19
Windows Domain und vlan
Guten Tag liebe Community,
mein Kollege und ich haben uns an das Thema vlan und die Gruppierung/Strukturierung unseres Netzwerkes gewagt.
Wir wollen unsere Netz in zwei Bereiche trennen und haben in unseren Router ein neues vlan hinterlegt.
Auch ist ein DHCP Relay Agent hinterlegt der auf unseren DHCP Server verweist.
In beiden Subnetzen bekommen die Rechner sauber Ihre IPs und DNS Server zugewiesen und kommen ins Internet.
Im AD unter Standorte ist das Subnetz hinterlegt, eine Reverse Zone ist im DNS eingerichtet.
Im Moment ist der Router so eingestellt, das ein inter VLAN Routing erlaubt.
Ping vom neuen Netz auf den DC im alten Netz klappt, nach Deaktivierung der Firewalls kann auch der DC den Rechner im neuen Netzt anpingen.
Wenn man in neuen Netzt einen nslookup versucht, kommt Unknown server aber die Richtigen IP des DNS.
Auflösungen klappen aber nicht.
Anmeldungen über die Domain Konten klappen leider auch nicht.
Hat jemand eine Idee, was wir vergessen haben?
Vielen Dank und schon mal ein schönes Wochenende.
mein Kollege und ich haben uns an das Thema vlan und die Gruppierung/Strukturierung unseres Netzwerkes gewagt.
Wir wollen unsere Netz in zwei Bereiche trennen und haben in unseren Router ein neues vlan hinterlegt.
Auch ist ein DHCP Relay Agent hinterlegt der auf unseren DHCP Server verweist.
In beiden Subnetzen bekommen die Rechner sauber Ihre IPs und DNS Server zugewiesen und kommen ins Internet.
Im AD unter Standorte ist das Subnetz hinterlegt, eine Reverse Zone ist im DNS eingerichtet.
Im Moment ist der Router so eingestellt, das ein inter VLAN Routing erlaubt.
Ping vom neuen Netz auf den DC im alten Netz klappt, nach Deaktivierung der Firewalls kann auch der DC den Rechner im neuen Netzt anpingen.
Wenn man in neuen Netzt einen nslookup versucht, kommt Unknown server aber die Richtigen IP des DNS.
Auflösungen klappen aber nicht.
Anmeldungen über die Domain Konten klappen leider auch nicht.
Hat jemand eine Idee, was wir vergessen haben?
Vielen Dank und schon mal ein schönes Wochenende.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 475224
Url: https://administrator.de/forum/windows-domain-und-vlan-475224.html
Ausgedruckt am: 21.04.2025 um 20:04 Uhr
19 Kommentare
Neuester Kommentar
Hi,
E.
Zitat von @mustangberlin:
In beiden Subnetzen bekommen die Rechner sauber Ihre IPs und DNS Server zugewiesen und kommen ins Internet.
Und als DNS-Server wird was verteilt?In beiden Subnetzen bekommen die Rechner sauber Ihre IPs und DNS Server zugewiesen und kommen ins Internet.
E.
Hallo,
was für ein Router, wie wurde zwischen a und b getrennt und liegt dazwischen eine Firewall? Ansonsten solltet Ihr prüfen, ob die Richtlinien passen, oder aber jemanden hin zu ziehen, der nicht nur mutmaßt, gerne kannst du hierfür bspw. auf LKS oder mich zu kommen.
Viele Grüße,
Christian
certifiedit.net
was für ein Router, wie wurde zwischen a und b getrennt und liegt dazwischen eine Firewall? Ansonsten solltet Ihr prüfen, ob die Richtlinien passen, oder aber jemanden hin zu ziehen, der nicht nur mutmaßt, gerne kannst du hierfür bspw. auf LKS oder mich zu kommen.
Viele Grüße,
Christian
certifiedit.net
Es wrden die beiden DNS Server aus dem alten Subnetz verteilt.
Ist ja offensichtlich ein reines DNS Problem !
Fragt sich dann was das in der Rubrik „Netzwerkmanagement“ verloren hat ? Mit SNMP und Co hat das ja rein gar nix zu tun...aber egal.
Fragt sich dann was das in der Rubrik „Netzwerkmanagement“ verloren hat ? Mit SNMP und Co hat das ja rein gar nix zu tun...aber egal.
Naja, mir viel es etwas schwer das Thema einzuordnen. Frage 3 Leute und du bekommst 5 Antworten ob es jetzt DNS, Routing, Firewall oder doch etwas ganz anderes ist.
Kann man denn die Fragen verschieben?
Kann man denn die Fragen verschieben?
Wenn das der Störfaktor ist, übergibt man das Projekt einer Person, die Ahnung hat und die soll die Problematik dann lösen. Natürlich kann es nicht nur eine Antwort geben, da wir das Netz noch nie gesehen haben.
Aha. Und welche sind das? Sind das jene, welche die Zonen für das AD bereitstellen?
Jupp,
Der primäre ist der DC, DHCP und DNS und der andere ist der zweite DC auf den auch der Sekundäre DNS läuft.
Der primäre ist der DC, DHCP und DNS und der andere ist der zweite DC auf den auch der Sekundäre DNS läuft.
Kannst Du vom Client den DNS auf Port 53 anpingen (TCP und UDP) ?
Testen z.B. mit Telnet, PortPing oder PsPing.
Testen z.B. mit Telnet, PortPing oder PsPing.
Normaler Ping läuft in beide Richtungen, den hatte ich schon getestet.
Ports kann ich erst Montag testen, hab auf den Client nichts drauf um von außen zu testen.
Aber Danke für die Anregung, ich werde berichten.
Ports kann ich erst Montag testen, hab auf den Client nichts drauf um von außen zu testen.
Aber Danke für die Anregung, ich werde berichten.
Zitat von @emeriks:
Kannst Du vom Client den DNS auf Port 53 anpingen (TCP und UDP) ?
Testen z.B. mit Telnet, PortPing oder PsPing.
Kannst Du vom Client den DNS auf Port 53 anpingen (TCP und UDP) ?
Testen z.B. mit Telnet, PortPing oder PsPing.
So habe heute früh getestet. Sowohl telnet als auch PSping sagen alles ist gut, Port 53 ist erreichbar.
TCP connect statistics for 192.168.200.1:53:
Sent = 4, Received = 4, Lost = 0 (0% loss),
Minimum = 0.92ms, Maximum = 1.13ms, Average = 1.05msDas gleiche bekomme ich auch, wenn ich den zweiten DNS anpinge.
Dann fehlen Dir höchstwahrscheinlich andere Ports.
135 TCP, UDP
137 TCP, UDP
138 UDP
139 TCP
445 TCP, UDP
389 TCP, UDP
ggf. 636 TCP
3268 TCP
ggf. 3269 TCP
88 TCP, UDP
53 TCP, UDP
135 TCP, UDP
137 TCP, UDP
138 UDP
139 TCP
445 TCP, UDP
389 TCP, UDP
ggf. 636 TCP
3268 TCP
ggf. 3269 TCP
88 TCP, UDP
53 TCP, UDP
Also :
135 --> okay
137 --> abgelehnt
138 --> abgelehnt
139 --> okay
445 --> okay
389 --> okay
636 --> okay
3268 --> okay
3269 --> okay
88 --> okay
fragt sich wieso die 2 Ports zu sind, wir hatten ja zu Testzwecken die Firewall deaktiviert.
Jetzt muss ich aber trotzdem so dumm fragen, wie ich die öffne für ein anderes Subnetz.
Wenn ich mir die Regel auf dem Server ansehe steht da:
Port 137 UDP offen für beliebige IP Adressen, gleiches für 138
Fehlt hier nur die TCP Variante? Aber warum geht es dann im gleichen IP Bereich ohne Probleme?
135 --> okay
137 --> abgelehnt
138 --> abgelehnt
139 --> okay
445 --> okay
389 --> okay
636 --> okay
3268 --> okay
3269 --> okay
88 --> okay
fragt sich wieso die 2 Ports zu sind, wir hatten ja zu Testzwecken die Firewall deaktiviert.
Jetzt muss ich aber trotzdem so dumm fragen, wie ich die öffne für ein anderes Subnetz.
Wenn ich mir die Regel auf dem Server ansehe steht da:
Port 137 UDP offen für beliebige IP Adressen, gleiches für 138
Fehlt hier nur die TCP Variante? Aber warum geht es dann im gleichen IP Bereich ohne Probleme?
wie ich die öffne für ein anderes Subnetz.
Mit einer entsprechenden Firewall Regel !!PERMIT Absender_adresse Maske Ziel_adresse Maske tcp/udp xyz
Wobei xyz der entsprechende TCP oder UDP Zielport ist !
Eigentlich kinderleicht wenn man sich den IP Paket Flow in der FW mal vor Augen führt...!
Aber warum geht es dann im gleichen IP Bereich ohne Probleme?
Weil die Winblows Firewall für IP Pakete die aus dem gleichen IP Netz kommen NICHTS blockt !!Alles andere wird geblockt !!
