9
LDAP via VPN geht nur einmal
Hintergrund ..
Wir hatten bisher ein gemischtes System mit zwei Domänqnservern (2003 und 2012). Das Active Directory war somit eine 2003 Struktur. Nun ging der 2003 Server kaputt, wodurch wir nun nur noch den Windows 2012 Server mit hochgestuftem Active Directory in Betrieb haben. Wir haben alle FSMOs auf den neuen Server übertragen. Auch Routing und RAS - zuvor auf Windows 2003 Server - wird nun durch den neuen Server 2012 bereitgestellt.
Einsatz von LDAP ..
Wir verwalten die Netzwerkbenutzer über eine Access Datenbank mittels LDAP. Die Datenbank befindet sich auf PCs (VISTA, Windows 7) außerhalb der zu verwaltenden Domäne (in anderen Domäne). Über VPN stellen wir eine Verbindung zu der zu verwaltenden Domäne her und führen alle Änderungen mittels LDAP durch.
Nun zu unserem Problem ..
Seit der Umstellung auf Windows 2012 Server kann ich nur genau einmal eine zuvor eingerichtete VPN Einwahlverbindung verwenden, um via LDAP den Domänen-Server anzusprechen. Trenne ich die Verbindung und baue sie erneut auf, kann via LDAP nicht mehr auf das Active Directory zugegriffen werden.
Löschen wir die Einwahlverbindung (VPN) und richten sie erneut ein, dann geht beim ersten Mal der LDAP-Zugriff wieder, usw.
All dies hat über Jahre problemlos funktioniert und jetzt so 'was ;-(
WIR SIND KOMPLETT RATLOS und hoffen auf eure Hilfe.
Wir hatten bisher ein gemischtes System mit zwei Domänqnservern (2003 und 2012). Das Active Directory war somit eine 2003 Struktur. Nun ging der 2003 Server kaputt, wodurch wir nun nur noch den Windows 2012 Server mit hochgestuftem Active Directory in Betrieb haben. Wir haben alle FSMOs auf den neuen Server übertragen. Auch Routing und RAS - zuvor auf Windows 2003 Server - wird nun durch den neuen Server 2012 bereitgestellt.
Einsatz von LDAP ..
Wir verwalten die Netzwerkbenutzer über eine Access Datenbank mittels LDAP. Die Datenbank befindet sich auf PCs (VISTA, Windows 7) außerhalb der zu verwaltenden Domäne (in anderen Domäne). Über VPN stellen wir eine Verbindung zu der zu verwaltenden Domäne her und führen alle Änderungen mittels LDAP durch.
Nun zu unserem Problem ..
Seit der Umstellung auf Windows 2012 Server kann ich nur genau einmal eine zuvor eingerichtete VPN Einwahlverbindung verwenden, um via LDAP den Domänen-Server anzusprechen. Trenne ich die Verbindung und baue sie erneut auf, kann via LDAP nicht mehr auf das Active Directory zugegriffen werden.
Löschen wir die Einwahlverbindung (VPN) und richten sie erneut ein, dann geht beim ersten Mal der LDAP-Zugriff wieder, usw.
All dies hat über Jahre problemlos funktioniert und jetzt so 'was ;-(
WIR SIND KOMPLETT RATLOS und hoffen auf eure Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 274831
Url: https://administrator.de/contentid/274831
Printed on: April 25, 2024 at 08:04 o'clock
9 Comments
Latest comment
Hallo,
ihr habe ein AD (ist ein LDAP) und macht die benutzerverfaltung(für was auch immer) in einer Access Datenbank die über LDAP (openLDAP?) mit irgendwas angesprochen wird und auf ener Workstation bereitgestellt wird?
Zum VPN, ist die VPN Verbindung nur dan eingeschaltet wenn ihr was mit dem LDAP macht oder permanent?
Wenn nicht permanent, schonmal umgestelt auf permanent?
Was für ein VPN?
Was für Einstellungen?
Was sagen die Logs gerade in Bezug auf das VPN an beiden Endpunkten?
Es kann passieren das ein VPN auf einer Seite abbricht und die gegenstelle nix mitbekommt und so tut als wäre die Verbindung noch aktiv, aber Daten können nicht ausgetauscht werden, bis die Verbindung an unterbrochen und neu aufgebaut wird.
Klingt so als würde der Server2012 einen Abbruch der Verbindung nicht mitbekommen.
Gruß
Chonta
ihr habe ein AD (ist ein LDAP) und macht die benutzerverfaltung(für was auch immer) in einer Access Datenbank die über LDAP (openLDAP?) mit irgendwas angesprochen wird und auf ener Workstation bereitgestellt wird?
Zum VPN, ist die VPN Verbindung nur dan eingeschaltet wenn ihr was mit dem LDAP macht oder permanent?
