Beitritt in eine Domain aus unterschiedlichen Vlans
Hallo an die Profis,
ich habe bei uns diverse Vlans auf einem Layer 3 Switch konfiguriert.
Mit einigen der Vlans wollte ich jetzt unserer Domain beitreten, die sich natürlich in einem anderen Netz befindet.
Ist dies aus einem anderen IP Adressbereich so möglich? Und ist ein extra DNS oder eine extra Domain für die Ip Adressbereiche auf dem Server Notwendig?
Die Vlans laufen für DNS aktuell über den Internet Router und nicht den Server.
Als Domain und DNS Server läuft bei uns ein Windows Server 2008 R2 im 192.168.51.0 Netz.
Gruß PabbaJay
ich habe bei uns diverse Vlans auf einem Layer 3 Switch konfiguriert.
Mit einigen der Vlans wollte ich jetzt unserer Domain beitreten, die sich natürlich in einem anderen Netz befindet.
Ist dies aus einem anderen IP Adressbereich so möglich? Und ist ein extra DNS oder eine extra Domain für die Ip Adressbereiche auf dem Server Notwendig?
Die Vlans laufen für DNS aktuell über den Internet Router und nicht den Server.
Als Domain und DNS Server läuft bei uns ein Windows Server 2008 R2 im 192.168.51.0 Netz.
Gruß PabbaJay
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 254569
Url: https://administrator.de/forum/beitritt-in-eine-domain-aus-unterschiedlichen-vlans-254569.html
Ausgedruckt am: 16.05.2025 um 22:05 Uhr
12 Kommentare
Neuester Kommentar
Moin,
lg,
Slainte
Ist dies aus einem anderen IP Adressbereich so möglich?
Ja.Und ist ein extra DNS oder eine extra Domain für die Ip Adressbereiche auf dem Server Notwendig?
Nein und Nein.Die Vlans laufen für DNS aktuell über den Internet Router und nicht den Server.
Als Domain und DNS Server läuft bei uns ein Windows Server 2008 R2 im 192.168.51.0 Netz.
Zum Domain-Beitritt muss zwingend der DNS eines DC beim Client eingetragen sein, sonst klappt das nicht. Du brauchst also entweder entsprechendes Routing zwischen den VLANs, oder einen DC mit je einer NIC in einem VLAN.Als Domain und DNS Server läuft bei uns ein Windows Server 2008 R2 im 192.168.51.0 Netz.
lg,
Slainte
Hallo,
mein Routing übernimmt der Layer 3 Switch. Dieses ist auch so konfiguriert das die entsprechenden Netze untereinander kommunizieren können.
Ich habe den Domain DNS als sekundären DNS beim Test-Clienten eingetragen, dies sollte doch reichen.
Mir ist allerdings eben aufgefallen das ich alle unterschiedlichen Geräte aus dem Vlan erreichen kann, außer dem Domain Server!
Diesen kann ich nicht anpingen. Muss ich beim Domain den IP Bereich des Subnetz eintragen oder macht eventuell die Firewall mit dem Subnetz kurzen Prozess?
Vielen dank schon mal für die anderen Infos, dann brauche ich dort nicht weitersuchen.
Gruß Jay
mein Routing übernimmt der Layer 3 Switch. Dieses ist auch so konfiguriert das die entsprechenden Netze untereinander kommunizieren können.
Ich habe den Domain DNS als sekundären DNS beim Test-Clienten eingetragen, dies sollte doch reichen.
Mir ist allerdings eben aufgefallen das ich alle unterschiedlichen Geräte aus dem Vlan erreichen kann, außer dem Domain Server!
Diesen kann ich nicht anpingen. Muss ich beim Domain den IP Bereich des Subnetz eintragen oder macht eventuell die Firewall mit dem Subnetz kurzen Prozess?
Vielen dank schon mal für die anderen Infos, dann brauche ich dort nicht weitersuchen.
Gruß Jay
Ich habe den Domain DNS als sekundären DNS beim Test-Clienten eingetragen, dies sollte doch reichen.
Nein, tut es nicht! Der AD-DNS muss der primäre DNS im Client sein. Falls der Client auch ins Internet soll, muss der DNS des Routers im DNS Server am DC als Forwarder eingetragen werden. In den Netzwerkeinstellungen im Client (und auch am DC!) hat nur der AD DNS was verloren - primär wie auch sekundär.Muss ich beim Domain den IP Bereich des Subnetz eintragen
Nein.oder macht eventuell die Firewall mit dem Subnetz kurzen Prozess?
Kann sein.
Habe den primären DNS auf den Domain-Server umgestellt.
Leider ohne Ergebnis. Selbst bei deaktivierter Firewall kann ich die IP des Domain Servers nicht erreichen. Umgekehrt ist dies problemlos möglich.
