bluesguy
Goto Top

WinXP-Clients brauchen sehr lange bei Anmeldung an Win SBS 2k3-Server. Schwierige Topologie!

Ich habe hier eine etwas kompliziertere Topologie, als andere kleine Unternehmen. Daher werde ich zuerst auf idese kurz eingehen, damit keine Missverständnisse aufkommen. Jetzt schonmal DANKE an Alle, die antworten.

Mein Problem ist eigentlich Standard: Die WinXP-Clients (WinXP Pro, SP2) brauchen bei der Anmeldung an meinem Server (Domäne, Windows Small Business Server 2003 Standard, aktuelles Patchlevel, kein Exchange installiert) ca. zwei Minuten bei "Benutzervorgaben werden übernommen...". Ich denke, die Meldung heisst so, es is' jedenfalls die nach "Benutzervorgaben werden geladen...".

Die Tipps in anderen Foren sind, den Small Business Server DHCP spielen zu lassen und ihn als DNS-Server auf den Clients einzutragen. Beides ist bei mir schwierig. Denn meine Systemtopologie sieht folgendermaßen aus:

Zentrale: 192.168.0.0/24
Filiale: 192.168.1.0/24
Verbunden über Router (IPSec-Tunnel, wird von zwei Linus-Routern gehalten). Das Ganze geschieht über zwei symmetrische DSL-Leitungen mit statischen IPs. Der Tunnel ist 24/7 in Betrieb und von User-Seite aus transparent (verhält sich also wie ein LAN).

Der SBS-Server, um den's geht steht in der Zentrale. Die Filiale ist noch nicht in der Domäne, wird bei den Betrachtungen hier also völlig aussen vor gelassen.

Der Internet-Traffic geht also bei mir durch den Router und *nicht* durch den SBS. Der war mal ein simpler Linux-Fileserver, den ich jetzt erst umgestellt habe. Dementsprechend hat der auch nur ein LAN-Interface aktiv und nur eine interne, statische IP.

Die Clients haben auch alle statische IPs, es gibt aber noch (für Leih-Notebooks) einen DHCP-Server (läuft am Router), der Adressen austeilt.

Genau da liegt mein Problem. Ich möchte die statischen IPs der Clients behalten, da diese mit den Telefon-Klappen synchron sind und ich so immer sofort weiß, welcher Rechner welche IP hat, wenn ich einen SSH-Tunnel hin mache (Remotedesktop für Fernwartung & Co.).

Nach der langen Einleitung also hier meine Fragen:

1.) Ist es sinnvoll, den DHCP-Server am Router abzudrehen und den am SBS auf? Kann ich den dann unter Verwaltung -> Clientcomputer dazu überreden, auch wieder den PCs immer die gleiche IP zuzuteilen? (Hier gibt es ja eine dementsprechende Option).

2.) Da mein Internet-Traffic nicht durch den SBS geht, kann ich den ja nicht als DNS-Server eintragen. Soll ich das trotzdem tun und meine Provider-DNS-Server dann als sekundär und tertiäre Server? Oder umgekehrt? Oder muss ich den Internet-Traffic durch den SBS schicken? Das will ich eigentlich aus sicherheitsgründen vermeiden.


Vielen Dank an Alle, die mir helfen!!!


mit freundlichen Grüßen

Bernhard Heinz

Content-ID: 88889

Url: https://administrator.de/contentid/88889

Ausgedruckt am: 14.11.2024 um 11:11 Uhr

t-minus9
t-minus9 02.06.2008 um 14:10:44 Uhr
Goto Top
1.) Ist es sinnvoll, den DHCP-Server am Router abzudrehen und den am SBS auf?
Ja, ein bisschen, wenn du einen DHCP-Relay auf deinen Tunnel setzt, geht das. Sonst nicht, weil Router DHCP-Traffic normalerweise filtern. Du braucht Firewall-Regeln für DHCP, DNS, Netbios und Co. Ätzend.

Kann ich den dann unter Verwaltung -> Clientcomputer dazu überreden, auch wieder den PCs immer die gleiche IP zuzuteilen? (Hier gibt es ja eine dementsprechende Option).
Hmm, Reservierungen sind genau dafür da, den Clients immer die gleiche IP zu verpassen, und die anderen Optionen dynamisch zu verwalten. Reservierungen werden im dns.msc gemacht, Reverseeinträge übrigens auch.
Trotzdem wird dein SBS zicken, wenn du ihm sagst, dass er für das 101er Netz, dass er ja garnicht kennt, DHCP machen soll. Denkbar wäre eine Lösung mit OpenVPN im Bridge-Modus, was die beiden Netze in einen IP Kreis packen würde, also entweder in den 100er oder den 101er, oder aber bei Wahl der Maske 255.255.254.0 BEIDE =face-smile was allerdings nicht wirklich trivial einzurichten geht. Oder eben mit 1zu1-Nat auf den beiden Routern und festen IPs auf beiden Seiten - richtig doof!
Feste IPs für Clients halte ich für BÖSE!
Richtig gut finde ich keine deiner beiden Ideen, sorry.