Wenn nicht permanent, schonmal umgestelt auf permanent?
Was für ein VPN?
Was für Einstellungen?
Was sagen die Logs gerade in Bezug auf das VPN an beiden Endpunkten?
Es kann passieren das ein VPN auf einer Seite abbricht und die gegenstelle nix mitbekommt und so tut als wäre die Verbindung noch aktiv, aber Daten können nicht ausgetauscht werden, bis die Verbindung an unterbrochen und neu aufgebaut wird.
Klingt so als würde der Server2012 einen Abbruch der Verbindung nicht mitbekommen.
Gruß
Chonta
Wir verwenden PPTP. Die VPN-Verbindung wird nur (kurz) für die Verwaltung des ADs aufgebaut. Die Einstellungen sind einfach die Standard-Vorgagen; wir konfigurieren nichts zusätzlich.
Diese Vpn-Verbindungen brechen garantiert nicht ab, da wir nach wie vor Remote-Desktop-Verbindungen aufbauen können. Auch können wir auf alle Freigaben im verbundenen Netzwerk zugreifen.
Diese Vpn-Verbindungen brechen garantiert nicht ab, da wir nach wie vor Remote-Desktop-Verbindungen aufbauen können. Auch können wir auf alle Freigaben im verbundenen Netzwerk zugreifen.
Ist der Thread jetzt damit gelöst oder warum hat ihn der TO auf gelöst geklickt ?!
Nein, das Thema ist nicht gelöst. Ich habe meines Wissens nicht auf den Lösungsbutton geklickt und habe den Status des Threads daher wieder zurückgesetzt.
Mittlerweile liegen weitere Untersuchungsergebnisse vor. Ich fasse einmal den Kenntnisstand zusammen:
- Wird die VPN-Verbindung getrennt und wieder aufgebaut, so funktioniert der Zugriff auf das Active Directory nicht mehr.
- Meldet man sich beim zweiten Aufbau der VPN-Sitzung mit einem anderen Admin-Account an, funktioniert der LDAP-Zugriff.
- Immer wenn man beim Aufbau der VPN-Verbindung ein zweites Mal derselben Admin-Account verwendet, geht's nicht.
- Starte ich den Client neu, kann ich die alten VPN-Verbindungen verwenden wie nach einer Neueinrichtung: Wiederum kann jeder Admin-Account wie zuvor beschrieben genau einmal verwenden.
Nach wie vor warte verzweifelt auf Hilfe.
Mittlerweile liegen weitere Untersuchungsergebnisse vor. Ich fasse einmal den Kenntnisstand zusammen:
- Wird die VPN-Verbindung getrennt und wieder aufgebaut, so funktioniert der Zugriff auf das Active Directory nicht mehr.
- Meldet man sich beim zweiten Aufbau der VPN-Sitzung mit einem anderen Admin-Account an, funktioniert der LDAP-Zugriff.
- Immer wenn man beim Aufbau der VPN-Verbindung ein zweites Mal derselben Admin-Account verwendet, geht's nicht.
- Starte ich den Client neu, kann ich die alten VPN-Verbindungen verwenden wie nach einer Neueinrichtung: Wiederum kann jeder Admin-Account wie zuvor beschrieben genau einmal verwenden.
Nach wie vor warte verzweifelt auf Hilfe.
Hallo,
auf der einen Seite wird die Verbindung nur kurz für die VErwaltung aufgebaut und dann ist sie dennoch für Freigabenzugriffe offen?
Klingt wiedersprüchlich.
Was sagt der wireshark , bis wohin geht eine neue LDAP-Anfrage überhaupt?
Gruß
Chonta
auf der einen Seite wird die Verbindung nur kurz für die VErwaltung aufgebaut und dann ist sie dennoch für Freigabenzugriffe offen?
Klingt wiedersprüchlich.
Was sagt der wireshark , bis wohin geht eine neue LDAP-Anfrage überhaupt?
Gruß
Chonta
Hallo Chonta,
erst einmal vielen Dank für deine Unterstützung!
In meinem Beitrag vor deinem - wir haben wohl zeitgleich geschrieben - findest du weitere Details.
Nun zu deinen Fragen ..
- Vorab: Die VPN-Verbindung bleibt konstant bestehen, bis ich sie trenne. Beim ersten Verbindungsaufbau nach deren Einrichtung funktioniert auch LDAP ohne Einschränkungen.
- Ich kann die VPN-Verbindungen stets für alle Dienste, die an diese Verbindung angekoppelt sind, verwenden. Nur die LDAP-Abfragen machen ab dem zweiten Verbindungsaufbau Schwierigkeiten.
- wireshark kenne ich leider nicht. Dennoch ist nach meinen bisherigen Analysen wohl klar: Beim zweiten Mal bekommt mein Client vom AD keine Antwort mehr.
