Internet en Domain Controller(s)

Goedenavond medeTweakers,

Ik moet voor school 2 DC's (Domain Controllers) opzetten voor 1 domain, plus een RODC erbij. DC1 moet als router fungeren en DC2 moet verbinding maken met DC1. Op het moment dat DC2 met RODC (Read Only Domain Controller) wil verbinden moet dit gaan via DC1. De RODC moet ook dmv DC1 verbinding maken (indien nodig) met DC2. Aka DC1 moet dus als router fungeren. Mijn main DC is volledig ingesteld en heeft verbinding met het (grote boze) internet. Alles werkt, mijn RODC en DC2 zijn lid van het domain en alles van DC2 word gerepliceerd op DC1. RODC werkt ook naar behoren. Het probleem zit m in het feit dat zowel DC2 als ook RODC allebei GEEN internet hebben. Ik persoonlijk vermoed dat het probleem bij DC1 zit, maar weet niet waar. DNS is het volgens mij niet, want zodra ik ping www.google.nl (of welk bestaand online adres dan ook) doe werkt het. Waar zit het probleem mogelijk? Indien het van belang is, dit is de IP (IPv4) configuratie van mijn servers:

DC1:
- DC Verbinding, Intern netwerk
IP =192.168.0.1
Subnet Mask =255.255.255.0
Default gateway =blanco
Preferred DNS server =127.0.0.1
Alternate DNS server =192.168.0.1 (Yeah i know, ik verwijs 2x naar mezelf )

- NAT, NAT verbinding
Alles Automatically

RODC-Verbinding, Intern netwerk
IP =192.168.0.20
Subnet Mask =255.255.255.0
Default gateway =192.168.0.1
Preferred DNS server =192.168.0.1
Alternate DNS server =127.0.0.1

DC2
- DC Verbinding, Intern netwerk
IP =192.168.0.10
Subnet Mask =255.255.255.0
Default gateway =192.168.0.1
Preferred DNS server =192.168.0.1
Alternate DNS server =blanco

RODC
- RODC Verbinding, Intern netwerk
IP =192.168.0.30
Subnet Mask =255.255.255.0
Default gateway =192.168.0.20
Preferred DNS server =192.168.0.1
Alternate DNS server =192.168.0.20

Ik moet wel vermelden dat pingen en tracert naar buiten (het internet) op zowel DC2 als RODC NIET werkt, pingen en tracert naar DC1 werkt dan weer wel gewoon. Maar op het moment dat ik "ping www.google.nl" in het cmd (command prompt) invoer ik WEL het ip van google krijg (74.125.136.94), maar de ping failen. Ik heb gegoogled, maar google geeft mij geen inhoudelijke goede antwoorden, alleen een antwoord over hoe ik een single DC en single domain moet opzetten. Waar o waar doe ik het fout of waar zit de fout? Wie o wie kan mij helpen? Alvast bedankt voor het doorlezen. Mocht ik iets missen zeg het gerust.

[ Voor 1% gewijzigd door Verwijderd op 11-10-2014 22:39 . Reden: Kleine aanvulling ]

DC1:
DC2:
RODC:

Crazymonkey schreef op zondag 12 oktober 2014 @ 00:24:
Kan me vaag herinneren dat RAS standaard alles blocked, kwa netwerk verkeer. Hij kan wel de DNS resoven, omdat de DC01 wel internet heeft.

Misschien helpt dit je verder: http://technet.microsoft.com/en-us/library/dd458974.aspx

mace schreef op zondag 12 oktober 2014 @ 00:29:
Ja je moet je DC aan het NATten krijgen want anders komen de pakketten terug nooit aan.

Een goede tool om netwerkverkeer uit te pluizen is Wireshark, deze zou je op DC1 kunnen installeren om te kijken of de pakketjes binnenkomen, of ze netjes worden doorgestuurd en wat er precies terugkomt.

Linke Loe schreef op zondag 12 oktober 2014 @ 16:25:
Waarom zit je RODC in hetzelfde subnet als DC2, maar via een aparte NIC op DC1? Met andere woorden: hoe probeer je te routeren van het netwerk waar RODC in zit, naar een ander netwerk, terwijl hetzelfde IP-subnet gebruikt wordt? Op deze manier gaat het sowieso niet werken.

