DNS Server in Verbindung mit Synology Directory Server und mehreren NATs

[maf123sp]

Hallo,

ich habe vermehrt Probleme beim Einloggen von Nutzern und beim Zugriff auf zentrale Ressourcen. Dies äussert sich darin, dass Nutzer teilweise 20min oder länger zum Anmelden benötigen.

Umgebung:
Synology Directory Server (Subnetz 21)
4 weitere Subnetze (22, 23, 24, 25)
DNS Server auf System mit Synology Server
Alle 5 Subnetze sind mit VPN verbunden (Cisco RV042 - IP4)
Roaming Profiles

Aufgrund des VPN Verbindung habe ich für alle Subnetze die DNS Settings der DHCP so gesetzt, dass alle Clients den DNS Server des Subnetzes 21 nutzen.
Grundsätzlich funktioniert dies ganz gut.
(Um der Kritik zuvorzukommen: das System ist eine produktive Umgebung über mehrere Jahre unter absoluten Resourcenmangel gewachsen. Einige Schwachstellen - IP6 Unterstützung, Roaming - etc sind bereits in Arbeit)

Mein Problem liegt nun daran, dass sich die Namensauflösung nach einiger Zeit immer ungünstig verhält. Ich bekomme dann vermehrt "Client Registration Failures" bzw. die Auflösung dauert so lange, dass die Clients auch in Probleme laufen. Dann haben wir das Problem mit dem Roaming Updates.
Der DNS Server beinhaltet die Standardeinstellungen des Synology Directory Servers im NAT 21.

Gibt es Punkte, die ich in diesem Zusammenhang bei der Konfiguration des DNS Servers beachten sollte? Aufgrund des Alters und der Entwicklung ist es schwierig, die Subnetz Nummern (Netzwerkadressen und Masken) einfach zu ändern (verteilte Standorte; Anzahl der Clients).

Vielen Dank für Eure Ideen!

Matthias

 

[blurrrr]

Roaming Profiles und Du wunderst Dich "ernsthaft" über lange Anmeldezeiten?... Schalt die Roaming Profiles ab und dann wird signifikant schneller gehen... (Hast Du allerdings am Standort der Syno eine Gbit-Ethernet-Strippe in Richtung Internet und bringen die VPN-Devices auch die entsprechenden Durchsätze UND sind die anderen Standorte ebenfalls mit GBit angebunden, sollte das allerdings schon etwas flotter gehen. Ist dann halt alles abhängig von den Bandbreiten...)

DNS dürfte eigentlich kein Thema sein... (nebst 53/UDP auch 53/TCP freigegeben in der Firewall? DNS ist halt bei größeren Antworten manchmal so ein Fallstrick.). Alternativ... schmieren Dir die VPN-Tunnel manchmal weg (so dass es ggf. deswegen auch nicht mit der DNS-Auflösung funktioniert)?

Davon ab... Cisco RV042 ... Sieh mal zu, dass Du von dem Müll weg kommst (hatte ich auch einige Zeit laufen). Zumal das Ding auch schon EOL ist...

 

[the other]

Moinsen,
wenn du schreibst "mehrere NATs"...nutzt du denn jetzt für jedes Subnetz einen eigenen Router mit NAT oder meintest du nur VLANs statt NAT?

 

[blurrrr]

Die kleine Routerbüchse kann nix... Geh mal eher davon aus, dass es an jedem Standort halt ein NAT gibt (Richtung Internet halt, weil ansonsten wäre es nur Blödsinn) und NAT auf einen Tunnel zu legen macht wirklich nur in den seltensten Fällen Sinn (bis garnicht). VLANs würde ich bei der Betrachtungsweise auch erstmal völlig aussen vor lassen, da sich das Konstrukt auch überhaupt nicht so anhört, als würde da sowas auch nur ansatzweise zum Einsatz kommen (sorry)

 

[maf123sp]

Danke für die schnelle Antwort.

