... und ein weiteres Mal - Domänenzugriff via VPN

[AS1306]

@ALL - Irgendwie bekomme ich es noch nicht so recht zum Laufen. Folgende Ausgangssituation: Ein Notebook ist Mitglied der Domäne A mit fester IP. (Exchangezugriff ...) 3 Situationen, in denen das Notebook agieren kann, sollen abgedeckt werden. Lokal, sprich in der Domäne A gibt es keinerlei Schwierigkeiten, alle Programme/Funktionen arbeiten so, wie sie es sollen, die Zertifikate greifen ... zu realisieren wären demnach noch 2 Szenarien: Notebook greift via VPN-Client auf die Domäne zu - Notebook greift aus einer anderen Domäne auf die Domäne A zu ...

Erster Punkt - Auf dem Notebook läuft der Lancom Advanced VPN-Client, um aus der Ferne ebenfalls auf die Domäne zugreifen zu können. Hierzu wird über den Credential Provider vor dem Einloggen in die Domäne eine VPN-Verbindung aufgebaut. Die feste IP scheint aber irgendwie Probleme zu machen, da seitens des Lancoms nicht der DHCP-Server des DC´s aus dem Netz x.x.126.199 sondern der DHCP-Server des Lancoms aus dem Netz x.x.106.199 genommen bzw. angesprochen wird. Zwar ist hier ein Zugriff (dauert aber irgendwie elendig lange) möglich, allerdings fährt der Rechner nicht mehr richtig runter. Deshalb auch meine Vermutung, dass hier DNS-technisch was nicht richtig greift. Ist hier eventuell noch etwas im Profil des VPN-Clients extra zu hinterlegen? (DNS, WINS ... bekannte Netze) Wie sähe ein "Standardprofil" für diesen Domänenzugriff aus?

Zweiter Punkt - Domäne A und Domäne B sind via VPN miteinander verbunden. Sowohl in Domäne A als auch B ist ein DC vorhanden. Das bereits erwähnte Notebook (mit fester IP aus dem IP-Bereich der Domäne A) soll nun ebenfalls in der Lage sein, von der Domäne B auf die Domäne A (Exchange ... DNS!) zugreifen zu können. DNS-Weiterleitung im Lancom der Domäne B? Der VPN-Client ist in dieser Konstellation ja außen vor.

Ich denke, dass aus den gemachten Angaben schon ersichtlich ist, was ich realisieren möchte. Ich würde mich freuen, wenn es diesbezüglich ein paar Hinweise geben könnte. Sicherlich Standardszenarien für Außendienstmitarbeiter ... für mich recht neu, da wir das bis dato nicht brauchten. Das Notebook ist für einen Bereitschaftsdienst, der Zugriff auf Exchange, Faxmaker und unserer lokalen Betriebssoftware benötigt.

Vielen Dank schon einmal für - Any Hints ...

Grüße aus Charlottenburg - Andreas

[Bernie137]

Hi,

Die feste IP scheint aber irgendwie Probleme zu machen, da seitens des Lancoms nicht der DHCP-Server des DC´s aus dem Netz x.x.126.199 sondern der DHCP-Server des Lancoms aus dem Netz x.x.106.199 genommen bzw. angesprochen wird.

Ja was jetzt? Feste IP oder DHCP? Und was sind das für zwei IP-Adresskreise und Masken dazu? Wenn es private IPs sind, kannst du die kompletten IPs ruhig posten hier.

Zweiter Punkt - Domäne A und Domäne B sind via VPN miteinander verbunden. Sowohl in Domäne A als auch B ist ein DC vorhanden.

Wenn die Domains keinerlei Vertrauensstellungen untereinander haben, ist es absolut unbedeutend, ob am Standort B eine Domain, Arbeitsgruppe, Linux oder MAC-Umgebung ist. Es geht rein um die IP-Verbindung/Infrastruktur und DNS-Abfrage.

Das bereits erwähnte Notebook (mit fester IP aus dem IP-Bereich der Domäne A) soll nun ebenfalls in der Lage sein, von der Domäne B auf die Domäne A (Exchange ... DNS!) zugreifen zu können.

