Repliceren tussen 4 domein controllers gaat fout door router - Serversoftware en clouddiensten

maandag 21 november 2005 11:50

Acties:

Verwijderd

Topicstarter

Ik heb 6 netwerkjes geconfigureerd. Nou heb ik het probleem dat het repliceren fout gaat tussen domeincontrollers

Omdat wij een school zijn hebben wij 4 goedkope draytek 2104p routers gekocht om deze netwerken met elkaar te verbinden. Tussen de 1e groep en 2e groep netwerken zitten 2 proxies die via VPN/internet verbinding maakt met beide groepen netwerken.

code:

Groep 1:
172.16.0.0
Domeincontroller 172.16.1.1
Draytek router Intern: 172.16.1.2
Draytek router Extern: 192.168.3.225

Domeincontroller 192.168.2.200
Draytek router Intern: 192.168.2.3
Draytek router Extern: 192.168.3.200

192.168.3.100 Proxyserver/VPN Server ISAServer 2000 SP2

Groep 2:
192.168.10.0
Domeincontroller 192.168.10.150
Draytek router Intern: 192.168.10.1
Draytek router Extern: 192.168.6.175

192.168.20.0
Domeincontroller 192.168.20.1
Draytek router Intern: 192.168.20.2
Draytek router Extern: 192.168.6.125

192.168.6.150 Proxyserver/VPN Server ISAServer 2000 SP2

Hoop dat het zo duidelijk is hoe ons netwerk in elkaar zit.

Het probleem is dat met firmware 2.5.1 het repliceren goed gaat maar af en toe fouten maakt waardoor de servers een herstart nodig hebben. Met firmware 2.5.4 kan er helemaal niet meer gerepliceerd worden.

ALLE NETWERKVERBINDINGEN en DNS instelling zijn verder goed en prima te benaderen. Ik heb dit maanden geleden gevraagd Bizar netwerk probleem tussen 2 servers. en ben er dus inmiddels achter dat het aan de routers ligt.

Heeft iemand enig idee of ik deze draytek routers kan gebruiken in ons netwerk en hoe ik dit kan instellen?

(btw vraag als je blieft niet waarom het zo geconfigureerd is dat is zo gegroeid.)

[ Voor 10% gewijzigd door Verwijderd op 21-11-2005 11:52 ]

maandag 21 november 2005 13:14

Acties:

Rolfie

Wat voor een OS heb je draaien?

maandag 21 november 2005 13:19

Acties:

StevenK

Wat is je probleem ? En waarom gebruik je niet die drayteks om een VPN op te zetten ?

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

maandag 21 november 2005 13:39

Acties:

kroegtijger

StevenK schreef op maandag 21 november 2005 @ 13:19:
Wat is je probleem ? En waarom gebruik je niet die drayteks om een VPN op te zetten ?

als je een vpn hebt staan moet het daarna denk ik wel lukken inderdaad

maar volgens mij geef je zelf al de oorzaak aan: de firmware. En zolang draytek niet een fatsoenlijke firmware er voor bouwt, zal het denk ik ook niet gaan lukken. Misschien overstappen op andere routers? of is hier geen budget voor?

iRacing Profiel

maandag 21 november 2005 13:50

Acties:

gerhald

:P

Wat zeggen de logs van windows dan dat er fout gaat ?
en waar voor is er dan een reboot nodig ?

maandag 21 november 2005 13:50

Acties:

StevenK

kroegtijger schreef op maandag 21 november 2005 @ 13:39:
[...]

als je een vpn hebt staan moet het daarna denk ik wel lukken inderdaad

maar volgens mij geef je zelf al de oorzaak aan: de firmware. En zolang draytek niet een fatsoenlijke firmware er voor bouwt, zal het denk ik ook niet gaan lukken. Misschien overstappen op andere routers? of is hier geen budget voor?

Tja, ik heb diverse superstabiele VPN's over drayteks draaien met daar overheen AD. Enige probleem is dat ik niet vanaf de éne locatie een nslookup - <server op andere locatie> kan doen.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

maandag 21 november 2005 14:23

Acties:

Verwijderd

Topicstarter

Wat voor een OS heb je draaien?

alle servers draaien Windows 2003 met SP 1

Wat is je probleem ? En waarom gebruik je niet die drayteks om een VPN op te zetten ?

