Door VLAN niet mogelijk om computer aan te melden aan AD

Heb je ACL's tussen je verschillende VLAN's?

Heb je iets van acces lists tussen je VLAN's zitten? Bijvoorbeeld: van VLAN 16 mag alleen TCP verkeer over poort 80, 25, 443, etc. naar VLAN1?

Daarnaast wat is de reden dat je servers etc. in VLAN1 hebt, en niet in een ander VLAN1? Security-wise wordt VLAN1 meestal niet gebruikt, omdat dat het 'administrative VLAN' is.

Inderdaad, VLAN1 zou ik sowieso niet gebruiken voor "servers en printers"
Maak je die VLAN's op een Layer3 switch aan die de routing kan verzorgen tussen de VLAN's onderling ?
"Inloggen" in PC's op AD vereist redelijk wat verkeer tussen PC's en AD-controllers etc
(13 verschillende soorten traffiek worst case ; waaronder icmp,dns,netbios,ldap,...)

Zit er nog iets van firewall tussen ofzo ?

Mischien wat goochelen met hier en daar een helper-ip ofzo ?

BP_LOZ schreef op maandag 22 juni 2009 @ 09:19:
De routing-switch (HP Procurve) is aangesloten door een 3e partij. Ik heb deze gesproken en zij spreken van een 'platte routering'. Dus er zou niets geblokked mogen worden.

Verder geen netwerk kennis of specialisten in huis.

Het vreemde is wel dat als ik een systeem al in het domein heb, er geen enkel probleem is. Het gaat dus enkel en alleen om het aanmelden aan het domein in dit VLAN.

En het probleem bestaat sinds die derde partij de boel heeft opgeleverd? Dan mogen zij het oplossen. Verder snap ik met name het nut van VLAN's niet als je geen filtering toepast. Waarom dan nog VLAN's gebruiken en niet één 'plat' netwerk?

Kun je eens een ipconfig /all van zowel een client als een server plaatsen?

Toch is de kant bestaande dat het een DNS resolving probleem betreft bijvoorbeeld.
Kan je op zo'n "nieuwe" PC die in het domein moet komen een DOS-box open doen en eens proberen met een "nslookup mijndomeinnaam" te doen ??

Je zou dan iets van IP's moeten terugkrijgen van de server. Kan je die ook pingen ?

ralpje schreef op maandag 22 juni 2009 @ 09:33:
Waarom dan nog VLAN's gebruiken en niet één 'plat' netwerk?

En waar denk je worden VLANs nog meer voor gebruikt ? In deze setup is het juist sterk aan te raden dat er meerdere VLANs worden gebruikt. Die derde partij zou eens moeten kijken waar de fout ligt. Er kan van alles fout ingesteld zijn (geen routering, vlans niet juist geconfigureerd, IP adressen die ontbreken, etc.). En VLAN 1 is voor communicatie van switches onderling, niet voor andere devices. Is de Default Gateway goed ingesteld voor het desbetreffende subnet (de gateway van het betreffende subnet)? Krijgen de clients het juiste IP adres van de DNS toegewezen ? Even controleren met IpConfig / All.

[ Voor 22% gewijzigd door EdwinW op 22-06-2009 14:45 ]

De firewall van de ESX server beschermt de ESX server, niet de virtuele machines die daarop draaien. Met "machine" bedoel je daarmee een Windows XP machine? Het toevoegen van een XP werkstation aan een domein schijnt dus niet te lukken, maar reeds eerder toegevoegde XP clients op het domein hebben geen probleem ? Welke foutmelding krijg je eigenlijk terug ?

Hihi, VLANs maak je onder anderen juist aan om je broadcast domein te beperken, dus dat er nu wellicht wat broadcasts niet aankomen zou kunnen ja.

Je kuint ook een ander VLAN inrichten en VLAN1 gebruiken voor andere zaken (wel het ip plan van vlan1 meenemen naar je nieuwe VLAN)

Probeer eens een Wins Server op te zetten. Deze is bedoeld om Netbios naamresolutie over meerdere subnetten mogelijk te maken. Waarschijnlijk heb je deze sowieso nodig omdat veel applicaties nog steeds Netbios naam resolutie vereisen.

Maar dan nog zou het omzetten van een "single label domain name" naar een FQDN verstandiger.

BP_LOZ schreef op maandag 29 juni 2009 @ 15:47:
[...]

I.d.d. maar dit wil zeggen dat in mijn geval ik alleen machines aan aanmelden op het domein als de workstations in hetzelfde VLAN zitten als de DC. VLAN 1 dus in mijn geval...

Er moet toch een mogelijkheid zijn dit uit te voeren zonder mijn hele domein op de schop te hoeven gooien!?

Hoeveel moeite is het om er .domain.local achter te typen bij het aanmelden?

Ik sluit me aan bij Question Mark

Hij heeft het ook niet over het renamen van het domein maar over het toevoegen van .local bij de aanmelding. Hij heeft echter niet in de gaten dat dat in dit geval geen enkel nut heeft omdat die extensie simpelweg niet bestaat.

Op internet bestaat de extensie .Local weliswaar niet, maar dat belet je niet om deze extensie bij je Active Directory wel te gebruiken.