Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Domänenanmeldung über IPSec-VPN (Bintec) klappt nicht

Mitglied: theStorm
Problem: Beitritt zur Windows-Domäne nicht möglich.

Fehlermeldungen:
Bei dem Versuch der Domäne "dnstorck.local" beizutreten, trat der folgende Fehler auf: Der Netzwerkpfad wurde nicht gefunden.
oder:
Der Domänenname "dnstorck" ist möglicherweise ein NetBIOS-Domänenname. Sollte dies der Fall sein, stellen Sie sicher, dass der Name bei WINS registriert ist.
Wenn Sie sicher sind, dass es sich nicht um einen NetBIOS-Domänennamen handelt, können folgende Information bei der Fehlersuche in der DNS-Konfiguration behilflich sein:
Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur Suche eines Domänencontrollers für die Domäne "dnstorck" verwendet wird:
Fehler: "Der DNS-Name ist nicht vorhanden."
(Fehlercode 0x0000232B RCODE_NAME_ERROR)
Die Abfrage war für den SRV-Eintrag für _ldap._tcp.dc._msdcs.dnstorck
Die häufigsten Ursachen dieses Fehlers sind:
- Der DNS-SRV-Eintrag wurde nicht in DNS registriert.
- Mindestens eine der folgenden Zonen enthalten keineDelegierung zu dieser untergeordneten Zone:
dnstorck
. (die Stammzone)
Klicken Sie auf "Hilfe", um weitere Informationen über die Fehlerbehebung zu erhalten.

Bei dieser Fehlermeldung hatte ich mit einer etwas anderen Konfiguration, ich weiss jetzt nicht mehr genau wie, auch schon eine angeblich erfolgreiche srv-Eintrags-Auflösung (oder wie man das nennt) in der Fehlermeldung stehen, aber es funktionierte halt trotzdem nicht.

Netzintern (Im Netz der Zentrale wo der Server steht (192.168.100.0/24)) funktioniert die Domänenanmeldung etc. problemlos.




Netzwerk-Struktur:
Client (Win XP Pro SP2)->Bintec R230aw->DSL-Modem->Internet<-DSL-Modem<-Binetc R230aw<-Level-One-Switch<-Server (Win2003SBS)

VPN-Verbindung über IPSec (Site-To-Site) zwischen den beiden Bintec-Routern erfolgreich.

Subnetz der Client-Seite: 192.168.0.0/24

Subnetz der Server-Seite: 192.168.100.0/24



Konfiguration der beiden Router:
Firewall ist aus. Keine Filter - garnichts. kein NAT.
Routing-Tabellen sollten stimmen (Ping auf die IP's geht).



Konfigurationen des Servers:

DNS:
Forward-Lookupzonen: _msdcs.DNSTORCK.local und DNSTORCK.local
Reverse-Lookupzonen: 192.168.100.x

WINS-Server ist aktiv.

aktuelles ipconfig /all des Servers (DomainController, SBS2003):
Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : server
Primäres DNS-Suffix . . . . . . . : DNSTORCK.local
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : DNSTORCK.local

Ethernet-Adapter LAN-Verbindung des Servers:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : VIA Rhine II Fast Ethernet Adapter
Physikalische Adresse . . . . . . : 00-15-F2-30-6A-77
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.100.250
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.100.1
DNS-Server . . . . . . . . . . . : 192.168.100.250
Primärer WINS-Server . . . . . . : 192.168.100.250




Konfiguration des Clients:

TCP-IP:
DNS (standard): Primäre und Verbindungsspezifische DNS-Suffixe anhängen, Adressen dieser Verbindung in DNS registrieren

WINS (standard): LMHOSTS-Abfrage aktivieren, NETBIOS-Einstellung: Standard.
zur Zeit kein WINS-Server eingetragen, aber auch mit 192.168.100.250 als DNS-Server-Eintrag ging es nicht.

lokale Windows-Firewall testweise abgeschaltet.

Unter System->Computername->weitere->Primäres DNS-Suffix des Computers habe ich DNSTORCK.local eingetragen (aber auch schon ohne, nur DNSTORCK probiert - was auch alles nicht half).

