PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Replikation mit Windows KDC über VPN



MrBing
15.08.2008, 23:28
Hallo,

ich habe eine DS207+ und sie soll über eine fixe VPN Verbindung ihre User mit einem Windows 2003 DC/KDC abgleichen. Bisher lief dass im gleichen Netz und hat super funktioniert. Hat jemand einen Tipp für mich welche Dienste und Ports vom Windows Server und seinem KDC ich der Diskstation zur Verfügung stellen muss damit sie wieder tut?

Dank im voraus :rolleyes:

MrBing

_TokTok_
16.08.2008, 11:33
Ist die DS über den DC erreichbar (ping) ?
Wenn das klappt, die Daten des DC im entsprechenden Menü in der DS eintragen.
Falls das nicht klappt, musst Du Deine Netzwerkeinstellungen anpassen.

TobiasM
17.08.2008, 08:40
Hi MrBing,

das dürften mehrer Ports sein, aber ist denn dasVPN selbst gefiltert?
Ist VPN ein anderes Subnetz und kennt der DS, direkt oder indirekt über den Gateway, dieses? Pingen kommt an?

Ist im DS als DNS der Windows-Server oder der lokale DNS eingetragen?
(AD Probleme sind 90% DNS-Probleme).

Gruss
Tobias

MrBing
17.08.2008, 10:16
Hi,

danke für eure Antworten ;)
Das VPN ist komplett ungefiltert. Der DNS im Netz der Diskstation ist zur Zeit leider mangels Alternativen eine AVM Fritz!Box. Fixe DNS Einträge kann ich hier leider nicht vornehmen. Kann ich in der Diskstation irgendwo DNS Hosts pflegen, so dass der Domaincontroller fix aufgelöst wird?
Ich habe um ihn erreichbar zu machen nun erstmal sämtliche Kerberos relevanten Dienste über das VPN Segment verfügbar gemacht und auf Pings auf die IP antwortet er auch brav. Zur Lösung des Problemes hat das jedoch bisher leider nicht geführt.

Viele Grüße

MrBing

TobiasM
17.08.2008, 10:33
Der DNS im Netz der Diskstation ist zur Zeit leider mangels Alternativen eine AVM Fritz!Box.


Falls die VPN Verbindung wirklich 24/7 ist, dann trage doch einfach im DS die IP des Windows-Server ein. Sicherlich wird dann jeder DNS Traffic(vom DS) über VPN geleitet. Bei Flatrate sehe ich keinen Nachteil, Volumen müsste man mal prüfen was das wirklich kostet. Ausser die VPN hat arge Performance-Engpässe. Kannst ja erstmal den DNS auf den Windows Server biegen, um zusehen, ob wirklich hier der Hund begraben ist.

Hast du den KDC im DS eingetragen?


Fixe DNS Einträge kann ich hier leider nicht vornehmen. Kann ich in der Diskstation irgendwo DNS Hosts pflegen, so dass der Domaincontroller fix aufgelöst wird?


ADS nutzt DNS viel intensiver, also nur Servername<>ServerIP. Da reicht ein einzelner Host eintrag bei weiten nicht. Da müsste du schon jede DNS Anfrage an entsprechende Domain an den Windows Server weiterleiten(selbst da weiß ich nicht ob das klappen würde).



Ich habe um ihn erreichbar zu machen nun erstmal sämtliche Kerberos relevanten Dienste über das VPN Segment verfügbar gemacht

Was meinst du mit "[...] Dienste [...] verfügbar gemacht"?
Klingt irgendwie nach Portforwarding oder so was?

Gruss
Tobias

wennessen
17.08.2008, 10:35
Ich glaube es war gemeint, das in der entfernt vom KDC laufenden Cubestation nicht der DNS der 2. Fritzbox im Netz der Fritzbox eingetragen sein muss sondern der entfernte DNS, auf dem auch der KDC läuft auf den du zugreifen willst. Die Fritzbox kennt die Forward Lookup Zone _mcdcs in der die IP des KDCs steht, den der Winbind-Deamon in deiner Cubestation braucht, nicht. Daher kann sie den KDC auch nicht finden (wenn ich deine Netzwerktopologie hier richtig verstanden habe).

MrBing
17.08.2008, 11:21
Falls die VPN Verbindung wirklich 24/7 ist, dann trage doch einfach im DS die IP des Windows-Server ein. Sicherlich wird dann jeder DNS Traffic(vom DS) über VPN geleitet. Bei Flatrate sehe ich keinen Nachteil, Volumen müsste man mal prüfen was das wirklich kostet. Ausser die VPN hat arge Performance-Engpässe. Kannst ja erstmal den DNS auf den Windows Server biegen, um zusehen, ob wirklich hier der Hund begraben ist.

Das mit dem Fixen Tunnel und Traffic ist kein Problem, Performance engpässe sollte es eigentlich auch keine geben, der Tunnel gibt abzüglich des VPN Overheads 1024 kbit/s her
Hast du den KDC im DS eingetragen?

Hab ich versucht aber die DS meldet dann einen Verbindungsfehler zurück


ADS nutzt DNS viel intensiver, also nur Servername<>ServerIP. Da reicht ein einzelner Host eintrag bei weiten nicht. Da müsste du schon jede DNS Anfrage an entsprechende Domain an den Windows Server weiterleiten(selbst da weiß ich nicht ob das klappen würde).



Was meinst du mit "[...] Dienste [...] verfügbar gemacht"?
Klingt irgendwie nach Portforwarding oder so was?

