ActiveDirectory über VPN

Es fing als eine Idee auf der Arbeit an und nun, gut 2 Wochen später, läuft es endlich – eine Vernetzung von zwei Kollegen aus der Ausbildung die jetzt weg ziehen und mir.

Die Grundidee war dabei recht simpel, ein ActiveDirectory wird über eine IPSec VPN von Router zu Router über mehrere Standorte gespannt und dabei auch der Exchange Server mit auf alle verteilt um die Verfügbarkeit zu erhöhen und im Schadensfall das AD wieder aufsetzen zu können und mehr über „größere“ Netzwerke zu lernen.

Soweit so gut, das VPN war flott aufgesetzt bzw. lief schon testweise vorher für andere Zwecke, sollte also kein Problem darstellen.

Stage 1 – VNP-Aufbau:

Mein Netz:     172.16.10.0/23

Kollege #1:     172.168.10.0/24

Kollege #2:     192.168.1.0/24

VPN wird über die IPCop VPN-Services geregelt.

Die Pings und DNS Auflösungen (in dem Moment noch mit vertrauensstellen der 3 Domänen) klappt 1A und gibt keine Probleme, auch Datenzugriff auf Freigaben ist möglich.

Stage 2 – Server einrichten:

Installation vom Server 2008 beim Kollegen und geplanter Domain-Join in meine bestehende…

Hier fingen nun die Probleme langsam an. Der Server wurde installiert und mit den Grundservices, also DNS, DHCP und AD, ausgestattet.

DNS Server auf meine AD-Struktur konfiguriert, Pings in meine Domäne klappen mit Hostname sowie FQDN. Der Domainjoin als Client macht auch keine Probleme, ABER die Hochstufung zum DomainController schon, Fehler „RPC-Server nicht erreichbar“.

Gegen 22 Uhr gingen die Probleme damit los, darauf folgten etliche Google-Suchen und Fragen an die Leute ausm Messenger, einige Sachen klangen auch ganz gut aber halfen trotzdem nicht (MTU-Gröse der VPN ändern, Kerberos auf TCP statt UDP forcen etc). Gegen 2:30Uhr am Morgen gaben wir dann erstmal auf und legten uns schlafen.

Stage 2 – Neuanlauf:

Am nächsten Tag hab ich dann nochmal die VM bei mir angeschmissen und lokal die Hochstufung vorgenommen, nun wie erwartet keine Probleme mehr und Replication läuft 1A.

Also flux den 2ten Server fertig gemacht und Standorte etc. eingerichtet, alles was hat so anfällt. Exchange war auch schnell lauffähig wie er sein soll, also hier keine weiteren Probleme.

Stage 3 – Serverumzug:

Jetzt wo die Server die Initiale Replication fertig haben wird das Remote auch klappen – so dachte ich – und habe den ersten Server zum Kollegen gegeben.

Natürlich lief es nicht.

Ping auf Hostname und FQDN laufen, DNS ist alles korrekt und auch die Anmeldung etc geht 1A, nur ebend die Synchronisation nicht.

    Ereignislog bringt EventID 1566, 1566, 1311 & 1865

Also die nächsten Abends weiter damit verbracht ein paar Sachen zu probieren und weiter die Foren durchwühlt, leider weiter ohne Erfolg.

Darauf folgte noch ein Test mit OpenVPN statt dem IPCop verbautem, leider ging auch hier nichts.

Stage 4 – Die Lösung:

Am Donnerstag stieß dann einer der Kollegen auf folgendes:

    Empfohlene TCP/IP-Einstellungen für WAN-Verbindungen mit einer MTU-Größe von weniger als 576 Byte

Anfangs lief es damit auch noch nicht direkt mit dem Server vom ersten Kollegen aber inzwischen hatte der 2te auch Seine VM bei sich laufen und mit der funktionierte es auf Anhieb (erster Lösungsvorschlag) 🙂

Problem zum ersten war dann recht flott gefunden, die Einstellungen vom OpenVPN hab ich in der Zwischenzeit so verhunzt das da nichts mehr ging, also wieder aufs vorherige VPN wie mit Kollege #2 und schwupp-di-wupp lief auch hier die Replikation 🙂

Stage 5 – Kleinkrams:

Nun wo erstmal alles lief gab es nur noch etwas Kleinkram zu lösen wie Exchange-Postfächer verschieben etc was auch recht schnell an einem Abend erledigt war, zwischenzeitlich hat sich aber der erste Server nochmal ausgeklinkt aber so gegen 1Uhr heute morgen lief dann alles so wie es das soll 🙂

Nun heißt es abwarten und Daumen drücken das die Verbindungen Stabil bleiben, das Domain-Failover für den Exchange funktioniert zumindest schon mal….

 

Abschließend lässt sich sagen:

Versucht nicht von Microsoft offiziell unterstützte Sachen nur wenn ihr viel Zeit zum Probieren und Lesen habt…

Btw, Best-Practice von Microsoft sieht für Small-Business-Branch-Office (Kleinbetrieb-Nebenstellen) vor das die DC in den Standorten sich über Standleitungen zu einem DC in einem Rechenzentrum mit öffentlicher IP verbinden und darüber Replizieren. Warum diese Lösung für uns aber flach fällt dürfte denk ich klar sein 😉