15
Keine Anmeldung an Domäne bei Hardware-VPN möglich
Hallo,
habe nun mittlerweile alle möglichen Berichte zu diesem Thema im Internet durchgelesen, aber alle Tipps haben nicht geholfen.
Zentrale: 192.168.60.x, Netgear Router DG834BG, Windows 2003 SBS
Aussenstelle: 192.168.65.x und Netgear Router DG834BG
Der SBS ist DHCP, DNS, WINS und Domänencontroller. Die PCs in der Aussenstelle wurden bereits in die Domäne integriert.
Die Netgear verbinden sich mit einem IPSec Tunnel, was auch ohne Probleme funktioniert. IIS, Exchange und Remotedesktop sind in der Aussenstelle erreichbar, auch die Namensauflösung findet korrekt statt. Wenn ich ein Ping auf irgend einen Rechner in die Zentrale absetzte, dann erhalte ich den korrekten FQDN.
Andersrum kann ich z.B. aus der Zentrale auf einem Netzdrucker in der Ausstelle ohne Probleme drucken.
Das einzige was nicht funktioniert sind die Serverfreigaben und die Anmeldung an der Domäne. Sobald ich eine Freigabe öffnen möchte, dann erhalte ich die Loginmaske egal welchen Benutzername ich eingebe (domäne\\benutzer oder benutzer@domäne.local) es erscheint immer wieder diese Anmeldemaske.
Das Flag bei Kerberos bzgl. Daten über TCP anstatt UDP habe ich auch geändert. Bringt aber nichts.
Ich habe mal einen neuen Benutzer im AD angelegt und ein Häkchen bei "Muss Kennwort bei Erstanmeldung ändern" gesetzt. Ich habe mich dann von einem Domänencomputer in der Aussenstelle aus angemeldet und bekam dann auch die Aufforderung das Kennwort zu ändern. Nachdem ich mit OK bestätigt hatte, bekam ich die Meldung "Das System kann Ihr Kennwort nicht ändern, da die Domäne XXXX nicht verfügbar ist."
Irgendwo hakt es, aber ich habe mittlerweile keinen Schimmer mehr wo.
Die Firewall der Router sind doch aussen vor oder sehe ich das Falsch. Ich meine, die VPN endet doch hinter den Firewalls.
Hat vielleicht irgendjemand eine Idee oder vielleicht sogar mal das selbe Problem gehabt?
Gruß
habe nun mittlerweile alle möglichen Berichte zu diesem Thema im Internet durchgelesen, aber alle Tipps haben nicht geholfen.
Zentrale: 192.168.60.x, Netgear Router DG834BG, Windows 2003 SBS
Aussenstelle: 192.168.65.x und Netgear Router DG834BG
Der SBS ist DHCP, DNS, WINS und Domänencontroller. Die PCs in der Aussenstelle wurden bereits in die Domäne integriert.
Die Netgear verbinden sich mit einem IPSec Tunnel, was auch ohne Probleme funktioniert. IIS, Exchange und Remotedesktop sind in der Aussenstelle erreichbar, auch die Namensauflösung findet korrekt statt. Wenn ich ein Ping auf irgend einen Rechner in die Zentrale absetzte, dann erhalte ich den korrekten FQDN.
Andersrum kann ich z.B. aus der Zentrale auf einem Netzdrucker in der Ausstelle ohne Probleme drucken.
Das einzige was nicht funktioniert sind die Serverfreigaben und die Anmeldung an der Domäne. Sobald ich eine Freigabe öffnen möchte, dann erhalte ich die Loginmaske egal welchen Benutzername ich eingebe (domäne\\benutzer oder benutzer@domäne.local) es erscheint immer wieder diese Anmeldemaske.
Das Flag bei Kerberos bzgl. Daten über TCP anstatt UDP habe ich auch geändert. Bringt aber nichts.
Ich habe mal einen neuen Benutzer im AD angelegt und ein Häkchen bei "Muss Kennwort bei Erstanmeldung ändern" gesetzt. Ich habe mich dann von einem Domänencomputer in der Aussenstelle aus angemeldet und bekam dann auch die Aufforderung das Kennwort zu ändern. Nachdem ich mit OK bestätigt hatte, bekam ich die Meldung "Das System kann Ihr Kennwort nicht ändern, da die Domäne XXXX nicht verfügbar ist."
Irgendwo hakt es, aber ich habe mittlerweile keinen Schimmer mehr wo.
Die Firewall der Router sind doch aussen vor oder sehe ich das Falsch. Ich meine, die VPN endet doch hinter den Firewalls.
Hat vielleicht irgendjemand eine Idee oder vielleicht sogar mal das selbe Problem gehabt?