Besser wäre, in der Filiale einen zweiten PDC für die SBS-Domäne aufzustellen (evtl. sogar für filiale.sbs-domain.local - > zweiter Standort - kann SBS das?), der sich um die Anmeldung, DHCP, DNS und so weiter kümmert. Entgegen anders lautenden Meinungen ist dies problemlos möglich und der von MS favorisierte Weg. Da kann auch durchaus eine alte Win2000-Server Lizenz recycled werden oder du kaufst für ca. 450€ das Produkt Windows Server für Windows Smallbusiness Server 2003, für das keine Client-Lizenzen gekauft werden müssen, die liefert ja bereits der SBS. Kostenmässig - wenn man seine Zeit berechnen muss - bestimmt nicht ganz schlecht, zumal irgendein PC mit gespiegelten Platten und 512MB RAM dafür locker reicht. Als DNS-Forwarder kannst du dort für die interne Domäne den SBS eintragen, für alle anderen deinen Router oder ggf. deinen Provider-DNS. Natürlich kann dein Linux-Router in der Filiale diese Informationen genauso gut liefern, man sollte es ihm halt sagen. Mit dnsmasq eine Aktion von 2 Minuten, höchstens.
"Gut" (!) wäre auch noch, wenn der SBS über das zweite Netz Bescheid wüsste, DNS-, Routen- und WINS-mässig, soll heissen, das er das 101er Netz kennen muss und sei es \"nur\" über ein Forwarding oder Reverse-einträge. Ohne dieses Wissen wirds doof und langsam, weil dann Windows (XP) über Netbios auflöst und das willst du nicht, weil du das schon hast face-smile

Das läuft gut und tut auch noch, wenn einer der beiden Standorte mal nicht erreichbar ist. Per Gruppenrichtlinie könnte man noch die eigenen Dateien der Filialisten auf den Filialserver legen, und sonstige schöne Dinge tun.

Oder eben das Ganze mit Samba auf dem VPN-Head in der Filiale, der als ADS-Mitglied Anmelderequests \'proxy-en\' kann.

Weitere Fragen jederzeit willkommen.

HTH,
t-9
t-minus9
t-minus9 02.06.2008 um 14:35:10 Uhr
Goto Top
Nachtrag:

Das mit den sekundären und tertiären DNS-Servern ist wohl nicht auszurotten.
Also:
DNS-Clients fragen immer den ersten oder, bei Round-Robin irgendeinen, DNS-Server, der eingetragen und ansprechbar ist. Liefert der eine richtige (gut so) oder keine (nxdomain) oder eine falsche Antwort (google.de=192.168.0.1), dann ist das aus Sicht des Clients halt so, und deine Anfrage klappt oder schlägt halt fehl. Nur und wirklich genau nur dann, wenn der bevorzugte (s.o.) DNS-Server NICHT ERREICHBAR ist, also z.B. abgeschaltet, kaputt oder falsch eingetragen ist, wird der Client überhaupt eine zweite Anfrage an den sekundären (...) DNS-Server starten, eine falsche Antwort des ersten Servers reicht nicht, um dies zu tun. Woher sollte der Client auch wissen, das der erste Mist erzählt? DNS-Clients fragen sich nicht durch, die glauben "ihrem" Server.

Zu deinem Punkt 2 ist also zu sagen, dass der SBS der Chef im Ring sein "muss", in der Zentrale sowieso, und in der Filiale am bestem per Forwarder.

DNS ist unabhängig davon, "durch" welchen Server das läuft.
bluesguy
bluesguy 02.06.2008 um 14:51:52 Uhr
Goto Top
Hi, t-9!

Zu allererst: VIELEN, VIELEN DANK!!! Ich werd' mir das auf jeden Fall merken. Allerdings denke ich, dass du mein Problem etwas anders aufgefasst hast, als ich es gemeint hab'. Ich hab' einfach zu viel erklärt.

Wenn du Dir nochmal die Mühe machst, mir zu helfen, hier ist, was ich gemeint habe:

Wir sprechen zur Zeit nur von der Zentrale. Die Filiale ist mir derzeit noch völlig egal. (Derzeit noch, deshalb DANKE für Dein Post. Das werd' ich noch brauchen.)

Es gibt einen Router (Proxy, Virenwall, Firewall, IPSec-EndPoint, Standard-Gateway ins Internet) mit 192.168.0.254 und den SBS mit 192.168.0.253

Derzeit sind die Clients mit fixen IP-Adressen versehen und als DNS kriegen sie die von meinem Provider (195.irgendwas). Als Standard-Gateway ist 192.168.0.254 konfiguriert. Funktioniert so weit prima. Die http://companyweb/-Page vom SBS-Server hab' ich mit einem hosts-Eintrag gelöst.