Was hast immer mit Deiner festen IP aus Standort A? In einem anderen Standort ist ein anderer IP-Adresskreis gültig und das Notebook muss dort ebenfalls eine IP-Adresse aus dem dort gültigen Adressbereich haben. Dazu nimmt man eleganterweise DHCP (anhand MAC-Adresse kann man eine "feste" IP reservieren), damit der User weder im Standort A noch im Standort B mit IP-Adressen rumfummeln muss. Entsprechend teilt man dann per DHCP das gültige VPN-Gateway zum Standort A mit und die DNS-Server, die entweder die Adressen von Standort A selbst auflösen können, oder eine entsprechende Weiterleitung zu DNS Servern in Standort A machen. Im ungüstigsten Fall kann man auch direkt die DNS-Server von Standort A dem Client mitteilen.

vg Bernie

[Dr.Einstein]

Hallo AS1306,

mir fehlen irgendwie die wichtigen Informationen, wie du beiden Standorte miteinander (vertraglich?) verbunden sind. Ist es eine Firma und beide Standorte greifen untereinander zu? In den Clients, wer ist dort DNS Server Standort A und Standort B, bestimmt jeweils der Domaincontroller vor Ort?

Wenn die beiden Standorte ein Vertrauensverhältnis untereinander haben und via DHCP u.ä. als DNS der lokale Domaincontroller mitgeteilt wird, wäre es ein leichtes, die DNS Infos für die andere Domaine als Weiterleitung hier zu implementieren.

Mit dem Client habe ich nicht wirklich eine Idee. Es gibt diesen Treiber, womit man vor der Windows Anmeldung eien VPN Verbindung aufbauen kann, damit man einen funktionierenden Domain-Login hat. Alternativ, falls das gar nicht gebraucht wird, kann man im VPN Profil sowohl einen DNS -> Domaincontroller fest vergeben und zusätzlich noch den Namen der Domaine mitteilen, damit Namensanfrage korrekt an den Controller gestellt werden.

Dr.Einstein

[AS1306]

Vielen Dank erst einmal für das Feedback, ist dann wohl doch etwas umfangreicher, was an Informationen benötigt wird. Anyway - Mein internes Netzwerk verläuft über mehrere Standorte (mittlerweile 6 via VPN verbunden), wobei nicht an jedem ein DC vorhanden ist. An diesen Standorten funktioniert das prima mit den eingerichteten Weiterleitungen, wie das mal bereits in einem anderen Thread besprochen worden ist. Daher spielen diese hier in der Betrachtung auch keine Rolle.

Wichtig wäre für mich eben nur zu klären, wie die bereits oben beschriebenen Szenarien umgesetzt werden können. Die Domäne A - hkpscity.local (Win2008R2 als DC-AD-DNS-DHCP Server) ist ein Firmennetzwerk, die Domäne B - rogaits.local (SBS2003 als DC-AD-DNS-DHCP Server) ist ein "Privatnetzwerk", von dem alle anderen lokalen Standorte verwaltet werden. Das heißt, dass ich hier Zugriff auf alle IP´s der lokalen Installationen habe. Sowohl Domäne A als auch die Domäne B verfügen über eine feste öffentliche IP und sind über einen DNS-Eintrag im NS via VPN verbunden. Im Bereich der Domäne A befindet sich ein Lancom, der 2 Netze aufspannt. Einmal das Netz 192.168.126.0 (Maske 255.255.255.0), in dem der DC arbeitet. Neben der Bereitstellung des AD´s übernimmt er in diesem Netz die Aufgabe des 1. DNS- und des DHCP-Servers. Der vorhandene Lancom-Router ist hier lediglich 2. DNS-Server. Das zweite Netz 192.168.106.0 (public Maske 255.255.255.0) wird vom Lancom verwaltet, das heißt, dass DHCP hier aktiv ist. Beide sind via Bridge voneinander getrennt - WLAN1 & LAN1 = Bridge1 ...

