none
DFS-Auflösung von Clinets außerhalb der Domäne RRS feed

  • Frage

  • Hi Leute,

    ich will auf einen DFS-Namespace von Clients aus zugreifen, die nicht Mitglied der Domäne sind und sich per VPN einwählen.

    Bei den "normalen Shares" pflege ich die Hosts-Datei auf den Clients, aber wie macht man das bei DFS? Wie findet ein solcher Client seinen AD-Server, um den DFS-Namespace abzufragen?


    Viele Grüße Dirk

    Dienstag, 10. März 2015 15:57

Antworten

Alle Antworten

  • Hi,
     
    Am 10.03.2015 16:57, schrieb -Dirk-:
    > Bei den "normalen Shares" pflege ich die Hosts-Datei auf den Clients,
     
    Es gibt DNS.
     
    > aber wie macht man das bei DFS? Wie findet ein solcher Client seinen
    > AD-Server, um den DFS-Namespace abzufragen?
     
    DNS, DNS und DNS nutzen
     
    ... oder die Zone in die Hosts eintragen, dann greift der Client aber
    immer auf denselben Rechner des DFS Stamms zu.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 10. März 2015 18:40
  • Hi Mark, schon klar DNS. Aber bei privat-Rechnern, die hinter einem privat-Router stehen, welche ein Router-Router VPN machen ist es schwer. Manche Router sind nur DNS-forwarder, die den Provider DNS-Server nehmen - da gibts nichts einzutragen! Aber selbst wenn ein Router DNS-Server sein kann und ich dort die DCs eintragen kann - ich kann dort keine Zone erzeugen. Wie würde der Eintrag einer Zone in der hosts aussehen? Und das reicht, damit der host sein das AD findet? Sorry, aber ich bin neu in Thema DFS.

    Viele Grüße Dirk

    Dienstag, 10. März 2015 19:01
  • Hi,
     
    Am 10.03.2015 20:01, schrieb -Dirk-:
    > Hi Mark, schon klar DNS. Aber bei privat-Rechnern, die hinter einem
    > privat-Router stehen, welche ein Router-Router VPN machen ist es schwer.
     
    Du kannst auf der VPN Verbindung den DNS mitgeben.
     
    Der Eintrag in der hosts ist wie ein hosts eintrag.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 10. März 2015 20:03
  • ich wüsste nicht, wie ich einer Fritzbox, die ein IpSec zu einem Bintec macht, nen DNS-Server mitgebe, aber ich werde mal suchen. Welche IP gebe ich in der hosts an? Die eines DCs? Also domain.local 192.168.1.x

    Viele Grüße Dirk

    Dienstag, 10. März 2015 20:08
  • Hi,
     
    Am 10.03.2015 20:01, schrieb -Dirk-:
    > Hi Mark, schon klar DNS. Aber bei privat-Rechnern, die hinter einem
    > privat-Router stehen, welche ein Router-Router VPN machen ist es schwer.
     
    Du kannst auf der VPN Verbindung den DNS mitgeben.
     
    Der Eintrag in der hosts ist wie ein hosts eintrag.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 11. März 2015 09:09
  • Am 10.03.2015 21:08, schrieb -Dirk-:
    > ich wüsste nicht, wie ich einer Fritzbox, die ein IpSec zu einem
    > Bintec macht, nen DNS-Server mitgebe, aber ich werde mal suchen.
     
    Ah, es ist keine Einwahl Verbindung? ´tschuldige, dann wirds wohl
    schwieriger. Bei einer "Wählverbindung" übergibt der Einwahlpunkt ja
    eine IP an den Client, damit lassen sich dann auch alle anderen DHCP
    Optionen übergeben.
     
    > Welche IP gebe ich in der hosts an? Die eines DCs? Also domain.local
    > 192.168.1.x
     
    Es sollten die Server sein, die die Dateien im DFS Stamm anbieten.
    Dein Client weiss ja nichts von SRV Records.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 11. März 2015 09:24
  • Tja, es sind verschiedene Typen:

    Einwahl direkt am Windows-Server: DNS wird vom RRAS übergeben und DFS-Auflösung geht

    Einwahl BusinessRouter-Router: hier kann ich pro Domänen einen DNS angeben, das müsste auch gehen, muss ich noch testen

    Einwahl SOHO-Router wie FritzBox: Hier gibt es keine Möglichkeit, einen DNS anzugeben für die VPN-Verbindung. Auch selbst wenn ich den globalen DNS-Server in der FritzBox auf den DC meiner Firmendomäne setze, kann er keine DFS auflösen. er kann sehr wohl die Clients der Domäne auflösen (d.h. der DNS in der Firma wird gefragt), aber er findet den DFS nicht. 

