10
DirectAccess - Konfigurationsproblem mit Netzwerkadapter
Hallo,
ich versuche gerade einen DirectAccess-Server aufzusetzen. Dazu halte ich mich an folgendes Tutorial
Einzige Abweichung, ich habe nicht "Edge" gewählt, sondern "Edge behind Firewall", da sich der DA-Server hinter einer Firewall befindet und nicht direkt über eine öffentliche IP verfügt. Nach der Installation habe ich mir den Vorgangsstatus angesehen. Hier bekomme ich ein Fehler mit dem Netzwerkadapter angezeigt. (siehe Bild 1).
Ich kann jedoch keinen Fehler finden. Beide Adapter sind aktiv (siehe Bild 2 / 3).
Ich kann beide Netzwerke erreichen und ein PING absetzen. Hat jemand eine Idee wo ich ansetzen könnte?
Der DA ist auf eine ESXi Server virtualisiert. Das interne und externe Netz sind als VLANs angebunden.
Gruß
Maik
ich versuche gerade einen DirectAccess-Server aufzusetzen. Dazu halte ich mich an folgendes Tutorial
Einzige Abweichung, ich habe nicht "Edge" gewählt, sondern "Edge behind Firewall", da sich der DA-Server hinter einer Firewall befindet und nicht direkt über eine öffentliche IP verfügt. Nach der Installation habe ich mir den Vorgangsstatus angesehen. Hier bekomme ich ein Fehler mit dem Netzwerkadapter angezeigt. (siehe Bild 1).
Ich kann jedoch keinen Fehler finden. Beide Adapter sind aktiv (siehe Bild 2 / 3).
Ich kann beide Netzwerke erreichen und ein PING absetzen. Hat jemand eine Idee wo ich ansetzen könnte?
Der DA ist auf eine ESXi Server virtualisiert. Das interne und externe Netz sind als VLANs angebunden.
Gruß
Maik
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 324467
Url: https://administrator.de/contentid/324467
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
10 Kommentare
Neuester Kommentar
Hi
bei uns hat das interne Interface nicht mit einem Gateway ausgestattet, wir haben dort das Gateway weggelassen und die Routen von Hand eingetragen ins interne Netz.
Beide Adapter dürfen auch nicht im gleichen Netz sein, d.h. der Adapter für die externe Schnittstelle darf keine Verbindung zur Domäne haben, wir haben das bei uns wie folgt gelöst:
Fortinet Firewall -> NAT -> extermes Interface des DA Server | DA Server | -> Internes Interface zur Domäne.
Gruß
@clSchak
bei uns hat das interne Interface nicht mit einem Gateway ausgestattet, wir haben dort das Gateway weggelassen und die Routen von Hand eingetragen ins interne Netz.
Beide Adapter dürfen auch nicht im gleichen Netz sein, d.h. der Adapter für die externe Schnittstelle darf keine Verbindung zur Domäne haben, wir haben das bei uns wie folgt gelöst:
Fortinet Firewall -> NAT -> extermes Interface des DA Server | DA Server | -> Internes Interface zur Domäne.
Gruß
@clSchak
Sers,
Welche Version hat dein Windows Server?
Grüße,
Philip
Welche Version hat dein Windows Server?
Grüße,
Philip
Zitat von @clSchak:
Hi
bei uns hat das interne Interface nicht mit einem Gateway ausgestattet, wir haben dort das Gateway weggelassen und die Routen von Hand eingetragen ins interne Netz.
Hi
bei uns hat das interne Interface nicht mit einem Gateway ausgestattet, wir haben dort das Gateway weggelassen und die Routen von Hand eingetragen ins interne Netz.
Ich habe vom internen Adapter das Gateway entfent, es ändert jedoch nichts.
