Toon posts:

Windows AD's + IPv6 = probleem

Pagina: 1
Acties:

Onderwerpen

Active directory Ipv6

maandag 28 september 2015 11:01

Acties:
  • 0 Henk 'm!
  • HellStorm666
  • Registratie: April 2007
  • Laatst online: 15-09 13:49

HellStorm666

BMW S1000XR / Audi S6 Avant C7

Topicstarter
Hallo mede-tweakers,

Sinds kort het netwerk op het werk op z'n kop gezet en opnieuw opgebouwd.
We hadden een hele stapel aan M0n0wall's draaien en dat is omgezet naar 1 pfSense.

Daar zit 2x WAN (xs4all en ziggo) aan en 3x LAN (Basis netwerk, boekhoud netwerk en bezoekersnetwerk).
In het basis netwerk zit een Windows SBS 2008 welke oa AD server is.
In het boekhoud netwerk zit een Windows Server 2008 welke oa ook AD server is.

Basis netwerk heeft IPv4 en IPv6 (192.168.1.x en 1234:1234:1234:1::x \64)
Boekhoud netwerk heeft IPv4 en IPv6 (192.168.2.x en 1234:1234:1234:2::x \64)

Het probleem is het volgende.
Zodra een client in het boekhoud netwerk IPv6 aan zet, krijg deze netjes een IPv6 address via RA uit het juiste subnet. Echter wordt het inloggen daarna super traag en komt er bij het netwerk deel te staan dat het netwerk niet geverifieerd is.
Wat google werk leert dat dat komt als er 2 AD's in een netwerk zitten.
Echter, bij ons zitten ze ieder in een eigen subnet. En de firewalls staan strict. Alles wordt geblokkeerd op een paar regeltjes na. En die regeltjes laten geen AD verkeer door.

Wat kan hier de reden van zijn? en net zo belangrijk. Hoe kan ik dit probleem oplossen?

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

maandag 28 september 2015 11:30

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-09 16:29

Jazzy

Moderator SSC/PB

Moooooh!

Focus op DNS. Het maakt helemaal niet uit hoe veel Active Directory forest er in een netwerk zit, zolang de client maar een DNS server gebruikt waar de juiste zones en records in staan die nodig zijn voor zijn domein. In een SBS-omgeving zonder extra domein controllers betekent dit dat de client alleen het IP-adres van de SBS Server als DNS server mag gebruiken.

Exchange en Office 365 specialist. Mijn blog.

maandag 28 september 2015 11:46

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:42

Hero of Time

Moderator LNX

There is only one Legend

Maar kan je wel met IPv6 naar de AD server? Als dat niet werkt, verklaart dat je problemen, aangezien IPv6 de voorkeur heeft. Sowieso, waarom heb je externe IPv6 adressen aan je AD hangen? Of is 't stiekem Link-Local in de FE80:: reeks?

Commandline FTW | Tweakt met mate

maandag 28 september 2015 12:21

Acties:
  • 0 Henk 'm!
  • HellStorm666
  • Registratie: April 2007
  • Laatst online: 15-09 13:49

HellStorm666

BMW S1000XR / Audi S6 Avant C7

Topicstarter
Hero of Time schreef op maandag 28 september 2015 @ 11:46:
Maar kan je wel met IPv6 naar de AD server? Als dat niet werkt, verklaart dat je problemen, aangezien IPv6 de voorkeur heeft. Sowieso, waarom heb je externe IPv6 adressen aan je AD hangen? Of is 't stiekem Link-Local in de FE80:: reeks?
We hebben native IPv6 dual-stack. De AD server draait nog wat andere services, en een enkele daarvan is bereikbaar van buitenaf. Daarom heeft ie een "extern" IPv6 address.

Zal het connecten via IPv6 even checken voor de zekerheid.
EDIT:
ping naar de DNS server (ook de AD server) (1234:1234:1234:2::10) werkt gewoon.
ping naar de GW (1234:1234:1234:2::1) werkt ook gewoon
IPv6-test.com geeft 17/20 (ICMP is filtered en hostname is none)

[ Voor 15% gewijzigd door HellStorm666 op 28-09-2015 12:46 ]

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

dinsdag 29 september 2015 10:29

Acties:
  • 0 Henk 'm!
  • sjmsteffann
  • Registratie: Mei 2010
  • Laatst online: 29-05 23:31

sjmsteffann

Gezien de foutmelding van test-ipv6 zou ik kijken of ICMP niet te veel gefilterd wordt. Met IPv4 kwam je dat nog mee weg, alhoewel het ook timeouts veroorzaakte. Met IPv6 gaat het echt stuk. Ik zou om te testen de ICMP filters er eens afhalen om te kijken of dat helpt.

dinsdag 29 september 2015 12:27

Acties:
  • 0 Henk 'm!
  • HellStorm666
  • Registratie: April 2007
  • Laatst online: 15-09 13:49

HellStorm666

BMW S1000XR / Audi S6 Avant C7

Topicstarter
sjmsteffann schreef op dinsdag 29 september 2015 @ 10:29:
Gezien de foutmelding van test-ipv6 zou ik kijken of ICMP niet te veel gefilterd wordt. Met IPv4 kwam je dat nog mee weg, alhoewel het ook timeouts veroorzaakte. Met IPv6 gaat het echt stuk. Ik zou om te testen de ICMP filters er eens afhalen om te kijken of dat helpt.
Zowel op de WAN als op de LAN's staat IPv4+IPv6 ICMP op allow from all to all.

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq