maik20
Goto Top

DirectAccess - Konfigurationsproblem mit Netzwerkadapter

Hallo,

ich versuche gerade einen DirectAccess-Server aufzusetzen. Dazu halte ich mich an folgendes Tutorial

Einzige Abweichung, ich habe nicht "Edge" gewählt, sondern "Edge behind Firewall", da sich der DA-Server hinter einer Firewall befindet und nicht direkt über eine öffentliche IP verfügt. Nach der Installation habe ich mir den Vorgangsstatus angesehen. Hier bekomme ich ein Fehler mit dem Netzwerkadapter angezeigt. (siehe Bild 1).

bild1

Ich kann jedoch keinen Fehler finden. Beide Adapter sind aktiv (siehe Bild 2 / 3).

bild2

bild4

Ich kann beide Netzwerke erreichen und ein PING absetzen. Hat jemand eine Idee wo ich ansetzen könnte?

Der DA ist auf eine ESXi Server virtualisiert. Das interne und externe Netz sind als VLANs angebunden.

Gruß

Maik

Content-ID: 324467

Url: https://administrator.de/forum/directaccess-konfigurationsproblem-mit-netzwerkadapter-324467.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

clSchak
clSchak 21.12.2016 um 23:00:29 Uhr
Goto Top
Hi

bei uns hat das interne Interface nicht mit einem Gateway ausgestattet, wir haben dort das Gateway weggelassen und die Routen von Hand eingetragen ins interne Netz.

Beide Adapter dürfen auch nicht im gleichen Netz sein, d.h. der Adapter für die externe Schnittstelle darf keine Verbindung zur Domäne haben, wir haben das bei uns wie folgt gelöst:

Fortinet Firewall -> NAT -> extermes Interface des DA Server | DA Server | -> Internes Interface zur Domäne.

Gruß
@clSchak
psannz
psannz 22.12.2016 um 00:12:12 Uhr
Goto Top
Sers,

Welche Version hat dein Windows Server?

Grüße,
Philip
Maik20
Maik20 22.12.2016 um 07:55:07 Uhr
Goto Top
Zitat von @clSchak:

Hi

bei uns hat das interne Interface nicht mit einem Gateway ausgestattet, wir haben dort das Gateway weggelassen und die Routen von Hand eingetragen ins interne Netz.

Ich habe vom internen Adapter das Gateway entfent, es ändert jedoch nichts.


Beide Adapter dürfen auch nicht im gleichen Netz sein, d.h. der Adapter für die externe Schnittstelle darf keine Verbindung zur Domäne haben, wir haben das bei uns wie folgt gelöst:

Die Adapter sind in zwei unterschiedlichen Netzen. Der eine hängt in 10.1.10.x (intern) der andere in 10.1.11.x (DMZ). Deaktiviere ich den internen, so kann ich den DC der auch als DNS fungiert nicht erreichen und komme über den Router nur ins Internet. Der Router fungiert natürlich auch als DNS-Server. So kann ich z.B. eine beliebige Webseite pingen.


Fortinet Firewall -> NAT -> extermes Interface des DA Server | DA Server | -> Internes Interface zur Domäne.

Unter NAT ist in meiner Firewall/Router noch nichts eingerichtet. Ich habe lediglich die Firewall so eingestellt, dass das VLAN11 (DMZ) ins WAN darf. Wie wäre hier NAT zu konfigurieren?

Es handelt sich um einen Windows 2012 Server.
Maik20
Maik20 22.12.2016 um 08:12:41 Uhr
Goto Top
Ich habe IPv6 an dem internen Adapter aktiviert jetzt ist der Fehler behoben.

Allerdings erhalte ich jetzt ein Problem mit dem DNS-Server:

bild5

Der DC (auch Server 2012) fungiert auch als DNS und läuft unter 10.1.10.10 ich kann zumindest einen Ping absetzen. Ich vermute das es etwas mit IPv6 zu tun hat. Ich habe das interne Netz auf IPv4 aufgesetzt. Der Adapter am DC hat zumindest IPv4 wie auch IPv6 aktiviert. Eine statische IP weise ich nur unter der IPv4 Adresse zu.

Kann mir hier jemand weiterhelfen?

Gruß

Maik
clSchak
clSchak 22.12.2016 aktualisiert um 12:47:51 Uhr
Goto Top
hast du denn auf den anderen Server IPv6 eingeschaltet gelassen? Das muss zwingend auf den Servern eingeschaltet sein (es muss nicht konfiguriert sein, einfach die Einstellungen so lassen).