Dat komt omdat het een school is en wij dus middels een proxyserver de verbindingen willen regelen. Zoals tijden van toegang, pagina's, type verbindingen, etc. Om de volgende vraag te voorkomen --> "Waarom niet je proxy gebruiken voor..... " Dit heeft te maken met het gebouw en andere dingen die wij graag willen doen. Hier ga ik nu liever niet verder op in omdat dat dan een punt van discussie word

Misschien overstappen op andere routers? of is hier geen budget voor?

Ja als het echt moet dan nemen wij de Linksys RV042. Maar goed als het niet nodig is, waarom dan 4 nieuwe kopen ?

Wat zeggen de logs van windows dan dat er fout gaat ?
en waar voor is er dan een reboot nodig ?

De logs zeggen dat het repliceren tussen de servers is mislukt. Verder niets bijzonders. DCDIAG geeft aan dat Knowsofroleholders mislukt is maar de rest is dan nog wel goed. RPC verbinding is dan mislukt. Nslookup werkt goed, pingen kan ook, en netwerk verkeer doormiddel van de \\naampc gaat ook goed. De reboot is nodig omdat Windows gewoon domweg niet meer wil repliceren... Services herstarten werkt ook niet.

Enige probleem is dat ik niet vanaf de éne locatie een nslookup - <server op andere locatie> kan doen.

Dat kan ik dus wel, ruilen ?

Bovendien zijn de VPN verbindingen wel stabiel

Maar goed het is wel degelijk een router probleem. Ik kwam erachter dat het een router probleem was toen ik firmware 2.5.4 gebruikte om een ander probleem van deze routers op te lossen. Ze liepen regelmatig (1x in de maand) vast. Met firmware 2.5.4 gaat het dus helemaal fout en met eerdere zoals 2.5.1 dan kan het weken goed gaan.

Dus kan ik nog iets doen aan dit probleem of ben ik echt verplicht om voor 840 euro nieuwe routers te kopen ? Dit is dan weer niet begroot ... gezeur en ellende dus.... Ergens in 2007 is het probleem dan opgelost

[ Voor 17% gewijzigd door Verwijderd op 21-11-2005 14:31 ]

maandag 21 november 2005 14:37

Acties:

StevenK

Verwijderd schreef op maandag 21 november 2005 @ 14:23:
[...]

alle servers draaien Windows 2003 met SP 1

[...]

Dat komt omdat het een school is en wij dus middels een proxyserver de verbindingen willen regelen. Zoals tijden van toegang, pagina's, type verbindingen, etc. Om de volgende vraag te voorkomen --> "Waarom niet je proxy gebruiken voor..... " Dit heeft te maken met het gebouw en andere dingen die wij graag willen doen. Hier ga ik nu liever niet verder op in omdat dat dan een punt van discussie word

Maar dat kun je oplossen door in je Draytek een rule te zetten dat alleen de ISA het Internet op mag.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

maandag 21 november 2005 14:59

Acties:

McBurger

Als ik het helemaal goed begrijp gebruik je een NAT router om gewoon verkeer te routeren ?
Veel simpele routers kunnen nl de NAT functie niet uitzetten.

en hoewel het er dan op lijkt dat ALLE NETWERKVERBINDINGEN en DNS instelling zijn verder goed zijn kan je tegen onverwachte problemen oplopen.
ik zou er over nadenken echte routers te gaan gebruiken en nog een keer na te denken over je netwerk-struktuur.

Misschien kan je door wat te puzzelen met de replicatie-struktuur nog een werkende oplossing krijgen. (Je hebt vier DC's; hoe is het replicatie schema op dit moment ?)

maandag 21 november 2005 16:14

Acties:

Abom

Heb je al eens geprobeert een ander replicatie protocol te gebruiken?

DNS is overigens heel erg belangrijk bij replicatie, hoe zit het met je DNS servers?

[ Voor 44% gewijzigd door Abom op 21-11-2005 16:43 ]

maandag 21 november 2005 16:17

Acties:

PisPix

Ik weet niet of je iets met port mappings oid doet, maar ik meen me te herinneren dat dns transfers groter dan iets van 512 bytes via tcp port 53 willen gaan ipv 53 udp. Heb hier ook nog wel eens problemen mee gehad dat query's wel goed gingen, maar zone transfers niet. Geen idee of 't is waar je tegenaan loopt, is allicht 't checken waard.

maandag 21 november 2005 16:40

Acties:

Verwijderd

Topicstarter

DNS is echt goed. Alle verdingen zijn goed. Ik heb het repliceren weken geleden nog veranderd door TCP te gebruiken inplaats van UDP.