Bandbreite - wurde gerade erhöht; aber das Bottleneck ist die RV042 (100MBit) :-(

Portfreigaben - werde ich check und notfalls mal erweitern

Roaming Profiles - ist geplant, dies auf Verzeichnis-Umleitungen zu ändern; meine Anwender sind aber absolut technik-fremd - da dauert so etwas immer; gleichzeitig unterliegen die Anwender den höchsten Kriterien der DSGVO. Ein anders Problem ist, dass die Anwender auch oft offline Arbeiten und ohne Roaming Profiles dann keine Zugang zu den Daten haben. Daher ist derzeit noch vieles auf den Notebooks dupliziert; an sich kritisch wegen der Daten.

CISCO - ist auch aus meiner Sicht absoluter Müll - aus jetziger Sicht. Dies war aber zu Beginn die einfachste und preislich vertretbare Variante eines VPNs

VPN - Abbrüche sehe ich selten; die Tunnel sind sternförmig aufgebaut und sind an sich sehr stabil. Hier werde ich noch diesen Herbst auf eine
OpenVPN Lösung umsteigen (in Arbeit)

Matthias

 

[blurrrr]

s. PN

EDIT: 100MBit sind kein Bottleneck, wenn die Internetstrippe sowieso nicht mehr hergibt (up+down!), Frage ist, ob der VPN-Tunnel eben auch ansatzweise seine 100Mbit bringt

 

[maf123sp]

zu VLANs und NATs (Hintergründe)

Es geht um 5 Standorte in einer Stadt. Jedesr Standort hat sein eigenes Netzwerk mit Router (Fritzbox) und einer eigenen Negtzwerkadresse. Hinter dem Router befindet sich noch die CISCO RV042 als VPN Gateway - dort beginnt das eigentliche NAT des Standorts.
Im Netzwerk ist ein Sammelsurium von Windows PCs (5..10), Netzwerkdevices (WLAN APs, Repeater, IP Phone Devices, >10), Drucker (~2) und Phones via WLAN.
Jeder Standort ist so gross, dass ich mehrere Repeater (DECT) bzw. APs brauche, um die Signale sauber zu verteilen (3x 500m² + Aussengelände).

Alle Standorte sind vernetzt und greifen auf den zentralen Server zu. Dieser übernimmt auch die Authentifizierung und Verwaltung der Rechte/ Devices und das verteilte Sichern der Daten.

Matthias

 

[the other]

Moinsen, uff, also 5-6 Router in dem Netz mit doppelt NAT und VPN...cool, dass es überhaupt läuft...

Da brauchste ja nen Serverschrank nur für die Routergeräte....ich würde (selbst als nur Hobbykelleradmin) da keine produktive Zeit mehr reinsetzen, dann eher ne vernünftige Routerlösung (hust...open/pfSense) und einen vernünftigen Switch....bei sovielen Nutzern und professionellem Einsatz ggf. 10 GB)....aber das war ja nicht die Frage...

 

[the other]

Ahhhh, okay, war ich zu ungeduldig, 5 Standorte...sorry. Aber ne Neustrukturierung wäre vielleicht wie blurr ja schrieb doch mal angesagt...

 

[maf123sp]

Hallo blurrrr,

ich wollte gerade die Portfreigaben checken. Ist dies denn notwendig. Die Kommunikation zwischen erfolgt doch über den Tunnel. Dort liegt doch keine Firewall dazuwischen. Es verbindet doch die Sites ganz transparent. Oder liege ich da falsch?

 

[maf123sp]

Neustrukturierung...
definitiv notwendig. Lässt sich aber nicht so nebenbei organisieren. Also Kosten sollten bei "0 EUR" liegen, Ausfallzeit bei < 1 Tag und Verfügbarkeit bei 100% zur Kernarbeitszeit. Nur die Geduld ist unendlich Daher kann es leider nur in kleinen Schritten gehen.
(Allein der Transfer durch die Stadt kostet mehrer Stunden Zeit)

 

[blurrrr]

so, nebst der PN...

Dort liegt doch keine Firewall dazuwischen. Es verbindet doch die Sites ganz transparent. Oder liege ich da falsch?

