Windows Login (7 en 10) langzaam met IPv6

maandag 22 mei 2017 09:14

En als je een NSLOOKUP doet van je DOMAIN.COM? Welke IP adressen staan daar?

Acties:

maandag 22 mei 2017 09:18

BMW S1000XR / Audi S6 Avant C7

Topicstarter

Vorkie schreef op maandag 22 mei 2017 @ 09:07:
En als je een NSLOOKUP doet van je DOMAIN.COM? Welke IP adressen staan daar?

<code>nslookup</code>

<code>Default server: elto-s2016.eltomation.com
Address: 2001:****:9001:1::254
</code>
**** staat in werkelijkheid wel wat

Waardes kloppen

<code>
eltomation.com
</code>

<code>
Addresses: 2001:****:9001:13::142f:a644
2001:****:9001:13::254
2001:****:9001:1::254
192.168.16.254
192.168.13.254
</code>
Ook dit klopt.
Heb 2 subnets draaien op de server.

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Acties:

maandag 22 mei 2017 09:39

Dat is natuurlijk niet echt handig, 2 subnets op een DC en eigenlijk ook niet nodig. is daar een specifieke reden voor?

Verder, zijn in Sites and Services de subnetten allemaal toegevoegd? Zowel voor IPv4 en IPv6?

Zie dat je ook netjes de reverse DNS hebt aangemaakt; dus dat zal verder wel goed staan.

Acties:

maandag 22 mei 2017 09:50

BMW S1000XR / Audi S6 Avant C7

Topicstarter

Vorkie schreef op maandag 22 mei 2017 @ 09:18:
Dat is natuurlijk niet echt handig, 2 subnets op een DC en eigenlijk ook niet nodig. is daar een specifieke reden voor?

Verder, zijn in Sites and Services de subnetten allemaal toegevoegd? Zowel voor IPv4 en IPv6?

Zie dat je ook netjes de reverse DNS hebt aangemaakt; dus dat zal verder wel goed staan.

De 2 subnets is om het boekhoudnetwerk en het normale netwerk gescheiden te houden (beide ook op een ander vlan)
Eerst hete ze beide eltomation.com als domein.
Dit ga ik aanpassen naar eltomation.com voor t normale netwerk en boekh.eltomation.com voor het boekhoud netwerk.

Wat bedoel je met de Sites en services?

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Acties:

maandag 22 mei 2017 09:51

@HellStorm666
Ik zou de DC gewoon op 1 subnet houden. Middels je router / firewall kan je dan verkeer tussen de VLAN's toelaten en dus een extra beveiligingslaag creeren.

code:

1
2
3

<client VLAN10> ----                  <router / FW> - <client VLAN11>
                          |  
<Domain Controller VLAN10>

Zo kan VLAN 11 gewoon netjes bij VLAN10, waar de DC staat en heb je effectief een gescheiden netwerk.

Verder bedoel ik deze console;

Afbeeldingslocatie: https://i-technet.sec.s-msft.com/dynimg/IC414487.gif

Afbeeldingslocatie: https://i-technet.sec.s-msft.com/dynimg/IC414487.gif

[ Voor 3% gewijzigd door Vorkie op 22-05-2017 09:51 ]

Acties:

maandag 22 mei 2017 10:13

BMW S1000XR / Audi S6 Avant C7

Topicstarter

Vorkie schreef op maandag 22 mei 2017 @ 09:50:
@HellStorm666
Ik zou de DC gewoon op 1 subnet houden. Middels je router / firewall kan je dan verkeer tussen de VLAN's toelaten en dus een extra beveiligingslaag creeren.
code:
1
2
3
<client VLAN10> - <router / FW> - <client VLAN11>
                          |  
                 <Domain Controller VLAN10>
Zo kan VLAN 11 gewoon netjes bij VLAN10, waar de DC staat en heb je effectief een gescheiden netwerk.

Verder bedoel ik deze console;

[afbeelding]

Wij hebben maar 1 site, die in NL, verder niet.
Heeft t dan nut om die sites en services anders in te stellen dan de default?

