Toon posts:

[SBS2003] Active Directory logon <=> VPN tunnel

Pagina: 1
Acties:
  • 114 views sinds 30-01-2008
  • Reageer

Verwijderd

Topicstarter
Beste,

Vorige week heb ik twee vestigingen geconnecteerd met een centrale vestiging van een klein bedrijfje...
Het eigenlijke beheer van de routers en vpn's gebeurt door de ISP (belgacom)
In de centrale vestiging staat een SBS2003 met Active Directory, DNS, DHCP. (10.1.1.1)
Deze vestiging werkt perfect en werkt ondertussen reeds enkele weken met de nieuwe config en nieuwe server.
Vorige week was het de bedoeling om de vestiging Herentals bij dit domein te joinen. Het gaat hier in Herentals over 4 pc's. Alles shares en files moeten gecentraliseerd worden in de centrale site. Alsook het domein en alle policies....
Vanuit de vestiging in Herentals kan ik perfect alle pc's in de centrale site 'pingen' en hun dns resolven. Ook het IP adres dat ik krijg op een pc in Herentals is een ip adres verkregen van de DHCP server in de centrale site. (via IP Helper op de cisco)
Wat niet wil lukken :
- Bij opstarten van pc in het domein met correcte netwerkverbinding blijft de pc immens lang staan bij 'Toepassen van de computerinstellingen'. Bij het verwijderen van de netwerkkabel gaat windows verder maar zal dus aanloggen met een cached logon. Netwerkshares zijn niet te vinden en terminal services naar de server is niet mogelijk..... Heeft dit te maken met de vpn tunnel? bepaalde portforwarding?

De config van de routers en een netwerkschema kan je vinden op :
http://users.pandora.be/lan-productions/Krinkel_AD/

Kan iemand me zeggen waar ik verder moet beginnen zoeken? Ik zou deze vestiging zo snel mogelijk online en operationeel willen krijgen. Alvast bedankt voor het lezen... ;)

  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Je kan de PCs in de centrale site wel pingen zeg je, maar kan je ook je server pingen? Kan je vanuit je clients in Herentals bv. een netwerk mapping leggen naar een client in je centrale site?

Kan je je server pingen?

Verwijderd

Topicstarter
Server replied perfect met antwoordtijden van gemiddeld 20ms dus de verbinding op zich lijkt wel ok.
Ook de clients kan ik perfect pingen in de centrale site.
Zelfs nslookups van alle pc's in de centrale site vanaf een remote site werkt perfect... dus DNS lijkt me ook in orde te zijn. (Heb ooit probleem lang geleden gehad met DNS en gaf toen idd lange opstarttijden enzo van clients) Maar dat is denk ik nu niet het geval....

Of ik een netwerkmapping kan leggen naar een client in de central site, heb ik nog niet geprobeerd. Een mapping naar de server lukt alleszinds niet. Zal morgen proberen om te mappen naar een client....

Ik hou jullie op de hoogte!

Als je nog van iets meer info nodig hebt... just ask he

Verwijderd

Topicstarter
Ok.... Wat ik al weet is dat het browsen van het netwerk in explorer niet werkt vanaf de remote site dus... Ik denk dat het leggen van een mapping ook niet zal werken vanaf de remote site.
Ik zal dit testen wanneer ik bij de remote site ben maar voor dit alleen ga ik geen 40km rijden.....
Hopelijk kunnen julie dit wel verstaan.....

Ik vraag me af of een Active Directory achter een NAT via tunneling geen portfordwarding nodig heeft om zijn logons, shares, GP en alles te laten werken?

Verwijderd

Topicstarter
Poorten 445, 389 en 88 komen steeds terug in de logon procedure....

Misschien deze poorten forwarden naar de server ?

Wat is jullie idee ?

Verwijderd

Bij VPN zijn portmappings toch niet nodig voor zover ik weet ... tenzij je cisco dozen firewallen tussen je 2 sites ( dan moeten wel de voorgenoemde poorten toegelaten worden )

ben zelf geen vpn expert, maar het zou imo wel zo moeten werken.

Ik gebruik zelf pptp vpn'etje naar mijn werk en ondervindt daar geen probleem mee ( is wel geen site-to-site vpn )

Verwijderd

Topicstarter
access-lists zijn bekeken en er zijn geen access-list van toepassing op de routers op de site-to-site....