Ik heb het inmiddels gevonden (denk ik) http://www.updatexp.com/kb898060.html Dit is volgens mij precies het probleem waar ik tegen aan loop.

Ben dus nu bezig om overal de MTUSize te verlagen. Weet alleen niet hoe dat met die Draytek routers moet ...

maandag 21 november 2005 17:20

Acties:

Taigu

Telnet eens naar dat apparaat, een wereld zal voor je opengaan. Via telnet kun je ook nog wat filters uitzetten die hierop betrekking hebben.

Overigens heb ik hele slechte ervaringen met een 2104 en trust/domain traffic. Zoals eerder vermeld in dit topic vernaggelt NAT een heleboel.

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

maandag 21 november 2005 21:26

Acties:

Rolfie

Kijk eens naar deze mogelijke oplossingen:
ISA 2004 EE Repl , Of
New update to 898060 [tcp/ip and vpn issues anyone?, of

Some firewalls may reject network traffic that originates from Windows Server 2003 Service Pack 1-based computers

WORKAROUND
To work around this issue, use either of the following methods.
Back to the top

Method 1
You can disable RPC filters on firewalls and VPN products if the network requirements make this possible.
Back to the top

Method 2
If you need RPC-based operations to function immediately and you cannot update firewalls and VPNs in a timely manner, install the hotfix that is described in this section and then follow these steps:1. Click Start, click Run, type regedit, and then click OK
2. Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
3. Click the Edit menu, point to New, and then click DWORD Value.
4. Type Server2003NegotiateDisable as the name of the new DWORD Value
5. Right-click Server2003NegotiateDisable, and then click Modify.
6. In the Value Data box, type 1, and then click OK.
Note This setting disables the bind time negotation and multiple transfer syntax negotiation.
7. Quit Registry Editor. Restart the Windows Server 2003-based computer.
8. After the firewalls and VPN devices are compatible with RPC on the computer that has Service Pack 1 installed, set the value for the Server2003NegotiateDisable entry in the registry to 0. Then, restart the Windows Server 2003-based computer.

Patchje installeren, en de registry key aanpassen. Loste onze problemen op, op onze checkpoint firewalls.

Het probleem zit hem er in dat SP1 de RPC geeft aangepast, hierdoor wordt het niet altijd goed doorgegeven op diverse firewalls.

[ Voor 76% gewijzigd door Rolfie op 21-11-2005 21:30 ]

maandag 21 november 2005 22:44

Acties:

Verwijderd

Topicstarter

Volgens mij kan ik die patch niet krijgen want ik heb namelijk slimmerom licenties en daar zit geen support bij.

dinsdag 22 november 2005 07:43

Acties:

_Arthur

blub

Verwijderd schreef op maandag 21 november 2005 @ 22:44:
Volgens mij kan ik die patch niet krijgen want ik heb namelijk slimmerom licenties en daar zit geen support bij.

Gewoon navragen bij Product Support van Microsoft. Indien je echt geen support krijgt is de patch meestal wel beschikbaar indien je betaald.

dinsdag 22 november 2005 08:00

Acties:

Rolfie

Gewoon microsoft support bellen, en zeggen dat je de patch Qxxxxx wilt hebben. Daarna vragen ze je gegevens (naam, telefoon, Email, OS). En dats it. Binnen 4 of 8 uur heb je de link binnen.

dinsdag 22 november 2005 09:13

Acties:

Abom

Deze patch is alles wat je nodig hebt: link

Een ander replicatie protocol (SMTP bijvoorbeeld) had ook je probleem opgelost.

[ Voor 22% gewijzigd door Abom op 22-11-2005 09:14 ]

dinsdag 22 november 2005 10:46

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

kroegtijger schreef op maandag 21 november 2005 @ 13:39:
[...]
maar volgens mij geef je zelf al de oorzaak aan: de firmware. En zolang draytek niet een fatsoenlijke firmware er voor bouwt, zal het denk ik ook niet gaan lukken. Misschien overstappen op andere routers? of is hier geen budget voor?

Wie zegt dat de firmware buggy is?
Ik weet dat de firewall mogelijkheden van de nieuwere firmware versie (2.5.4) aardig uitgebreider is dan in oudere versies (2.5.1). Het kan toch gewoon zijn dat deze uitgebreidere firewall meer blockt? Dat is toch geen reden om de firmware niet fatsoenlijk te noemen...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B