Der Zugriff via VPN-Client wurde per 1-Click VPN konfiguriert. Wähle ich mich nun ein, wird mir eine IP vom Lancom zugewiesen - sprich das x.x.106.0 Netz. Da ich sowohl im Bereich der Domäne A als auch der Domäne B auf die IP´s der Domäne A zugreifen kann, hatte ich im besagten Notebook eine feste IP aus der Domäne A hinterlegt, da ich im Endeffekt verhindern möchte, dass MA mit dem Gerät in ihr eigens Netzwerk gehen können. - Denkfehler?

Es geht rein um die IP-Verbindung/Infrastruktur und DNS-Abfrage.

Yepp, das ist es, was ich gern geklärt hätte. Hier halt speziell die DNS-Abfrage, da wie bereits beschrieben die IP-Infrastruktur steht. Die DC´s befinden sich auch noch nicht in einer Vertrauensstellung.

Dazu nimmt man eleganterweise DHCP (anhand MAC-Adresse kann man eine "feste" IP reservieren), damit der User weder im Standort A noch im Standort B mit IP-Adressen rumfummeln muss. Entsprechend teilt man dann per DHCP das gültige VPN-Gateway zum Standort A mit und die DNS-Server, die entweder die Adressen von Standort A selbst auflösen können, oder eine entsprechende Weiterleitung zu DNS Servern in Standort A machen.

Das klingt spannend, muss ich wohl etwas Nachhilfe bekommen ^^ - man lernt ja schließlich nie aus!

Wenn die beiden Standorte ein Vertrauensverhältnis untereinander haben und via DHCP u.ä. als DNS der lokale Domaincontroller mitgeteilt wird, wäre es ein leichtes, die DNS Infos für die andere Domaine als Weiterleitung hier zu implementieren.

... ala Vertrauensstellung einrichten ?

THX Andreas

Sorry, falls ich hier etwas "trollig" frage, DNS-Geschichten waren für mich immer ein rotes Tuch - so etwas gibt es in meiner Branche nicht ...

[Bernie137]

Hallo Andreas,

Der Zugriff via VPN-Client wurde per 1-Click VPN konfiguriert. Wähle ich mich nun ein, wird mir eine IP vom Lancom zugewiesen - sprich das x.x.106.0 Netz.

Welchen Zweck hat das 106er Netz, zumal es gebridged ist mit dem 126er? Passe die Konfig an, dass der Client im 126er Netz sich einloggt und vom MS DHCP eine IP bekommt. Zum Advanced VPN Client kann ich keine Angaben machen, aber es liegt meiner Meinung nach eher an der Konfig im Lancom Router, eben Einwahl ins falsche IP Netz.

Da ich sowohl im Bereich der Domäne A als auch der Domäne B auf die IP´s der Domäne A zugreifen kann,

Klingt etwas verworren? Klar kann man im Bereich der Domain A auf IPs der Domain A zugreifen. Was sonst?

hatte ich im besagten Notebook eine feste IP aus der Domäne A hinterlegt, da ich im Endeffekt verhindern möchte, dass MA mit dem Gerät in ihr eigens Netzwerk gehen können. - Denkfehler?

Sorry, ich verstehe nicht, was Du hier meinst. Gut möglich, dass es ein Denkfehler ist.

Hier halt speziell die DNS-Abfrage, da wie bereits beschrieben die IP-Infrastruktur steht. Die DC´s befinden sich auch noch nicht in einer Vertrauensstellung.

Eine Reservierung macht man anhand der MAC Adresse der Netzwerkkarte. Dazu einfach im MS DHCP bei dem Bereich unter Reservierung eine Reservierung machen. Bei Domain A also 192.168.126.66 und das Notebook bekommt immer die 66 in dem Netz. Wenn Dein Standort B ein Netz 192.168.153.x hätte reservierst DU in dem DHCP dort 192.168.153.66 und das Notebook hat immer die IP in diesem Netz. Die IPs sollten jedoch noch nciht vergeben sein.

... ala Vertrauensstellung einrichten ?