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Acties:

royalt123

En als je ping naar de Domain server, is de vertraging normaal of erg lang? doe zowel op naam als ipv6-adres.

maandag 22 mei 2017 10:14

Acties:

maandag 22 mei 2017 12:48

BMW S1000XR / Audi S6 Avant C7

Topicstarter

royalt123 schreef op maandag 22 mei 2017 @ 10:13:
En als je ping naar de Domain server, is de vertraging normaal of erg lang? doe zowel op naam als ipv6-adres.

Op zowel naam als ipv6 adres (naam wordt ook omgezet naar ipv6 adres) <1ms

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Acties:

maandag 22 mei 2017 12:54

BMW S1000XR / Audi S6 Avant C7

Topicstarter

Kan het zijn dat mijn _ldap en _kerberos DNS records op de verkeerde plek staan?
Deze staan nu in:
DNS->ELTO-S2016->Forward Lookup Zones -> eltomation.com -> _tcp
DNS->ELTO-S2016->Forward Lookup Zones -> eltomation.com ->_sites -> Barneveld -> _tcp

Maar bijv. niet in: DNS->ELTO-S2016->Forward Lookup Zones -> eltomation.com

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Acties:

maandag 22 mei 2017 15:46

Je hebt het volgende nodig:

Forward lookup zones: _msdcs.eltomation.com

Forward lookup zones: eltomation.com > _msdcs (grijzig mapje)

Afbeeldingslocatie: https://blog.ronnypot.nl/wp-content/uploads/2011/10/sbs2011migrationprepdnserror2.jpg

Afbeeldingslocatie: https://blog.ronnypot.nl/wp-content/uploads/2011/10/sbs2011migrationprepdnserror2.jpg

Acties:

maandag 22 mei 2017 15:58

BMW S1000XR / Audi S6 Avant C7

Topicstarter

Vorkie schreef op maandag 22 mei 2017 @ 12:54:
Je hebt het volgende nodig:

Forward lookup zones: _msdcs.eltomation.com

Forward lookup zones: eltomation.com > _msdcs (grijzig mapje)

[afbeelding]

Die heb ik beide

En wat moet er in welke map zitten?

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Acties:

maandag 22 mei 2017 16:03

Voer een dcdiag uit op de dcs. Kijk of daar fouten uitkomen of post de uitvoer hier.

Acties:

maandag 22 mei 2017 16:15

BMW S1000XR / Audi S6 Avant C7

Topicstarter

Vorkie schreef op maandag 22 mei 2017 @ 15:58:
Voer een dcdiag uit op de dcs. Kijk of daar fouten uitkomen of post de uitvoer hier.

Done.

Alle tests zijn "Passed".

code:

C:\Windows\system32>dcdiag

Directory Server Diagnosis

Performing initial setup:
   Trying to find home server...
   Home Server = elto-s2016
   * Identified AD Forest.
   Done gathering initial info.

Doing initial required tests

   Testing server: Barneveld\ELTO-S2016
      Starting test: Connectivity
         ......................... ELTO-S2016 passed test Connectivity

Doing primary tests

   Testing server: Barneveld\ELTO-S2016
      Starting test: Advertising
         ......................... ELTO-S2016 passed test Advertising
      Starting test: FrsEvent
         ......................... ELTO-S2016 passed test FrsEvent
      Starting test: DFSREvent
         ......................... ELTO-S2016 passed test DFSREvent
      Starting test: SysVolCheck
         ......................... ELTO-S2016 passed test SysVolCheck
      Starting test: KccEvent
         ......................... ELTO-S2016 passed test KccEvent
      Starting test: KnowsOfRoleHolders
         ......................... ELTO-S2016 passed test KnowsOfRoleHolders
      Starting test: MachineAccount
         ......................... ELTO-S2016 passed test MachineAccount
      Starting test: NCSecDesc
         ......................... ELTO-S2016 passed test NCSecDesc
      Starting test: NetLogons
         ......................... ELTO-S2016 passed test NetLogons
      Starting test: ObjectsReplicated
         ......................... ELTO-S2016 passed test ObjectsReplicated
      Starting test: Replications
         ......................... ELTO-S2016 passed test Replications
      Starting test: RidManager
         ......................... ELTO-S2016 passed test RidManager
      Starting test: Services
         ......................... ELTO-S2016 passed test Services
      Starting test: SystemLog
         ......................... ELTO-S2016 passed test SystemLog
      Starting test: VerifyReferences
         ......................... ELTO-S2016 passed test VerifyReferences


