mustangberlin
Goto Top

Windows Domain und vlan

Guten Tag liebe Community,

mein Kollege und ich haben uns an das Thema vlan und die Gruppierung/Strukturierung unseres Netzwerkes gewagt.
Wir wollen unsere Netz in zwei Bereiche trennen und haben in unseren Router ein neues vlan hinterlegt.
Auch ist ein DHCP Relay Agent hinterlegt der auf unseren DHCP Server verweist.
In beiden Subnetzen bekommen die Rechner sauber Ihre IPs und DNS Server zugewiesen und kommen ins Internet.
Im AD unter Standorte ist das Subnetz hinterlegt, eine Reverse Zone ist im DNS eingerichtet.
Im Moment ist der Router so eingestellt, das ein inter VLAN Routing erlaubt.
Ping vom neuen Netz auf den DC im alten Netz klappt, nach Deaktivierung der Firewalls kann auch der DC den Rechner im neuen Netzt anpingen.
Wenn man in neuen Netzt einen nslookup versucht, kommt Unknown server aber die Richtigen IP des DNS.
Auflösungen klappen aber nicht.
Anmeldungen über die Domain Konten klappen leider auch nicht.

Hat jemand eine Idee, was wir vergessen haben?

Vielen Dank und schon mal ein schönes Wochenende.

Content-Key: 475224

Url: https://administrator.de/contentid/475224

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: emeriks
emeriks 19.07.2019 um 15:55:41 Uhr
Goto Top
Hi,
Zitat von @mustangberlin:
In beiden Subnetzen bekommen die Rechner sauber Ihre IPs und DNS Server zugewiesen und kommen ins Internet.
Und als DNS-Server wird was verteilt?

E.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.07.2019 um 16:41:58 Uhr
Goto Top
Hallo,

was für ein Router, wie wurde zwischen a und b getrennt und liegt dazwischen eine Firewall? Ansonsten solltet Ihr prüfen, ob die Richtlinien passen, oder aber jemanden hin zu ziehen, der nicht nur mutmaßt, gerne kannst du hierfür bspw. auf LKS oder mich zu kommen.

Viele Grüße,

Christian
certifiedit.net
Mitglied: mustangberlin
mustangberlin 19.07.2019 um 16:48:12 Uhr
Goto Top
Zitat von @emeriks:

Und als DNS-Server wird was verteilt?

E.

Es wrden die beiden DNS Server aus dem alten Subnetz verteilt.
Mitglied: aqui
aqui 20.07.2019 um 09:33:43 Uhr
Goto Top
Ist ja offensichtlich ein reines DNS Problem !
Fragt sich dann was das in der Rubrik „Netzwerkmanagement“ verloren hat ? Mit SNMP und Co hat das ja rein gar nix zu tun...aber egal.
Mitglied: mustangberlin
mustangberlin 20.07.2019 um 11:26:30 Uhr
Goto Top
Naja, mir viel es etwas schwer das Thema einzuordnen. Frage 3 Leute und du bekommst 5 Antworten ob es jetzt DNS, Routing, Firewall oder doch etwas ganz anderes ist.
Kann man denn die Fragen verschieben?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 20.07.2019 um 12:38:22 Uhr
Goto Top
Wenn das der Störfaktor ist, übergibt man das Projekt einer Person, die Ahnung hat und die soll die Problematik dann lösen. Natürlich kann es nicht nur eine Antwort geben, da wir das Netz noch nie gesehen haben.
Mitglied: emeriks
emeriks 20.07.2019 um 14:17:39 Uhr
Goto Top
Zitat von @mustangberlin:
Es wrden die beiden DNS Server aus dem alten Subnetz verteilt.
Aha. Und welche sind das? Sind das jene, welche die Zonen für das AD bereitstellen?
Mitglied: mustangberlin
mustangberlin 20.07.2019 um 15:07:56 Uhr
Goto Top
Jupp,
Der primäre ist der DC, DHCP und DNS und der andere ist der zweite DC auf den auch der Sekundäre DNS läuft.
Mitglied: emeriks
emeriks 20.07.2019 aktualisiert um 15:36:06 Uhr
Goto Top
Kannst Du vom Client den DNS auf Port 53 anpingen (TCP und UDP) ?
Testen z.B. mit Telnet, PortPing oder PsPing.
Mitglied: mustangberlin
mustangberlin 20.07.2019 um 21:44:45 Uhr
Goto Top
Normaler Ping läuft in beide Richtungen, den hatte ich schon getestet.
Ports kann ich erst Montag testen, hab auf den Client nichts drauf um von außen zu testen.
Aber Danke für die Anregung, ich werde berichten.
Mitglied: mustangberlin
mustangberlin 22.07.2019 aktualisiert um 08:41:13 Uhr
Goto Top
Zitat von @emeriks:

Kannst Du vom Client den DNS auf Port 53 anpingen (TCP und UDP) ?
Testen z.B. mit Telnet, PortPing oder PsPing.


So habe heute früh getestet. Sowohl telnet als auch PSping sagen alles ist gut, Port 53 ist erreichbar.

TCP connect statistics for 192.168.200.1:53:
  Sent = 4, Received = 4, Lost = 0 (0% loss),
  Minimum = 0.92ms, Maximum = 1.13ms, Average = 1.05ms

Das gleiche bekomme ich auch, wenn ich den zweiten DNS anpinge.
Mitglied: emeriks
emeriks 22.07.2019 um 09:22:06 Uhr
Goto Top
Dann fehlen Dir höchstwahrscheinlich andere Ports.

