Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Server 2008 R2 hinter ISA 2006 - kein Ping und RDP über VPN möglich

Frage Microsoft Windows Server

Mitglied: Nasenmann

Nasenmann (Level 1) - Jetzt verbinden

22.02.2011 um 08:22 Uhr, 6257 Aufrufe, 2 Kommentare

Vermutlich ein Problem mit 2008 R2 Firewall und/oder Richtlinien?

Hallo zusammen,

als Langezeitleser dieses Forums, das mir schon viele Problemlösungen beschert hat, möchte ich mich jetzt mit einem Problem an Euch wenden,
auf das ich im Netz über die letzten Tage keine wirkliche Antwort fand.

Folgende Situation:

Ein lokales Netzwerk mit DC, ISA 2006(Gateway), Exchange und 2 Terminalservern soll von außen mit RDP über VPN (PPtP) zugänglich sein.

internes Netz: 192.168.0.xxx / 255.255.255.0
(externes) VPN-Netz: 169.254.12.xxx / 255.255.255.255

Der ISA ist konfiguriert, Traffic von extern in das interne Netz zu lassen - und umgekehrt. Die Regeln umfassen unter anderem ICMP und RDP, Routing
und RAS ist konfiguriert. Die gesamte Konfiguration war und ist erfolgreich im Einsatz; die Server laufen auf Windows Server 2003. Beide Terminalserver
sind VMs auf einem ESXi 4.1. Jeder Server lässt sich nach Herstellen der VPN-Verbindung anpingen und mit RDP ansteuern. Alles läuft wie gewünscht.

Außer dem zweiten TS - der kam kürzlich dazu und läuft mit Windows Server 2008 R2. Kein Ping, kein RDP, nicht für Geld dabei. Im internen Netz ist beides
kein Problem - nur über VPN (von extern). Firewallfunktionen sind auf das Nötigste beschränkt. Zur Klarstellung: der 2008er ist NICHT der ISA, er routet nicht
selbst. Datei- und Druckerfreigabe, Netzwerkerkennung, ICMP und RDP sind in der Windowseigenen Firewall nochmals explizit eingerichtet.

Was mich hier wurmt, ist die Tatsache, dass es aus dem internen Netz einwandfrei klappt, aber nicht über VPN, obwohl doch der ISA die Verbindung
durchstellen sollte. Es gibt ja für den 2008er faktisch kein anderes Netz als das interne.

Sollte jemand einen Hinweis für mich haben, was da faul ist, wäre ich auf ewig dankbar - ich knabbere seit einer Woche an dem Kram herum, für mich leider
noch relatives Neuland, und habe nichts zu speziell dieser Zusammenstellung gefunden. Selbstverständlich nehme ich an, dass die Infos hier eventuell
nicht ausreichen, bin aber für jeden Denkanstoß dankbar, und werde auf Nachfrage sehr gerne Details liefern.
Mitglied: dog
22.02.2011 um 08:29 Uhr
VPN-Netz: 169.254.12.xxx / 255.255.255.255

APIPA IPs sind eigentlich nicht routebar und sollten hier nicht benutzt werden!

Davon ab nimm dir Wireshark und teste ob der Server 2008 erstmal den Traffic empfängt und ob er dann auch antwortet.
Bitte warten ..
Mitglied: Nasenmann
22.02.2011 um 19:09 Uhr
EDIT:
Um Himmels Willen, es war tatsächlich einzig und allein eine Frage des VPN-Subnetzes. Sobald ich DHCP deaktiviert hatte, einen festen Adresspool und DNS/WINS definiert hatte,
klappte alles auf Anhieb. Dog, vielen Dank, dass Du mich auf die APIPA-Sache hingewiesen hast, darauf wäre ich so rasch nicht gekommen (weil ja der Rest vorher funktionierte)!



Vielen Dank schonmal für Deine Antwort! Ich komme leider erst jetzt dazu, etwas zu schreiben, da nach Entnahme meiner Weisheitszähne... bah, wen interessiert das.

Die APIPA IPs sind eher ein Relikt der Bequemlichkeit meines Kollegen, der das Netz vor mir betreut hat - ich bekam es quasi auf's Auge gedrückt, und werde zumindest das heute
nach Dienstschluss erledigen. Wobei mich immer noch wundert, dass es ja scheinbar für den Rest der Server funktioniert.

Wireshark ist für mich komplettes Neuland (tolles Tool übrigens!). Allerdings konnte ich der Kurzeinführung entnehmen, dass rot erstmal schlecht ist.

2008 R2 TS: 192.168.0.60
2003 DC2: 192.168.0.50
2003 DC1: 192.168.0.10

Verkehr und Anfragen auf 192.168.0.60 geben scheinbar keine Probleme. Allerdings, sobald 192.168.0.60 auf Anfragen von z.B. 192.168.0.50 oder 192.168.0.10 reagiert, gibt es
Header Checksum [incorrect] Fehler. Das gilt (laut meinem ersten kurzen Capture) für:

IGMP: V3 Membership Report
TPKT Continuation
TCP (49233) > epmap
TCP (49236) > blackjack
SMB
EPM
DCERP
LDAP

Ich sitze momentan noch daran, Hand und Fuß daraus zu machen - vielleicht hat ja jemand eine Idee. Sollte ich ein ganzes Capture posten sollen, nur zu, ich werde es dann hochladen.

Die Pings vom internen Netz gehen alle ohne einen einzigen Fehler durch und werden beantwortet. Der Ping von außen (über VPN) liefert durchgängig dies hier:

169.254.111.213 192.168.0.60 ICMP Echo (ping) request
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60

Das heißt, dass der 2008er TS mich nicht kennt, und auch keine Antwort auf seinen Broadcast bekommt. Woran kann das liegen? Ich seh mich mal weiter um, danke nochmal!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...