Beitritt der Domäne nicht möglich

[bluelight_off]

Moin zusammen!

Vorweg: Ich bin mir der Risiken bewusst, die es birgt, einen DC nicht im lokalen Netz laufen zu lassen. Es handelt sich hierbei um mehr oder weniger Testzwecke.

Zu meinem Problem: Ich habe auf einem externen vServer AD installiert und konfiguriert. Sobald ich einen Client in die Domäne holen möchte, schmeißt er mir einen Fehler raus - siehe Logs.
Ich habe viel gegoogelt und alle möglichen Lösungsansätze ausprobiert. IPv6 ist deaktiviert, so dass es sich nicht um ein IPv6 DNS Problem handeln kann. Die IPv4 Adresse des DC habe ich beim Client als DNS Server gesetzt.
Pingen des Controllers ohne Problem möglich, nslookup passt auch.

Jetzt der Teil, der mir komplett den Verstand raubt: Ich habe gedacht, dass es damit zusammenhängen könnte, dass ich quasi ein internes Netzwerk brauche, damit das funktioniert. So habe ich mir aus Spaß Hamachi auf Server und Client installiert und beim Client die Hamachi IP-Adresse als DNS Server hinterlegt - und siehe da - es funktioniert.

net view Ergebis:
Bei öffentlich IPv4 als DNS: Systemfehler 53 aufgetreten. Der Netzwerkpfad wurde nicht gefunden.
Bei Hamachi IPv4 als DNS: Zugriff verweigert. Also findet er dann wenigstens das AD.

Was mache ich falsch oder wo ist mein Denkfehler?
Bin mit Windows-Servern nicht so gut bewandert.

OS: Windows Server 2019 - alle aktuellen Updates installiert.

Inhalt der NetSetup:
05/16/2021 12:47:17:000 -----------------------------------------------------------------
05/16/2021 12:47:17:000 NetpValidateName: checking to see if 'XYZ.int' is valid as type 3 name
05/16/2021 12:47:17:114 NetpCheckDomainNameIsValid [ Exists ] for 'XYZ.int' returned 0x0
05/16/2021 12:47:17:114 NetpValidateName: name 'XYZ.int' is valid for type 3
05/16/2021 12:47:22:873 -----------------------------------------------------------------
05/16/2021 12:47:22:873 NetpDoDomainJoin
05/16/2021 12:47:22:874 NetpDoDomainJoin: using new computer names
05/16/2021 12:47:22:874 NetpDoDomainJoin: NetpGetNewMachineName returned 0x0
05/16/2021 12:47:22:874 NetpDoDomainJoin: NetpGetNewHostName returned 0x0
05/16/2021 12:47:22:874 NetpMachineValidToJoin: 'DESKTOP-UA169NB'
05/16/2021 12:47:22:878 NetpMachineValidToJoin: status: 0x0
05/16/2021 12:47:22:878 NetpJoinDomain
05/16/2021 12:47:22:878 HostName: DESKTOP-UA169NB
05/16/2021 12:47:22:878 NetbiosName: DESKTOP-UA169NB
05/16/2021 12:47:22:878 Domain: stahl-faust.int
05/16/2021 12:47:22:878 MachineAccountOU: (NULL)
05/16/2021 12:47:22:878 Account:XYZ.int\Administrator
05/16/2021 12:47:22:878 Options: 0x403
05/16/2021 12:47:22:880 NetpValidateName: checking to see if 'XYZ.int' is valid as type 3 name
05/16/2021 12:47:22:967 NetpCheckDomainNameIsValid [ Exists ] for 'XYZ.int' returned 0x0
05/16/2021 12:47:22:967 NetpValidateName: name 'XYZ.int' is valid for type 3
05/16/2021 12:47:22:967 NetpDsGetDcName: trying to find DC in domain 'XYZ.int', flags: 0x40001010
05/16/2021 12:47:23:053 NetpDsGetDcName: status of verifying DNS A record name resolution for 'dc01.XYZ.int': 0x0
05/16/2021 12:47:23:053 NetpDsGetDcName: found DC '\\dc01.XYZ.int' in the specified domain
05/16/2021 12:47:23:053 NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x0
05/16/2021 12:47:23:053 NetpDisableIDNEncoding: using FQDN XYZ.int from dcinfo
05/16/2021 12:47:23:065 NetpDisableIDNEncoding: DnsDisableIdnEncoding(UNTILREBOOT) on 'XYZ.int' succeeded
05/16/2021 12:47:23:065 NetpJoinDomainOnDs: NetpDisableIDNEncoding returned: 0x0
05/16/2021 12:47:45:278 NetUseAdd to \\dc01.XYZ.int\IPC$ returned 53
05/16/2021 12:47:45:278 NetpJoinDomainOnDs: status of connecting to dc '\\dc01.XYZ.int': 0x35
05/16/2021 12:47:45:278 NetpJoinDomainOnDs: Function exits with status of: 0x35
05/16/2021 12:47:45:284 NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'XYZ.int' returned 0x0
05/16/2021 12:47:45:284 NetpJoinDomainOnDs: NetpResetIDNEncoding on XYZ.int': 0x0
05/16/2021 12:47:45:284 NetpDoDomainJoin: status: 0x35

 

[Zensai]

Ich habe deine interne Domain mal entfernt aus den Logs. Bitte etwas genauer hinschauen, was du wo postest und ob jeder wissen soll dass an eurer Produktivumgebung "rumgebastelt" wird ;-)

 

[Masamune2]

Wo läuft der Server denn? Es sieht so aus als ob da Netbios Ports geblockt werden.