Zusätzlich hab ich in der system32\drivers\etc\lmhosts testweise folgende Einträge vorgenommen:
192.168.100.250 server
192.168.100.250 server #PRE #DOM:dnstorck
192.168.100.250 server #PRE #DOM:dnstorck.local

und in der system32\drivers\etc\hosts:
192.168.100.250 server
192.168.100.250 server.dnstorck
192.168.100.250 server.dnstorck.local

aktuelles ipconfig /all eines Clients:
Windows-IP-Konfiguration

Hostname. . . . . . . . . . . . . : laden
Primäres DNS-Suffix . . . . . . . : DNSTORCK.local
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : DNSTORCK.local

Ethernetadapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : NVIDIA nForce 10/100 Mbps Networking
Controller
Physikalische Adresse . . . . . . : 00-21-85-18-CB-0E
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.0.101
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.0.1
DNS-Server. . . . . . . . . . . . : 192.168.100.250




Tests:
Pings vom Client:
ping 192.168.100.250 geht.
ping server geht.
ping dnstorck.local geht.
ping dnstorck geht nicht.


nslookup vom Client:
C:\Dokumente und Einstellungen\Storck>nslookup server
Server: server.dnstorck.local
Address: 192.168.100.250

Name: server.DNSTORCK.local
Address: 192.168.100.250


Pings vom Server:
ping 192.168.0.101 geht.
ping laden geht nicht
ping laden.dnstorck.local geht nicht.
(als ich im DNS-Server einen Eintrag für laden manuell angelegt hatte, konnte ich den Namen anpingen, aber ich weiss halt nicht ob das zwingend notwendig ist - die Domänen-Anmeldung ( bzw. der Beitritt) ging halt tortzdem nicht)


Fazit:
Ich habe diverse Kombinationen der TCP-Einstellungen am Client probiert (speziell was DNS angeht), aber es will einfach nicht funktionieren.

Ein ping server -l 2048 (hatte gelesen, das MTU manchmal ein problem macht) geht problemlos durch.

Habe absolut keine Idee mehr. Verstehe allerdings auch dieses Domänen-Angaben-Zeugs mit dem .local usw. nicht so ganz. Aber eigentlich sagt man dem Client, soweit ich das verstanden habe, mit den Suffixen ja nur wo er suchen soll wenn ich ping server eingebe (also z.b. server.local wenn ich local als suffix mit angegeben habe usw.), oder? Bei diesem Suffix-Kram bin ich mir etwas unsicher wie eine richtige Konfiguration aussehen muss - zudem ja auch unterschiedliche Fehlermeldungen kommen wenn ich ein Beitritt mit dnstorck bzw. dnstorck.local versuche.
(Bei dnstorck.local fragt er mich übrigens nach sehr kurzer Zeit nach Username und Passwort) - erst danach kommt die Fehlermeldung wie oben angegeben, bei dnstorck dauert es relativ lange bis die andere, oben genannte Fehlermeldung kommt)

Ich verstehe nicht, wieso ich dnstorck ohne .local nicht anpingen kann. Das müsste doch normalerweise gehen, oder?

Hat noch jemand eine Idee woran es liegen kann, oder kann mir jemand sagen wie die Einstellungen am Client (und evtl. auch am Server) ganz genau auszusehen haben bei einer 100% richtigen Konfiguration (ohne LMHOSTS oder HOSTS-Einträgen)? Wäre super, super Dankbar für jeden brauchbaren Tipp! Bin echt am verzweifeln.

Grüße
Andi

PS: Beim Zugriff auf eine Freigabe mittels \\192.168.100.250\Freigabename bekomme ich keinen Zugriff (Zugriff verweigert). Vielleicht hängt es damit igendwie zusammen!?

PS2: Bei net view \\192.168.100.250 sagt er nach einiger zeit netzwerkpfad nicht gefunden. irgendwas grundliegendes ist da faul, aber WAS!???? :-( face-sad

PS3: Pings mit 9000 bytes oder mehr gehen beim ersten versuch meistens nicht durch und auch später verlierter da ab und an ein paket. kann es damit was zutun haben, oder ist das normal?

