[SBS2003] Active Directory logon <=> VPN tunnel

Beste,

Vorige week heb ik twee vestigingen geconnecteerd met een centrale vestiging van een klein bedrijfje...
Het eigenlijke beheer van de routers en vpn's gebeurt door de ISP (belgacom)
In de centrale vestiging staat een SBS2003 met Active Directory, DNS, DHCP. (10.1.1.1)
Deze vestiging werkt perfect en werkt ondertussen reeds enkele weken met de nieuwe config en nieuwe server.
Vorige week was het de bedoeling om de vestiging Herentals bij dit domein te joinen. Het gaat hier in Herentals over 4 pc's. Alles shares en files moeten gecentraliseerd worden in de centrale site. Alsook het domein en alle policies....
Vanuit de vestiging in Herentals kan ik perfect alle pc's in de centrale site 'pingen' en hun dns resolven. Ook het IP adres dat ik krijg op een pc in Herentals is een ip adres verkregen van de DHCP server in de centrale site. (via IP Helper op de cisco)
Wat niet wil lukken :
- Bij opstarten van pc in het domein met correcte netwerkverbinding blijft de pc immens lang staan bij 'Toepassen van de computerinstellingen'. Bij het verwijderen van de netwerkkabel gaat windows verder maar zal dus aanloggen met een cached logon. Netwerkshares zijn niet te vinden en terminal services naar de server is niet mogelijk..... Heeft dit te maken met de vpn tunnel? bepaalde portforwarding?

De config van de routers en een netwerkschema kan je vinden op :
http://users.pandora.be/lan-productions/Krinkel_AD/

Kan iemand me zeggen waar ik verder moet beginnen zoeken? Ik zou deze vestiging zo snel mogelijk online en operationeel willen krijgen. Alvast bedankt voor het lezen...

Server replied perfect met antwoordtijden van gemiddeld 20ms dus de verbinding op zich lijkt wel ok.
Ook de clients kan ik perfect pingen in de centrale site.
Zelfs nslookups van alle pc's in de centrale site vanaf een remote site werkt perfect... dus DNS lijkt me ook in orde te zijn. (Heb ooit probleem lang geleden gehad met DNS en gaf toen idd lange opstarttijden enzo van clients) Maar dat is denk ik nu niet het geval....

Of ik een netwerkmapping kan leggen naar een client in de central site, heb ik nog niet geprobeerd. Een mapping naar de server lukt alleszinds niet. Zal morgen proberen om te mappen naar een client....

Ik hou jullie op de hoogte!

Als je nog van iets meer info nodig hebt... just ask he

Ok.... Wat ik al weet is dat het browsen van het netwerk in explorer niet werkt vanaf de remote site dus... Ik denk dat het leggen van een mapping ook niet zal werken vanaf de remote site.
Ik zal dit testen wanneer ik bij de remote site ben maar voor dit alleen ga ik geen 40km rijden.....
Hopelijk kunnen julie dit wel verstaan.....

Ik vraag me af of een Active Directory achter een NAT via tunneling geen portfordwarding nodig heeft om zijn logons, shares, GP en alles te laten werken?

Poorten 445, 389 en 88 komen steeds terug in de logon procedure....

Misschien deze poorten forwarden naar de server ?

Wat is jullie idee ?

access-lists zijn bekeken en er zijn geen access-list van toepassing op de routers op de site-to-site....

--- UPDATE ---

NAT wordt idd gebruikt voor de benadering naar internet.

Vandaag meerdere testen gedaan :

Machine op remote site gaan zetten met fix ip en desktop sharing aan!
Op central site deze machine zonder probleem kunnen overnemen met remote desktop. De default share kunnen openen van de remote machine 'c$' => Geen probleem !
Nslookup van eender welk adres op centrale site of remote site ==> OK
reverse lookup van adressen ==> OK
Flushdns en register dns ==> OK
start > run > \\zuiderkempen.local => OK (SYSVOL, NETLOGON, ....)
Machine is aanwezig in AD ==> OK
Machine in DNS ==> OK

Wat is dan nog een probleem ?

1. Bij opstarten pc blijft hij zeer lang hangen bij 'Toepassen computerinstellingen'.... ALS hij er doorkomt ....
2. Wanneer ik dan aanlog als een domeinuser ==> +/- 40min op 'Toepassen van persoonlijke instellingen'
3. Terminal service openen vanaf remote site naar een server op central site ==> Window opent maar hij zegt 'Connectie afgebroken door host (of zoiets ongeveer) >> logon scherm met userid en password komt niet tevoorschijn....
(Terminal services : Dus van remote naar central werkt niet, van central naar remote werkt wel)

De specialist van dienst die vandaag is langsgeweest zit ook met de handen in het haar .....

@Rolfie : Ik denk SP3 maar kan het niet met zekerheid zeggen.... Heb daarstraks niet gekeken. Zal het later zeker checken.

Ik ga deze zaken testen van zodra ik terug toegang heb tot de andere vestiging....

