pcfrgadmit
Goto Top

Windows Server und Clients mit zwei IP-Adressen auf einem Netzwerkadapter

Sehr geehrtes Administrator.de Team,
Ich habe folgendes Problem:
Bevor die IT-Firma etwas änderte war folgender Aufbau vorzufinden:
Es gibt einen Server der die Dienste Active Directory, DNS und die Benutzerverwaltung übernimmt.
Dazu gibt es 10 Clients in der Domäne.
Der Server und die Clients waren alle in einem 24er Subnetz.
In diesem Netz war auch ein Gerät von der IT-Firma welches VPN-Verbindungen zu verschiedenen Servern aufbaut.
Dahinter wurde eine Firewall geschaltet hinter der sich ein Router befand.

Vor kurzen kam die IT-Firma die für das System zuständig ist, da es eine Umstellung auf eine neues Produkt gab.
Jetzt hat die IT-Firma folgendes konfiguriert:
Der Server und die Clients haben jetzt auf derselben Netzwerkkarte eine weitere IP-Adresse hinzugefügt bekommen.
Das Gerät das früher die VPN-Verbindungen aufbaute wurde durch ein anderes Gerät ersetzt und ist in dem IP-Bereich den der Server und die Computer als zweite IP-Adresse bekommen haben.
Desweiteren wurde von der IT-Firma Routen auf jedem Client und auf dem Server angelegt umin das neue Netz zu kommen.

Ist es normal das Clients und vor allem ein Active Directory Server 2 IP-Adressen auf demselben Netzwerkadapter haben?
Ich habe mal im Internet recherchiert.
Dort wird mir aber immer davon abgeraten dies zu konfigurieren.

Ich habe den DNS Eintrag in dem Server schon entfernt, sodass nur noch auf die erste IP-Adresse verwiesen wird, wenn er eine DNS-Anfrage bekommt welche IP-Adresse der Server hat.
Bei der Firewall habe ich auch eingetragen das der Server nur auf die erste IP-Adresse ansprechbar ist.

Trotz allem kommt es manchmal zu Totalausfällen von dem VPN-Gerät von der IT-Firma welches die VPN-Verbindung aufbaut.
Teilweise müssen die Clients mehrfach neugestartet werden damit das VPN-Gerät eine Verbindung aufbaut und damit die Clients den Server finden.
Ich habe keinen Zugriff auf das VPN Gerät und die IT-Firma hat eine externe Firma beauftragt diese Gerät zu installieren und hat somit auch keinen Zugriff und kennt sich anscheinend mit diesem Gerät überhaupt nicht aus.

Könnt ihr mit weitere Tipps geben wie ich das System (Active Directory) stabiler einstellen kann damit wenigstens die Clients ihren Server immer finden sobald diese starten.
Gibt es eine Möglichkeit auch wenn man nicht auf das VPN-Gerät zugreifen kann irgendwie zu prüfen warum die VPN-Verbindung immer mal wieder ausfällt.

Content-ID: 51655783121

Url: https://administrator.de/forum/windows-server-und-clients-mit-zwei-ip-adressen-auf-einem-netzwerkadapter-51655783121.html

Ausgedruckt am: 30.12.2024 um 16:12 Uhr

Xaero1982
Xaero1982 25.06.2024 um 20:58:33 Uhr
Goto Top
Moin,

vielleicht solltest du uns erstmal erklären was der Sinn dieses VPN Tunnels sein soll?!

Und vielleicht sollte man sich dann eine IT-Bude ins Haus holen, die sich mit IT auskennt und nicht irgendwelches wildes Gebastel betreibt.

Grüße
em-pie
em-pie 25.06.2024 um 21:17:17 Uhr
Goto Top
Moin,

Zitat von @Xaero1982:

Moin,

vielleicht solltest du uns erstmal erklären was der Sinn dieses VPN Tunnels sein soll?!
Ich glaube, dass der TO das nicht kann (fehlendes Wissen, was OK ist) und eigentlich deswegen eine Fachfirma geholt hat.

Und vielleicht sollte man sich dann eine IT-Bude ins Haus holen, die sich mit IT auskennt und nicht irgendwelches wildes Gebastel betreibt.
Da bin ich auch für!

