elix2k
Goto Top

WLAN-LAN Wechsel

Hallo zusammen,

seit Jahren habe ich ein Problem beim Wechsel zwischen W-LAN und LAN. Leider konnte mir bisher auch kein Dienstleister helfen.

Als Firewall setzen wir eine geclusterte Fortigate FG-101F.
Als DHCP und DNS einen Windows Server 2019
Auf einer anderen Windows Server 2019 Maschine läuft der FSSO Agent von Fortinet.

Der Internet-Zugriff wird über AD-Gruppen geregelt.

Zum Problem:

Der Windows Client hat im LAN eine über DHCP zugewiesene IP und registriert sich sauber im DNS.
Client hat Internet. Die Firewall löst richtig auf. Alles i.O.

Der Windows Client wechselt zum WLAN und bekommt eine DHCP-Adresse aus einem anderen IP-Kreis zugewiesen. Gleichzeitig wird die LAN-Verbindung getrennt. Der DNS-Eintrag wird sauber aktualisiert. Alles i.O.

Der Windows Client wechselt vom WLAN ins LAN und bekommt eine DHCP-Adresse. Das WLAN wird automatisch getrennt.
Der DNS-Eintrag wird NICHT aktualisiert. Der Client hat keinen Internet-Zugriff weil die Firewall immer noch die alte IP-Adresse des Clients auflöst.

Es gibt fälle wo zwei DNS-Einträge erstellt werden (ich weiß nicht warum). Da funktioniert auch alles, die Fortigate kann dann beide IP-Adressen gleichzeitig auflösen. Kann man die Erstellung eines zweiten DNS-Eintrages erzwingen ?

Gibt es sonst noch was, was ich überprüfen kann ?

Vielen Dank im Voraus!

Kurzes Update:
wenn ich auf dem Client ipconfig /registerdns ausführe, funktioniert die Auflösung einige Minuten. Der DNS-Eintrag ändert sich dann aber wieder auf die WLAN IP (Mit deaktivierter WLAN-Karte)
screenshot 2023-01-20 112135

Content-ID: 5503195488

Url: https://administrator.de/contentid/5503195488

Printed on: October 6, 2024 at 15:10 o'clock

em-pie
em-pie Jan 20, 2023 at 10:30:39 (UTC)
Goto Top
Moin,

hefte mich mal dran, da ich hier auch damit kämpfe.
Wobei, witzigerweise, die Probleme bei uns nur mit den Surfaces bestehen. Unsere Lenovos bekommen das, wenn ich mich recht entsinne, besser hin...
heilgecht
heilgecht Jan 20, 2023 at 10:34:49 (UTC)
Goto Top
Hallo,

gibt es Fehler in Logs?

mfg
141986
141986 Jan 20, 2023 at 10:41:28 (UTC)
Goto Top
Moin,

Gleichzeitig wird die LAN-Verbindung getrennt. Der DNS-Eintrag wird sauber aktualisiert. Alles i.O.
Physikalisch getrennt oder seitens OS? Das OS sollte die NIC eigentlich nicht deaktivieren, im Gegenteil. Eigentlich hat LAN Prio vor WLAN.

Das WLAN wird automatisch getrennt.
das würde ich nochmals gegenprüfen. Ich habe mobile CAD Workstations .. eines Tages wunderte ich mich, wieso der User vor Ort (am LAN) 433Mbit anliegen hat - dank' Monitoringsystem. Kam mir seltsam vor, also mal beim User direkt geschaut.

Als ich dann beim User ankam, war tatsächlich beides aktiv und im Netz eingewählt (LAN anderes VLAN wie WLAN, ggf. darum?).
Ist keine Lösung aber vielleicht was, was helfen könnte?

LG
elix2k
elix2k Jan 20, 2023 at 10:41:58 (UTC)
Goto Top
Leider nein. Die LOGs sind sauber
elix2k
elix2k Jan 20, 2023 at 10:43:22 (UTC)
Goto Top
Zitat von @141986:

Moin,

Gleichzeitig wird die LAN-Verbindung getrennt. Der DNS-Eintrag wird sauber aktualisiert. Alles i.O.
Physikalisch getrennt oder seitens OS? Das OS sollte die NIC eigentlich nicht deaktivieren, im Gegenteil. Eigentlich hat LAN Prio vor WLAN.

Das WLAN wird automatisch getrennt.
das würde ich nochmals gegenprüfen. Ich habe mobile CAD Workstations .. eines Tages wunderte ich mich, wieso der User vor Ort (am LAN) 433Mbit anliegen hat - dank' Monitoringsystem. Kam mir seltsam vor, also mal beim User direkt geschaut.