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 131223
Url: https://administrator.de/contentid/131223
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
15 Kommentare
Neuester Kommentar
suche doch mal nach den Begriffen "nat-traversal" oder "NetBios über TCP".
Gruß, Arch Stanton
Gruß, Arch Stanton
NetBios über TCP ist bei den Clients aktiviert. Daran kann es nicht liegen. Die Netgear-Router unterstützt meiner Meinung nicht NAT-T.
Mir fällt noch etwas anderes ein. Brauchen vielleicht die Computer und/oder Benutzer eine spezielle Berechtigung? Die Computer haben momentan nur die Rolle Domänen-Computer und die Benutzer Domänen-Benutzer.
Oder muss ein spezieller Dienst laufen?
Die PC waren vorher im gleichen Subnetz. Auch wenn ich einen "normale" VPN-Verbindung PPTP direkt mit dem Server erstelle, klappt alles ohne Probleme.
Oder muss ein spezieller Dienst laufen?
Die PC waren vorher im gleichen Subnetz. Auch wenn ich einen "normale" VPN-Verbindung PPTP direkt mit dem Server erstelle, klappt alles ohne Probleme.
NAT-T wird man in dem Fall garnicht brauchen meines Erachtens, da der IPSEC Tunnel ja nicht über ein NAT bzw. PAT Gateway aufgebaut wird sondern direkt zwischen 2 öffentlichen IPs der Netgear VPN Geräte.
Mach das ganze mal ohne NAT.
http://books.google.de/books?id=J5cztP5zBq8C&pg=PA122&lpg=PA122 ...
Wie schauen die FW-Freischaltungen aus? Mach doch mal alles auf zw. Testclient und Server guggst du obb gett.
Ansonsten - sniffen am Client u. Server mit Wireshark bzw. Network Monitor.
Fragmentierung?
Mach das ganze mal ohne NAT.
http://books.google.de/books?id=J5cztP5zBq8C&pg=PA122&lpg=PA122 ...
Wie schauen die FW-Freischaltungen aus? Mach doch mal alles auf zw. Testclient und Server guggst du obb gett.
Ansonsten - sniffen am Client u. Server mit Wireshark bzw. Network Monitor.
Fragmentierung?
NAT und Firewall habe ich mal ausgeschaltet, bringt aber leider nichts.
Mir ist gerade was aufgefallen, als ich mich über Remotedesktop am SBS anmelden wollte. Normalerweise reicht es nur den Servernamen anzugeben, aber jetzt musste ich servername.domäne.local eingeben. Das gleiche wenn ich auf den IIS und Ping möchte. Vielleicht doch ein Falschkonfiguration des DNS?
Wobei ich das jetzt mit einem Laptop mit Win7 und ohne Domänanbindung getestet habe.
Werde nachher mal die Netgear Hotline anrufen, die sollten doch eigentlich wissen, ob so etwas überhaupt mit den Routern möglich ist oder ob ich doch di FW-Serie brauche.
Gruß
Mir ist gerade was aufgefallen, als ich mich über Remotedesktop am SBS anmelden wollte. Normalerweise reicht es nur den Servernamen anzugeben, aber jetzt musste ich servername.domäne.local eingeben. Das gleiche wenn ich auf den IIS und Ping möchte. Vielleicht doch ein Falschkonfiguration des DNS?
Wobei ich das jetzt mit einem Laptop mit Win7 und ohne Domänanbindung getestet habe.
Werde nachher mal die Netgear Hotline anrufen, die sollten doch eigentlich wissen, ob so etwas überhaupt mit den Routern möglich ist oder ob ich doch di FW-Serie brauche.
Gruß
Mit NAT oder NAT-T hat das in der Tat nicht das geringste zu tun. Der VPN Tunnel ist hinter der Firewall wie du richtig bemerkst und verhält sich wie eine transparente Standleitung zwischen deinen Standorten.
Allerdings sollte man bei NetGear auch vorsichtig sein, denn die haben sich nicht gerade mit Ruhm bekleckert was das Thema VPN anbetrifft auf deren produkten. Es gibt dort diverse die es erheblich besser können (Draytek).
Das kannst du auch an der Tatsache sehen das alle Windows relevanten Verbindungen ja problemlos beidseitig zwischen beiden Standorten laufen. Das wäre nicht so wenn NAT hier ein Thema wäre.
Gerade DAS ist ja auch der tiefere Sinn eines VPNs das es sich wie eine transparente Standleitung zwischen beiden Netzen verhält !
Dein Problem kann also nur eine Windows Problem sein. Vermutlich in der Tat DNS und die falsche registrierung beider Netze bzw. der korrespondierenden Namen dazu.
Du kannst das ggf. mal umgehen wenn du an einem Client testweise mal den Server statisch in die lmhosts (unter c:\windows\system32\drivers\etc\ ) einträgst ala:
192.168.60.100 server #PRE #DOM:meinedomain # Server
Damit sollte es temporär klappen !