Beide Adapter dürfen auch nicht im gleichen Netz sein, d.h. der Adapter für die externe Schnittstelle darf keine Verbindung zur Domäne haben, wir haben das bei uns wie folgt gelöst:
Die Adapter sind in zwei unterschiedlichen Netzen. Der eine hängt in 10.1.10.x (intern) der andere in 10.1.11.x (DMZ). Deaktiviere ich den internen, so kann ich den DC der auch als DNS fungiert nicht erreichen und komme über den Router nur ins Internet. Der Router fungiert natürlich auch als DNS-Server. So kann ich z.B. eine beliebige Webseite pingen.
Fortinet Firewall -> NAT -> extermes Interface des DA Server | DA Server | -> Internes Interface zur Domäne.
Unter NAT ist in meiner Firewall/Router noch nichts eingerichtet. Ich habe lediglich die Firewall so eingestellt, dass das VLAN11 (DMZ) ins WAN darf. Wie wäre hier NAT zu konfigurieren?
Es handelt sich um einen Windows 2012 Server.
Ich habe IPv6 an dem internen Adapter aktiviert jetzt ist der Fehler behoben.
Allerdings erhalte ich jetzt ein Problem mit dem DNS-Server:
Der DC (auch Server 2012) fungiert auch als DNS und läuft unter 10.1.10.10 ich kann zumindest einen Ping absetzen. Ich vermute das es etwas mit IPv6 zu tun hat. Ich habe das interne Netz auf IPv4 aufgesetzt. Der Adapter am DC hat zumindest IPv4 wie auch IPv6 aktiviert. Eine statische IP weise ich nur unter der IPv4 Adresse zu.
Kann mir hier jemand weiterhelfen?
Gruß
Maik
Allerdings erhalte ich jetzt ein Problem mit dem DNS-Server:
Der DC (auch Server 2012) fungiert auch als DNS und läuft unter 10.1.10.10 ich kann zumindest einen Ping absetzen. Ich vermute das es etwas mit IPv6 zu tun hat. Ich habe das interne Netz auf IPv4 aufgesetzt. Der Adapter am DC hat zumindest IPv4 wie auch IPv6 aktiviert. Eine statische IP weise ich nur unter der IPv4 Adresse zu.
Kann mir hier jemand weiterhelfen?
Gruß
Maik
hast du denn auf den anderen Server IPv6 eingeschaltet gelassen? Das muss zwingend auf den Servern eingeschaltet sein (es muss nicht konfiguriert sein, einfach die Einstellungen so lassen).
Direct Access setzt zwingend aktives IPv6 an allen beteiligten Servern voraus und ein funktionierendes DNS. Ggf. musst du die FW der einzelnen Server entsprechend anpassen damit die darüber erreichbar sind.
Wenn du das intere Gateway rausgenommen hast, musst du natürlich die Routen alle von Hand nachziehen die in das interne Netz zeigen (route add ....).
Direct Access setzt zwingend aktives IPv6 an allen beteiligten Servern voraus und ein funktionierendes DNS. Ggf. musst du die FW der einzelnen Server entsprechend anpassen damit die darüber erreichbar sind.
Wenn du das intere Gateway rausgenommen hast, musst du natürlich die Routen alle von Hand nachziehen die in das interne Netz zeigen (route add ....).
Wenn du IPv6 nicht nutzt solltest du es auf dem Server (solang kein Exchange drauf läuft) deaktivieren.
Ansonsten müssen die konfigurierten DNS und Gateway Server natürlich erreichbar sein, wobei das Gateway zumindest über ND gefunden würde, wenn es denn ein IPv6 Gateway gibt.
Zu deinem Glück kann der Server 2012(+) DirectAccess auch auf IPv4 bereitstellen. 2008R2 konnte das nur mit IPv6
Ansonsten müssen die konfigurierten DNS und Gateway Server natürlich erreichbar sein, wobei das Gateway zumindest über ND gefunden würde, wenn es denn ein IPv6 Gateway gibt.