Die aktuelle Firma zunächst mal zurückholen und erklären lassen, was die da warum gemacht haben. Und dann ggf. Um (kostenfreie) Nachbesserung bitten.
Das klingt, im ersten Moment und ohne tieferes Wissen in die Gegebenheit (meinerseits), sehr danach, dass die aktuelle Firma selbst nicht weiß, was Routing ist…
Pcfrgadmit
Pcfrgadmit 25.06.2024 um 21:25:26 Uhr
Goto Top
Hallo Xaero1982,

vielen Dank für Deine schnelle Antwort

mit der IT-Firma besteht zurzeit ein fester Vertrag, welcher auch die Software beinhaltet.
Die Software wird von der IT-Firma selber entwickelt und vertrieben.
Die IT-Firma hat mehrere tausend Beschäftigte und ist im diesem Segement sehr stark vertreten.

Wenn man sich eine andere IT-Firma die die gleiche Art an Software vertreibt suchen würde müsste man das gesamte System auf die neue Software abstimmen und sämtliche Daten von der alten Software in die neue Software einfügen.

Deswegen ist ein Umstieg auf eine neue Firma erstmal keine Option.

Der Sinn des VPN-Tunnels ist das die Software über das VPN-Gerät Daten an die Server von der IT-Firma sendet.
maretz
maretz 25.06.2024 um 21:26:18 Uhr
Goto Top
Das beste was du tun kannst: in nem bereits verwursteten und instabilen System an der Konfig Schrauben. Dann erlaubt du nämlich dem Dienstleister direkt die "du hast es kaputt gemacht"-karte zu ziehen und die nötige repa (also deren eigenen kram) auf zusatzrechnung zu beheben weil out of scope... schneller wirst du dein Geld nur los wenn du es direkt verbrennst. Oder du machst bei denen nen ticket auf und lässt die den Kram fixen
Xaero1982
Xaero1982 25.06.2024 um 22:08:30 Uhr
Goto Top
So kann man sich auch abhängig machen von einem Dienstleister, der offenbar ziemlich unfähig ist.

Sind die nicht in der Lage in der Firewall einen stinknormalen IPSEC VPN Tunnel mit eurem Netzwerk aufzubauen, den dann alle Mitarbeiter/PCs nutzen können um dann auf die Server von der IT-Firma zugreifen zu können?

Mehrere tausend Beschäftigte und so ein simples Konstrukt macht Probleme? Wer ist das? Fängt die Firma mit B an oder C?

Ansonsten, wie Maretz schrieb: Ticket öffnen und Finger weg vom System.
MysticFoxDE
MysticFoxDE 25.06.2024 um 22:25:54 Uhr
Goto Top
Moin @Xaero1982,

Mehrere tausend Beschäftigte und so ein simples Konstrukt macht Probleme? Wer ist das? Fängt die Firma mit B an oder C?

ich glaube ich weis genau wenn du meinst. 😉

Die mit B haben bei einem unserer Kunden mal versucht zwei Standorte, die leider aufgrund historischen Wachstums denselben IT-Bereich hatten, per S2S miteinander zu koppeln und erst dem 5 Techniker, ist nach Monaten dann aufgefallen, dass das so überhaupt nicht geht. 🙃

Gruss Alex
MysticFoxDE
MysticFoxDE 25.06.2024 um 22:32:11 Uhr
Goto Top
Moin @Pcfrgadmit,

Der Server und die Clients haben jetzt auf derselben Netzwerkkarte eine weitere IP-Adresse hinzugefügt bekommen.
Das Gerät das früher die VPN-Verbindungen aufbaute wurde durch ein anderes Gerät ersetzt und ist in dem IP-Bereich den der Server und die Computer als zweite IP-Adresse bekommen haben.
Desweiteren wurde von der IT-Firma Routen auf jedem Client und auf dem Server angelegt umin das neue Netz zu kommen.

😧 ... 😵‍💫 ... 😖 ... 🙈

na ja, mag sein das die sich hoffentlich mit der Software auskennen, für das Thema Netzwerk
benötigst du jedoch definitiv einen fähigeren Dienstleister.