Allerdings sollte man bei NetGear auch vorsichtig sein, denn die haben sich nicht gerade mit Ruhm bekleckert was das Thema VPN anbetrifft auf deren produkten. Es gibt dort diverse die es erheblich besser können (Draytek).
Das kannst du auch an der Tatsache sehen das alle Windows relevanten Verbindungen ja problemlos beidseitig zwischen beiden Standorten laufen. Das wäre nicht so wenn NAT hier ein Thema wäre.
Gerade DAS ist ja auch der tiefere Sinn eines VPNs das es sich wie eine transparente Standleitung zwischen beiden Netzen verhält !
Dein Problem kann also nur eine Windows Problem sein. Vermutlich in der Tat DNS und die falsche registrierung beider Netze bzw. der korrespondierenden Namen dazu.
Du kannst das ggf. mal umgehen wenn du an einem Client testweise mal den Server statisch in die lmhosts (unter c:\windows\system32\drivers\etc\ ) einträgst ala:
192.168.60.100 server #PRE #DOM:meinedomain # Server
Damit sollte es temporär klappen !
Werde es bei Gelegenheit testen.
Habe übrigens den Support angerufen. War eine nette Frau dran, die vermutlich in Tschechien sitzt. Hatte leider nur irgendwie keinen Plan. Meinte ich sollte meine Anmeldedaten im Dynamischen DNS eintragen. Musste Ihr erst einmal den unterschied zwischen Domain und Windows-Domäne erklären.
Fazit: bei der Netgear-Hotline ist leider nichts sinnvolles rausgekommen.
Habe übrigens den Support angerufen. War eine nette Frau dran, die vermutlich in Tschechien sitzt. Hatte leider nur irgendwie keinen Plan. Meinte ich sollte meine Anmeldedaten im Dynamischen DNS eintragen. Musste Ihr erst einmal den unterschied zwischen Domain und Windows-Domäne erklären.
Fazit: bei der Netgear-Hotline ist leider nichts sinnvolles rausgekommen.
...wie nicht anders zu erwarten bei NetGear ! (Siehe die zahllosen Threads hier zu dem Thema !)
Sollte es mit dem Netgear nicht klappen, werde ich das ganze mal mit dem Draytek Vigor 2200VG versuchen. Für so einfaches Netzwerk sollte der vollkommen ausreichend sein.
Ist auf alle Fälle besser als der NetGear und deshalb auch für nicht so einfache Netzwerke geeignet !!
Habe mal versucht den Netbios Namen mit nbtstat auszulösen. Weder nbtstat -A IPADRESSE noch nbtstat -a NETBIOSNAME werden aufgelöst.
Kann das ein Grund sein für den Zugriff auf die Freigaben?
Net view \\Server klappt auch nicht.
Mittlerweile klappt aber das ändern des Kennwortes. Habe DNS noch einmal korrigiert.
Kann das ein Grund sein für den Zugriff auf die Freigaben?
Net view \\Server klappt auch nicht.
Mittlerweile klappt aber das ändern des Kennwortes. Habe DNS noch einmal korrigiert.
Der Eintrag in die lmhosts hat übrigens auch nichts gebracht
Mal ne blöde frage zwischendurch: Muss ich beim Server eigentlich etwas an den RAS - und Routingeinstellungen ändern? Dort gibt es auch eine Option "Sichere Verbindung zwischen zwei Netzen"?! Anderseits hat der Server ja direkt mit dem VPN Tunnel nichts zu tun, da ja die Router den Tunnel aufbauen.
Nein, da musst du nix ändern denn der Server hat ja mit dem Routing rein gar nix zu tun...das machen ja deine VPN Router ganz allein !
Du hast auf alle Fälle ein DNS Problem...das obige sollte in beiden Fällen problemlos klappen wenn der DNS richtig konfiguriert ist.
Ein Net view \\<server_ip> sollte immer klappen !!
Du hast auf alle Fälle ein DNS Problem...das obige sollte in beiden Fällen problemlos klappen wenn der DNS richtig konfiguriert ist.
Ein Net view \\<server_ip> sollte immer klappen !!
Hallo,
das eigentliche Problem konnte ich leider nicht lösen.
Meine Problemlösung bestand nun darin in allen "Häusern" Router (Vigor2200V) der Firma DrayTek zu installieren. Und nun klappt alles wunderbar.
Danke für die Hilfe.
Gruß
das eigentliche Problem konnte ich leider nicht lösen.
Meine Problemlösung bestand nun darin in allen "Häusern" Router (Vigor2200V) der Firma DrayTek zu installieren. Und nun klappt alles wunderbar.
Danke für die Hilfe.
Gruß