   Running partition tests on : ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation

   Running partition tests on : DomainDnsZones
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation

   Running partition tests on : Schema
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation

   Running partition tests on : Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation

   Running partition tests on : eltomation
      Starting test: CheckSDRefDom
         ......................... eltomation passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ......................... eltomation passed test CrossRefValidation

   Running enterprise tests on : eltomation.com
      Starting test: LocatorCheck
         ......................... eltomation.com passed test LocatorCheck
      Starting test: Intersite
         ......................... eltomation.com passed test Intersite

EDIT:

Zelfde test nu net op m'n werksysteem uitgevoerd, daar gaat niet alles goed.

Ter info, IPv6 staat op dit moment uit op m'n werksysteem.

code:

C:\Windows\system32>dcdiag /s:elto-s2016

Directory Server Diagnosis

Performing initial setup:
* Identified AD Forest.
Done gathering initial info.

Doing initial required tests

Testing server: Barneveld\ELTO-S2016
Starting test: Connectivity
......................... ELTO-S2016 passed test Connectivity

Doing primary tests

Testing server: Barneveld\ELTO-S2016
Starting test: Advertising
......................... ELTO-S2016 passed test Advertising
Starting test: FrsEvent
......................... ELTO-S2016 passed test FrsEvent
Starting test: DFSREvent
The event log DFS Replication on server elto-s2016.eltomation.com could not be queried, error 0x6ba
"De RPC-server is niet beschikbaar."
......................... ELTO-S2016 failed test DFSREvent
Starting test: SysVolCheck
......................... ELTO-S2016 failed test SysVolCheck
Starting test: KccEvent
The event log Directory Service on server elto-s2016.eltomation.com could not be queried, error 0x6ba
"De RPC-server is niet beschikbaar."
......................... ELTO-S2016 failed test KccEvent
Starting test: KnowsOfRoleHolders
......................... ELTO-S2016 passed test KnowsOfRoleHolders
Starting test: MachineAccount
......................... ELTO-S2016 passed test MachineAccount
Starting test: NCSecDesc
......................... ELTO-S2016 passed test NCSecDesc
Starting test: NetLogons
[ELTO-S2016] User credentials does not have permission to perform this operation.
The account used for this test must have network logon privileges
for this machine's domain.
......................... ELTO-S2016 failed test NetLogons
Starting test: ObjectsReplicated
......................... ELTO-S2016 passed test ObjectsReplicated
Starting test: Replications
[Replications Check,ELTO-S2016] DsReplicaGetInfo(PENDING_OPS, NULL) failed, error 0x2105
"Replicatietoegang is geweigerd."
......................... ELTO-S2016 failed test Replications
Starting test: RidManager
......................... ELTO-S2016 passed test RidManager
Starting test: Services
Could not open Service Control Manager on elto-s2016.eltomation.com, error 0x5 "Toegang geweigerd."
......................... ELTO-S2016 failed test Services
Starting test: SystemLog
The event log System on server elto-s2016.eltomation.com could not be queried, error 0x6ba
"De RPC-server is niet beschikbaar."
......................... ELTO-S2016 failed test SystemLog
Starting test: VerifyReferences
......................... ELTO-S2016 passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Running partition tests on : Schema
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation

Running partition tests on : Configuration
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation

Running partition tests on : eltomation
Starting test: CheckSDRefDom
......................... eltomation passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... eltomation passed test CrossRefValidation

Running enterprise tests on : eltomation.com
Starting test: LocatorCheck
......................... eltomation.com passed test LocatorCheck
Starting test: Intersite
......................... eltomation.com passed test Intersite

[ Voor 37% gewijzigd door HellStorm666 op 22-05-2017 16:15 ]

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Acties:

maandag 22 mei 2017 16:16

boelkloedig

HellStorm666 schreef op maandag 22 mei 2017 @ 08:30:
...Client:
IPv4 en IPv6 op DHCP
Krijg netjes een IPv6 adres en IPv6 DNS in het normale formaat...

Toch even voor de zekerheid: welke dns-servers krijgen ze? Want als daar een dns-server van je isp tussen zit, of van google of van opendns etc., dan ga je inderdaad zeer traag inloggen

[ Voor 7% gewijzigd door Brahiewahiewa op 22-05-2017 16:17 ]

QnJhaGlld2FoaWV3YQ==

Acties:

maandag 22 mei 2017 16:22

BMW S1000XR / Audi S6 Avant C7

Topicstarter

Brahiewahiewa schreef op maandag 22 mei 2017 @ 16:15:
[...]

Toch even voor de zekerheid: welke dns-servers krijgen ze? Want als daar een dns-server van je isp tussen zit, of van google of van opendns etc., dan ga je inderdaad zeer traag inloggen

offtopic:
zet even je code tags tussen blokhaken [code] ipv <code>

Systemen krijgen alleen de DNS van de server, verder niets.
De server heeft opendns en googledns ( beide ipv4 en ipv6 ) als forward zones.

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Acties:

maandag 22 mei 2017 16:37

BMW S1000XR / Audi S6 Avant C7

Topicstarter

Nog een test vanaf een client (zonder ipv6) met de domain-admin credentials

code:

C:\Windows\system32>dcdiag /s:elto-s2016 /u:eltomation\****** /p:******

Directory Server Diagnosis

Performing initial setup:
* Identified AD Forest.
Done gathering initial info.

Doing initial required tests

Testing server: Barneveld\ELTO-S2016
Starting test: Connectivity
......................... ELTO-S2016 passed test Connectivity

Doing primary tests

Testing server: Barneveld\ELTO-S2016
Starting test: Advertising
......................... ELTO-S2016 passed test Advertising
Starting test: FrsEvent
......................... ELTO-S2016 passed test FrsEvent
Starting test: DFSREvent
The event log DFS Replication on server elto-s2016.eltomation.com could not be queried, error 0x6ba
"De RPC-server is niet beschikbaar."
......................... ELTO-S2016 failed test DFSREvent
Starting test: SysVolCheck
......................... ELTO-S2016 failed test SysVolCheck
Starting test: KccEvent
The event log Directory Service on server elto-s2016.eltomation.com could not be queried, error 0x6ba
"De RPC-server is niet beschikbaar."
......................... ELTO-S2016 failed test KccEvent
Starting test: KnowsOfRoleHolders
......................... ELTO-S2016 passed test KnowsOfRoleHolders
Starting test: MachineAccount
......................... ELTO-S2016 passed test MachineAccount
Starting test: NCSecDesc
......................... ELTO-S2016 passed test NCSecDesc
Starting test: NetLogons
......................... ELTO-S2016 passed test NetLogons
Starting test: ObjectsReplicated
......................... ELTO-S2016 passed test ObjectsReplicated
Starting test: Replications
......................... ELTO-S2016 passed test Replications
Starting test: RidManager
......................... ELTO-S2016 passed test RidManager
Starting test: Services
Could not open Service Control Manager on elto-s2016.eltomation.com, error 0x5 "Toegang geweigerd."
......................... ELTO-S2016 failed test Services
Starting test: SystemLog
The event log System on server elto-s2016.eltomation.com could not be queried, error 0x6ba
"De RPC-server is niet beschikbaar."
......................... ELTO-S2016 failed test SystemLog
Starting test: VerifyReferences
......................... ELTO-S2016 passed test VerifyReferences

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Acties:

maandag 22 mei 2017 16:41

boelkloedig

Houd er rekening mee dat de termen "toegang geweigerd", "server niet beschikbaar" en "host niet gevonden" in microsoft's optiek volledig uitwisselbaar zijn.

Verder maakt het werken met multihomed dc's het troubleshooten ook niet makkelijker. Is het een optie om terug te gaan naar 1 subnet?

