Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Domain und vlan

Mitglied: mustangberlin

mustangberlin (Level 1) - Jetzt verbinden

19.07.2019 um 15:51 Uhr, 508 Aufrufe, 19 Kommentare

Guten Tag liebe Community,

mein Kollege und ich haben uns an das Thema vlan und die Gruppierung/Strukturierung unseres Netzwerkes gewagt.
Wir wollen unsere Netz in zwei Bereiche trennen und haben in unseren Router ein neues vlan hinterlegt.
Auch ist ein DHCP Relay Agent hinterlegt der auf unseren DHCP Server verweist.
In beiden Subnetzen bekommen die Rechner sauber Ihre IPs und DNS Server zugewiesen und kommen ins Internet.
Im AD unter Standorte ist das Subnetz hinterlegt, eine Reverse Zone ist im DNS eingerichtet.
Im Moment ist der Router so eingestellt, das ein inter VLAN Routing erlaubt.
Ping vom neuen Netz auf den DC im alten Netz klappt, nach Deaktivierung der Firewalls kann auch der DC den Rechner im neuen Netzt anpingen.
Wenn man in neuen Netzt einen nslookup versucht, kommt Unknown server aber die Richtigen IP des DNS.
Auflösungen klappen aber nicht.
Anmeldungen über die Domain Konten klappen leider auch nicht.

Hat jemand eine Idee, was wir vergessen haben?

Vielen Dank und schon mal ein schönes Wochenende.
Mitglied: emeriks
19.07.2019 um 15:55 Uhr
Hi,
Zitat von mustangberlin:
In beiden Subnetzen bekommen die Rechner sauber Ihre IPs und DNS Server zugewiesen und kommen ins Internet.
Und als DNS-Server wird was verteilt?

E.
Bitte warten ..
Mitglied: certifiedit.net
19.07.2019 um 16:41 Uhr
Hallo,

was für ein Router, wie wurde zwischen a und b getrennt und liegt dazwischen eine Firewall? Ansonsten solltet Ihr prüfen, ob die Richtlinien passen, oder aber jemanden hin zu ziehen, der nicht nur mutmaßt, gerne kannst du hierfür bspw. auf LKS oder mich zu kommen.

Viele Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: mustangberlin
19.07.2019 um 16:48 Uhr
Zitat von emeriks:
Und als DNS-Server wird was verteilt?

E.

Es wrden die beiden DNS Server aus dem alten Subnetz verteilt.
Bitte warten ..
Mitglied: aqui
20.07.2019 um 09:33 Uhr
Ist ja offensichtlich ein reines DNS Problem !
Fragt sich dann was das in der Rubrik „Netzwerkmanagement“ verloren hat ? Mit SNMP und Co hat das ja rein gar nix zu tun...aber egal.
Bitte warten ..
Mitglied: mustangberlin
20.07.2019 um 11:26 Uhr
Naja, mir viel es etwas schwer das Thema einzuordnen. Frage 3 Leute und du bekommst 5 Antworten ob es jetzt DNS, Routing, Firewall oder doch etwas ganz anderes ist.
Kann man denn die Fragen verschieben?
Bitte warten ..
Mitglied: certifiedit.net
20.07.2019 um 12:38 Uhr
Wenn das der Störfaktor ist, übergibt man das Projekt einer Person, die Ahnung hat und die soll die Problematik dann lösen. Natürlich kann es nicht nur eine Antwort geben, da wir das Netz noch nie gesehen haben.
Bitte warten ..
Mitglied: emeriks
20.07.2019 um 14:17 Uhr
Zitat von mustangberlin:
Es wrden die beiden DNS Server aus dem alten Subnetz verteilt.
Aha. Und welche sind das? Sind das jene, welche die Zonen für das AD bereitstellen?
Bitte warten ..
Mitglied: mustangberlin
20.07.2019 um 15:07 Uhr
Jupp,
Der primäre ist der DC, DHCP und DNS und der andere ist der zweite DC auf den auch der Sekundäre DNS läuft.
Bitte warten ..
Mitglied: emeriks
20.07.2019, aktualisiert um 15:36 Uhr
Kannst Du vom Client den DNS auf Port 53 anpingen (TCP und UDP) ?
Testen z.B. mit Telnet, PortPing oder PsPing.
Bitte warten ..
Mitglied: mustangberlin
20.07.2019 um 21:44 Uhr
Normaler Ping läuft in beide Richtungen, den hatte ich schon getestet.
Ports kann ich erst Montag testen, hab auf den Client nichts drauf um von außen zu testen.
Aber Danke für die Anregung, ich werde berichten.
Bitte warten ..
Mitglied: mustangberlin
22.07.2019, aktualisiert um 08:41 Uhr
Zitat von emeriks:

Kannst Du vom Client den DNS auf Port 53 anpingen (TCP und UDP) ?
Testen z.B. mit Telnet, PortPing oder PsPing.


So habe heute früh getestet. Sowohl telnet als auch PSping sagen alles ist gut, Port 53 ist erreichbar.

01.
TCP connect statistics for 192.168.200.1:53:
02.
  Sent = 4, Received = 4, Lost = 0 (0% loss),
03.
  Minimum = 0.92ms, Maximum = 1.13ms, Average = 1.05ms
Das gleiche bekomme ich auch, wenn ich den zweiten DNS anpinge.
Bitte warten ..
Mitglied: emeriks
22.07.2019 um 09:22 Uhr
Dann fehlen Dir höchstwahrscheinlich andere Ports.

135 TCP, UDP
137 TCP, UDP
138 UDP
139 TCP
445 TCP, UDP
389 TCP, UDP
ggf. 636 TCP
3268 TCP
ggf. 3269 TCP
88 TCP, UDP
53 TCP, UDP
Bitte warten ..
Mitglied: mustangberlin
22.07.2019, aktualisiert um 10:10 Uhr
Also :

135 --> okay
137 --> abgelehnt
138 --> abgelehnt
139 --> okay
445 --> okay
389 --> okay
636 --> okay
3268 --> okay
3269 --> okay
88 --> okay

fragt sich wieso die 2 Ports zu sind, wir hatten ja zu Testzwecken die Firewall deaktiviert.
Jetzt muss ich aber trotzdem so dumm fragen, wie ich die öffne für ein anderes Subnetz.

Wenn ich mir die Regel auf dem Server ansehe steht da:
Port 137 UDP offen für beliebige IP Adressen, gleiches für 138

Fehlt hier nur die TCP Variante? Aber warum geht es dann im gleichen IP Bereich ohne Probleme?
Bitte warten ..
Mitglied: aqui
22.07.2019, aktualisiert um 10:21 Uhr
wie ich die öffne für ein anderes Subnetz.
Mit einer entsprechenden Firewall Regel !!
PERMIT Absender_adresse Maske Ziel_adresse Maske tcp/udp xyz
Wobei xyz der entsprechende TCP oder UDP Zielport ist !
Eigentlich kinderleicht wenn man sich den IP Paket Flow in der FW mal vor Augen führt...!
Aber warum geht es dann im gleichen IP Bereich ohne Probleme?
Weil die Winblows Firewall für IP Pakete die aus dem gleichen IP Netz kommen NICHTS blockt !!
Alles andere wird geblockt !!
Bitte warten ..
Mitglied: emeriks
22.07.2019 um 10:51 Uhr
Zitat von aqui:
Weil die Winblows Firewall für IP Pakete die aus dem gleichen IP Netz kommen NICHTS blockt !!
Alles andere wird geblockt !!
Na ja ...
Wenn es nur die Windows Firewall auf dem DC ist und an deren Konfiguration vom Admin nichts geändert wurde, dann muss man da nichts weiter einrichten, damit diese auf einem DC die Verbindungen für AD zulässt. Auch nicht für entfernte Netze.
Bitte warten ..
Mitglied: mustangberlin
22.07.2019, aktualisiert um 11:36 Uhr
Zitat von emeriks:

Na ja ...
Wenn es nur die Windows Firewall auf dem DC ist und an deren Konfiguration vom Admin nichts geändert wurde, dann muss man da nichts weiter einrichten, damit diese auf einem DC die Verbindungen für AD zulässt. Auch nicht für entfernte Netze.

Hat leider auch nicht geholfen. Hab die Ports auch mal zur Sicherheit auf dem Client Freigegeben
Trotzdem nichts.