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 18:09
Ik haal het niet helemaal uit je topic, maar gebruik je nu wel of geen NAT op je routers?

Welke SP heeft je server precies?

Kan je ook grotere paketjes via ping verzenden? Hier ontstaat wel eens vaker een probleem mee.

Verwijderd

Topicstarter
--- UPDATE ---

NAT wordt idd gebruikt voor de benadering naar internet.

Vandaag meerdere testen gedaan :

Machine op remote site gaan zetten met fix ip en desktop sharing aan!
Op central site deze machine zonder probleem kunnen overnemen met remote desktop. De default share kunnen openen van de remote machine 'c$' => Geen probleem !
Nslookup van eender welk adres op centrale site of remote site ==> OK
reverse lookup van adressen ==> OK
Flushdns en register dns ==> OK
start > run > \\zuiderkempen.local => OK (SYSVOL, NETLOGON, ....)
Machine is aanwezig in AD ==> OK
Machine in DNS ==> OK

Wat is dan nog een probleem ?

1. Bij opstarten pc blijft hij zeer lang hangen bij 'Toepassen computerinstellingen'.... ALS hij er doorkomt ....
2. Wanneer ik dan aanlog als een domeinuser ==> +/- 40min op 'Toepassen van persoonlijke instellingen'
3. Terminal service openen vanaf remote site naar een server op central site ==> Window opent maar hij zegt 'Connectie afgebroken door host (of zoiets ongeveer) >> logon scherm met userid en password komt niet tevoorschijn....
(Terminal services : Dus van remote naar central werkt niet, van central naar remote werkt wel)

De specialist van dienst die vandaag is langsgeweest zit ook met de handen in het haar ..... 8)7

@Rolfie : Ik denk SP3 maar kan het niet met zekerheid zeggen.... Heb daarstraks niet gekeken. Zal het later zeker checken.

  • leon1e
  • Registratie: December 2000
  • Laatst online: 16:23
Terminal service openen vanaf remote site naar een server op central site ==> Window opent maar hij zegt 'Connectie afgebroken door host.
Het lijkt erop of de connecties voortijdig worden afgebroken, heb je al een eens "groot" bestand van ongeveer 10mb gekopieerd? Hoe snel is je verbinding trouwens?

En wat is het resultaat van een "ping -f -l 1024" zoals hierboven ook al eens genoemd? :)

[ Voor 14% gewijzigd door leon1e op 04-06-2006 13:20 ]


Verwijderd

Topicstarter
Ik ga deze zaken testen van zodra ik terug toegang heb tot de andere vestiging....

Momenteel zijn de winkels gesloten natuurlijk...

Verwijderd

Topicstarter
Beste,

Vandaag vanuit remote site naar AD server..

C:\Documents and Settings\Administrator>ping -f -l 1024 10.1.1.1

Pingen naar 10.1.1.1 met 1024 byte gegevens:

Antwoord van 10.1.1.1: bytes=1024 tijd=102 ms TTL=126
Antwoord van 10.1.1.1: bytes=1024 tijd=101 ms TTL=126
Antwoord van 10.1.1.1: bytes=1024 tijd=99 ms TTL=126
Antwoord van 10.1.1.1: bytes=1024 tijd=102 ms TTL=126

Ping-statistieken voor 10.1.1.1:
Pakketten: verzonden = 4, ontvangen = 4, verloren = 0
(0% verlies).De gemiddelde tijd voor het uitvoeren van één bewerking in milliseconden:
Minimum = 99ms, Maximum = 102ms, Gemiddelde = 101ms

Lijkt mij dus dik in orde te zijn he....

Bij het openen van een terminal service naar een server of zelfs workstation buiten het domein krijg ik het windows van terminal services maar geen logon scherm. Even later krijge ik de volgende boodschap.

"De verbinding met de externe computer is verbroken. Mogelijk is dit het gevolg van een netwerkprobleem. Probeer of u opnieuw verbinding met de externe computer kan maken. "

Dit probleem komt zelfs voor tussen twee machines die niet in het windows domein aanwezig zijn... Dus dit lijkt me duidelijk een probleem bij de ISP en router config ??? En bovendien is het probleem enkel van Remote naar central. Van central naar remote is er geen probleem.... Eveneens het joinen van het windows domein is nog niet mogelijk.....

PS : Belgacom heeft een mega slechte helpdeks... :(

  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Verwijderd schreef op zaterdag 10 juni 2006 @ 15:43:
Bij het openen van een terminal service naar een server of zelfs workstation buiten het domein krijg ik het windows van terminal services maar geen logon scherm. Even later krijge ik de volgende boodschap.

"De verbinding met de externe computer is verbroken. Mogelijk is dit het gevolg van een netwerkprobleem. Probeer of u opnieuw verbinding met de externe computer kan maken. "
Dat klinkt een beetje als een MTU probleem. Zet voor de grap eens je MTU op je client PC erg laag (bv. op 800 ofzo?) ? :)
PS : Belgacom heeft een mega slechte helpdeks... :(
Dat valt erg mee hoor is mijn ervaring, op het moment dat je verbinding echter fysiek op is is het natuurlijk wel aan jou om het nog te fixen :)

Verwijderd

Topicstarter
Verdere testen :

Telnet 'active directory' 3389 vanaf remote site naar central ==> Werkt dan weer wel !!
Remote desktop vanaf zelfde werkstation naar server ==> Werkt niet.

Wat me ook is opgevallen :

Als ik een telnet open vanaf de klant naar mijn Cisco router thuis en een 'show run' doe, na de 'spacebar' voor het volgende blad config ==>> disconnected from host. Het lijkt idd alsof hij disconnect van zodra er meerdere paketten moeten worden verzonden......

Helpdesk : Als ik hen moet gaan uitleggen hoe ze een 'ip helper' moeten instellen en voor wat dat eigenlijk dient.... dan vraag ik me af wie er daar specialist is.... ? ;)

Alvast bedankt voor de help want zit echt met de handen in het haar....

  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Heb je nou al gedaan wat ik vroeg over die mtu? :)

Verwijderd

Topicstarter
Om 22u50 zit ik niet meer bij de klant hoor..
Ik ga morgen proberen via de vpn binnen te geraken.

Is dat in het register aan te passen?
En welke waarde is dan de correcte voor de verbinding van ADSL ?

Thx !

Verwijderd

heb je in de host file van een windows machine al een keer de computernaam en het ip ervan ingesteld

je kunt de hostfile vinden in:
C:\WINDOWS\system32\drivers\etc\hosts

je vult de file zo aan:
ip adres computernaam
10.11.250.1 sbs-2003

als het goed is kun je hiermee een goede ts verbinding opstellen.

Verwijderd

[quote]Verwijderd schreef op vrijdag 02 juni 2006 @ 20:05:
Beste,

Vorige week heb ik twee vestigingen geconnecteerd met een centrale vestiging van een klein bedrijfje...
Het eigenlijke beheer van de routers en vpn's gebeurt door de ISP (belgacom)
In de centrale vestiging staat een SBS2003 met Active Directory, DNS, DHCP. (10.1.1.1)
Deze vestiging werkt perfect en werkt ondertussen reeds enkele weken met de nieuwe config en nieuwe server.
Vorige week was het de bedoeling om de vestiging Herentals bij dit domein te joinen. Het gaat hier in Herentals over 4 pc's. Alles shares en files moeten gecentraliseerd worden in de centrale site. Alsook het domein en alle policies....
Vanuit de vestiging in Herentals kan ik perfect alle pc's in de centrale site 'pingen' en hun dns resolven. Ook het IP adres dat ik krijg op een pc in Herentals is een ip adres verkregen van de DHCP server in de centrale site. (via IP Helper op de cisco)

Waarom laat jij je centrale site een dhcp geven?
normaal zet je een 2e site op met een aparte range.
In de router staat dan de route die genomen dient te worden om beide ranges met elkaar te laten communiceren.
bijvoorbeeld centrale site:10.1.1.1. en op de remote site 10.1.2.1


Wat niet wil lukken :
- Bij opstarten van pc in het domein met correcte netwerkverbinding blijft de pc immens lang staan bij 'Toepassen van de computerinstellingen'. Bij het verwijderen van de netwerkkabel gaat windows verder maar zal dus aanloggen met een cached logon. Netwerkshares zijn niet te vinden en terminal services naar de server is niet mogelijk..... Heeft dit te maken met de vpn tunnel? bepaalde portforwarding?

dit gaat langzaam, heb je roaming profiles?
draai je login scripts?