Mein Problem ist nur, dass die Anmeldung ca. 2 Minuten dauert und auch beim Speichern von neuen Files manchmal diese Verzögerung auftritt. Offenbar wartet er da auf irgendeinen Timeout.

Was tun? Wem trage ich welche DNS-Server ein? Wer sollte DHCP-Server spielen? Die fixen IPs sind ja nicht sinnvoll, wie du geschrieben hast.


Danke für Deine Geduld


Bernhard Heinz
bluesguy
bluesguy 02.06.2008 um 14:53:54 Uhr
Goto Top
Sorry, ich hab' Deinen Nachtrag erst nachdem ich meine Antwort geschrieben habe, gesehen. Aber sowas hab' ich sowieso vermutet.


LG und Danke!
t-minus9
t-minus9 02.06.2008 um 15:31:30 Uhr
Goto Top
Funktioniert so weit prima.
Glaub ich nicht. Funktioniert, ja, aber sicher nicht prima!
Die http://companyweb/-Page vom
SBS-Server hab' ich mit einem hosts-
Eintrag gelöst.
Gibts doch garnicht!!!

Aber der Reihe nach:
DHCP und DNS macht der SBS!
Server und Router kriegen eine statische, Drucker eine reservierte IP - und von mir aus auch PCs, die man ja aber auch über Namen ansprechen kann - wenn DNS tut.
Die Clients und sogar der SBS selbst haben als DNS-Server IMMER den SBS (192.168.0.253, oder beim Server evtl. sogar 127.0.0.1!) eingetragen, bzw erhalten den per DHCP-Option...

Die Provider-DNS-Server werden in dns.msc auf dem Server eingtragen unter (Rechtsklick auf das DNS-Server-Icon->Eigenschaften-> Weiterleitungen-> Hinzufügen Neu 195.x.y.z (Alle anderen DNS-Domänen).
Kann man übrigens alternativ auch im Router machen, dann kriegt der SBS anstatt 195.x.y.z eben nur den 192.168.0.254 eingetragen. Das kann sogar performance-mässig ganz gut kommen, wenn dein Router einen Cache halten kann.
Übrigens, auch wenn ich es für Quatsch halte, einem SBS muss man keinen Forwarder eintragen, er geht dann halt bei jeder Anfrage hoch bis zu den DNS-Rootservern und für die Antwort wieder zurück. ->Du willst das nicht, glaub mir!
So.
Überprüfe, wenn du die /etc/hosts geputzt hast, mit nslookup, dass companyweb noch geht (das ist ein cname für den sbs-server). Falls nicht, musst du da eben den Eintrag neu setzen, MIT REVERSE!!!

Was du da machst, ist sicherheitstechnisch übrigens Harakiri: Stell dir vor, den DNS deines Providers wird durch einen Angriff ge-"poison-ed". Deine Clients erhalten dann bei Anfrage nach http://sbs-server.intranet.local die Antwort 36.17.88.13 oder irgendetwas in Weissrussland (hatte ein Kunde von uns schon). Dein lokales Intranet beinhaltet (mit ein wenig Übertreibung, ok )jetzt den Hackerserver, der das Messer schon gewetzt hat. Und nu? Neuen Job suchen? Woll ma nich.
Fragen deine Clients jedoch zuerst den SBS, wird der immer die richtige Antwort geben, weil er SOA für intranet.local hat, egal was sein Forwarder im Internet ihm erzählen möchte, den fragt er für diese Domain nämlich garnicht face-smile
Deine Timeouts sind Artefakte einer Namensauflösung über Netbios, das verwendet wird, wenn Windows merkt, dass DNS keine Antwort gibt. Domänen-PCs sind so auf Ihren PDC fixiert, dass sie Alles tun um ihn zu finden...pffft.

HTH,
t-9
bluesguy
bluesguy 02.06.2008 um 19:37:02 Uhr
Goto Top
Hallo, t-9!

Das war ja eine riesig promtpe Antwort. Und vor Allem auf den Punkt!

Ich geh' Dir ein virtuelles Bier aus *PROST*!

Ich hab' den Hosts-File geputzt, DHCP am Router abgedreht, am SBS installiert, konfiguriert, authorisiert und aufgedreht. DHCP-Server eingetragen, vorher mit nslookup überprüft und ALLES LÄUFT!!! Die Anmeldezeit liegt bei 2-5 Sekunden, die sonstigen Wartezeiten sind auch weg. Das Ding läuft, wie geschmiert!


Vielen Dank. Ich ziehe meinen Hut vor Deiner Kompetenz und der Zeit, die du für mich geopfert hast.


LG

Bernhard