Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Verbindung über DMZ mit Vertrauensstellung zu interner Domäne

Frage Microsoft

Mitglied: Fichte85

Fichte85 (Level 1) - Jetzt verbinden

13.12.2007 um 08:48 Uhr, 13368 Aufrufe

Hallo allerseits,

ich habe ein ziemlich komplexes Problem was mich ehrlich gesagt langsam in die Verzweiflung treibt. Nachfolgend habe ich eine kleine Skizze erstellt die meinen momentanen Testaufbau darstellt. Alle Maschinen laufen Virtuell in VMware. Ich bitte meine bescheidenen VISIO Fähigkeiten zu entschuldigen

06da11723f6bed26ba444cd7b2000129-vpn-bku - Klicke auf das Bild, um es zu vergrößern

Geplant ist folgendes:
Und zwar soll es eigentlich möglich sein sich vom VPN Client her mit dem VPN Server zu verbinden. Dieser ist Mitglied der DMZ Domäne "test.dmz". Diese besitzt allerdings eine einseitige Vertrauensstellung zur internen Domäne "test.local" und soll so eine Authentifizierung der VPN User durchführen. Der VPN-Server wird mit der Windows integrierten RAS Lösung betrieben. Betriebssystem aller Server ist Windows 2003 Server Enterprise. Die Clients sind sämtlich mit Windows XP Professional installiert.
Getestet wurde die Vertrauensstellung mit dem internen Client "Client.test.dmz". Mit diesem kann ich mich sowohl an der DMZ Domäne als auch an der internen Domäne ohne Probleme anmelden. Mit dem VPN Client hingegen scheitert dieser Versuch.
Und zwar tritt immer der Fehler 718 auf der aussagt das der Server nicht im angegebenen Zeitraum antwortet.
Dies tritt aber auch nur bei bestimmten Syntaxen des Anmeldenamens auf. So kann ich mit:
Administratior@test.dmz anmelden mit
test.dmz\Administrator hingegen nicht.
An der internen Domäne gar nicht.
Ich habe bereits schon mehrere Wege versucht um das Problem zu debuggen. So habe ich den LOGON Dienst auf beiden DC's in den Debug Modus versetzt und den Netzwerkvehr mitgeschnitte.
Nachfolgend ein Auszug aus dem Log des LOGON Servers der internen Domäne test.local:

12/13 09:15:03 [MISC] TEST: DsGetDcName function called: Dom:test.local Acctnull) Flags: DS BACKGROUND RET_DNS
12/13 09:15:03 [MAILSLOT] Received ping from DC1 test.local (null) on <Local>
12/13 09:15:03 [MAILSLOT] TEST: Ping response 'Sam Logon Response Ex' (null) to \\DC1 Site: Standardname-des-ersten-Standorts on <Local>
12/13 09:15:03 [MISC] TEST: DsGetDcName function returns 0: Dom:test.local Acctnull) Flags: DS BACKGROUND RET_DNS
12/13 09:15:03 [SITE] DsrGetSiteName: Returning site name 'Standardname-des-ersten-Standorts' from local cache.
12/13 09:15:03 [MISC] TEST: DsGetDcName function called: Dom:test.local Acctnull) Flags: LDAPONLY DNS RET_DNS
12/13 09:15:03 [MAILSLOT] Received ping from DC1 test.local (null) on <Local>
12/13 09:15:03 [MAILSLOT] TEST: Ping response 'Sam Logon Response Ex' (null) to \\DC1 Site: Standardname-des-ersten-Standorts on <Local>
12/13 09:15:03 [MISC] TEST: DsGetDcName function returns 0: Dom:test.local Acctnull) Flags: LDAPONLY DNS RET_DNS
12/13 09:15:03 [MISC] TEST: DsGetDcName function called: Dom:test.local Acctnull) Flags: LDAPONLY DNS RET_DNS
12/13 09:15:03 [MAILSLOT] Received ping from DC1 test.local (null) on <Local>
12/13 09:15:03 [MAILSLOT] TEST: Ping response 'Sam Logon Response Ex' (null) to \\DC1 Site: Standardname-des-ersten-Standorts on <Local>
12/13 09:15:03 [MISC] TEST: DsGetDcName function returns 0: Dom:test.local Acctnull) Flags: LDAPONLY DNS RET_DNS
12/13 09:16:31 [MISC] DsrEnumerateDomainTrusts: Called, Flags = 0x3
12/13 09:16:31 [MISC] DsrEnumerateDomainTrusts: returns: 0
12/13 09:16:39 [MISC] TEST: DsGetDcName function called: Dom:TEST Acctnull) Flags: DS RET_DNS
12/13 09:16:39 [MAILSLOT] Received ping from DC1 test.local. (null) on <Local>
12/13 09:16:39 [MAILSLOT] TEST: Ping response 'Sam Logon Response Ex' (null) to \\DC1 Site: Standardname-des-ersten-Standorts on <Local>
12/13 09:16:39 [MISC] TEST: DsGetDcName function returns 0: Dom:TEST Acctnull) Flags: DS RET_DNS
12/13 09:16:39 [MISC] TEST: DsGetDcName function called: Dom:TEST Acctnull) Flags: DS RET_DNS
12/13 09:16:39 [MAILSLOT] Received ping from DC1 test.local. (null) on <Local>
12/13 09:16:39 [MAILSLOT] TEST: Ping response 'Sam Logon Response Ex' (null) to \\DC1 Site: Standardname-des-ersten-Standorts on <Local>
12/13 09:16:39 [MISC] TEST: DsGetDcName function returns 0: Dom:TEST Acctnull) Flags: DS RET_DNS
12/13 09:17:05 [LOGON] TEST: SamLogon: Transitive Network logon of TEST.LOCAL\Administrator from (via DC2) Entered
12/13 09:17:05 [LOGON] TEST: SamLogon: Transitive Network logon of TEST.LOCAL\Administrator from (via DC2) Returns 0x0

