Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Verbindung über DMZ mit Vertrauensstellung zu interner Domäne

Frage Microsoft

Mitglied: Fichte85

Fichte85 (Level 1) - Jetzt verbinden

13.12.2007 um 08:48 Uhr, 13182 Aufrufe

Hallo allerseits,

ich habe ein ziemlich komplexes Problem was mich ehrlich gesagt langsam in die Verzweiflung treibt. Nachfolgend habe ich eine kleine Skizze erstellt die meinen momentanen Testaufbau darstellt. Alle Maschinen laufen Virtuell in VMware. Ich bitte meine bescheidenen VISIO Fähigkeiten zu entschuldigen

06da11723f6bed26ba444cd7b2000129-vpn-bku - Klicke auf das Bild, um es zu vergrößern

Geplant ist folgendes:
Und zwar soll es eigentlich möglich sein sich vom VPN Client her mit dem VPN Server zu verbinden. Dieser ist Mitglied der DMZ Domäne "test.dmz". Diese besitzt allerdings eine einseitige Vertrauensstellung zur internen Domäne "test.local" und soll so eine Authentifizierung der VPN User durchführen. Der VPN-Server wird mit der Windows integrierten RAS Lösung betrieben. Betriebssystem aller Server ist Windows 2003 Server Enterprise. Die Clients sind sämtlich mit Windows XP Professional installiert.
Getestet wurde die Vertrauensstellung mit dem internen Client "Client.test.dmz". Mit diesem kann ich mich sowohl an der DMZ Domäne als auch an der internen Domäne ohne Probleme anmelden. Mit dem VPN Client hingegen scheitert dieser Versuch.
Und zwar tritt immer der Fehler 718 auf der aussagt das der Server nicht im angegebenen Zeitraum antwortet.
Dies tritt aber auch nur bei bestimmten Syntaxen des Anmeldenamens auf. So kann ich mit:
Administratior@test.dmz anmelden mit
test.dmz\Administrator hingegen nicht.
An der internen Domäne gar nicht.
Ich habe bereits schon mehrere Wege versucht um das Problem zu debuggen. So habe ich den LOGON Dienst auf beiden DC's in den Debug Modus versetzt und den Netzwerkvehr mitgeschnitte.
Nachfolgend ein Auszug aus dem Log des LOGON Servers der internen Domäne test.local:

12/13 09:15:03 [MISC] TEST: DsGetDcName function called: Dom:test.local Acctnull) Flags: DS BACKGROUND RET_DNS
12/13 09:15:03 [MAILSLOT] Received ping from DC1 test.local (null) on <Local>
12/13 09:15:03 [MAILSLOT] TEST: Ping response 'Sam Logon Response Ex' (null) to \\DC1 Site: Standardname-des-ersten-Standorts on <Local>
12/13 09:15:03 [MISC] TEST: DsGetDcName function returns 0: Dom:test.local Acctnull) Flags: DS BACKGROUND RET_DNS
12/13 09:15:03 [SITE] DsrGetSiteName: Returning site name 'Standardname-des-ersten-Standorts' from local cache.
12/13 09:15:03 [MISC] TEST: DsGetDcName function called: Dom:test.local Acctnull) Flags: LDAPONLY DNS RET_DNS
12/13 09:15:03 [MAILSLOT] Received ping from DC1 test.local (null) on <Local>
12/13 09:15:03 [MAILSLOT] TEST: Ping response 'Sam Logon Response Ex' (null) to \\DC1 Site: Standardname-des-ersten-Standorts on <Local>
12/13 09:15:03 [MISC] TEST: DsGetDcName function returns 0: Dom:test.local Acctnull) Flags: LDAPONLY DNS RET_DNS
12/13 09:15:03 [MISC] TEST: DsGetDcName function called: Dom:test.local Acctnull) Flags: LDAPONLY DNS RET_DNS
12/13 09:15:03 [MAILSLOT] Received ping from DC1 test.local (null) on <Local>
12/13 09:15:03 [MAILSLOT] TEST: Ping response 'Sam Logon Response Ex' (null) to \\DC1 Site: Standardname-des-ersten-Standorts on <Local>
12/13 09:15:03 [MISC] TEST: DsGetDcName function returns 0: Dom:test.local Acctnull) Flags: LDAPONLY DNS RET_DNS
12/13 09:16:31 [MISC] DsrEnumerateDomainTrusts: Called, Flags = 0x3
12/13 09:16:31 [MISC] DsrEnumerateDomainTrusts: returns: 0
12/13 09:16:39 [MISC] TEST: DsGetDcName function called: Dom:TEST Acctnull) Flags: DS RET_DNS
12/13 09:16:39 [MAILSLOT] Received ping from DC1 test.local. (null) on <Local>
12/13 09:16:39 [MAILSLOT] TEST: Ping response 'Sam Logon Response Ex' (null) to \\DC1 Site: Standardname-des-ersten-Standorts on <Local>
12/13 09:16:39 [MISC] TEST: DsGetDcName function returns 0: Dom:TEST Acctnull) Flags: DS RET_DNS
12/13 09:16:39 [MISC] TEST: DsGetDcName function called: Dom:TEST Acctnull) Flags: DS RET_DNS
12/13 09:16:39 [MAILSLOT] Received ping from DC1 test.local. (null) on <Local>
12/13 09:16:39 [MAILSLOT] TEST: Ping response 'Sam Logon Response Ex' (null) to \\DC1 Site: Standardname-des-ersten-Standorts on <Local>
12/13 09:16:39 [MISC] TEST: DsGetDcName function returns 0: Dom:TEST Acctnull) Flags: DS RET_DNS
12/13 09:17:05 [LOGON] TEST: SamLogon: Transitive Network logon of TEST.LOCAL\Administrator from (via DC2) Entered
12/13 09:17:05 [LOGON] TEST: SamLogon: Transitive Network logon of TEST.LOCAL\Administrator from (via DC2) Returns 0x0