De config van de routers en een netwerkschema kan je vinden op :
http://users.pandora.be/lan-productions/Krinkel_AD/

[ Voor 8% gewijzigd door Verwijderd op 11-06-2006 12:47 ]


Verwijderd

Topicstarter
Waarom laat jij je centrale site een dhcp geven?
normaal zet je een 2e site op met een aparte range.
In de router staat dan de route die genomen dient te worden om beide ranges met elkaar te laten communiceren.
bijvoorbeeld centrale site:10.1.1.1. en op de remote site 10.1.2.1


Dit is een beetje een late of verkeerde opmerking. De remote sites krijgen idd allemaal een verschillende range van adressen hoor.
Central : 10.1.0.0 /16
Remote1 : 10.2.0.0 /29
Remote2 : 10.3.0.0 /29
En deze orden verkregen via dhcp via de central site waar deze verschillende ranges worden beheerd. Aangezien de routers niet in mijn beheer zijn laat ik zo weinig mogelijk services door de routers doen. Nu is de dhcp in eigen beheer dus snellere en overzichtelijkere service.
Wat de routing betreft is alles in orde anders zou de ping ook niet werken hoor.

dit gaat langzaam, heb je roaming profiles?
draai je login scripts?

We draaien geen roaming profiles net om de reden dat dit dan idd over de vpn moet passeren. Het logon script is enkel een mapping van 2 drives dus ook niets om ons zorgen over te maken....


[UPDATE]
Ik heb de MTU op een client aangepast naar '800'.... En wat blijkt .... Terminal services wil nu wel opstarten en connecteren. Dat is zeker al een stap vooruit. Is deze standaardwaarde niet 1500 in windows ? Dus alle client pc's moeten worden aangepast met de nieuwe setting? Is het niet makkelijker om de ISP op deze lijn een grotere MTU te vragen (vpn) ? Het kan toch niet de bedoeling zijn van een produkt dat ze aanbieden , dat een standaard windows pc niet kan werken..... ???

Joinen van domein wil nog niet lukken maar dit kan wel te maken hebben denk ik omdat ik via vpn binnenkom en dan remote een pc overneem en die dan wil joinen. Misschien is dat wat veel van het goede.....
Ik hou jullie verder op de hoogte !

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op zondag 11 juni 2006 @ 13:28:
[UPDATE]
Ik heb de MTU op een client aangepast naar '800'.... En wat blijkt .... Terminal services wil nu wel opstarten en connecteren. Dat is zeker al een stap vooruit. Is deze standaardwaarde niet 1500 in windows ?
Klopt, uitgaande van een local area network.
Jij gaat nog een keer pakketten "inpakken" in je VPN, waardoor je fragmentering krijgt.
Dat bleek ook al uit die ping met 1024, een ping van 100 msec is zelfs over een lan2lan VPN waar niks op gebeurt te hoog.
Dus alle client pc's moeten worden aangepast met de nieuwe setting? Is het niet makkelijker om de ISP op deze lijn een grotere MTU te vragen (vpn) ? Het kan toch niet de bedoeling zijn van een produkt dat ze aanbieden , dat een standaard windows pc niet kan werken..... ???
Waarom niet gewoon je scope option 026 aanpassen?
Zo krijgen je clients in ieder geval al een lagere MTU setting mee :)
Voor je Servers zou je dit dan inderdaad met het handje in je registry kunnen aanpassen.

[ Voor 35% gewijzigd door alt-92 op 11-06-2006 18:01 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Verwijderd

Topicstarter
DHCP is idd reeds aangepast.....
Enkel de servers moeten nog worden gedaan. Hopelijk kunnen we het komende weekend alles migreren zonder verdere problemen.....

I'll keep you updated...

  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Normaal gesproken laat je je router dit oplossen - je MTU handmatig aanpassen zou normaal gesproken niet echt nodig zijn :) Blokkeer je soms icmp ergens ofzo?

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Een MTU van 1514 op de router wellicht?
Moet je wel je ISP zo gek kunnen krijgen ;)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1