NÖ. Für das was Du vorhast brauchst keine Vertrauenstellung, das ist quark und verwirrt die User, wenn plötzlich eine weitere Domain im Loginfenster auftaucht.
1. Im MS DNS kann man globale Weiterleitungen einrichten (braucht man sowieso für Internetzugriff). Diese legt man nun nicht auf einen Internet DNS sondern auf den Lancom, welcher wie gewohnt die Weiterleitungen macht -> Domain A + Internet.
2. Oder aber im Standort B ist der Lancom der erste DNS und macht für die entsprechenden Domains (auch Domain B) die entsprechenden Weiterleitungen - fertig.
3. Im MS DNS kann man von Hand weitere DNS Zonen, eben die von Domain A, anlegen. Nun muss man nur noch für domainfremde DNS am DNS Server der Domain A den Zonentransfer an fremde DNS Server erlauben.

vg Bernie

[AS1306]

Hallo Bernie,

vielen Dank erst einmal für´s Feedback, da kann ich schon die eine oder andere Inspiration mitnehmen. Das "106´er Netz" ist historisch gewachsen. Als wir die Geschäftsräume übernahmen, war das das alte Netz, das auch noch ein paar Wochen zur Überbrückung weitergenutzt werden musste. Auf dem 126´er entstand dann die neue IT-Struktur. Im Nachhinein wurde es dann zum Public-Netz umfunktioniert, dass aber lediglich via WLAN bereitgestellt wird. (Die LAN-Anschlüsse "stehen" verschlossen im Schrank bereit ... ^^) Hierfür ist ein L-452AGN im Einsatz, auf dem entsprechende FW-Regeln die Netze strikt trennen.

Passe die Konfig an, dass der Client im 126er Netz sich einloggt und vom MS DHCP eine IP bekommt.

Da wäre ich eigentlich vermutlich schon am Ziel, leider stehe ich echt auf dem Schlauch, wie bzw. wo das zu bewerkstelligen ist. Any Hint? Im Client kann ich den DNS, bekannte Netze usw. hinterlegen, aber nirgends was bezüglich des DHCP-Servers. In der Knowledgebase habe ich schon bezüglich ARF und Zuweisung bei Einwahl gesucht - nichts gefunden oder überlesen ... ???

Bezüglich des Zitates, was verwirrend ist - sollte nur ausdrücken, dass ich aus beiden Netzen heraus die IP´s ansprechen kann und nichts geblockt wird. Bidirektionale Verbindung steht, was ja immer erst einmal Voraussetzung sein sollte, bevor man sich an die DNS-Geschichten macht. So ist das halt, wenn man schneller denkt als schreibt und nicht noch mal schnell Korrektur liest.

Zur Inspiration: Reservierungen standen bei mir noch nicht auf der Agenda, interessanter Ansatz, den ich wohl jetzt öfter mal nutzen werde. Hat sicher seine Vorteile, da man alles an einer Stelle konzentriert hat. Ähnliche Strategie fahre ich ja bei den NS-Einträgen bezüglich der festen Provider-IP´s. Sollte nur nicht der DHCP ausfallen. Trotz DHCP-Server vergebe ich gern für verschiedene Geräte feste IP´s, da ich somit in den einzelnen Segmenten immer weiß, wo ich was finde. Beispiel Drucker - x.x.x.165-175 ... da muss dann nicht viel "gesucht" werden. Der DHCP-Server bekommt dann halt nur einen bestimmten Bereich zum Ausliefern x.x.x.220-240 oder so ähnlich.

Zum Denkfehler: Ich möchte halt verhindern, dass der Notebookuser in irgendeiner Form Zugriff auf sein lokales Netz bekommt und da etwas runter- bzw. raufgeladen werden kann. Hatte schon IPad´s im Einsatz, was sehr gut funktionierte, allerdings wird keine Maus unterstützt. Diese ist wiederum notwendig, um auch in den Bearbeitungsmodus zu kommen - also doch wieder ein Notebook ... ^^ - in einem möglichst abgeschlossenen System. Bin da gewiss nicht beratungsresistent und für jeglichen Vorschlag offen.
Die letztgenannten 3 Punkte muss ich mir noch einmal genauer anschauen. Punkt 3 - DNS-Zonen habe ich schon in diversen Szenarien eingerichtet, allerdings stehe ich beim 2. Teil dieses Punktes wieder auf dem Schlauch. Gibt es hierzu leichtverdauliche Literatur? "Zonentransfer an fremde DNS-Server erlauben???"