Zitat von @aqui:
Weil die Winblows Firewall für IP Pakete die aus dem gleichen IP Netz kommen NICHTS blockt !!
Alles andere wird geblockt !!
Na ja ...Weil die Winblows Firewall für IP Pakete die aus dem gleichen IP Netz kommen NICHTS blockt !!
Alles andere wird geblockt !!
Wenn es nur die Windows Firewall auf dem DC ist und an deren Konfiguration vom Admin nichts geändert wurde, dann muss man da nichts weiter einrichten, damit diese auf einem DC die Verbindungen für AD zulässt. Auch nicht für entfernte Netze.
Zitat von @emeriks:
Na ja ...
Wenn es nur die Windows Firewall auf dem DC ist und an deren Konfiguration vom Admin nichts geändert wurde, dann muss man da nichts weiter einrichten, damit diese auf einem DC die Verbindungen für AD zulässt. Auch nicht für entfernte Netze.
Na ja ...
Wenn es nur die Windows Firewall auf dem DC ist und an deren Konfiguration vom Admin nichts geändert wurde, dann muss man da nichts weiter einrichten, damit diese auf einem DC die Verbindungen für AD zulässt. Auch nicht für entfernte Netze.
Hat leider auch nicht geholfen. Hab die Ports auch mal zur Sicherheit auf dem Client Freigegeben
Trotzdem nichts.
Interessant finde ich die anzeige in der Firewall da sehe ich die Kommunikation auf Port 138 wenn ich den PSPing mache aber der Port auf dem geantwortet wird scheint eher zufällig
10.0.0.10 ist das neue Subnetz mit dem Test Client
192.168.200.1 ist der DC+DNS
Es hilft schon wenn man die richtigen Regeln verwendet !!
Dein Kardinalsfehler ist das du sinnloserweise die Absenderports immer mitdefinierst. Da die aber immer Random, also zufällig generiert werden, geht die nächste Session und alle weiteren dann in die Hose.
Vermutlich fehlen Dir hier die Grundkenntnisse einfachster TCP oder UDP Kommunikation was dich an solch simplen Regeln scheitern lässt ?!
Firewalls sind immer stateful.
Fazit:
Regeln überdenken und verstehen und dann den unsinnigen Kauderwelsch von oben korrigieren. Dann aber richtig. Dann klappt das auch sofort.
Dein Kardinalsfehler ist das du sinnloserweise die Absenderports immer mitdefinierst. Da die aber immer Random, also zufällig generiert werden, geht die nächste Session und alle weiteren dann in die Hose.
Vermutlich fehlen Dir hier die Grundkenntnisse einfachster TCP oder UDP Kommunikation was dich an solch simplen Regeln scheitern lässt ?!
Firewalls sind immer stateful.
Fazit:
Regeln überdenken und verstehen und dann den unsinnigen Kauderwelsch von oben korrigieren. Dann aber richtig. Dann klappt das auch sofort.
Okay,
vielleicht zur Klärung:
Das Bild ist unsere Firewall/Router, der ja zwischen den beiden Netzen hängt und wo ich mir die Kommunikation ansehen kann.
Auf der Windows Firewall hämmer ich nur den Assistenten durch(Lokaler/Remote Port, Lokaler/Remote Bereich,Profile,...)
Ich würde mich aber sehr freuen, wenn du mich im Punkto Windows Firewall erleuchten könntest. Dann mir ist wirklich nicht klar was ich da anderes hätte eingeben können/sollen.
vielleicht zur Klärung:
Das Bild ist unsere Firewall/Router, der ja zwischen den beiden Netzen hängt und wo ich mir die Kommunikation ansehen kann.
Auf der Windows Firewall hämmer ich nur den Assistenten durch(Lokaler/Remote Port, Lokaler/Remote Bereich,Profile,...)
Ich würde mich aber sehr freuen, wenn du mich im Punkto Windows Firewall erleuchten könntest. Dann mir ist wirklich nicht klar was ich da anderes hätte eingeben können/sollen.
Ich habe mir jetzt noch mal die Regeln angesehen.
Es gibt ja schon vordefinierte für Port 137/138. Diese sehen genauso aus wie die von mir erstellten.
Und wenn ich meine Regeln lösche und die vordefinierte aktiviere bei denen bei IPs beliebige angekreuzt ist, kann ich trotzdem nicht auf die Ports pingen.
Es gibt ja schon vordefinierte für Port 137/138. Diese sehen genauso aus wie die von mir erstellten.
Und wenn ich meine Regeln lösche und die vordefinierte aktiviere bei denen bei IPs beliebige angekreuzt ist, kann ich trotzdem nicht auf die Ports pingen.
