Externer Trust über NAT/VPN

12/05/2009 - 19:12 von Marc Borst | Report spam
Hallo NG,

ich habe einen Kunden, der seinen Forest mit anderen Forests über externe
Trusts verbinden will. Problem an der Sache: Manche Standorte haben
identische IP-Adressbereiche. Also sind diese über L2L VPN an die Zentrale
angebunden. An der Aussenstelle wird das lokale Netze auf ein nicht
vergebenes Netz übersetzt und danach erst in den VPN Tunnel geschickt.
In der Zentrale werden die Aussenstellen über diese NAT Adresse angesprochen
und sehen gar nichts von den eigentlichen dahinterliegenden Netzen. Im VPN
Tunnel ist alles offen, keine Ports werden geblockt.

Ein Redesign der IP-Adressierung ist nicht möglich.

Ich habe im DNS Server der Zentrale eine Domàne für den Forestnamen der
Außenstelle angelegt und mit entsprechenden Hostnamen und Servicerecords
versehen, so dass die aufgelösten Namen den NAT Adressen entsprechen.

Wenn wir nun versuchen, einen Trust herzustellen, erscheint die Meldung "Der
Vorgang kann nicht fortgesetzt werden, da die Domàne xxx nicht gefunden
wurde. Über Forwarder oder Sekundàre Zonen kann ich hier nicht arbeiten, da
in diesen Fàllen ja die korrekten IP-Adressen und nicht die genatteten
geliefert werden.

Gibt es eine Möglichkeit, über dieses Konstrukt einen Trust herzustellen?
Eventuell geht das auch über NAT gar nicht?

Bin für jeden Hinweis dankbar.

Gruß
Marc
 

Lesen sie die antworten

#1 Thomas K.H. Bittner
14/05/2009 - 16:44 | Warnen spam
Hallo Marc,

der Punkt ist das Finden des PDC für die jeweilige Domàne. Wenn von der
Seite, von der Du die Vertrauenstellung initiieren willst, der PDC nicht
gefunden werden kann, wird's nix mit vertrauen.

Sofern die Domànen NetBIOS/WINS nutzen, könntest Du Dir damit helfen, in der
lokalen LMHOST die erforderlichen Eintràge manuell zu machen, um sicher zu
stellen, dass der PDC gefunden werden kann.

Beste Grüße, Tom


[Support] www.mvpatwork.com/support.aspx
WSSRA Expert at ® Corporation


"Marc Borst" schrieb im Newsbeitrag
news:
Hallo NG,

ich habe einen Kunden, der seinen Forest mit anderen Forests über externe
Trusts verbinden will. Problem an der Sache: Manche Standorte haben
identische IP-Adressbereiche. Also sind diese über L2L VPN an die Zentrale
angebunden. An der Aussenstelle wird das lokale Netze auf ein nicht
vergebenes Netz übersetzt und danach erst in den VPN Tunnel geschickt.
In der Zentrale werden die Aussenstellen über diese NAT Adresse
angesprochen
und sehen gar nichts von den eigentlichen dahinterliegenden Netzen. Im VPN
Tunnel ist alles offen, keine Ports werden geblockt.

Ein Redesign der IP-Adressierung ist nicht möglich.

Ich habe im DNS Server der Zentrale eine Domàne für den Forestnamen der
Außenstelle angelegt und mit entsprechenden Hostnamen und Servicerecords
versehen, so dass die aufgelösten Namen den NAT Adressen entsprechen.

Wenn wir nun versuchen, einen Trust herzustellen, erscheint die Meldung
"Der
Vorgang kann nicht fortgesetzt werden, da die Domàne xxx nicht gefunden
wurde. Über Forwarder oder Sekundàre Zonen kann ich hier nicht arbeiten,
da
in diesen Fàllen ja die korrekten IP-Adressen und nicht die genatteten
geliefert werden.

Gibt es eine Möglichkeit, über dieses Konstrukt einen Trust herzustellen?
Eventuell geht das auch über NAT gar nicht?

Bin für jeden Hinweis dankbar.

Gruß
Marc

Ähnliche fragen