AD overal ter wereld benaderen

[Thomassoft]

Hoihoi,
Ik heb een Server 2008 met een AD forest. Nu wil ik de DNS, AD, SQL en Softgrid server openzetten naar buiten (portforwarding) zodat overal ter wereld ingelogd kan worden op de AD.

De bedoeling is dat een Laptop lid wordt van de AD en zo kan inloggen en dat zijn gebruikersprofiel word geladen. Ook moet hij zijn applicaties van softgrid kunnen openen.

Maar in eerste instantie de AD maar. Nu heb ik al gekeken naar de juiste poorten op Internet (waren er veel) en heb de AD poort, DNS poort al open staan. Op de laptops heb ik bij de DNS server mijn WAN ip adres als als eerste dns server insgesteld. Nu wil ik computer lid maken van domein via netbioss/fqdn. Maar computer zegt kan AD en DNS niet vinden.

Ik heb de volgende netbioss naam ingevuld: THOMASSOFT en kreeg de volgende fout:

Let op: deze gegevens zijn bedoeld voor een netwerkbeheerder. Neem contact met de netwerkbeheerder op als u geen netwerkbeheerder bent. Meld bij uw netwerkbeheerder dat u deze gegevens hebt ontvangen en dat deze gegevens zijn opgeslagen in het bestand C:\WINDOWS\debug\dcdiag.txt.

De domeinnaam Thomassoft kan een NetBIOS-domeinnaam zijn. Controleer, als dit het geval is, of de domeinnaam juist bij WINS is geregistreerd.

Als u zeker weet dat de naam geen NetBIOS-domeinnaam is, dan kan de volgende informatie u bij het oplossen van het probleem met de DNS-configuratie helpen:

De Service Location (SRV)-bronrecord is met succes opgevraagd uit DNS voor het vinden van een domeincontroller voor het domein Thomassoft:\r

De query was voor de SRV-record van _ldap._tcp.dc._msdcs.Thomassoft

De volgende doemincontrollers zijn in de query gevonden:

tsi01vdc.thomassoft.lan

Mogelijke oorzaken van deze fout zijn:

1. Host (A)-records die de naam van de domeincontroller koppelen aan IP-adressen ontbreken of bevatten onjuiste adressen.

2. De domeincontrollers die in DNS zijn geregistreerd zijn niet met het netwerk verbonden of werken niet.

Klik op Help voor meer informatie over hoe u het probleem kunt oplossen.

Wie kan me helpen?

 

[dnties]

Tsja, ik zie dat je domeinnaam (volledig) thomassoft.lan is. Test daar eens mee (netbios verkeer komt niet door Internet-routers heen).

Tijs.

 

[Thomassoft]

Echter geen verbetering als ik Thomassoft.lan intyp

 

[RogerS]

Als je dit doet via publiek internet dan werkt dat ook niet. Er is namelijk geen DNS server die .LAN kan resolven. Je zul tsi01vdc.thomassoft.lan dus moeten opnemen in je hostfile of je eigen DNS server pubiekelijk beschikbaar stellen en je client via deze DNS laten werken.

 

[dnties]

[...]en heb de AD poort, DNS poort al open staan. Op de laptops heb ik bij de DNS server mijn WAN ip adres als als eerste dns server insgesteld. Nu wil ik computer lid maken van domein via netbioss/fqdn. Maar computer zegt kan AD en DNS niet vinden.

Heb je op die computer óók het WAN ip adres als DNS ingesteld? Anders gaat het zeker niet werken. [Je hebt dat blijkbaar alleen op laptops goed staan, nu...]
Natuurlijk ga ik er hier vanuit dat je nu (netwerktechnisch) met die computer buiten je normale lokale (thuis-)netwerk bent.

Tijs.

 

[Thomassoft]

Gedaan. Nu de volgende fout

Let op: deze gegevens zijn bedoeld voor een netwerkbeheerder. Neem contact met de netwerkbeheerder op als u geen netwerkbeheerder bent. Meld bij uw netwerkbeheerder dat u deze gegevens hebt ontvangen en dat deze gegevens zijn opgeslagen in het bestand C:\WINDOWS\debug\dcdiag.txt.

De domeinnaam thomassoft kan een NetBIOS-domeinnaam zijn. Controleer, als dit het geval is, of de domeinnaam juist bij WINS is geregistreerd.

Als u zeker weet dat de naam geen NetBIOS-domeinnaam is, dan kan de volgende informatie u bij het oplossen van het probleem met de DNS-configuratie helpen:

De volgende fout is opgetreden tijdens het opvragen van de Service Location (SRV)-bronrecord in DNS dat wordt gebruikt om een domeincontroller te vinden in het domein thomassoft:

De fout is: DNS-naam bestaat niet.
(foutcode 0x0000232B RCODE_NAME_ERROR)

De query was voor de SRV-record van _ldap._tcp.dc._msdcs.thomassoft.

Mogelijke oorzaken van deze fout zijn:

1. De DNS SRV-record is niet in DNS geregistreerd.

2. Eén of meer van de volgende zones doen geen overdracht naar de onderliggende zone:

thomassoft
. (hoofdzone)

Klik op Help voor meer informatie over hoe u dit probleem kunt oplossen.

 

[dnties]

[Hoe vaak moet ik het nog zeggen?] Gebruik thomassoft.lan als aanduiding van het domein (ook bij het toevoegen van een werkstation aan het domein).
Als ik je melding zo zie heb je weer alleen thomassoft gebruikt.

Tijs.

 

[Thomassoft]

Nee heb het erna ook geprobeerd met thomassoft.lan. Geen resultaat. Inmiddels heb ik ook een SRV record toegevoegd naar mijn WAN ip.