Zu deinem Glück kann der Server 2012(+) DirectAccess auch auf IPv4 bereitstellen. 2008R2 konnte das nur mit IPv6
@psannz das ist nicht korrekt, IPv6 sollte man bei aktuellen Servern von MS grundsätzlich eingeschaltet lassen, das macht keinerlei Probleme und DA nutzt nach wie vor für die Tunneltechnik IPv6 hat aber entsprechenden 6to4 Adapter der die Umsetzung macht.
Zitat von @clSchak:
@psannz das ist nicht korrekt, IPv6 sollte man bei aktuellen Servern von MS grundsätzlich eingeschaltet lassen, das macht keinerlei Probleme und DA nutzt nach wie vor für die Tunneltechnik IPv6 hat aber entsprechenden 6to4 Adapter der die Umsetzung macht.
@psannz das ist nicht korrekt, IPv6 sollte man bei aktuellen Servern von MS grundsätzlich eingeschaltet lassen, das macht keinerlei Probleme und DA nutzt nach wie vor für die Tunneltechnik IPv6 hat aber entsprechenden 6to4 Adapter der die Umsetzung macht.
Danke, war mir so nicht bekannt, dass der DA Server selbst übersetzt, und DA nicht nativ in v4 arbeiten kann.
Zitat von @clSchak:
hast du denn auf den anderen Server IPv6 eingeschaltet gelassen? Das muss zwingend auf den Servern eingeschaltet sein (es muss nicht konfiguriert sein, einfach die Einstellungen so lassen).
hast du denn auf den anderen Server IPv6 eingeschaltet gelassen? Das muss zwingend auf den Servern eingeschaltet sein (es muss nicht konfiguriert sein, einfach die Einstellungen so lassen).
IPv6 war auf dem DC eingeschaltet. Es kann sein, das ich es damals nach der installation deaktiviert hatte und irgendwann mal wieder aktiviert habe. Im Moment ist es an. Gleiches gilt auch für den DirectAccess Server
Direct Access setzt zwingend aktives IPv6 an allen beteiligten Servern voraus und ein funktionierendes DNS. Ggf. musst du die FW der einzelnen Server entsprechend anpassen damit die darüber erreichbar sind.
Verstanden IPv6 -> kein Teufelszeug
Aber
Ggf. musst du die FW der einzelnen Server entsprechend anpassen damit die darüber erreichbar sind.
Welche Firewall auf welchem Server muss ich wie anpassen? Bzw. wie kann ich testen ob die Verbindung steht? Früher hätte ich ein Ping auf die IPv4-Adresse abgesetzt und gesehen, das dort schonmal jemand lebt. IPv6 ist für mich Neuland. Was prüfe ich wie?
Ich habe derzeit den DC mit DNS (DCSERVER), den DirectAccess-Server (DASERVER) und den Fileserver (FILESERVER). Auf allen ist in allen Adaptern IPv6 (wieder) aktiviert!
Wenn du das intere Gateway rausgenommen hast, musst du natürlich die Routen alle von Hand nachziehen die in das interne Netz zeigen (route add ....).
Ich habe das interne Gateway wieder reingenommen. Netzwerkadapter sind bzw. bleiben grün, das "DNS-Problem" ist immernoch da.
Gruß
Maik
So ein resolve-dnsname auf dem directaccess server liefert mir die IP des DC/DNS allerdings nur als IPv4 und nicht als IPv6.
Ich habe mir dann mal auf den DNS-Server die Zone angesehen:
Der einzige der mit der IPv6-Adresse eingetragen ist ist der DirectAccess-Server. Alle anderen werden nur mit der IPv4 Adresse gelistet. Wie kann ich dies ändern? Oder liegt das Problem ggf woanders?
Gruß
Maik
Ich habe mir dann mal auf den DNS-Server die Zone angesehen:
Der einzige der mit der IPv6-Adresse eingetragen ist ist der DirectAccess-Server. Alle anderen werden nur mit der IPv4 Adresse gelistet. Wie kann ich dies ändern? Oder liegt das Problem ggf woanders?
Gruß
Maik
