none
problemas Vlans y 2003 server RRS feed

  • Pregunta

  •            Buenas, he creado 3 vlans en mi compañia, las cuales tienen como servidor DHCP el firewall de mi compañia. Para la vlan default, es decir mi LAN, el servidor DHCP es el controlador de dominio Windows 2003 server, el cual posee solo una tarjeta de red. Necesito cambiar los dhcp de las vlans al 2003 server, porque asi como esta aunque tengo comunicacion entre vlans y lan, los equipo conectados en las vlans no pueden validarse en el dominio (aparece que el dominio no esta disponible). Cree tarjetas de red virtuales (de bucle invertido), una para cada vlan y les configure una direccion IP dentro de la red de la vlan perteneciente, cree SCOPES (ambitos) para cada vlan con sus respectivos segmentos de red, ademas de configurar en mi firewall el DHCP RELAY para cada vlan apuntando al 2003 server y nada, no funciona! Ya no se que hacer, es primera ves que realizo una implementacion de este estilo, y necesito que esos equipos se puedan validar con el DC. Se que la otra opcion es instalar tarjetas de red fisicas en el server y conectarlas a cada vlan, pero lamentablemente no es una opcion valida en este momento por el presupuesto. Por cierto, el server es un IBM Xseries 226 con WINDOWS 2003 server standard edition sp2.  Muchas gracias por su ayuda de antemano.
    jueves, 10 de junio de 2010 18:48

Respuestas

  •          Sres.:

     

                    He resuelto el problema. Elimine las tarjetas de bucle invertido que habia creado (creo que eran la de los problemas de internet), reconfigure los ambitos de las vlan con el servidor DNS de la LAN, es decir, mi DC. Configure el dhcp relay en el switch L3 con el dhcp server de mi LAN solamente ahi, elimine el dhcp relay del server y el del firewall. Y ahora los ambitos estan entregando sus direcciones IP, con la consecuente validacion de los usuarios en el DC desde las Vlan.

     

                Muchas gracias por sus respuestas, fueron de gran utilidad!!!


    Mario Escobar. Seguridad de redes y networking. Caracas, Venezuela
    • Marcado como respuesta Mario Escobar viernes, 11 de junio de 2010 13:25
    viernes, 11 de junio de 2010 13:25

Todas las respuestas

  • Una de  las alternativas que puedes tomar es crear una policies routes en tu FIREWALL ,indicando que todo lo que venga de tus vLan pertenecen a segmentos validos de tu LAN,creando esas rutas no tendrás problemas con la autenticacion en tu DC
    Saludos
    JA

    Jose Antonio Cermeño- Caracas-Venezuela
    jueves, 10 de junio de 2010 20:04
  • Mario las tarjetas de bucle invertido, como bien pusiste, son *virtuales*, y por lo tanto nunca van a tomar dirección IP de un DHCP que esté en la red. Están conectadas a "nada" :-)

    Revisa que tengas conectividad IP entre las máquinas que están en las VLANs y el controlador de dominio, como primera medida, con PING dir-IP por ejemplo (no por nombre)
    Si no anduviera, pon la salida de IPCONFIG /ALL del DC y de uno de los clientes.

    Además, recuerda que estando todo en un firewall, esté permitido el tráfico entre VLANs ;-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 10 de junio de 2010 20:10
    Moderador
  •          Jose Antonio gracias por tu respuesta.  En mi firewall tengo creadas reglas que permiten la comunicacion entre las vlan y mi lan, pero no son policies routes. Tendria que probar esto para decirte si me funciona. Hace rato habilite el dhcp relay agent en el servidor, añadi las 3 interfaces (vlans) y les habilite la funcion de reenvio dhcp, y tampoco funciona. Tengo habilitado un dhcp relay tanto en el firewall, como en el switch L3 y ahora en el mismo server, y nada. Voy a probar tu idea (que de paso no se me habia ocurrido) y te aviso.

     

                Gracias!! 

    jueves, 10 de junio de 2010 23:34
  •            En efecto si esta permitido el trafico entre las vlans y la lan, les explico un poco. Las vlans se crearon porque implementamos telefonia ip y videovigilancia ip, ademas de una vlan para las comunicaciones wifi. En mi lan quedaron las estaciones de trabajo y el server (que es DC, DNS, DHCP y file server). Pero en las vlans tambien hay equipos que dependen del DC, como el servidor de video, etc. Desde mi DC yo puedo monitorear las camaras IP que estan una vlan, asi como configurar la central telefonica que esta en otra vlan, pero el servidor de video (por ejemplo) no se autentifica con el DC, solo puedo ingresar como administrador local.  Por otro lado, lo de las tarjetas de bucle invertido fue una idea para que cada ambito tuviera su NIC, pero creo que no sirvio de nada. Hay algo extraño, desde el servidor de video, hago ping al DC y hay respuesta, pero a la inversa no, aunque desde el DC si responde ping la central telefonica, que al igual que el servidor de video esta en vlan distintas.  Muchas gracias por tu respuesta.
    jueves, 10 de junio de 2010 23:48
  • Revisa Puerta de Enlace, Máscara de Subred, y servidor DNS en ese servidor de video.

    El DNS debe ser *únicamente* el que resuelve el AD.
    La máscara debe ser igual en todos los equipos
    La Puerta de Enlace debe ser una dirección *local* al servidor, pero del firewall.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 11 de junio de 2010 10:58
    Moderador
  •               Revise esos datos de conexion en el servidor de video y estan como deben estar, es decir, puerta de enlace es el firewall, mascara de sub red x/24, servidor dns es el dc. Tuve que deshabilitar el Enrutamiento y Acceso remoto en el server porque me estaba dando problemas de acceso a internet en la red. Estaba pensando como recurso desesperado migrar todos los DHCP al firewall, y que el server me quede solo como DC y DNS server, creen que pueda funcionar?

    viernes, 11 de junio de 2010 12:47
  •          Sres.:

     

                    He resuelto el problema. Elimine las tarjetas de bucle invertido que habia creado (creo que eran la de los problemas de internet), reconfigure los ambitos de las vlan con el servidor DNS de la LAN, es decir, mi DC. Configure el dhcp relay en el switch L3 con el dhcp server de mi LAN solamente ahi, elimine el dhcp relay del server y el del firewall. Y ahora los ambitos estan entregando sus direcciones IP, con la consecuente validacion de los usuarios en el DC desde las Vlan.

     

                Muchas gracias por sus respuestas, fueron de gran utilidad!!!


    Mario Escobar. Seguridad de redes y networking. Caracas, Venezuela
    • Marcado como respuesta Mario Escobar viernes, 11 de junio de 2010 13:25
    viernes, 11 de junio de 2010 13:25
  • Hola, una pregunta:

     

     Has podido comprobar si, ahora que ya te funciona, los clientes de una vlan pueden ver a los clientes de la otra vlan??

    A mi me pasa esto y no se si debo activar el option 82 para aislar las vlan.

    Alguien tiene alguna idea??

     

    Gracias.

    M. Calvet.

    jueves, 31 de marzo de 2011 15:47