QnJhaGlld2FoaWV3YQ==

Acties:

maandag 22 mei 2017 16:46

BMW S1000XR / Audi S6 Avant C7

Topicstarter

Brahiewahiewa schreef op maandag 22 mei 2017 @ 16:37:
Houd er rekening mee dat de termen "toegang geweigerd", "server niet beschikbaar" en "host niet gevonden" in microsoft's optiek volledig uitwisselbaar zijn.

Verder maakt het werken met multihomed dc's het troubleshooten ook niet makkelijker. Is het een optie om terug te gaan naar 1 subnet?

Ik ben ondertussen al bezig om maar 1 subnet te gebruiken.
het 2e subnet (192.168.13.0/24) staat nog wel in de adapter, maar de DHCP en DNS doen er niets meer mee.
Domein deed er al niets mee, want was nog niet zo ver om boekh.eltomation.com ook toe te voegen in t domein.

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Acties:

maandag 22 mei 2017 16:50

boelkloedig

wireshark al geïnstalleerd?

QnJhaGlld2FoaWV3YQ==

Acties:

maandag 22 mei 2017 18:00

BMW S1000XR / Audi S6 Avant C7

Topicstarter

Brahiewahiewa schreef op maandag 22 mei 2017 @ 16:46:
wireshark al geïnstalleerd?

Wel geinstalleerd op de laptop.
Maar eerlijk gezegd wordt ik er niet heel erg wijs uit.

En voor zo ver ik begrijp werkt wireshark het mooieste als je met 2 LAN verbindingen hem er tussen zet.

Dus Server -> laptop met wireshare -> Client die probeert in te loggen.

Is wel mogelijk, maar een wat lastige stap, zeker als ik niet precies weet wat ik moet doen met wireshark

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Acties:

dinsdag 23 mei 2017 09:26

boelkloedig

HellStorm666 schreef op maandag 22 mei 2017 @ 16:50:
[...]
En voor zo ver ik begrijp werkt wireshark het mooieste als je met 2 LAN verbindingen hem er tussen zet.
...

Dat zou idd het mooiste zijn. Alternatief is ergens een 10/100 Mb hub (geen switch) opscharrelen. Nog een ander alternatief is port-replication op je edgerouter (in de veronderstelling dat de client via de router met de server verbonden is)

QnJhaGlld2FoaWV3YQ==

Acties:

woensdag 24 mei 2017 09:10

BMW S1000XR / Audi S6 Avant C7

Topicstarter

Brahiewahiewa schreef op maandag 22 mei 2017 @ 18:00:
[...]

Dat zou idd het mooiste zijn. Alternatief is ergens een 10/100 Mb hub (geen switch) opscharrelen. Nog een ander alternatief is port-replication op je edgerouter (in de veronderstelling dat de client via de router met de server verbonden is)

Het hele netwerk hangt aan Ubiquiti Unifi Switches.
Port-duplication had ik nog niet aan gedacht, das wel een mooie oplossing! thnx!

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Acties:

dinsdag 4 juli 2017 15:28

BMW S1000XR / Audi S6 Avant C7

Topicstarter

Gek ideetje hor, maar....
Als ik de IPv6 instellingen handmatig in stel op de client, dan start hij wel snel.

Nu heb ik een DHCPv6 server draaien (Windows server 2016 ingebouwd).
Hierin heb ik de scope.
En als Scope options heb ik:
23: 2001:981:9001:1::254 (De server)
24: eltomation.com

Gooit een van die options misch roet in t eten? of mis ik nog een option?

EDIT:

Het lijkt er op dat het probleem in de RA van IPv6 zat (wel of niet de L en A flag)
Nu met M en L flag op true en O en A flag op false werkt het inloggen wel.
Vertraging is nu nog 15 seconden.
Via Wireshark aan het volgen, en het lijkt er op dat er gewacht wordt op de DHCPv6 server en de NTP met inloggen.
Iemand nog tips hoe ik dit sneller kan krijgen?

[ Voor 33% gewijzigd door HellStorm666 op 24-05-2017 16:49 ]

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

Acties: