Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Servers

Clients gebruiken verkeerde serverIP (Win2008 R2 server)

None
5 antwoorden
  • Ik heb een vervelend probleem waar ik niet uit kom.

    Wij hebben 3 servers welke geconfigureerd zijn als domeincontroller en ik ben bezig met een migratie naar Windows 7.

    Omdat de clients 30 seconden nodig hebben om aan te melden heb ik een packetsniffer gebruikt om te inspecteren wat er nu gebeurt wanneer een client aanmeld.

    In "Active Direcoty Sites and Services" zijn de volgende subnetten geconfigureerd en deze zijn gekoppeld aan 3 verschillende sites.
    192.168.3.x Perimeter netwerk
    192.168.2.x Personeels netwerk
    172.16.x.x Leerlingen netwerk

    The servers zijn geplaatst in het netwerk waar ze hun "service" moeten aanbieden.

    Nou treed het volgende probleem op. Clients gebruiken niet alleen de verkeerde server om aan te melden (servers van andere netwerken waarin ze zelf bevinden) maar ook de verkeerde netwerkkaarten van servers.

    Dit resulteert in ping timeouts (omdat clients niet tot iedere server toegang hebben) en data langs de proxy.

    Elke server heeft minstens 2 server IP adressen. 1 netwerkkaart in het perimeternetwerk en 1 netwerkkaart in het netwerk waar de server dienst moet doen. Ik vind het dus bijzonder vreemd dat clients via de proxy server data sturen naar de externe of perimeternetwerkkaart.

    Heeft iemand enig idee hoe dit kan?
  • Zal waarschijnlijk te maken hebben met de DNS configuratie. Doordat de servers meerdere IP-adressen hebben, worden deze ook allemaal geregistreerd in de DNS. Clients krijgen dus vanuit DNS het verkeerde IP-adres voor de server die gezocht wordt.

    Waarom hebben de servers allemaal een IP-adres zowel in het productienetwerk, als in het perimeternetwerk? Met andere woorden: wat is het nut van een DMZ, als alle servers zich ook daarin bevinden? Normaal gesproken zet je een firewall tussen DMZ en LAN en zitten er al helemaal geen domain controllers in een DMZ.
  • [quote:876c41db23="Leo S"]Zal waarschijnlijk te maken hebben met de DNS configuratie. Doordat de servers meerdere IP-adressen hebben, worden deze ook allemaal geregistreerd in de DNS. Clients krijgen dus vanuit DNS het verkeerde IP-adres voor de server die gezocht wordt.

    Waarom hebben de servers allemaal een IP-adres zowel in het productienetwerk, als in het perimeternetwerk? Met andere woorden: wat is het nut van een DMZ, als alle servers zich ook daarin bevinden? Normaal gesproken zet je een firewall tussen DMZ en LAN en zitten er al helemaal geen domain controllers in een DMZ.[/quote:876c41db23]

    Eigenlijk niet zo gek als je bedenkt dat wij gebruik maken van 2x een ISCSI oplossing voor dataopslag. Het is overigens geen netwerk waarin servers staan die bedoelt zijn voor de grote boze buitenwereld. Het plaatsen van een ISCSI oplossing in een netwerk met leerlingen is vragen om moeilijkheden, zeker als leerlingen met tools als ettercap ARP poisoning toepassen.

    Maar goed het plaatsen van servers in sites zou toch de prioriteit van de servers moeten instellen?
  • [quote:7846760e9f="G_ij_s"]Eigenlijk niet zo gek als je bedenkt dat wij gebruik maken van 2x een ISCSI oplossing voor dataopslag. Het is overigens geen netwerk waarin servers staan die bedoelt zijn voor de grote boze buitenwereld. Het plaatsen van een ISCSI oplossing in een netwerk met leerlingen is vragen om moeilijkheden, zeker als leerlingen met tools als ettercap ARP poisoning toepassen.

    Maar goed het plaatsen van servers in sites zou toch de prioriteit van de servers moeten instellen?[/quote:7846760e9f]

    Is het iSCSI netwerk (fysiek) gescheiden van het productienetwerk? Dit kan door middel van een VLAN, maar beter zou zijn om aparte switches te gebruiken. Als je daarnaast ook nog dedicated NIC's gebruikt, kun je de overbodige protocollen en services uitschakelen om ervoor te zorgen dat deze IP-adressen niet in de DNS terecht komen en er geen client logons kunnen plaatsvinden.

    Het gebruik van sites bepaalt inderdaad enigszins de prioriteit, maar het is nog geen garantie dat ook altijd de lokale logonserver wordt gebruikt…
  • [quote:0e47fb7644="Leo S"][quote:0e47fb7644="G_ij_s"]Eigenlijk niet zo gek als je bedenkt dat wij gebruik maken van 2x een ISCSI oplossing voor dataopslag. Het is overigens geen netwerk waarin servers staan die bedoelt zijn voor de grote boze buitenwereld. Het plaatsen van een ISCSI oplossing in een netwerk met leerlingen is vragen om moeilijkheden, zeker als leerlingen met tools als ettercap ARP poisoning toepassen.

    Maar goed het plaatsen van servers in sites zou toch de prioriteit van de servers moeten instellen?[/quote:0e47fb7644]

    Is het iSCSI netwerk (fysiek) gescheiden van het productienetwerk? Dit kan door middel van een VLAN, maar beter zou zijn om aparte switches te gebruiken.
    [/quote:0e47fb7644]
    Het is gescheiden met 2 aparte switches in een apart VLAN.

    [quote:0e47fb7644]
    Als je daarnaast ook nog dedicated NIC's gebruikt, kun je de overbodige protocollen en services uitschakelen om ervoor te zorgen dat deze IP-adressen niet in de DNS terecht komen en er geen client logons kunnen plaatsvinden.
    [/quote:0e47fb7644]
    Dat is het nu juist. Ik heb het DNS doorgespit. De externe IP adressen zijn niet in het DNS geregistreerd.

    We hebben 2 firewalls waarvan 1 een TMG 2010 server is. Het personeels en leerlingen netwerk zijn 2 aparte netwerken die deze TMG 2010 gebruiken om het DMZ netwerk te bereiken.

    Naast de DMZ hebben we ook een netwerk (TMG noemt dit het perimeter netwerk) waarin de 2x ISCSI servers bevinden. Iedere server heeft dus een netwerkkaart in dit netwerk om de ISCSI te bereiken.

    [quote:0e47fb7644]
    Het gebruik van sites bepaalt inderdaad enigszins de prioriteit, maar het is nog geen garantie dat ook altijd de lokale logonserver wordt gebruikt…[/quote:0e47fb7644]
    Het probleem is dus dat aanvragen via de TMG 2010 proxy vertraagt zijn.

    In het log zie je dan ook wanneer een client aanmeld achter elkaar tientallen aanvragen:

    Kerberos-Sec - Initiated connection
    Kerberos-Sec - closed connection

    Het personeels en leerlingen netwerk hebben beide toegang tot alle DC's zodat wanneer er 1 uitvalt iedereen vrolijk verder kan werken.

    De Windows XP clients kennen dit probleem totaal niet. Deze zenden helemaal geen data door de proxy heen (alleen het internet natuurlijk).

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.