Nimm es mir bitte nicht übel, aber Du bist für die IT zuständig (und das bei 5 Standorten!) und hast keine Ahnung, ob da Firewall-Regeln bzgl. des VPN-Traffics sind? Ich habe auch Verständnis dafür, wenn man in so einen Job reinrutscht (weil man halt ein bisschen IT-affiner ist als andere), aber irgendwann muss man auch da mal die Reissleine ziehen und mit dem Chef sprechen, dass es so nicht funktioniert...

Bei 5 Standorten sollte in "jedem" Fall eine vernünftige zentralisierte IT-Infrastruktur vorhanden sein, alles andere ist nur noch Kindergartengebastel (das mein ich jetzt nichtmals auf Dich bezogen, sondern ganz allgemein). Auf Kindergartengebastel baut man meiner Meinung nach kein Unternehmen auf (und sowas kann auch kein Unternehmer wollen, vor allem nicht, wenn es schon mehrere Standorte gibt und sich das Unternehmen nicht mehr in der Startphase befindet).

Ich weiss auch, dass diese Worte jetzt zwar Dich erreichen, Dich das aber eigentlich garnicht tangiert, denn Du sollst ja nur "machen". Es wäre daher ratsam, wenn Du vielleicht mal ein paar "ehrliche" Worte mit Deinem Chef wechselst, denn hier in so einem Forum nachzufragen und sich irgendwelche Tips von Privatpersonen zu holen "sollte" und "kann" nicht die Basis der IT eines Unternehmens mit mehreren Standorten sein.

Und bitte - das ist jetzt in keinster Weise irgendwas gegen Dich - ich kenne solche Dinge halt von anderen Firmen und die Folgeprobleme die dadurch entstehen können. In erster Linie wäre es auch empfehlenswert, wenn man sich mal zusammensetzt und gemeinsam eine "vernünftige" Lösung für die Firma durchdenkt (mal völlig unabhängig von den Kosten). Danach kann man noch immer Abstriche in dem ein oder anderen Bereich machen, aber da hat man dann zumindestens mal eine Vorstellung davon in welche Richtung man eigentlich will (und ggf. auch "muss").

Kann ja auch nich Sinn und Zweck der Sache sein, dass Du täglich Anrufe/Beschwerden bekommst, dass die Anmeldung "mal wieder" so ewig lange braucht

 

[maf123sp]

Grundsätzlich hast Du ja recht. Aber es geht hier nicht um Unternehmen und Unternehmer - es geht tatsächlich um Kindergärten und Erzieher.
In Deutschland hat niemand das Geld für die IT Infrastruktur der Kitas eingeplant. Aber die Anforderungen sind dennoch da. Nun geht es darum, mit überschaubaren Aufwand das Netzwerk zu betreiben. Ich bin schon froh, wenn die Erzieher ihr Passwort richtig verwenden und nicht ihre Accounts "sharen".
Dazu kommt, dass solche Kitas ohne Gewinnabsicht arbeiten - es gibt also auch kein freies Budget.

Aber nun weiche ich vom Thema ab. Ich starte heute mal einen Test, das Roaming Profile von einem Test-Nutzer auf Ordner-Umleitung abzuändern.

 

[blurrrr]

Sorry, aber die arbeiten doch auch nicht "heute hier, morgen dort"... jedem User sein Userordner und jut ist... Ist zwar anders als bisher gewohnt, aber so wird einfach nur der Aufwand massiv in die Höhe getrieben... Eine Ordnerumleitung macht das jetzt übrigens auch nicht grade besser (je nachdem, welche Ordner man umleitet)... Kann aber schon einiges bringen, aber bei Outlook-PST-Dateien, welche dann im schlimmsten Fall "remote" angesprochen werden... damit wirst Du nur genau das Gegenteil erreichen (das aber nur mal so am Rande...). Mitunter verzichtest Du dann auch einfach auf einen Abgleich derlei und nimmst nur "normale" Dateien mit....Bastel soviel rum wie Du willst, "vernünftig" sieht halt anders aus... Und btw... ein "Test-Nutzer" hat mit Sicherheit kein Mailpostfach von zig GB

 