Pings vom Domainserver kommen im VLAN an und andere Server kann ich problemlos vom Vlan aus erreichen, ob mit oder ohne Domain.
Gruß Jay
Leider ohne Ergebnis. Selbst bei deaktivierter Firewall kann ich die IP des Domain Servers nicht erreichen. Umgekehrt ist dies problemlos möglich.
Pings vom Domainserver kommen im VLAN an und andere Server kann ich problemlos vom Vlan aus erreichen, ob mit oder ohne Domain.
Gruß Jay
Hallo,
PING ist nicht ausschlaggebend, da die MS Firewall ICMP aus anderen Netzen blockt.
Wenn der DC als erste DNS-Server auf dem VLAN-Client ist, kannst du nslookup machen und meldet sich dann der DC und gibt namen und IP-Adressen aus?
Es wird höchstwarscheinlich der VLAN-IP-Bereich beim DC und auch allen Windowsrechnern der Domäne als nicht vertrauenswürdig eingestuft.
Das muss dann noch eingerichtet werden (Windowsfirewall oder eine andere di eim Einsatz ist)
Vorher geht da nicht viel.
(Abhängig von den beteiligten Server und ClientOS-Versionen bei mir mit Server 2012R2 und Windows 8.1 ar das so - nicht mit VLAN aber anderen IP-netzen)
Gruß
Chonta
PING ist nicht ausschlaggebend, da die MS Firewall ICMP aus anderen Netzen blockt.
Wenn der DC als erste DNS-Server auf dem VLAN-Client ist, kannst du nslookup machen und meldet sich dann der DC und gibt namen und IP-Adressen aus?
Es wird höchstwarscheinlich der VLAN-IP-Bereich beim DC und auch allen Windowsrechnern der Domäne als nicht vertrauenswürdig eingestuft.
Das muss dann noch eingerichtet werden (Windowsfirewall oder eine andere di eim Einsatz ist)
Vorher geht da nicht viel.
(Abhängig von den beteiligten Server und ClientOS-Versionen bei mir mit Server 2012R2 und Windows 8.1 ar das so - nicht mit VLAN aber anderen IP-netzen)
Gruß
Chonta
Hallo,
wenn ich "nslookup" ausführe bekomme ich folgendes:
DNS request timed out.
timeout was 2 seconds.
Standardserver: UnKnown
Address: 192.168.51.5
Dies ist die Adresse unseres DC.
Internetverbindung aus dem Vlan ist dann auch nicht mehr möglich. Auch mit 8.8.8.8 kein Ping.
Da das Thema DC für mich Neuland ist, hoffe ich auf eure Hilfe.
Wo muss ich auf dem Server 2008 R2 das Netzwerk als vertrauenswürdig hinzufügen?
Gruß Jay
wenn ich "nslookup" ausführe bekomme ich folgendes:
DNS request timed out.
timeout was 2 seconds.
Standardserver: UnKnown
Address: 192.168.51.5
Internetverbindung aus dem Vlan ist dann auch nicht mehr möglich. Auch mit 8.8.8.8 kein Ping.
Da das Thema DC für mich Neuland ist, hoffe ich auf eure Hilfe.
Wo muss ich auf dem Server 2008 R2 das Netzwerk als vertrauenswürdig hinzufügen?
Gruß Jay
Ok, jetzt ist der Zeitpunkt erreicht wo mal eine kleine Skizze des Netzeerks nötig wäre. Wichtifg hier sind alle beteiligten VLANs, IP-Netzwrek, Switche, Clients, Server und Router.
Alles andere ist sonst wildes Gerate.
Alles andere ist sonst wildes Gerate.
Habe die wichtigen Komponenten mal zusammengefasst.
Die Vlans sind untereinander geroutet und können sich aktuell sehen.
Vlan 1,50,201 haben in dieser Konstellation Internetzugriff. Vlan202 soll mit in die Domain,
hat aber aktuell keinen Internetzugriff da der DNS auf den DC eingestellt ist und von diesem scheinbar nicht akzeptiert wird.
Gruss Jay
Die Vlans sind untereinander geroutet und können sich aktuell sehen.
Vlan 1,50,201 haben in dieser Konstellation Internetzugriff. Vlan202 soll mit in die Domain,
hat aber aktuell keinen Internetzugriff da der DNS auf den DC eingestellt ist und von diesem scheinbar nicht akzeptiert wird.
Gruss Jay
Hallo,
habe die Firewall auf dem Clienten und dem Server für das Subnetz entsprechend konfiguriert und die Echoanforderung zugelassen.
Trotzdem ist es mit nicht möglich den Server zu pingen, geschweige denn eine Verbindung zur Domain aufzubauen.