THX Andreas

[Bernie137]

Hallo Andreas,

Da wäre ich eigentlich vermutlich schon am Ziel, leider stehe ich echt auf dem Schlauch, wie bzw. wo das zu bewerkstelligen ist. Any Hint? Im Client kann ich den DNS, bekannte Netze usw. hinterlegen, aber nirgends was bezüglich des DHCP-Servers. In der Knowledgebase habe ich schon bezüglich ARF und Zuweisung bei Einwahl gesucht - nichts gefunden oder überlesen ... ???

Schau doch mal im Router unter IPv4 -> Adressen. Trage dort als ersten DNS den Domain Controller ein und bei Bereich IPs vom 126er Netz, die der MS DHCP nicht mit bedient. Alternativ lege den Zugang ohne 1-Click VPN an, da kommen gleich paar mehr Optionen mit, z.B. Vergabe DER FESTEN IP und Einschränkung zu Resourcen, was später in der Firewall steht.

Zur DHCP Reservierung:
Mittlerweile vergebe ich allen Geräten per DHCP die Adressen, Drucker bekommen eine Reservierung. Warum? Wenn im Netz was umgestellt werden muss, neue DNS, Gateway Adresse oder was auch immer, änder ich die Option nur im DHCP und alle Geräte im Netz wissen bescheid. Es ist eben nicht immer möglich, solche Adressen (Gateway, DNS usw.) beizubehalten wegen Übergangszeit (alt und neu parallel). Nun kann man zwei DHCP im Netz vorhalten, identisch konfiguriert aber nur einer ist "online". Gibt es mit diesem ein Problem aktiviert man den vorkonfigurierten "offline" geschalteten. Auch der Lancom Router kann Reservierungen vornehmen, über IPv4 -> BootP -> Stationen.

Zum Denkfehler: Ich möchte halt verhindern, dass der Notebookuser in irgendeiner Form Zugriff auf sein lokales Netz bekommt und da etwas runter- bzw. raufgeladen werden kann.

Im Ansatz habe ich es jetzt verstanden. Es sind Notebooks die von der Ferne etwas nicht können sollen. Jetzt ist die Frage was gemeint ist mit "runter laden". Aus dem Internet? Aus dem lokalen Netz, quasi der Domain? Wie auch immer: dazu gibt es ja die Firewall im Lancom. Firewall/QoS -> IPv4-Regeln -> Regeln und da gibt es schon eine Rule "WIZ_VPN-CLIENT_0001" die erst mal alles zulässt. Über Stationen und Dienste kannst Du nun einschränken, was überhaupt funktionieren oder nicht funktionieren soll für diesen Client.

Was die DNS Weiterleitung von Domain B an Domain A anbelangt, empfehle ich Dir die Variante 1. Dort ist doch hoffentlich ein vorgeschalteter Lancom Router in Domain B im Einsatz. Da einfach bei IPv4 -> DNS -> Weiterleitungen "*.hkpscity.local" mit der IP des Domain Controllers von Domain A eintragen. Ansonsten bei Variante 3 braucht man oftmals gar keinen Zonentransfer einzurichten. Wenn es wenige Resourcen betrifft, die abgefragt werden, macht man einfach von Hand statische Einträge im DNS, eben DC + Exchange + FS - fertig. Ansonsten google befragen zu Zonentransfer.

vg Bernie

[AS1306]

Hallo Bernie,

erst einmal herzlichen Dank, dass Du Dir die Zeit genommen hast hier zu antworten. Manchmal sind es nur Kleinigkeiten, die zum Ziel führen. Für manch einem hier sicherlich Tagesgeschäft, für mich eher ursprünglich Hobby und nun gut einsetzbar im eigenen Business und der Vereinsarbeit! Anyway, das Input half es "halbwegs" (eine kleine Sache ist noch zu klären ...) in den Griff zu bekommen.

Schau doch mal im Router unter IPv4 -> Adressen. Trage dort als ersten DNS den Domain Controller ein und bei Bereich IPs vom 126er Netz, die der MS DHCP nicht mit bedient.