[maf123sp]

Ja. Mein Fokus wäre vielmehr auf dem Desktop Ordner und dem Dokument Folder. Dort landet alles. Auf die pst Dateien kann ich verzichten.
Problematisch sind lokale Abbrüche (WLAN) oder offline Arbeiten.
Wenn man aus dem vollen schöpfen kann, sind die System natürlich besser, reizvoller und unproblematischer. Dies hier ist eine reine Herausforderung, mit den verfügbaren Mitteln (vor allem Zeit) etwas Stabiles zu betreiben. Aber wie es immer im Support ist: die Nutzer melden nur die Probleme und (fast) nie die positiven Dinge.

 

[the other]

Moinsen,
klar, öffentlicher Dienst, Sozialwesen...nix mit Money to spend.
Aber jede Menge Anforderungen und personenbezogene Daten...
Trotzdem denke ich, dass es für eure Ansprüche dann eben auch mit kleinerem Budget gehen sollte...also der Zugriff auf den zentralen Fileserver mit Terminverwaltung und Kontakten sowie Speicherorten für jeden Nutzer und mit beschränkten Zugriffen auf gemeinsames...
Wichtig ist dann vielmehr die Infrastruktur selber. Die ist veraltet und eigentlich muss da der Leitung klar gesagt werden: Gold aus Sch... machen, keine Ahnung....ich mach IT, keine Alchemie. Für das dann doch eher begrenzte Szenario sollte aber auch für realistisches Geld was gehen.
jm2c

 

[Wollfuchs]

klar, öffentlicher Dienst, Sozialwesen...nix mit Money to spend.
Aber jede Menge Anforderungen und personenbezogene Daten...

und da kann man nicht "rechtzeitig" im Haushalt planen, dass man irgendwann mal seine IT pimpen muss?
Was machen die denn, wenn ploetzlich ein Rechner abraucht, das NAS streikt und die Backupplatten in Rauch aufgehen?

Rennt man dann zum Kaemmerer und sagt "pass mal auf, wir haben das zwar nicht eingeplant aber hier ist jetzt echt Handlungsbedarf"?

Ich hab nie in einer Kita gearbeitet .. von daher stelle ich es mir ja eventuell zu simpel vor .. zur Not (jetzt ist September) versuchen in den 2021 Haushalt was reinzupacken an Kohle, um es einfach mal richtig zu machen.

Mal in Betracht gezogen als "guenstige" Loesung an allen Standorten lokale ADs aufzustellen, die dann einfach nachts alles sichern in die "Zentrale"?
Dann ist der Traffic halt deutlich reduziert erstmal.

 

[the other]

Moinsen, wollfuchs,
auch wenn wir jetzt vollends ins ot abrutschen (man möge mir verzeihen):
ich arbeite seit immer im öffentlichen dienst (kurz mal für ein Jahr privatwirtschaftlich)...
Alles was du sagst SOLLTE so sein...aber dann kommen eben viele Besonderheiten und Hürden des ÖD hinzu, die teilweise so bürokratisch aufgebläht und zum Verzweifeln wider dem gesunden Menschenverstand sind, dass es leider in der Praxis ganz anders ist.
Und wenn dann die Leitung eines Kindergarten(verbundes) kein standing hat, kann schon ein abgerauchter PC zum echten Problem werden. Kenn ich aus dem Gesundheitswesen, aber auch von vielen Bekannten aus der Schul und auch Kita Ecke...
Traurig aber wahr.

 

[maf123sp]

Das Problem ist eher, dass die die Gebühren hochsetzen müssten. Dies ist allerdings anscheinend hier im sozialen Bereich und mit Kleinkindern ein sehr sensitiver Bereich.
Mir ist klar, dass weit mehr als 50% meiner Arbeit für die Kitas reines soziales Engagement ist. Meine Firma hat einen anderen Fokus.
Ich bin hier schon froh, wenn nun endlich nicht die billigsten Notebooks gekauft werden. Wenn es rein nach wirtschaftlichen Aspekten gehen würde, darf man einen solchen Auftrag nicht ausführen.