Content-Key: 101034

Url: https://administrator.de/contentid/101034

Ausgedruckt am: 03.08.2021 um 20:08 Uhr

Mitglied: aqui
aqui 05.11.2008 um 17:25:10 Uhr
Goto Top
Mit dem Netzwerk als solchem hat das nichts zu tun, denn das kannst du an der Erreichbarkeit der Pings usw. sehen. Die IP Connectivity ist also voll da.
Das ist vermutlich ein reines Windows Konfigurationsproblem. Das Zugriff verweigert zeigt die auch, denn das tauch nur auf wenn der Username und das passwort nicht stimmen.
Also vermutlich eher was für die Rubrik Windows -> Netzwerke ?!
Mitglied: theStorm
theStorm 05.11.2008 um 18:37:44 Uhr
Goto Top
danke erstmal für die antwort.

das es ein windows-problem ist, glaube ich so nicht so ganz, denn warum sagt er dann bei net view netzwerkpfad nicht gefunden?

zudem beschäftige ich mich nun schon seit vielen jahren mit der windows-welt und zugriff verweigert ergibt keinen sinn, auch dauert es viel zu lange bis er mich nach benutzername und passwort fragt. (ca. 22 sekunden).

quasi ein beweis dafür, das es nicht an windows liegt, habe ich jetzt auch entdeckt.
vor etwa einer stunde habe ich entdeckt, das dieser beschissene - sorry, aber die teile gehen mir mittlerweile echt auf den sack - bintecrouter TROTZ deaktivierter Firewall einfach pakete blockt.

11 2008-11-05 18:31:16 Informationen INET refuse from if 100001 prot 17 192.168.0.101:137->192.168.100.250:137 (RI 1 FI 1)

und ich verstehe beim besten willen nicht wieso er das macht - und die hotline von denen scheint mit ca. einem mann besetzt zu sein, habe ich das gefühl. hoffentlich meldet der sich morgen.
Mitglied: aqui
aqui 05.11.2008 um 19:25:18 Uhr
Goto Top
Wenn du bei " net view netzwerkpfad nicht gefunden?" beide beteiligten Endgeräten untereinander pingen kannst kann es de facto nicht mit dem Netz zu tun haben.
Router arbeiten maximal auf dem OSI Layer 3, sehen also maximal auf die IP Adresse aber nicht was dadrüber im Paket ist.

Es kann aus diesem Grund also niemals mit dem Netz selber zu tun haben wenn ein Ping, Traceroute (tracert bei Winblows) oder pathping sauber durchgeht zum Ziel !
Mitglied: 51705
51705 05.11.2008 um 19:29:09 Uhr
Goto Top
Zitat von @theStorm:
11 2008-11-05 18:31:16 Informationen INET refuse from if 100001 prot 17 192.168.0.101:137-192.168.100.250:137 (RI 1 FI 1)

Du magst die SIF (Stateful Inspection Firewall) deaktiviert haben, aber die Portfilter nicht (RI 1 FI 1). Standardmässig werden Netbios-(Broadcast)-Pakete durch den Portfilter blockiert.

Mein Tipp, SIF richtig konfigurieren, und die Portfilter löschen.

Grüße, Steffen
Mitglied: theStorm
theStorm 05.11.2008 um 21:55:19 Uhr
Goto Top
@aqui: die pakete gehen aber eben gerade nicht sauber durch, trotz funktionierendem ping, das schrieb ich ja gerade. ausserdem, generell, auch wenn ein ping mal funktioniert, heisst das nicht zwingend dass das netzwerk generell vollständig richtig funktioniert - leider.

@51705: das trifft es vermutlich genau auf den punkt, aber wo zur hölle finde ich diese portfilter? als "bintec-frischling" arbeite ich zunächst hauptsächlich mit der weboberfläche, und da finde ich sowas wie portfilter nirgends - oder ich bin zu doof oder blind. wäre super, wenn du da noch einen hinweis hättest!!
Mitglied: 51705
51705 05.11.2008 um 22:06:35 Uhr
Goto Top
Hallo Andreas,

Web-Gui - keine Ahnung, mach ein telnet oder ssh, setup -> Security -> Filter -> lösche alles.