Bei versuchter Anmeldung mit einem Domain User bekomme ich die Fehlermeldung "es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar"
Und beim Versuch der Domain beizutreten bekomme ich folgende Fehlermeldung:
Bitte um Hilfe.
habe die Firewall auf dem Clienten und dem Server für das Subnetz entsprechend konfiguriert und die Echoanforderung zugelassen.
Trotzdem ist es mit nicht möglich den Server zu pingen, geschweige denn eine Verbindung zur Domain aufzubauen.
Bei versuchter Anmeldung mit einem Domain User bekomme ich die Fehlermeldung "es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar"
Und beim Versuch der Domain beizutreten bekomme ich folgende Fehlermeldung:
Hallo,
kannst Du von dem Rechner keine IP aus dem Netz des DC erreichen?
Wenn nein, dann können deine VLans untereinander nicht reden.
Wenn ja, dann in den Windowsfirewalleinstellungen des DC dafür sorgen, das das VLAN-Netz vertrauenswürdig ist und die Kommunikation erlaubt ist.
Da nichtmal nslookup funktioniert, gehe ich davon aus das das VLNAN Setum nicht sauber läuft, es sei denn es gelten sonderbare Sicherheitseinstellungen.
Kann der DC seinerseits einen PING auf den Rechner abgeben?
Wenn ja was sagt Tracert? (ggf auch auf dem anderen VLAN-Rechner und pathping ggf auch mal machen, dann weist Du welchen Weg die Rechner nehmen würdenum zum Ziel zu kommen)
Gruß
Chonta
kannst Du von dem Rechner keine IP aus dem Netz des DC erreichen?
Wenn nein, dann können deine VLans untereinander nicht reden.
Wenn ja, dann in den Windowsfirewalleinstellungen des DC dafür sorgen, das das VLAN-Netz vertrauenswürdig ist und die Kommunikation erlaubt ist.
Da nichtmal nslookup funktioniert, gehe ich davon aus das das VLNAN Setum nicht sauber läuft, es sei denn es gelten sonderbare Sicherheitseinstellungen.
Kann der DC seinerseits einen PING auf den Rechner abgeben?
Wenn ja was sagt Tracert? (ggf auch auf dem anderen VLAN-Rechner und pathping ggf auch mal machen, dann weist Du welchen Weg die Rechner nehmen würdenum zum Ziel zu kommen)
Gruß
Chonta
Hallo,
danke für die rasche Antwort.
ich kann von dem betroffenen Rechner nahezu jede IP im Netzwerk erreichen, nur nicht den Domainserver. Vlan Routing läuft aktiv, dort laufen diverse Geräte schon einige Zeit über das Routing ohne Vorkommnisse.
Vom Server aus kann ich den betreffenden Client problemlos erreichen. Tracert und Pathping von Serverseite laufen über den Router und den Layer 3 Switch zum Client.
Vom Rechner aus dem Vlan laufen Tracert und Pathping nicht zum Server. Andere Server und Geräte lassen sich alle direkt ansprechen, bis hin zu Ordnerfreigaben bei denen ich die Firewall der Rechner im Standard Lan angepasst habe.
Und die Firewall auf dem Server habe ich zur probe auch schon kurzzeitig deaktiviert, ohne Erfolg.
danke für die rasche Antwort.
ich kann von dem betroffenen Rechner nahezu jede IP im Netzwerk erreichen, nur nicht den Domainserver. Vlan Routing läuft aktiv, dort laufen diverse Geräte schon einige Zeit über das Routing ohne Vorkommnisse.
Vom Server aus kann ich den betreffenden Client problemlos erreichen. Tracert und Pathping von Serverseite laufen über den Router und den Layer 3 Switch zum Client.
Vom Rechner aus dem Vlan laufen Tracert und Pathping nicht zum Server. Andere Server und Geräte lassen sich alle direkt ansprechen, bis hin zu Ordnerfreigaben bei denen ich die Firewall der Rechner im Standard Lan angepasst habe.
Und die Firewall auf dem Server habe ich zur probe auch schon kurzzeitig deaktiviert, ohne Erfolg.
Hallo Leute,
habe inzwischen eine Lösung für mein Problem gefunden.
Ich habe den DNS Server zusätzlich zur Weiterleitung im Lancom Router, noch als Station eingetragen.
Und Zack, sofort eine Verbindung zur Domain aus dem Vlan möglich.
Vollkommen an der falschen Stelle nach einer Lösung gesucht.
Danke für eure Unterstützung.
Beste Grüße Pabba Jay
habe inzwischen eine Lösung für mein Problem gefunden.
Ich habe den DNS Server zusätzlich zur Weiterleitung im Lancom Router, noch als Station eingetragen.
Und Zack, sofort eine Verbindung zur Domain aus dem Vlan möglich.
Vollkommen an der falschen Stelle nach einer Lösung gesucht.
Danke für eure Unterstützung.
Beste Grüße Pabba Jay