Was die oberen Einträge angeht kann ich leider nur spekulieren. Vermute aber das diese irgend etwas mit der Replikation zu tun haben weil diese auch periodisch alle 5 Minuten auftauchen. An den unteren beiden Einträgen kann man ersehen das die Authentifizierung am Domänen Controller der internen Domäne durch den Domänen Controller der DMZ Domäne erfolgreich war.

Nun eine Auszug aus dem mitgeschnittenen Netzwerkverkehr. Bis hier hin konnte ich den Fehler bereits eingrenzen:

d477bc3d5991f7b07b1a74f153991eed-rpc - Klicke auf das Bild, um es zu vergrößern

Hier aufgeführt die Kommunikation zwischen den beiden Domänen-Controllern und anschließend zwischen dem VPN Server und dem Controller der internen Domäne.

f3e07bb9036ac5a34d758fe73aa6d3c3-sam - Klicke auf das Bild, um es zu vergrößern

Hier das für mich eigentliche Problem. Nach der erfolgreichen Authentifizierung stellt der VPN Server einen LOGON request für den Client an den Controller der internen Domäne (192.168.0.1). Dieser wird aber schlicht und ergreifend einfach nicht beantwortet. Firewalls sind auf allen Rechner definitiv aus. Der betreffende Port auf dem DC 138 ist laut Portscanner auch offen. Ich habe auch bereits versucht die Sicherheitsrichtlinie des DC's anzupassen und habe diese testweise so liberal wie irgend möglich gestaltet um hier einen Fehler auch auszuschließen was aber auch nichts gebracht hat. Ich muss sagen, dass ich mitlerweile mit meinem Latein am Ende bin und hoffe auf Hilfe. In der Hinsicht danke ich bereits im Voraus.

MfG
Ähnliche Inhalte
Netzwerkmanagement
Macht eine VPN Verbindung in eine DMZ sinn?
gelöst Frage von M.MarzNetzwerkmanagement8 Kommentare

Macht es Sinn einen externen Kunden in die DMZ per VPN drauf zu lassen?

Windows Netzwerk
Printserver aus einer anderen Domäne nutzen OHNE Vertrauensstellung
Frage von Oneil-1989Windows Netzwerk14 Kommentare

Hallo zusammen, kurz zur Strucktur. Domäne A: Dort läuft ein Printserver (Server 2003) mit Drucker (freigabe JEDER). Drucken funktioniert ...

Sicherheits-Tools
VPN Verbindung vor Domänen Anmeldung
gelöst Frage von GalipoliSicherheits-Tools2 Kommentare

Hallo zusammen, wie der Titel schon sagt möchte ich unter Windows 8 gerne eine VPN Verbindung über Cisco AnyConnect ...

Windows Server
AD- Domänen und Vertrauensstellungen leer
gelöst Frage von manuelwWindows Server5 Kommentare

Hallo, ich bin gerade dabei meinen Server zu tauschen. Der neue Server soll als Virtuelle Maschine laufen. Ich habe ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless8 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...