[SECURITY][ACCESS]: IP Access Lists ...
Mitglied: theStorm
theStorm 05.11.2008 um 22:16:32 Uhr
Goto Top
@51705:

TAUUUUUUUSEND DANK!!!!!!!!!!!!!!!!!!!!

es geht - die zwei netbios-filter gelöscht und alles funktioniert sofort. du weisst nicht wie glücklich du mich gemacht hast und wie sehr du mir geholfen hast. wirklich. vielen vielen dank. ich suchte seit 3 tagen nach dem problem.....

ich frage mich, wieso die bintec-leute sowas nicht in die weboberfläche einbauen oder zumindest einen hinweis irgendwo hinschreiben "webfilter nur über ssh etc. konfigurierbar".



wie auch immer, somit ist der fall gelöst!

danke!!!! *freufreufreu*
Mitglied: 51705
51705 05.11.2008 um 22:31:13 Uhr
Goto Top
Wünsche eine angenehme Nachtruhe :-) face-smile

Grüße, Steffen
Mitglied: theStorm
theStorm 05.11.2008 um 22:49:54 Uhr
Goto Top
Danke - allerdings geht die eigentliche Arbeit ja jetzt erst richtig los... ;-) face-wink

Dir aber auch eine angenehme Nachtruhe.

Grüße
Andi
Heiß diskutierte Beiträge
question
Backup-Konzept für HeimgebrauchmossoxVor 1 TagFrageBackup13 Kommentare

Guten Tag zusammen, ich bin mir nicht sicher, ob ich das richtige Unterforum gewählt habe, denn meine Frage berührt auch den Bereich Hardware und Netzwerke. ...

question
Günstiges Open-Source NAS für HeimgebrauchpanguuVor 1 TagFrageSAN, NAS, DAS10 Kommentare

Hallo, mit NAS-Systemen hatte ich bisher gearbeitet: Synology, QNAP, Buffalo, etc. Dabei kommen proprietäre Betriebssysteme zum Einsatz, die sich natürlich von Hersteller zu Hersteller unterscheiden ...

question
Domains, die mir gehören gelöst IT-EinsteigerVor 1 TagFrageInternet Domänen5 Kommentare

Hi, Ich habe verschiedene Domain, bei verschiedenen Hostern. Da ich hier und da nur eine Domain gekauft habe, um den Hoster zu testen, habe ich ...

question
Ipv6 RouterliodiceVor 1 TagFrageDSL, VDSL10 Kommentare

Hallo zusammen, ich hoffe ihr könnt mir weiterhelfen, ich benötigen einen ADSL Router (Kabelgebundenen) der IPv4 und IPv6 kann, also Dual Stack (DHCP Extern und ...

question
PC geht ohne Vorwarnung aus und fährt wieder hochWasserstrahlbiegezangeVor 1 TagFrageHardware14 Kommentare

Hi, vor einiger Zeit hat mein PC angefangen sich merkwürdig zu verhalten. Er stürzte einfach ab, ging dabei teilweise ohne Vorwarnung aus, und fuhr wieder ...

question
Server 2019 std. auf deutsch umstellenBender999Vor 11 StundenFrageWindows Server19 Kommentare

Hallo, kann mir einer erklären wie um alles in der Welt ich meinen Server 2019 std. auf deutsch umstellen kann? ...

question
Prozess bzw. Programm zu Verbindung auf IP herausfinden gelöst dcmindenVor 1 TagFrageWindows Netzwerk8 Kommentare

Wir bekommen bei diversen Kunden regelmäßig (alle 6 - 8 Tage) Alarmmeldungen von der Firewall zu einer geblockten Verbindung zu 68.183.140.225 Port 443. Jetzt möchten ...

question
Textdatei anhand xy-Koordinaten auslesen gelöst LeaX55Vor 1 TagFrageBatch & Shell11 Kommentare

Hallo Gemeinde, gibt es in Powershell eine Möglichkeit ein Text/Zahl aus einer Textdatei auszulesen anhand xy-Koordinaten? Als Beispiel habe ich eine Textdatei, aus der ich ...