Als ich dann beim User ankam, war tatsächlich beides aktiv und im Netz eingewählt (LAN anderes VLAN wie WLAN, ggf. darum?).
Ist keine Lösung aber vielleicht was, was helfen könnte?

LG

Die Verbindung wird von dem BIOS aus getrennt. In der Systemsteuerung sieht man auch, dass der Adapter deaktiviert wird.
141986
141986 Jan 20, 2023 at 10:44:38 (UTC)
Goto Top
In der Systemsteuerung sieht man auch, dass der Adapter deaktiviert wird.
warn gut gemeinter Versuch. face-sad

Viel Erfolg, ich papp' mir das mal in die Favoriten.

VG
heilgecht
heilgecht Jan 20, 2023 updated at 10:59:12 (UTC)
Goto Top
Ich nehme an DHCP und DNS laufen unter Windows Server, und DNS wird nicht oder nicht immer aktualisiert, also was steht in Server Logs? DHCP? DNS? Hier z.Bsp.: C:\Windows\System32\dhcp ?
Gibt es dort DNS Update Requests?
elix2k
elix2k Jan 20, 2023 at 11:26:17 (UTC)
Goto Top
Da sind sehr viele erfolgreiche Aktualisierungen.
Vermehrt sehe ich aber auch die folgende Meldung:

Fehler bei der PTR-Eintragsregistrierung für IPv4-Adresse [[172.17.4.8]] und FQDN PC1767.xxx.de mit der Meldung 9005 (Der DNS-Vorgang wurde abgelehnt.
).
heilgecht
heilgecht Jan 20, 2023 updated at 11:34:05 (UTC)
Goto Top
Es sieht aus als ob die Rechte nicht richtig sind. Die Server müssen in bestimmte Gruppen rein damit es funktioniert.
Welche genau kann man in der Anleitung nachlesen.
Hier z.Bsp.: https://social.technet.microsoft.com/wiki/contents/articles/51810.window ...
wellknown
wellknown Jan 20, 2023 at 11:36:49 (UTC)
Goto Top
Das Problem hatte ich auch. Bei einigen der absolut identischen Thinkpads trat es auf, bei anderen nicht. Habe dann aufgegeben und mir wie folgt geholfen.:

- LAN auf fester IP
- WLAN auf DHCP aber mit fester Zuweisung der IP-Adresse anhand der MAC der WLAN-Karte

Seitdem verhalten sich alle Thinkpads gleich. Sind sie am LAN wird WLAN ausgeschaltet.
elix2k
elix2k Jan 20, 2023 at 11:54:28 (UTC)
Goto Top
Zitat von @heilgecht:

Es sieht aus als ob die Rechte nicht richtig sind. Die Server müssen in bestimmte Gruppen rein damit es funktioniert.
Welche genau kann man in der Anleitung nachlesen.
Hier z.Bsp.: https://social.technet.microsoft.com/wiki/contents/articles/51810.window ...

Genau so sind die Server auch konfiguriert. Ich habe ja PTR Einträge in den Zonen, scheint ja nicht immer fehlzuschlagen.
heilgecht
heilgecht Jan 20, 2023 at 12:04:11 (UTC)
Goto Top
Ferndiagnose ohne zugang zum System ist schwierig.
Schau mal ob diese Punkte bereits richtig konfiguriert sind: https://blogs.msmvps.com/acefekay/2009/08/20/dhcp-dynamic-dns-updates-sc ...
elix2k
elix2k Jan 20, 2023 at 12:55:21 (UTC)
Goto Top
Ich glaube, dass ich Fortschritte gemacht habe. Mit aktiviertem Namensschutz scheint alles so zu funktionieren wie ich es haben wollte. Es hatte seine Gründe warum der Namensschutz nicht aktiv war, kann mich aber nicht mehr erinnern warum wir die Funktion deaktivieren mussten. Weiß einer zufällig welche Nachteile die Funktion mit sich bringt?
Pjordorf
Pjordorf Jan 20, 2023 at 17:45:40 (UTC)
Goto Top
Hallo,

Zitat von @elix2k:
Es hatte seine Gründe warum der Namensschutz nicht aktiv war, kann mich aber nicht mehr erinnern warum wir die Funktion deaktivieren mussten. Weiß einer zufällig welche Nachteile die Funktion mit sich bringt?
Woher sollen wir hier eure Gründe zum Deaktivieren kenn, wir kennen ja noch nicht mal euren Netzaufbau...
Schmeiss mal denb Wireshark an und verfolge die DHCP, euer DHCP scheint ja für LAN und WLAN zuständig zu sein. Dann bleibt die frage warum dein DNS nicht das tut was der DHCP ihm sagt...

Gruß,
Peter