Gruss
Tobias

Es handelt sich um einen Small Business Server mit 2 Netzwerkkarten, das Netz dass die DS erreichen kann ist die 2. externe Karte die in das Netz des Routers zeigt, insofern hast du recht mit Port Forwarding. Normalerweise gab es bisher nie Probleme Dienste auf diesem NIC Verfügbar zu machen und Microsoft liefert detailierte Angaben was man auf dem NIC Verfügbar haben muss um Kerberos nutzen zu können, die Anleitung führte jedoch leider nicht zum Erfolg. Ich habe auch einen Test mit komplett abgeschaltetem Windows Firewall Dienst gemacht, dieser hat jedoch leider ebenfall keinen Erfolg gebracht.

@wennessen: die Netzwerktopologie sieht folgendermaßen aus:
Diskstation im Netz (10.10.10.0/255.255.255.0) getunnelt ins Netz des externen NICs vom Windows Server (192.168.1.0/255.255.255.0) und dieses verbunden über den Standard Windows NAT Service des SBS (ohne ISA) ins intgerne Netz des SBS (10.0.0.0/255.255.255.0).
Mein bisheriger Ansatz war den KDC aus dem internen Windows Netz auf dem externen NIC Verfügbar zu bekommen, damit die DS sich die AD infos ziehen kann, denkst du dass ich evtl. hier einen Fehler in der Planung haben könnte? Siehst du evtl. einen anderen Weg ans Ziel zu gelangen?

Dank euch allen

MrBing

TobiasM
17.08.2008, 12:09
Igitt, ein Multihomed Windows Server, auch wenn das beim SBS 2003 ja von MS propagiert wird, betreibe ich SBS immer mit einer NIC, aber da gibt halt auch gegenteilige Meinungen.

Deine Topologie sieht also so aus

Clients <> LAN1 <> SBS <> "DMZ" <> Router(Fritz?) <> Internt <> Router(Fritz?) <> LAN2 <> DS
.................................................. ....|> ........... VPN................ <|
Damit hast du erstmal vier Netzsegment, oder?
LAN1,DMZ,VPN,LAN2( und eigentlich Internet, aber darauf hast du kaum Einfluss :)).

Allsdings gibt du oben nur drei IP-Bereiche an, also teilt sich zwei Segmente den gleichen Bereich?
Nach obiger Beschreibung vermute ich das dies LAN2 und VPN ist.
Wer(welche Geräte) bauen wie(welches Protokol) das VPN auf?

Ob die Topologie die beste ist, hängt noch von den anderen Bedingen ab.
Zum Beispiel,wie weit die Client aus LAN2 ebenfalls zugriff auf SBS brauchen.
Wie "vertrauenwürdig" sind diese Client.

Denn ich würde versuchen, das ein Endpunkt des VPN direkt ins intere LAN endet, damit du nicht jeden Dienst auf externe Interface zubiegen, Damit hebst einen der beiden Argumente(aus meiner Sicht) für einen 2 NIC SBS auf, nämlich eine weiter Hürde für "Einbrecher".


Naja um es Kurz zu machen: Ich glaube, das Problem hat relativ wenig mit dem DS zutun :)

MrBing
17.08.2008, 12:18
jo die beiden Fritz!boxen sind die Endpunkte

TobiasM
17.08.2008, 12:52
Ich würde den Endpoint im Internen setzen, bzw auf den SBS. Allerdings wäre da ein Topologie änderung/erweiterung nötig/zu empfehlen, aber das lässt so aus der Ferne nur schwer empfehlen, weil das ja auch nicht mal eben geht, dafür gibt zu viele Punkte die da ne Rolle spielt.

Da ich möglich ohne 2 NIC arbeite(und wenn dann auch mi ISA), weiß ich auch nicht, ob man diese zweie Netz nicht einfach ebenfalls als intern behandel. Ob das durch einfachen FW deaktivieren passiert, glaube ich nämlich nicht(dann würde nämlich der SBS "nackt" darstehen, wenn sich mal die FW aufhängt).

Ich kenne Fritzboxen nicht, welche VPN möglichkeiten haben die den?
Falls die PPTP können und auch PPTP-Forwarden können, kannst auch mal den SBS als Endpoint nehmen und dann mal testen.

itari
17.08.2008, 12:53
Kann ich in der Diskstation irgendwo DNS Hosts pflegen, so dass der Domaincontroller fix aufgelöst wird?

Nur für den Fall, dass du immer noch danach suchst: /etc/hosts, /etc/host.conf, /etc/resolv.conf und wenn es ganz fein eingestellt werden soll, dann auch mal in die /etc/rc.network reinschauen. Und für Samba gibt es natürlich auch noch eine conf-File: /usr/syno/etc/smb.conf.

itari

MrBing
17.08.2008, 13:06
Ich würde den Endpoint im Internen setzen, bzw auf den SBS. Allerdings wäre da ein Topologie änderung/erweiterung nötig/zu empfehlen, aber das lässt so aus der Ferne nur schwer empfehlen, weil das ja auch nicht mal eben geht, dafür gibt zu viele Punkte die da ne Rolle spielt.

Da ich möglich ohne 2 NIC arbeite(und wenn dann auch mi ISA), weiß ich auch nicht, ob man diese zweie Netz nicht einfach ebenfalls als intern behandel. Ob das durch einfachen FW deaktivieren passiert, glaube ich nämlich nicht(dann würde nämlich der SBS "nackt" darstehen, wenn sich mal die FW aufhängt).

Ich kenne Fritzboxen nicht, welche VPN möglichkeiten haben die den?
Falls die PPTP können und auch PPTP-Forwarden können, kannst auch mal den SBS als Endpoint nehmen und dann mal testen.

Hmm Danke für den Tipp, laut AVM ist es ein IP-Sec VPN, ich werde da mal anfragen ob ich die eine Fritzbos auch mit dem SBS als Endpoint verbandeln kann ;)