Interessant finde ich die anzeige in der Firewall da sehe ich die Kommunikation auf Port 138 wenn ich den PSPing mache aber der Port auf dem geantwortet wird scheint eher zufällig

firewall_pakets_detail - Klicke auf das Bild, um es zu vergrößern

10.0.0.10 ist das neue Subnetz mit dem Test Client
192.168.200.1 ist der DC+DNS
Bitte warten ..
Mitglied: aqui
22.07.2019, aktualisiert um 13:38 Uhr
Es hilft schon wenn man die richtigen Regeln verwendet !!
Dein Kardinalsfehler ist das du sinnloserweise die Absenderports immer mitdefinierst. Da die aber immer Random, also zufällig generiert werden, geht die nächste Session und alle weiteren dann in die Hose.
Vermutlich fehlen Dir hier die Grundkenntnisse einfachster TCP oder UDP Kommunikation was dich an solch simplen Regeln scheitern lässt ?!
Firewalls sind immer stateful.
Fazit:
Regeln überdenken und verstehen und dann den unsinnigen Kauderwelsch von oben korrigieren. Dann aber richtig. Dann klappt das auch sofort.
Bitte warten ..
Mitglied: mustangberlin
22.07.2019 um 14:34 Uhr
Okay,
vielleicht zur Klärung:
Das Bild ist unsere Firewall/Router, der ja zwischen den beiden Netzen hängt und wo ich mir die Kommunikation ansehen kann.
Auf der Windows Firewall hämmer ich nur den Assistenten durch(Lokaler/Remote Port, Lokaler/Remote Bereich,Profile,...)

Ich würde mich aber sehr freuen, wenn du mich im Punkto Windows Firewall erleuchten könntest. Dann mir ist wirklich nicht klar was ich da anderes hätte eingeben können/sollen.
Bitte warten ..
Mitglied: mustangberlin
23.07.2019 um 10:53 Uhr
Ich habe mir jetzt noch mal die Regeln angesehen.

Es gibt ja schon vordefinierte für Port 137/138. Diese sehen genauso aus wie die von mir erstellten.
Und wenn ich meine Regeln lösche und die vordefinierte aktiviere bei denen bei IPs beliebige angekreuzt ist, kann ich trotzdem nicht auf die Ports pingen.
Bitte warten ..
Ähnliche Inhalte
Windows 10
Windows 10 Domain Join
Frage von BigFoley2010Windows 106 Kommentare

Hallo, Wir haben in der Firma einen Laptop von Medion mit Windows 8.1 Pro geupgraded auf Windows 10 mit ...

Netzwerkgrundlagen
Windows DHCP Server und VLAN
gelöst Frage von KnettenbrechNetzwerkgrundlagen16 Kommentare

Hallöle! :) Da mir hier bei meinem Einstieg in die VLAN Welt super geholfen wurde, möchte ich mich wieder ...

Netzwerkmanagement
VLAN - vom Default vLan ins vLAN 10
gelöst Frage von DaPeddaNetzwerkmanagement2 Kommentare

Hallo zusammen, ich stehe vor der Aufgabe, VM's hosted by iSCSI von einem Rack in ein neues umzusiedeln; und ...

Suse
SLES in Windows-Domain integrieren
Frage von YannoschSuse2 Kommentare

Guten Tag zusammen, vorneweg, ich bin kein Linux Experte & daher nur bedingt erfahren. Ich habe eine VM mit ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 1 TagHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 2 TagenHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 2 TagenHumor (lol)17 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 2 TagenWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Windows 10
Windows 10 druckt nicht mehrere Kopien?
Frage von StefanKittelWindows 1015 Kommentare

Hallo, ich hatte gerade einen Anruf eines Kunden. Sein neuer PC (Win 10 1903) druckt nicht mehr mehrere Seiten ...

Verschlüsselung & Zertifikate
Mit BitLocker verschlüsselte Festplatte löschen?
gelöst Frage von SnowbirdVerschlüsselung & Zertifikate14 Kommentare

Hallo, ich habe eine mit Bitlocker verschlüsselte externe Festplatte. Diese möchte ich gerne löschen sodass nichts mehr auffindbar ist. ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...