Ik heb vandaag hulp gehad van mijn oom (HBO+ niveau ict beheerder en manager). We zijn erachter gekomen dat ik behoorlijk wat fout heb gedaan. Wat ik fout heb gedaan is het volgende:
- RODC-Verbinding op de RODC verkeerd subnet gegeven. Dit is nu ipv 192.168.0.30 het volgende adres geworden 192.168.2.30
- RODC-Verbinding op de DC-1 verkeerd subnet gegeven. Dit is nu ipv 192.168.0.20 het volgende adres geworden 192.168.2.1
- Ik had geen RRAS Role geïnstalleerd

Na RRAS (Routing and Remote Access Service) ingesteld en geconfigureerd te hebben werkte en werkt alles naar behoren. Zonder RRAS geen router functie op mijn DC1, een grove fout dat ik over het hoofd heb gezien (mag eigenlijk niet, maar zo stom als ik soms kan zijn heb ik dat wel gedaan!). Alles werkt nu zoals de bedoeling is en het topic kan gesloten worden. Bedankt voor het meedenken en fijne week toegewenst allemaal!!

Verwijderd schreef op zondag 12 oktober 2014 @ 19:20:
Nog een kleine tip die ik voor je heb: nooit (127.0.0.1) als primary DNS instellen. Kan in een (werkomgeving) voor veel issues zorgen. Gewoon het daadwerkelijke ipadres van de machine gebruiken.

I'm curious, voor wat voor issue's kan dat dan zorgen? Want wat ik begreep was dat 127.0.0.1 gewoon naar de machine zelf verwees. Ben benieuwd naar je antwoord!!

Verwijderd schreef op zondag 12 oktober 2014 @ 19:27:
[...]

DNS resolver issues, al vaker meegemaakt bij klanten.

Dus op het moment dat de DNS op bijvoorbeeld 192.168.1.1 staat kan dan beter 192.168.1.1 (ipv 127.0.0.1) instellen als Primary DNS bedoel je?

Question Mark schreef op zondag 12 oktober 2014 @ 20:04:
[...]

Er wordt aangegeven dat het loopback address nooit primair naar zichzelf mag wijzen, als secundair address is het geen enkel issue.

De reden hiervoor is dat de AD-services DNS nodig hebben om te kunnen starten. Maar bij AD-integrated zones heeft DNS nu juist AD nodig om te kunnen starten. Je krijgt een beetje een deadlock situatie dan.

Het is bij meerdere DC's de best practise om dns-servers dan kruislings op te geven:

Server A - primaire DNS Server B, secundair zichzelf
Server B - primaire DNS Server A, secundair zichzelf

Bij een enkele DC in bv een testomgeving ontkom je er niet aan om enkel zichzelf als DNS-resolver op te geven. Je kunt dan wel een time-out van een minuut of 20 verwachten na een herstart voordat je AD en DNS compleet opgestart zijn.

Duidelijk, weer een stukje minder dom geworden @T Question Mark, hmmmmmmmmmpffff, Linke Loe, arjants, Crazymonkey, mace & Killah_Priest: Thanks voor de info en het meedenken!!

Wim-Bart schreef op maandag 13 oktober 2014 @ 17:23:
Heren, RRAS op een DC? Zijn jullie gek geworden.... Dit gaat in tegen alle best practices van Microsoft. Multihomed DC's is totaal not done. Dat het werkt is leuk, dat het kan, is leuk, maar inrichten op deze wijze. Ik hoop niet dat dit een opdracht is voor een opleiding....

Het is een school opdracht om kennis op te doen. Al spelende wijs leert men zeggen ze. Gelukkig laten ze ons niet aanklooi(-oi+t)en in een live omgeving, alhoewel als ik de netwerk prestaties op school zie zou ik dat als ict beheerder student het ZEKER beter kunnen doen!! De onderstaande reactie is precies wat school ook denkt!!

Killah_Priest schreef op maandag 13 oktober 2014 @ 17:28:
[...]


Dit is gewoon een schoolopdracht en niet het inrichten van een echte productie omgeving.
Als ik een tijdelijke testomgeving uitrol heb ik ook vaak maling aan best practices, daar is het immers een testomgeving voor (en dan heb ik het natuurlijk niet over een testomgeving welke productie na moet bootsen).

Wij zijn dus niet gek, wij hebben gewoon de ts wat info gegeven