Yepp, das hatte ich bereits vorher gemacht und dennoch wurde mir das 106´er Netz zugewiesen. Konnte mir darauf keinen Reim machen und wollte es mittels SnagIt dokumentieren - nur war das nicht mehr möglich, da für mich irgendwie nicht nachvollziehbar plötzlich das 126´er Netz genutzt worden ist (IKE-Modus - x.x.126.11 mit den korrekten DNS-Serverangaben ...). Einzige für mich nachvollziehbare Sache - ein Reboot. Vielleicht war das tatsächlich schon die Lösung mit dem Clientzugriff. Funktioniert aber jetzt reproduzierbar und garantiert per Lancom Advanced VPN-Client! Wichtig war hier allerdings die "Benutzerdefinierte Installation", da sonst der Credential Provider - Modus nicht installiert wird. Voreingestellte Domänenanmeldungsverzögerung von 45 Sekunden ist nicht ganz ausreichend (... bei LTE, WLAN-Einwahl), da nach Anmeldung noch einmal ca. 1 Minute vergeht, bis der Rechner auch tatsächlich komplett in der Domäne registriert ist. Dann läuft es aber rund ... Exchange, Faxmaker und unsere lokale Software! Beim zweiten Notebook werde ich dann mal die Konfiguration ohne 1-Click VPN probieren bzw. benutzen! Bin nur erst einmal "glücklich", dass es jetzt geht!

Mittlerweile vergebe ich allen Geräten per DHCP die Adressen, Drucker bekommen eine Reservierung. Warum? Wenn im Netz was umgestellt werden muss, neue DNS, Gateway Adresse oder was auch immer, ändere ich die Option nur im DHCP und alle Geräte im Netz wissen bescheid. Es ist eben nicht immer möglich, solche Adressen (Gateway, DNS usw.) beizubehalten wegen Übergangszeit (alt und neu parallel).

Sehr interessanter Ansatz, den ich wohl in der Zukunft mehr berücksichtigen werde. Hier habe ich wirklich neuen Input bekommen. Diverse Geräte habe ich jetzt auch so bereits "reserviert". (Drucker und Scanner eignen sich da sehr gut, da oftmals ein tieferes Eindringen ins Menü erforderlich ist, um diese dort zu ändern ^^ ...)
Bezüglich der DNS-Weiterleitung bin ich nach Variante 3 vorgegangen ... hatte ich schon mit begonnen ... Sowohl lokal als auch remote die Forward- und Reverszonen eingerichtet, Pointer gesetzt und ... fertig. Zonentransfer hatte ich beim DC 2008R2 gefunden aber irgendwie nicht mit dem SBS2003 realisieren können (Berechtigungen nicht gefunden ...) nslookup bringt dann die richtigen Auflösungen! Das klappte demnach sehr gut. An der Domäne A von Domäne B aus angemeldet - kein Haken und Zippeln mehr, läuft ebenfalls rund. Wie kann man eigentlich prüfen, ob ich tatsächlich in der Domäne bin und nicht der Credential User (sprich der temporäre Domainuser) aktiv ist? Für mich war eigentlich immer klar, wenn Outlook mit dem Exchange-Server verbunden ist, ist alles i.O..
Nur kam/kommt immer die Meldung "Verbindungsversuch ..."/"Getrennt" Habe ich natürlich via Google gesucht ... ´ne Menge Einträge, allerdings kaum zielführend. Netbios war wohl mal ein Problem bei früheren Versionen - Exchange 2010 ist da mittlerweile außen vor und nicht mehr betroffen. Nutzung der hosts-Datei - ebenfalls erfolglos. Ping und DNS-Auflösung funktionieren. Authentifizierungsmodus am Exchange (anonym) usw. gecheckt ... Wie auch immer - heute als Admin mit dem Domänenkonto angemeldet, an dem es gestern definitiv nicht funktionierte ... Voilà, es funktioniert! Gleich bei einem "normalen" User probiert ... es funktioniert nicht!? Eine Idee? Das ist nun noch die einzige Sache, die offen ist ...
Zum Runterladen noch einmal ... die User sollen lediglich nicht in das (ihr) heimische Netz gehen können, was sich aber gut über die Firewall umsetzen lässt - das passt!