Momenteel zijn de winkels gesloten natuurlijk...

Beste,

Vandaag vanuit remote site naar AD server..

C:\Documents and Settings\Administrator>ping -f -l 1024 10.1.1.1

Pingen naar 10.1.1.1 met 1024 byte gegevens:

Antwoord van 10.1.1.1: bytes=1024 tijd=102 ms TTL=126
Antwoord van 10.1.1.1: bytes=1024 tijd=101 ms TTL=126
Antwoord van 10.1.1.1: bytes=1024 tijd=99 ms TTL=126
Antwoord van 10.1.1.1: bytes=1024 tijd=102 ms TTL=126

Ping-statistieken voor 10.1.1.1:
Pakketten: verzonden = 4, ontvangen = 4, verloren = 0
(0% verlies).De gemiddelde tijd voor het uitvoeren van één bewerking in milliseconden:
Minimum = 99ms, Maximum = 102ms, Gemiddelde = 101ms

Lijkt mij dus dik in orde te zijn he....

Bij het openen van een terminal service naar een server of zelfs workstation buiten het domein krijg ik het windows van terminal services maar geen logon scherm. Even later krijge ik de volgende boodschap.

"De verbinding met de externe computer is verbroken. Mogelijk is dit het gevolg van een netwerkprobleem. Probeer of u opnieuw verbinding met de externe computer kan maken. "

Dit probleem komt zelfs voor tussen twee machines die niet in het windows domein aanwezig zijn... Dus dit lijkt me duidelijk een probleem bij de ISP en router config ??? En bovendien is het probleem enkel van Remote naar central. Van central naar remote is er geen probleem.... Eveneens het joinen van het windows domein is nog niet mogelijk.....

PS : Belgacom heeft een mega slechte helpdeks...

Verdere testen :

Telnet 'active directory' 3389 vanaf remote site naar central ==> Werkt dan weer wel !!
Remote desktop vanaf zelfde werkstation naar server ==> Werkt niet.

Wat me ook is opgevallen :

Als ik een telnet open vanaf de klant naar mijn Cisco router thuis en een 'show run' doe, na de 'spacebar' voor het volgende blad config ==>> disconnected from host. Het lijkt idd alsof hij disconnect van zodra er meerdere paketten moeten worden verzonden......

Helpdesk : Als ik hen moet gaan uitleggen hoe ze een 'ip helper' moeten instellen en voor wat dat eigenlijk dient.... dan vraag ik me af wie er daar specialist is.... ?

Alvast bedankt voor de help want zit echt met de handen in het haar....

Om 22u50 zit ik niet meer bij de klant hoor..
Ik ga morgen proberen via de vpn binnen te geraken.

Is dat in het register aan te passen?
En welke waarde is dan de correcte voor de verbinding van ADSL ?

Thx !

Waarom laat jij je centrale site een dhcp geven?
normaal zet je een 2e site op met een aparte range.
In de router staat dan de route die genomen dient te worden om beide ranges met elkaar te laten communiceren.
bijvoorbeeld centrale site:10.1.1.1. en op de remote site 10.1.2.1

Dit is een beetje een late of verkeerde opmerking. De remote sites krijgen idd allemaal een verschillende range van adressen hoor.
Central : 10.1.0.0 /16
Remote1 : 10.2.0.0 /29
Remote2 : 10.3.0.0 /29
En deze orden verkregen via dhcp via de central site waar deze verschillende ranges worden beheerd. Aangezien de routers niet in mijn beheer zijn laat ik zo weinig mogelijk services door de routers doen. Nu is de dhcp in eigen beheer dus snellere en overzichtelijkere service.
Wat de routing betreft is alles in orde anders zou de ping ook niet werken hoor.

dit gaat langzaam, heb je roaming profiles?
draai je login scripts?
We draaien geen roaming profiles net om de reden dat dit dan idd over de vpn moet passeren. Het logon script is enkel een mapping van 2 drives dus ook niets om ons zorgen over te maken....


[UPDATE]
Ik heb de MTU op een client aangepast naar '800'.... En wat blijkt .... Terminal services wil nu wel opstarten en connecteren. Dat is zeker al een stap vooruit. Is deze standaardwaarde niet 1500 in windows ? Dus alle client pc's moeten worden aangepast met de nieuwe setting? Is het niet makkelijker om de ISP op deze lijn een grotere MTU te vragen (vpn) ? Het kan toch niet de bedoeling zijn van een produkt dat ze aanbieden , dat een standaard windows pc niet kan werken..... ???

Joinen van domein wil nog niet lukken maar dit kan wel te maken hebben denk ik omdat ik via vpn binnenkom en dan remote een pc overneem en die dan wil joinen. Misschien is dat wat veel van het goede.....
Ik hou jullie verder op de hoogte !

DHCP is idd reeds aangepast.....
Enkel de servers moeten nog worden gedaan. Hopelijk kunnen we het komende weekend alles migreren zonder verdere problemen.....

I'll keep you updated...