none
2008er DC von gerouteten Netzen nicht erreichbar .. Firewall ? RRS feed

  • Frage

  • Hallo zusammen,

     

    nachdem ich den einen DC nun umgezogen habe (neuer Standort) habe ich folgendes festgestellt:

     

    Im Standort Zentrale habe ich 2 DCs (DC1 (2003 - PDC) und DC0 (2008R2)

    im Standort Dornach habe ich (noch) 3 DCs (DC2 und DC3 und den aus Zentrale umgezogenen DC4 (noch nicht umbenannt), alle 2003)

    Nun meldet mir DCDIAG dass sich diverses nicht mit dem DC0 (also dem 2008er) replizieren lässt.

    Hier meine Ergebnisse:

     

    Innerhalb des Standortes Zentrale geht alles prima ... keine Probleme.

    Vom Standort Dornach aus habe ich folgende Verhalten:

    Jeder DC aus Dornach kann mit dem DC1 der Zentrale (2003) replizieren.

    KEIN DC aus Dornach kann mit dem DC0 der Zentrale (2008) replizieren.

    Mache ich ein portqry -n SBO-DC1 -o 389 von einem der Dornacher DCs erhalte ich einen Antwort,

    beim DC0 erhalte ich "FILTERED". -> Route, Ping etc. alles geht ! Ich bekomme nur aus diesem Netz keinen "Connect" auf den DC0

    (dazwischen ist eine reine IP-Route, kein VPN, keine andere Firewall etc. , die Verbindung läuft über eine Leased-Line-Direktverbindung !)

    Nun haben wir uns die Firewall auf dem DC0 angesehen und dann ALLES aktiviert .... trotzdem keine Änderung.

    Was kann ich wo noch was überprüfen oder aktivieren ?


    Grüße und Danke!

     

    Markus

    Freitag, 14. Januar 2011 10:15

Antworten

  • So, und jetzt hab ich es selbst gelöst ... manchmal ist es so einfach:

     

    Unser ISA war als Gateway für den 2008er DC eingetragen und nicht der Router der die direkten Verbindungen in die Filiale vorhält.

    Warum genau der ISA jetzt nur den 2008er filtert und nicht die anderen DCs muss ich noch eruieren ... aber nach dem Ändern der Standard-GW auf der NIC

    gings sofort :-)

     

    Grüße,

     

    Markus

    Freitag, 14. Januar 2011 15:11

Alle Antworten

  • Hi,

    prüfen kannst du, ob sich der Server richtig ins DNS eingetragen hat und ob er von jedem anderen DC aus über den Namen pingbar ist.

    Ich vermute, das irgendwo noch veraltete Einträge bestehen.


    Viele Grüße Carsten
    Freitag, 14. Januar 2011 13:41
  • Hi,

    prüfen kannst du, ob sich der Server richtig ins DNS eingetragen hat und ob er von jedem anderen DC aus über den Namen pingbar ist.

    Ich vermute, das irgendwo noch veraltete Einträge bestehen.


    Viele Grüße Carsten


    Hallo Carsten,

    ja, er ist von jedem anderen DC pingbar. Ich habe allerdings von "gerouteten" Rechnern keine andere Antwort als ein Ping oder auch DNS Querys (ich kann auf dem 2008er abfragen, von überall her) was aber nicht geht:

     

    - Zugriff auf Freigaben

    - Replikation nach "aussen" etc. etc. etc.

    - RPC-Aufrufe (Logs anschauen, Verwaltungskonsole) etc.etc.etc.

     

    ABER: all das geht IM LAN schon !

     

    ???

    Grüße,

    Markus

    Freitag, 14. Januar 2011 14:51
  • So, und jetzt hab ich es selbst gelöst ... manchmal ist es so einfach:

     

    Unser ISA war als Gateway für den 2008er DC eingetragen und nicht der Router der die direkten Verbindungen in die Filiale vorhält.

    Warum genau der ISA jetzt nur den 2008er filtert und nicht die anderen DCs muss ich noch eruieren ... aber nach dem Ändern der Standard-GW auf der NIC

    gings sofort :-)

     

    Grüße,

     

    Markus

    Freitag, 14. Januar 2011 15:11