 

[dnties]

Ik weet het dan ook niet. Overigens had thomassoft.lan een andere melding moeten opleveren, maar die vermeldt je verder niet.
Overigens (en dat vindt RogerS ook) is het proberen om AD over het Internet te benaderen weinig kansrijk. Doorgaans worden namelijk huurlijnen tussen vestigingen, inbelverbindingen of VPN's gebruikt.

Tijs.

 

[Thomassoft]

Weer zelfde melding. Gewoon thomassoft.lan gebruikt. Nu de schermopname erbij

 

[Thomassoft]

Deze melding precies:

Let op: deze gegevens zijn bedoeld voor een netwerkbeheerder. Neem contact met de netwerkbeheerder op als u geen netwerkbeheerder bent. Meld bij uw netwerkbeheerder dat u deze gegevens hebt ontvangen en dat deze gegevens zijn opgeslagen in het bestand C:\WINDOWS\debug\dcdiag.txt.

De Service Location (SRV)-bronrecord is met succes opgevraagd uit DNS voor het vinden van een domeincontroller voor het domein Thomassoft.lan:\r

De query was voor de SRV-record van _ldap._tcp.dc._msdcs.Thomassoft.lan

De volgende doemincontrollers zijn in de query gevonden:

tsi01vdc.thomassoft.lan
tsi02vdc.thomassoft.lan

Mogelijke oorzaken van deze fout zijn:

1. Host (A)-records die de naam van de domeincontroller koppelen aan IP-adressen ontbreken of bevatten onjuiste adressen.

2. De domeincontrollers die in DNS zijn geregistreerd zijn niet met het netwerk verbonden of werken niet.

Klik op Help voor meer informatie over hoe u het probleem kunt oplossen.

 

[dnties]

DNS(-toegang) is dus in orde. Wij weten niet welke andere poorten je open hebt gezet (en ook waarom dan precies, dus 'met welk doel').

Tijs.

 

[RogerS]

En daar gaat het dus al mis. Tenzij je een zakelijke internetverbinding met vaste ip adressen hebt kan dit dus al niet. Ik vermoed dat je nu de interne IP adressen in je DNS hebt opgenomen. Dit moeten de externe adressen zijn. In het geval van een prive internetverbinding heb je slechts 1 publiek IP adres en kun je ook slechts 1 server beschikbaar maken.

 

[Thomassoft]

Oke. Ik heb een extern adres. In mijn DSN server is een SRV en A record gemaakt naar mijn extern IP adres. 2 poorten staan open naar de file server en de andere poorten staan open naar de AD server.
Naar de AD server staat open 137,138,139,53,3389,389,636,3268.
Waarom zou het met een extern IP niet moeten kunnen?

 

[RogerS]

Het voert even te ver om hier een volledige theorie cursus netwerken te gaan neerschrijven. Wat hier van belang is komt erop neer dat een internetverbinding niet te vergelijken is met een lokale netwerkverbinding. Zo is NETBIOS niet routeerbaar. Leuk dat je de poorten openzet, maar dat gaat je verder niks opleveren. Wat er nu wel gebeurt is dat allerlei kwaadwillenden proberen om via dit soort poorten bij je in te breken.

Nogmaals ik ken niemand die ook maar enigzins verstandig is die het aandurft om AD over publiek internet te gaan draaien. Los van de grote vraag of het wel lukt. En dan heb je nog dat in het meest gunstige geval je dit werkend krijgt, je via een andere internetverbinding het opeens niet meer lukt. Dit heeft alles met het eerder genoemde verschil in de netwerken te maken.

Ik stel voor dat je via een VPN gaat werken. Dit kun je ook softwarematig opzetten voor het inloggen. Dit werkt wel als een lokale netwerkverbinding en dan is je domeinprobleem ineens verdwenen.

 

[Thomassoft]

Bedankt voor je uitleg.
Mijn bedoeling is dat klanten gaan inloggen op mijn netwerk maar dan extern. Ze moeten in bepaalde shares kunnen en applicaties kunnen openen via Softgrid, ze moeten de SQL server kunnen benaderen en werken met de Sharepoint omgeving.
Ik ga werken met trainers die een eigen laptop krijgen en gaan werken op afstand. Zelf ben ik HBO Netwerkbeheer afgestuudeerd en weet ik redelijk veel van MS en Cisco. Je hebt gelijk een AD, SQL, Softgrid en File Server openzetten is niet verstandig! Echter dacht ik wel dat het kon. Remote desktop en Citrix is te duur.

Wat ik nu wil weten is of via VPN bovenstaand kan? Zo ja, dit heb ik eerder niet gedaan omdat ik alle handleidingen op Internet niet snap wat ik eerder voor VPN gedaan heb is.
1. VPN Server geinstalleren en geconfigureerd
2. Poorten open gezet
3. Gebruiker toestemming in AD gegeven om DailIn en VPN in te loggen.

Echter kreeg de gebruiker de VPN verbinding niet geopend. Wat kan ik nu het beste doen?

 

[RogerS]

Ik zal morgen even op zoek gaan naar een uitleg. Maar waar het op neerkomt is om Windows zo in te stellen dat deze eerst een VPN verbinding opzet naar je netwerk. Dus nog voor de login prompt. Vervolgens kun je inloggen alsof je lokaal werkt (even los van de snelheid).

 

[Thomassoft]

Oke fijn! Al vast bedankt. Kun je me dan ook de juiste informatie geven om een VPN server op te zetten. Want de server is mij nooit gelukt en als ik die aan het werk heb zou Windows dus eerst de VPN verbinding moeten maken en hierna zou de gebruiker op de AD kunnen inloggen met SQL, Softgrid en FileServer en Sharepoint. Of kan de gebruiker dan alleen de netwerk facaliteiten gebruiken.

 

[Thomassoft]

I wait for answer