<Sarkasmus>
Oder haben die euch etwa einen Azubi aus dem ersten Jahr geschickt, der vor seiner Ausbildung noch nie eine Tastatur gesehen hat?
</Sarkasmus>

Gruss Alex
Lochkartenstanzer
Lochkartenstanzer 25.06.2024 um 23:30:31 Uhr
Goto Top
Moin,

Ist es normal das Clients und vor allem ein Active Directory Server 2 IP-Adressen auf demselben Netzwerkadapter haben?

Normal ist es nicht. Man kann so etwas unter besonderen Umständen schon konfigurieren, muß dann aber schon ziemlich genau wissen was man da treibt. Funtkioniert dann auch nur dann korrekt, wenn man alle Eventualitäten berücksichtigt hat, was bei Euch nicht er Fall zu sein scheint.

Warum die Firma das bei Euch gemacht hat, hast Du uns leider nciht verraten, bzw. diese Firma Euch nciht verraten.

Ich würde die Firma auffordern, Euch genau zu erklären, warum und wieseo sie das gemacht hat und denen reindrücken, daß seitdem Euer Netz spinnt. Ich vermute mal daß es an einem IP-Netz-Konflikt liegt. Aber dann hätte man bei einem so kleinen Netz einfach das IP-netz wechseln sollen, statt zwei IP-Netze auf demselben netz zu betreiben. Notfalls hätte man einfach einen NAT-Router dazwischenschalten können.

Mein Rat:

Laßt Euch von der Firma erklären, warum sie solchen Murks gemacht haben und vor allem fordert sie zur Nachbesserung auf.

lks
kpunkt
kpunkt 26.06.2024 aktualisiert um 06:51:15 Uhr
Goto Top
Zitat von @Pcfrgadmit:

Ich habe den DNS Eintrag in dem Server schon entfernt, sodass nur noch auf die erste IP-Adresse verwiesen wird, wenn er eine DNS-Anfrage bekommt welche IP-Adresse der Server hat.
Bei der Firewall habe ich auch eingetragen das der Server nur auf die erste IP-Adresse ansprechbar ist.

Das kann dir jetzt auf die Füße fallen.

Generell würde ich empfehlen, dass du das alles bei der Geschäftsleitung vorträgst. Aber aufpassen! In deinem Beitrag habe ich erst dann von "Totalausfällen" gelesen NACHDEM du beschrieben hast, was du an der IT selbständig geändert hast.
Kam es vorher zu keinen Problemen, dann hat diese Firma das Konstrukt etwas ungewöhnlich angelegt, war aber scheinbar voll funktionstüchtig und die abgeschlossenen Verträge wurden erfüllt.

Kam es hingegen schon vorher zu den Ausfällen, dann muss die Firma eben nachbessern. Auch das dürfte vertraglich geregelt sein.
Es gilt hier tatsächlich das, was die Geschäftsleitung haben will. Du kannst und sollst da jetzt nur deine Bedenken zum Ausdruck bringen. Wenn ein Umstieg aber sowieso keine Option ist, dann muss das eher als Großprojekt angesehen werden.
cse
cse 26.06.2024 um 08:37:29 Uhr
Goto Top
Zitat von @Xaero1982:

Mehrere tausend Beschäftigte und so ein simples Konstrukt macht Probleme? Wer ist das? Fängt die Firma mit B an oder C?
Die mit B, haben die ein grünes Logo?
ThePinky777
ThePinky777 26.06.2024 aktualisiert um 08:54:49 Uhr
Goto Top
Also ich schliesse mich erstmal nicht der Diskussion an sondern schaun wir mal was wir hier überhaupt technisch haben. Bedeutet wenn du Hilfe wilslt musst du schon die Produkte oder Hardware nennen um was es geht, dann kann man sich auch Gedanken machen woran es liegen könnte.

Zitat von @Pcfrgadmit:

In diesem Netz war auch ein Gerät von der IT-Firma welches VPN-Verbindungen zu verschiedenen Servern aufbaut.
Dahinter wurde eine Firewall geschaltet hinter der sich ein Router befand.

Was für ein Gerät, was steht drauf? Marke, Hersteller sonst was?
Was für eine Firewall? Marke Hersteller sonstige Infos?

