host der Domäne oder einer Arbeitsgruppe. (ping geht auch nicht mehr).
Nach einem Neustart des proxy-Geräts klappt wieder alles, aber eben nur für einige Stunden bis Tage.

Bisherige Lösungsversuche:

Ich habe ganz dringend den DNS-Server auf Server1 in Verdacht:

o Da die Server ja viele IP-Adressen besitzen (eine pro VLAN) war ursprünglich durch dynamische DNS-Updates im DNS-Server die IP-Adressauflösung nicht eindeutig. Auch die SRV-Records für den Domänencontroller waren vielfach im DNS vorhanden (eben mit 30 IP-Adressen, eine für jede logische Netzwerkverbindung). Ich habe das dynamische DNS-Updating am Server deaktiviert und die überflüssigen DNS - A und SRV Records gelöscht. (war das richtig?)
Danach hatte ich den Eindruck, dass das Problem gelöst war aber dann nach einigen Tagen wieder das gleiche Probleme des Verlustes der Netzwerkkonnektivität

o Im Ereignisprotokoll beim proxy-Server gibt es immer wieder Einträge, dass die Gruppenrichtlinien nicht aktualisiert werden konnten - wenn keine Netzverbindung da ist, ganz klar. Oder ist das eine Ursache für das Verschwinden der Netzkonnektivität ?

o Wie wäre es möglich, die (gleiche) Domäne in vielen VLANs anzuwenden? Die Information über die IP-Adresse des Domänencontrollers im SRV-Record im DNS müsste ja dann immer die passende, zum VLAN gehörende IP-Adresse des Servers zurückgeben. Kann man dem DNS-Server beibringen bei unterschiedlichen Netzverbindungen nur spezielle Namensauflösungen zurückzuschicken?



Danke für alle Ratschläge oder andere Lösungsmöglichkeiten für mein Wunschszenario

dynaero
Mitglied: dog
30.10.2009 um 21:01 Uhr
Gleich Vorweg: Windows hat so einige Probleme, wenn ein DNS-Server, AD-Server oder WINS-Server mehrere Netzwerkinterfaces besitzt.
Die Probleme kannst du eliminieren, wenn du nur ein VLAN mit Active Directory brauchst und alle anderen sekundär behandelst.

Brauchst du die AD-Funktionalität aber in mehreren VLANs kommst du um Routing nicht drum herum. D.h. du steckst die Server in ein eigenes Subnetz (mit nur einer IP) und routest die einzelnen VLANs dort hin.

http://www.administrator.de/Probleme_mit_Multihomed_DCs_vermeiden.html

Grüße

Max
Bitte warten ..
Ähnliche Inhalte
Vmware
VLAN über mehrere Host
gelöst Frage von joergVmware4 Kommentare

Hallo zusammen, ich habe zur Zeit 4 VMware Host Standard 6.0U1 im Einsatz. Auf jedem Host habe ich das ...

Netzwerkgrundlagen
Mehrere VLANs und ein NAS
gelöst Frage von pallingerNetzwerkgrundlagen12 Kommentare

Hallo zusammen, ich beschäftige mich seit ein paar Tagen mit VLANs und habe hier noch eine Frage. Zur einfacheren ...

Netzwerkmanagement
Drucker im VLAN nicht mehr erreichbar
gelöst Frage von HilliNetzwerkmanagement3 Kommentare

Hallo zusammen, ich habe hier ein LAN mit mehreren VLANs. Eins davon wird für die Drucker genutzt was über ...

Netzwerke
Mehrere VLANS - 1 Internetzugang
Frage von SoilderNetzwerke7 Kommentare

Hallo, auch wenn es öfter Diskutiert wird hab ich hier ein paar Fragen. Ich möchte einfach nur 2-3 Vlans ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 8 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 9 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 23 StundenInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server12 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...