Nochmals VIELEN DANK! Sehr inspirierend!

- -

[Bernie137]

Hallo Andreas,

Freut mich, wenn es etwas geholfen hat.

Wie kann man eigentlich prüfen, ob ich tatsächlich in der Domäne bin und nicht der Credential User (sprich der temporäre Domainuser) aktiv ist?

Wie man es prüfen kann, habe ich gerade keine Idee. Aber ich merke es immer an einem altmodischem Login Script. Es wird nur bei einer richtigen Anmeldung an der Domain ausgeführt. In meinem Fall ist es dann sichtbar, nur dann werden Kaufwerke gemappt und in eine Logdatei aufgezeichnet.

Bzgl Outlook/Exchange ist das von Domain B aus? Könnte dann eine Windows Firewall an Servern der Domain A schreitern, die ein fremdes Subnetz erst mal blocken oder aber es fehlen noch die Einträge für weiterenDienste im DNS Server.

Vg Bernie

[AS1306]

Hallo Bernie,

Bzgl Outlook/Exchange ist das von Domain B aus? Könnte dann eine Windows Firewall an Servern der Domain A scheitern, die ein fremdes Subnetz erst mal blocken oder aber es fehlen noch die Einträge für weiteren Dienste im DNS Server.

die erste Frage ist mit einem klaren JA zu beantworten. Tja, bezüglich der Firewall, Antivirensoftware usw. hatte ich schon geschaut und alles lokal deaktiviert, so dass nur noch die Domäne mit diesen Schutzmechanismen arbeitet - kein Erfolg. Port 135 gecheckt - kein Erfolg ... Das Interessante ist ja, dass es mit dem Adminkonto auf diesem Notebook funktioniert (lokal in der Domäne A ist es immer gar nicht zu sehen, da die Meldung mit "Exchange verbunden" schon immer gleich dasteht - starte ich im Adminkonto aus der Domäne B heraus Outlook ... für ca. 1 Sekunde (gerade noch so wahrnehmbar) kommt die Meldung "Verbindungsversuch..." in der Statusleiste und dann gleich "Exchange verbunden"), sprich Firewall und AV sind ja identisch bei den anderen Konten auf dem Notebook.
Was meintest Du eigentlich mit "... es fehlen noch die Einträge für weitere Dienste im DNS-Server."? Viel kann es ja jetzt wirklich nicht mehr sein ...



THX Andreas

[Bernie137]

Hallo Andreas,

Was meintest Du eigentlich mit "... es fehlen noch die Einträge für weitere Dienste im DNS-Server."? Viel kann es ja jetzt wirklich nicht mehr sein ...

Da meine ich die ganze Dienste, die für einen DC noch so registriert sind (globaler Katalog, Services usw...)

Spielt aber in Deinem Fall keine Rolle, da es ja als Admin geht. Daher würde ich in Deinem Fall das Notebook genauer unter die Lupe nehmen, mal im Event Log geschaut? Was für Firewall ist im Einsatz auf dem Notebook? Auch da meine ich, kann die Windows Firewall noch blocken, schalte die mal komplett aus und teste von Domain B aus. Hier steht einiges zu den Ports für Exchange 2010 http://technet.microsoft.com/de-de/libr ... .141).aspx

Ich hoffe es hilft. Das "nicht" Admin Konto kann aber ganz normal im Heimatnetzwerk arbeiten mit Outlook?

Das Interessante ist ja, dass es mit dem Adminkonto auf diesem Notebook funktioniert (lokal in der Domäne A ist es immer gar nicht zu sehen, da die Meldung mit "Exchange verbunden" schon immer gleich dasteht - starte ich im Adminkonto aus der Domäne B heraus Outlook ... für ca. 1 Sekunde (gerade noch so wahrnehmbar) kommt die Meldung "Verbindungsversuch..." in der Statusleiste und dann gleich "Exchange verbunden"), sprich Firewall und AV sind ja identisch bei den anderen Konten auf dem Notebook.

Das ist logisch mit der kurzen Meldung, schließlich ist der Remote Standort etwas langsamer an den Exchange angebunden, als lokal mit 100 oder gar 1000MBit

vg Bernie