Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

GELÖST

Windows Server 2008 R2 hinter ISA 2006 - kein Ping und RDP über VPN möglich

Mitglied: Nasenmann

Nasenmann (Level 1) - Jetzt verbinden

22.02.2011 um 08:22 Uhr, 6286 Aufrufe, 2 Kommentare

Vermutlich ein Problem mit 2008 R2 Firewall und/oder Richtlinien?

Hallo zusammen,

als Langezeitleser dieses Forums, das mir schon viele Problemlösungen beschert hat, möchte ich mich jetzt mit einem Problem an Euch wenden,
auf das ich im Netz über die letzten Tage keine wirkliche Antwort fand.

Folgende Situation:

Ein lokales Netzwerk mit DC, ISA 2006(Gateway), Exchange und 2 Terminalservern soll von außen mit RDP über VPN (PPtP) zugänglich sein.

internes Netz: 192.168.0.xxx / 255.255.255.0
(externes) VPN-Netz: 169.254.12.xxx / 255.255.255.255

Der ISA ist konfiguriert, Traffic von extern in das interne Netz zu lassen - und umgekehrt. Die Regeln umfassen unter anderem ICMP und RDP, Routing
und RAS ist konfiguriert. Die gesamte Konfiguration war und ist erfolgreich im Einsatz; die Server laufen auf Windows Server 2003. Beide Terminalserver
sind VMs auf einem ESXi 4.1. Jeder Server lässt sich nach Herstellen der VPN-Verbindung anpingen und mit RDP ansteuern. Alles läuft wie gewünscht.

Außer dem zweiten TS - der kam kürzlich dazu und läuft mit Windows Server 2008 R2. Kein Ping, kein RDP, nicht für Geld dabei. Im internen Netz ist beides
kein Problem - nur über VPN (von extern). Firewallfunktionen sind auf das Nötigste beschränkt. Zur Klarstellung: der 2008er ist NICHT der ISA, er routet nicht
selbst. Datei- und Druckerfreigabe, Netzwerkerkennung, ICMP und RDP sind in der Windowseigenen Firewall nochmals explizit eingerichtet.

Was mich hier wurmt, ist die Tatsache, dass es aus dem internen Netz einwandfrei klappt, aber nicht über VPN, obwohl doch der ISA die Verbindung
durchstellen sollte. Es gibt ja für den 2008er faktisch kein anderes Netz als das interne.

Sollte jemand einen Hinweis für mich haben, was da faul ist, wäre ich auf ewig dankbar - ich knabbere seit einer Woche an dem Kram herum, für mich leider
noch relatives Neuland, und habe nichts zu speziell dieser Zusammenstellung gefunden. Selbstverständlich nehme ich an, dass die Infos hier eventuell
nicht ausreichen, bin aber für jeden Denkanstoß dankbar, und werde auf Nachfrage sehr gerne Details liefern.
Mitglied: dog
22.02.2011 um 08:29 Uhr
VPN-Netz: 169.254.12.xxx / 255.255.255.255

APIPA IPs sind eigentlich nicht routebar und sollten hier nicht benutzt werden!

Davon ab nimm dir Wireshark und teste ob der Server 2008 erstmal den Traffic empfängt und ob er dann auch antwortet.
Bitte warten ..
Mitglied: Nasenmann
22.02.2011 um 19:09 Uhr
EDIT:
Um Himmels Willen, es war tatsächlich einzig und allein eine Frage des VPN-Subnetzes. Sobald ich DHCP deaktiviert hatte, einen festen Adresspool und DNS/WINS definiert hatte,
klappte alles auf Anhieb. Dog, vielen Dank, dass Du mich auf die APIPA-Sache hingewiesen hast, darauf wäre ich so rasch nicht gekommen (weil ja der Rest vorher funktionierte)!



Vielen Dank schonmal für Deine Antwort! Ich komme leider erst jetzt dazu, etwas zu schreiben, da nach Entnahme meiner Weisheitszähne... bah, wen interessiert das.

Die APIPA IPs sind eher ein Relikt der Bequemlichkeit meines Kollegen, der das Netz vor mir betreut hat - ich bekam es quasi auf's Auge gedrückt, und werde zumindest das heute
nach Dienstschluss erledigen. Wobei mich immer noch wundert, dass es ja scheinbar für den Rest der Server funktioniert.

Wireshark ist für mich komplettes Neuland (tolles Tool übrigens!). Allerdings konnte ich der Kurzeinführung entnehmen, dass rot erstmal schlecht ist.

2008 R2 TS: 192.168.0.60
2003 DC2: 192.168.0.50
2003 DC1: 192.168.0.10

Verkehr und Anfragen auf 192.168.0.60 geben scheinbar keine Probleme. Allerdings, sobald 192.168.0.60 auf Anfragen von z.B. 192.168.0.50 oder 192.168.0.10 reagiert, gibt es
Header Checksum [incorrect] Fehler. Das gilt (laut meinem ersten kurzen Capture) für:

IGMP: V3 Membership Report
TPKT Continuation
TCP (49233) > epmap
TCP (49236) > blackjack
SMB
EPM
DCERP
LDAP

Ich sitze momentan noch daran, Hand und Fuß daraus zu machen - vielleicht hat ja jemand eine Idee. Sollte ich ein ganzes Capture posten sollen, nur zu, ich werde es dann hochladen.

Die Pings vom internen Netz gehen alle ohne einen einzigen Fehler durch und werden beantwortet. Der Ping von außen (über VPN) liefert durchgängig dies hier:

169.254.111.213 192.168.0.60 ICMP Echo (ping) request
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60

Das heißt, dass der 2008er TS mich nicht kennt, und auch keine Antwort auf seinen Broadcast bekommt. Woran kann das liegen? Ich seh mich mal weiter um, danke nochmal!
Bitte warten ..
Ähnliche Inhalte
Windows Server
Server 2008 R2 RDP
Frage von FutschelWindows Server6 Kommentare

Hallo Mitstreiter =) Folgende Frage : An einem Server 2008 R2 von dem Hause Microsoft melden sich Administrative- User ...

Windows Server
ISA Server 2006 Systemanforderungen
Frage von SillyBeanWindows Server4 Kommentare

Guten Tag ich habe mal eine Frage zu den Systemanforderungen von ISA Server 2006. Das Programm ist zwar etwas ...

Windows Server
Kein RDP zu Server 2008 über (AVM-)VPN möglich
gelöst Frage von duffy6Windows Server3 Kommentare

Hallo zusammen, ich habe zuhause einen SB2011 stehen, auf den ich zuhause auch wunderbar per RDP zugreifen kann. Wenn ...

Windows Server
Kein RDP-Zugriff auf Windows Server 2012 R2 möglich
gelöst Frage von honeybeeWindows Server7 Kommentare

Hallo, beim Versuch, via RDP auf den Server zuzugreifen, kam die Fehlermeldung: Der Remotedesktop kann aus einem der folgenden ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 11 StundenRouter & Routing2 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 18 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 23 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...