    Ich verwende eine Domänenbasierendes DFS, die Angabe des NamespaceHosts in der hosts-Datei hilft nicht.

    Die Frage bleibt also: wie kann ich in der hosts (oder sonstwo) ein domänenbasierendes DFS angeben, so dass dieses sauber aufgelöst werden kann?


    Viele Grüße Dirk

    Mittwoch, 11. März 2015 11:10
  • Hi,
     
    Am 11.03.2015 12:10, schrieb -Dirk-:
    > Die Frage bleibt also: wie kann ich in der hosts (oder sonstwo) ein
    > domänenbasierendes DFS angeben, so dass dieses sauber aufgelöst werden kann?
     
    Auf jedem DC stehen alle SRV records in der
    %systemroot%\system32\config\netlogon.dns Datei. Dieses kannst du 1zu1
    in die hosts kopieren, bzw. an einen alternativen DNS Server übergebenm
    der Zonenfiles verwendet, statt AD Datenbank.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 11. März 2015 11:22
  • Hmm, geht leider nicht.

    Hab den Inhalt der netlogon.dns in die hosts 1:1 kopiert - der DFS-Netzwerkname kann dennoch nicht aufgelöst werden.


    Viele Grüße Dirk

    Mittwoch, 11. März 2015 11:56
  • Am 11.03.2015 12:56, schrieb -Dirk-:
    > Hab den Inhalt der netlogon.dns in die hosts 1:1 kopiert - der
    > DFS-Netzwerkname kann dennoch nicht aufgelöst werden.
     
    Workgroup ist wohl der Knackpunkt :-( hätte ich nicht gedacht, habe ich
    nie probiert.
     
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 11. März 2015 12:41
  • Es ist und bleibt ein Auflöse-Problem. Sobald ich mich per Einwahl direkt auf den Server einwähle, funktioniert ja alles. Der Client ist dann immer noch in einer Workgroup. Ich bekomme auch keine Aufforderung für Credentials, sondern er finden den DFS im AD einfach nicht.

    Ich kenne den verlinkten Artikel, danke. Änderungen am Server lösen mein lokales Auflöseproblem aber nicht und der Post, dass der Client zwingend Mitglied der Domäne sein muss, stimmt nicht, da es bei direkter Einwahl ja geht.


    Viele Grüße Dirk

    Mittwoch, 11. März 2015 13:02
  • Versuche mal mit:

    \\Fileserver-IP\dfs\Public

    Was passiert dann?

    • Als Antwort markiert -Dirk- Mittwoch, 11. März 2015 13:56
    Mittwoch, 11. März 2015 13:35
  • Am 11.03.2015 14:02, schrieb -Dirk-:
    > da es bei direkter Einwahl ja geht.
     
    d.h. wenn du den DNS an den Client übergibst hat der Workgroup Client
    zugriff auf den DFS Stamm?
     
    \\servername\ kann ja nicht die LÖsung sein, deswegen hat man ja den DFS
    Stamm.
     
    Hilft es, wenn du die DCs mit dem domänen namen in die hosts einträgst?
    (das war sicherlich der erste Versuch ...)
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 11. März 2015 13:55
  • Perfekt!

    Das bringt die Lösung: wenn ich in der hosts einen Eintrag erstelle:

    [IP des DFS-Namespace-hosts]   domäne.de

    dann kann ich den Namspace auch von extern erreichen! Bingo!

    danke euch Beiden!


    Viele Grüße Dirk

    Mittwoch, 11. März 2015 13:55
  • > da es bei direkter Einwahl ja geht.
    d.h. wenn du den DNS an den Client übergibst hat der Workgroup Client
    zugriff auf den DFS Stamm?

    So ist es. Per Einwahl direkt auf meinen Gatewayserver bekommt der Client "die richtigen Angaben" und ich kann den DFS-Namespace erreichen.

    >\\servername\ kann ja nicht die LÖsung sein, deswegen hat man ja den DFS

    Stamm.

    Korrekt. Aber den Namespace Host mit dem Domänennamen in der hosts zu hinterlegen hilf. Auch nicht ganz durchgängig, denn wenn der DFS hostname sich ändert wäre es in etwa dasselbe, als wenn sich der Fileservername ändert. Aber im Moment mal funktionabel. Und bei vielen verstreuten shares braucht man nur einen Eintrag zum DFS Namespacehost in der hosts.

    >Hilft es, wenn du die DCs mit dem domänen namen in die hosts einträgst?

    Hab ich die ganze Zeit schon drin, hilft nicht.

    (das war sicherlich der erste Versuch ...)


    Viele Grüße Dirk

    Mittwoch, 11. März 2015 14:01