Mittlerweile habe ich einen Verdacht:
Wenn eine sog. SessionID - wie das ja im INet häufig geschieht - vereinbart wird, so scheint der Client oder Server diese beim Trennen der VPN-Verbindung zu verwerfen, während der jeweils andere Partner diese beibehält.
erst einmal vielen Dank für deine Unterstützung!
In meinem Beitrag vor deinem - wir haben wohl zeitgleich geschrieben - findest du weitere Details.
Nun zu deinen Fragen ..
- Vorab: Die VPN-Verbindung bleibt konstant bestehen, bis ich sie trenne. Beim ersten Verbindungsaufbau nach deren Einrichtung funktioniert auch LDAP ohne Einschränkungen.
- Ich kann die VPN-Verbindungen stets für alle Dienste, die an diese Verbindung angekoppelt sind, verwenden. Nur die LDAP-Abfragen machen ab dem zweiten Verbindungsaufbau Schwierigkeiten.
- wireshark kenne ich leider nicht. Dennoch ist nach meinen bisherigen Analysen wohl klar: Beim zweiten Mal bekommt mein Client vom AD keine Antwort mehr.
Mittlerweile habe ich einen Verdacht:
Wenn eine sog. SessionID - wie das ja im INet häufig geschieht - vereinbart wird, so scheint der Client oder Server diese beim Trennen der VPN-Verbindung zu verwerfen, während der jeweils andere Partner diese beibehält.
Mühsam ernährt sich das Eichhörnchen ..
Mittlerweile habe ich eine heiße Spur. Der alte Domain Server, der aus dem Active Directory gelöscht wurde, ist wohl in Überresten noch immer vorhanden. Beispielsweise steht seine IP - die ja nicht mehr existiert - immer noch als DNS Eintrag in der VPN-Schnittstelle, wie ipconfig /all anzeigt.
Ich habe alle Einträge im DNS und DHCP des neuen Servers - der ja als Domänen-Controller alles von dem ausgeschiedenen Server übernommen hat - auf die Einträge zum alten Server untersucht. Alles was ich diesbezüglich fand habe ich gelöscht. Dennoch bekommen meine Clients bei einer VPN-Verbindung immer noch den alten, nicht mehr existierenden DNS-Server übergeben.
In den Bereichsoptionen, die doch eigentlich hierfür verantwortlich sein sollten, steht der neu und richtige DNS Server.
Mittlerweile habe ich eine heiße Spur. Der alte Domain Server, der aus dem Active Directory gelöscht wurde, ist wohl in Überresten noch immer vorhanden. Beispielsweise steht seine IP - die ja nicht mehr existiert - immer noch als DNS Eintrag in der VPN-Schnittstelle, wie ipconfig /all anzeigt.
Ich habe alle Einträge im DNS und DHCP des neuen Servers - der ja als Domänen-Controller alles von dem ausgeschiedenen Server übernommen hat - auf die Einträge zum alten Server untersucht. Alles was ich diesbezüglich fand habe ich gelöscht. Dennoch bekommen meine Clients bei einer VPN-Verbindung immer noch den alten, nicht mehr existierenden DNS-Server übergeben.
In den Bereichsoptionen, die doch eigentlich hierfür verantwortlich sein sollten, steht der neu und richtige DNS Server.
Und hier die Lösung des Problems ..
Obwohl ich alle Einträge des alten, nicht mehr existierenden Servers aus DHCP und DNS gelöscht hatte und durch die neuen, korrekten Werte eingetragen hatte, war - wie oben geschrieben - der via VPN übergeben DNS durch die IP des nicht mehr existierenden Servers angegeben. Windows schert sich einen Teufel um die Eintragungen in DHCP und DNS und gibt stattdessen den im IP4 Protokoll eingetragenen DNS der Netzwerkschnittstelle an, über die die VPN-Verbindung aufgebaut wird.
Obwohl ich alle Einträge des alten, nicht mehr existierenden Servers aus DHCP und DNS gelöscht hatte und durch die neuen, korrekten Werte eingetragen hatte, war - wie oben geschrieben - der via VPN übergeben DNS durch die IP des nicht mehr existierenden Servers angegeben. Windows schert sich einen Teufel um die Eintragungen in DHCP und DNS und gibt stattdessen den im IP4 Protokoll eingetragenen DNS der Netzwerkschnittstelle an, über die die VPN-Verbindung aufgebaut wird.
Hallo,
freut mich das DU es lösen konntest.
VPN-Einstellungen überschreiben in der Regel die Einstellungen für DNS und so, wenn diese explezit mitgegeben werden.
Gruß
Chonta
freut mich das DU es lösen konntest.
VPN-Einstellungen überschreiben in der Regel die Einstellungen für DNS und so, wenn diese explezit mitgegeben werden.
Gruß
Chonta