135 TCP, UDP
137 TCP, UDP
138 UDP
139 TCP
445 TCP, UDP
389 TCP, UDP
ggf. 636 TCP
3268 TCP
ggf. 3269 TCP
88 TCP, UDP
53 TCP, UDP
Mitglied: mustangberlin
mustangberlin 22.07.2019 aktualisiert um 10:10:18 Uhr
Goto Top
Also :

135 --> okay
137 --> abgelehnt
138 --> abgelehnt
139 --> okay
445 --> okay
389 --> okay
636 --> okay
3268 --> okay
3269 --> okay
88 --> okay

fragt sich wieso die 2 Ports zu sind, wir hatten ja zu Testzwecken die Firewall deaktiviert.
Jetzt muss ich aber trotzdem so dumm fragen, wie ich die öffne für ein anderes Subnetz.

Wenn ich mir die Regel auf dem Server ansehe steht da:
Port 137 UDP offen für beliebige IP Adressen, gleiches für 138

Fehlt hier nur die TCP Variante? Aber warum geht es dann im gleichen IP Bereich ohne Probleme?
Mitglied: aqui
aqui 22.07.2019 aktualisiert um 10:21:08 Uhr
Goto Top
wie ich die öffne für ein anderes Subnetz.
Mit einer entsprechenden Firewall Regel !!
PERMIT Absender_adresse Maske Ziel_adresse Maske tcp/udp xyz
Wobei xyz der entsprechende TCP oder UDP Zielport ist !
Eigentlich kinderleicht wenn man sich den IP Paket Flow in der FW mal vor Augen führt...!
Aber warum geht es dann im gleichen IP Bereich ohne Probleme?
Weil die Winblows Firewall für IP Pakete die aus dem gleichen IP Netz kommen NICHTS blockt !!
Alles andere wird geblockt !!
Mitglied: emeriks
emeriks 22.07.2019 um 10:51:41 Uhr
Goto Top
Zitat von @aqui:
Weil die Winblows Firewall für IP Pakete die aus dem gleichen IP Netz kommen NICHTS blockt !!
Alles andere wird geblockt !!
Na ja ...
Wenn es nur die Windows Firewall auf dem DC ist und an deren Konfiguration vom Admin nichts geändert wurde, dann muss man da nichts weiter einrichten, damit diese auf einem DC die Verbindungen für AD zulässt. Auch nicht für entfernte Netze.
Mitglied: mustangberlin
mustangberlin 22.07.2019 aktualisiert um 11:36:45 Uhr
Goto Top
Zitat von @emeriks:

Na ja ...
Wenn es nur die Windows Firewall auf dem DC ist und an deren Konfiguration vom Admin nichts geändert wurde, dann muss man da nichts weiter einrichten, damit diese auf einem DC die Verbindungen für AD zulässt. Auch nicht für entfernte Netze.

Hat leider auch nicht geholfen. Hab die Ports auch mal zur Sicherheit auf dem Client Freigegeben
Trotzdem nichts.

Interessant finde ich die anzeige in der Firewall da sehe ich die Kommunikation auf Port 138 wenn ich den PSPing mache aber der Port auf dem geantwortet wird scheint eher zufällig

firewall_pakets_detail

10.0.0.10 ist das neue Subnetz mit dem Test Client
192.168.200.1 ist der DC+DNS
Mitglied: aqui
aqui 22.07.2019 aktualisiert um 13:38:53 Uhr
Goto Top
Es hilft schon wenn man die richtigen Regeln verwendet !!
Dein Kardinalsfehler ist das du sinnloserweise die Absenderports immer mitdefinierst. Da die aber immer Random, also zufällig generiert werden, geht die nächste Session und alle weiteren dann in die Hose.
Vermutlich fehlen Dir hier die Grundkenntnisse einfachster TCP oder UDP Kommunikation was dich an solch simplen Regeln scheitern lässt ?!
Firewalls sind immer stateful.
Fazit:
Regeln überdenken und verstehen und dann den unsinnigen Kauderwelsch von oben korrigieren. Dann aber richtig. Dann klappt das auch sofort.
Mitglied: mustangberlin
mustangberlin 22.07.2019 um 14:34:33 Uhr
Goto Top
Okay,
vielleicht zur Klärung:
Das Bild ist unsere Firewall/Router, der ja zwischen den beiden Netzen hängt und wo ich mir die Kommunikation ansehen kann.
Auf der Windows Firewall hämmer ich nur den Assistenten durch(Lokaler/Remote Port, Lokaler/Remote Bereich,Profile,...)

Ich würde mich aber sehr freuen, wenn du mich im Punkto Windows Firewall erleuchten könntest. Dann mir ist wirklich nicht klar was ich da anderes hätte eingeben können/sollen.
Mitglied: mustangberlin
mustangberlin 23.07.2019 um 10:53:46 Uhr
Goto Top
Ich habe mir jetzt noch mal die Regeln angesehen.

Es gibt ja schon vordefinierte für Port 137/138. Diese sehen genauso aus wie die von mir erstellten.
Und wenn ich meine Regeln lösche und die vordefinierte aktiviere bei denen bei IPs beliebige angekreuzt ist, kann ich trotzdem nicht auf die Ports pingen.