Direct Access setzt zwingend aktives IPv6 an allen beteiligten Servern voraus und ein funktionierendes DNS. Ggf. musst du die FW der einzelnen Server entsprechend anpassen damit die darüber erreichbar sind.

Wenn du das intere Gateway rausgenommen hast, musst du natürlich die Routen alle von Hand nachziehen die in das interne Netz zeigen (route add ....).
psannz
psannz 22.12.2016 um 12:47:40 Uhr
Goto Top
Wenn du IPv6 nicht nutzt solltest du es auf dem Server (solang kein Exchange drauf läuft) deaktivieren.
Ansonsten müssen die konfigurierten DNS und Gateway Server natürlich erreichbar sein, wobei das Gateway zumindest über ND gefunden würde, wenn es denn ein IPv6 Gateway gibt.

Zu deinem Glück kann der Server 2012(+) DirectAccess auch auf IPv4 bereitstellen. 2008R2 konnte das nur mit IPv6
clSchak
clSchak 22.12.2016 um 12:49:16 Uhr
Goto Top
@psannz das ist nicht korrekt, IPv6 sollte man bei aktuellen Servern von MS grundsätzlich eingeschaltet lassen, das macht keinerlei Probleme und DA nutzt nach wie vor für die Tunneltechnik IPv6 hat aber entsprechenden 6to4 Adapter der die Umsetzung macht.
psannz
psannz 22.12.2016 um 12:53:08 Uhr
Goto Top
Zitat von @clSchak:

@psannz das ist nicht korrekt, IPv6 sollte man bei aktuellen Servern von MS grundsätzlich eingeschaltet lassen, das macht keinerlei Probleme und DA nutzt nach wie vor für die Tunneltechnik IPv6 hat aber entsprechenden 6to4 Adapter der die Umsetzung macht.

Danke, war mir so nicht bekannt, dass der DA Server selbst übersetzt, und DA nicht nativ in v4 arbeiten kann.
Maik20
Maik20 22.12.2016 um 19:58:04 Uhr
Goto Top
Zitat von @clSchak:

hast du denn auf den anderen Server IPv6 eingeschaltet gelassen? Das muss zwingend auf den Servern eingeschaltet sein (es muss nicht konfiguriert sein, einfach die Einstellungen so lassen).

IPv6 war auf dem DC eingeschaltet. Es kann sein, das ich es damals nach der installation deaktiviert hatte und irgendwann mal wieder aktiviert habe. Im Moment ist es an. Gleiches gilt auch für den DirectAccess Server

Direct Access setzt zwingend aktives IPv6 an allen beteiligten Servern voraus und ein funktionierendes DNS. Ggf. musst du die FW der einzelnen Server entsprechend anpassen damit die darüber erreichbar sind.

Verstanden IPv6 -> kein Teufelszeug face-wink

Aber
Ggf. musst du die FW der einzelnen Server entsprechend anpassen damit die darüber erreichbar sind.

Welche Firewall auf welchem Server muss ich wie anpassen? Bzw. wie kann ich testen ob die Verbindung steht? Früher hätte ich ein Ping auf die IPv4-Adresse abgesetzt und gesehen, das dort schonmal jemand lebt. IPv6 ist für mich Neuland. Was prüfe ich wie?

Ich habe derzeit den DC mit DNS (DCSERVER), den DirectAccess-Server (DASERVER) und den Fileserver (FILESERVER). Auf allen ist in allen Adaptern IPv6 (wieder) aktiviert!

Wenn du das intere Gateway rausgenommen hast, musst du natürlich die Routen alle von Hand nachziehen die in das interne Netz zeigen (route add ....).

Ich habe das interne Gateway wieder reingenommen. Netzwerkadapter sind bzw. bleiben grün, das "DNS-Problem" ist immernoch da.
Gruß

Maik
Maik20
Maik20 23.12.2016 um 08:35:46 Uhr
Goto Top
So ein resolve-dnsname auf dem directaccess server liefert mir die IP des DC/DNS allerdings nur als IPv4 und nicht als IPv6.

bild9

Ich habe mir dann mal auf den DNS-Server die Zone angesehen:

bild7

Der einzige der mit der IPv6-Adresse eingetragen ist ist der DirectAccess-Server. Alle anderen werden nur mit der IPv4 Adresse gelistet. Wie kann ich dies ändern? Oder liegt das Problem ggf woanders?

Gruß

Maik
bild9