Was die oberen Einträge angeht kann ich leider nur spekulieren. Vermute aber das diese irgend etwas mit der Replikation zu tun haben weil diese auch periodisch alle 5 Minuten auftauchen. An den unteren beiden Einträgen kann man ersehen das die Authentifizierung am Domänen Controller der internen Domäne durch den Domänen Controller der DMZ Domäne erfolgreich war.

Nun eine Auszug aus dem mitgeschnittenen Netzwerkverkehr. Bis hier hin konnte ich den Fehler bereits eingrenzen:

d477bc3d5991f7b07b1a74f153991eed-rpc - Klicke auf das Bild, um es zu vergrößern

Hier aufgeführt die Kommunikation zwischen den beiden Domänen-Controllern und anschließend zwischen dem VPN Server und dem Controller der internen Domäne.

f3e07bb9036ac5a34d758fe73aa6d3c3-sam - Klicke auf das Bild, um es zu vergrößern

Hier das für mich eigentliche Problem. Nach der erfolgreichen Authentifizierung stellt der VPN Server einen LOGON request für den Client an den Controller der internen Domäne (192.168.0.1). Dieser wird aber schlicht und ergreifend einfach nicht beantwortet. Firewalls sind auf allen Rechner definitiv aus. Der betreffende Port auf dem DC 138 ist laut Portscanner auch offen. Ich habe auch bereits versucht die Sicherheitsrichtlinie des DC's anzupassen und habe diese testweise so liberal wie irgend möglich gestaltet um hier einen Fehler auch auszuschließen was aber auch nichts gebracht hat. Ich muss sagen, dass ich mitlerweile mit meinem Latein am Ende bin und hoffe auf Hilfe. In der Hinsicht danke ich bereits im Voraus.

MfG
Ähnliche Inhalte
Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Router & Routing
gelöst VPN: Verbindung von FritzBox (7390) über SSL zum Firmennetzwerk (Watchguard) (4)

Frage von rrobbyy zum Thema Router & Routing ...

DNS
Mobiles DNS Problem bei VPN Verbindung (4)

Frage von holladie zum Thema DNS ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(6)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(5)

Anleitung von BassFishFox zum Thema Windows 10 ...

Administrator.de Feedback

Tipp: Ungelöste Fragen ohne Antwort in Tickeransicht farblich hinterlegen

Tipp von pattern zum Thema Administrator.de Feedback ...

Heiß diskutierte Inhalte
Windows Server
gelöst Update BackupExec 2015 auf 2016 führt zu SQL-Server Problem (16)

Frage von montylein1981 zum Thema Windows Server ...

Batch & Shell
gelöst Batch um Benutzer aus Sitzung abzumelden (15)

Frage von zeroblue2005 zum Thema Batch & Shell ...

LAN, WAN, Wireless
IP Sec Client legt Netzwerkkarte lahm (12)

Frage von mario87 zum Thema LAN, WAN, Wireless ...