Vor kurzen kam die IT-Firma die für das System zuständig ist, da es eine Umstellung auf eine neues Produkt gab.

Was für ein Produkt, Marke Hersteller sonstige Infos?

Jetzt hat die IT-Firma folgendes konfiguriert:
Der Server und die Clients haben jetzt auf derselben Netzwerkkarte eine weitere IP-Adresse hinzugefügt bekommen.
Das Gerät das früher die VPN-Verbindungen aufbaute wurde durch ein anderes Gerät ersetzt und ist in dem IP-Bereich den der Server und die Computer als zweite IP-Adresse bekommen haben.

Warum nicht im selben Bereich? Was ist die Begründung dafür und vor allem was für ein Gerät ist das?

Desweiteren wurde von der IT-Firma Routen auf jedem Client und auf dem Server angelegt umin das neue Netz zu kommen.

Ist es normal das Clients und vor allem ein Active Directory Server 2 IP-Adressen auf demselben Netzwerkadapter haben?

NEIN definitiv nicht.


Ich habe den DNS Eintrag in dem Server schon entfernt, sodass nur noch auf die erste IP-Adresse verwiesen wird, wenn er eine DNS-Anfrage bekommt welche IP-Adresse der Server hat.

Wird nicht viel bringen wenn ein PC 2 IPs hat nimmt sich der DNS per zufall eine der IPs und registriert den PCdamit bei sich.

Bei der Firewall habe ich auch eingetragen das der Server nur auf die erste IP-Adresse ansprechbar ist.

Trotz allem kommt es manchmal zu Totalausfällen von dem VPN-Gerät von der IT-Firma welches die VPN-Verbindung aufbaut.

Erneut die Frage was ist das Marke, Hersteller oder sonstiges?

Teilweise müssen die Clients mehrfach neugestartet werden damit das VPN-Gerät eine Verbindung aufbaut und damit die Clients den Server finden.
Ich habe keinen Zugriff auf das VPN Gerät und die IT-Firma hat eine externe Firma beauftragt diese Gerät zu installieren und hat somit auch keinen Zugriff und kennt sich anscheinend mit diesem Gerät überhaupt nicht aus.


Der Zugriff darauf MUSS EUCH MITGETEILT WERDEN.
Bedeutet kann ja nicht sein das ihr euer eigentum nicht administrieren könnt.
Anschreiben und Zugangsdaten verlangen.

Könnt ihr mit weitere Tipps geben wie ich das System (Active Directory) stabiler einstellen kann damit wenigstens die Clients ihren Server immer finden sobald diese starten.

Mit diesem VPN Gerät nachdem wir dann wissen was es ist, könnte man was dazu sagen.
Der Einrichter soll eine Begründung liefern warum das in einem anderen Netzwerkbereich eingerichtet wurde.

Dann kann man sich überlegen welche Massnahmen sinnvoll sind.
Zur not kannst ja alle Server und Domain und Clients in das selbe subnet verschieben wie das VPN gerät dann, damit alle im selben Netz sind und Glücklich.
Aber normalerweise wäre der Lösungsansatz wenn man 2 Subnetzte betreibt die über die Firewall routen zu lassen.
Bedeutet clients und server haben eine IP so wie immer und als gateway die firewall. und an dem gateway an einem anderen port der firewall ist dann das andere Netz installiert wo das VPN Gerät drin ist.
Will ein client aufs VPN gerät zugreifen routet die Firewall schon entsprechend. und umgekehrt das VPN gerät sofern es als gateway deine firewall hat in seinen settings wo du ja nicht reinschauen kannst aktuelle routet immer zur firewall und die entscheidet obs in dein normales LAN geht oder ins Internet.

Lange rede kurzer sinnd, poste mal mehr details zu dem euquipment und auf alle fälle verlange die zugangsdaten zum gerät. ohne die kommst du eh nicht weit....


Gibt es eine Möglichkeit auch wenn man nicht auf das VPN-Gerät zugreifen kann irgendwie zu prüfen warum die VPN-Verbindung immer mal wieder ausfällt.

nicht wirklich weil dort liegen die logs dies zeigen...