 

[bluelight_off]

Hi @Zensai,

lieb gemeint, aber wäre nicht nötig gewesen. Ist keine Produktivumgebung.

 

[t-6]

Zunächst mal: Es ist eine gaaaaanz schlechte Idee einen Domänencontroller direkt ins Internet zu stellen, so wie es hier impliziert wird. So viele Ports wie du öffnen musst damit das sauber funktioniert, kannst du auch gleich "Hallo Shodan" auf den Anmeldebildschirm schreiben.

Zweitens: Zu 90% liegt es daran dass der Windows Server für externe Verbindungen (alles was nicht unter RFC 1918 fällt) dicht macht. Aus gutem Grund. Keine Beantwortung von DNS. Kein SMB. Usw.

"Regelbauweise" wäre, dass du einen Site2Site-Tunnel zwischen dem - internen - Netzwerk des Domänencontrollers & dem Client-Netzwerk herstellst. Etwas, was Hamachi quasi auch schon macht, aber eleganter.

 

[bluelight_off]

Wo läuft der Server denn? Es sieht so aus als ob da Netbios Ports geblockt werden.

Hi, der Server läuft bei Netcup. Das gleiche habe ich auch gedacht und die Firewall deaktiviert. Hat nichts geändert.

Zunächst mal: Es ist eine gaaaaanz schlechte Idee einen Domänencontroller direkt ins Internet zu stellen, so wie es hier impliziert wird. So viele Ports wie du öffnen musst damit das sauber funktioniert, kannst du auch gleich "Hallo Shodan" auf den Anmeldebildschirm schreiben.

Zweitens: Zu 90% liegt es daran dass der Windows Server für externe Verbindungen (alles was nicht unter RFC 1918 fällt) dicht macht. Aus gutem Grund. Keine Beantwortung von DNS. Kein SMB. Usw.

"Regelbauweise" wäre, dass du einen Site2Site-Tunnel zwischen dem - internen - Netzwerk des Domänencontrollers & dem Client-Netzwerk herstellst.

Wie kann ich diese "Regelbauweise" denn darstellen? Gib mir gerne mehr Input. Bin wie gesagt, ein Windows-Server-Newbie.
Firewall ist deaktiviert, also kann der Server nichts dicht machen.

 

[blackbirdone]

Tutorials googeln.
Was er meint ist einfach ein VPN ins Netz des Servers zu öffnen damit es eben nicht öffentlich ist.

 

[t-6]

Typischerweise/idealerweise wird ein Site2Site-Tunnel über in den Standorten (egal ob physisch oder virtuell) vorhandene Router oder Firewalls hergestellt. IPSec ist hier der Standard.
Sowas macht man eher nicht auf den Windows Servern selber (außer RRAS, aber das ist imho eher exotisch [geworden]).

 

[bluelight_off]

Typischerweise/idealerweise wird ein Site2Site-Tunnel über in den Standorten (egal ob physisch oder virtuell) vorhandene Router oder Firewalls hergestellt. IPSec ist hier der Standard.
Sowas macht man eher nicht auf den Windows Servern selber (außer RRAS, aber das ist imho eher exotisch [geworden]).

Ich muss mich aktuell mit den vorhandenen Gegebenheiten arrangieren, bedeutet: Ich habe keine physische Lösung um das zu realisieren. Welche Virtuellen Lösungen bieten sich denn an, um einen VPN Tunnel vom Client zum Server herzustellen. Möchte dafür ungern Hamachi nutzen, auch wenn es den Zweck bedingt erfüllt, wie ich ja gesehen habe. Es muss doch mehr oder minder eine professionellere Lösung dafür geben. (Virtuell)

 

[-Overlord-]

Entweder direkt unter Windows konfigurieren mit den Bordmittelns - oder einfach ein virtueller Linux Server mit OpenVPN

 

[Masamune2]

Hi, der Server läuft bei Netcup. Das gleiche habe ich auch gedacht und die Firewall deaktiviert. Hat nichts geändert.

Es muss ja nicht deine Firewall sein, sondern die von Netcup.

Mit nur einem vServer wird es schwierig das anders umzusetzen. Mit einem Root auf dem du einen Hypervisor installieren könntest sieht es anders aus. Dann kannst du eine Router VM aufsetzen die als VPN Endpunkt dient und den Domaincontroller dahinter stellen. Der ist dann nicht direkt erreichbar und dir kann die Firewall von Netcup egal sein.
Wenn das aber nur zum Testen ist würde ich das einfach auf dem lokalen Rechner machen.

 

[bluelight_off]

Es muss ja nicht deine Firewall sein, sondern die von Netcup.

Mit nur einem vServer wird es schwierig das anders umzusetzen. Mit einem Root auf dem du einen Hypervisor installieren könntest sieht es anders aus. Dann kannst du eine Router VM aufsetzen die als VPN Endpunkt dient und den Domaincontroller dahinter stellen. Der ist dann nicht direkt erreichbar und dir kann die Firewall von Netcup egal sein.
Wenn das aber nur zum Testen ist würde ich das einfach auf dem lokalen Rechner machen.

Einen richtigen "Root-Server" also einen physikalischen oder ein virtualisierter Root-Server? Der vServer ist mit KVM virtualisiert. Der Root bei denen ebenfalls.

 

[Masamune2]

Theoretisch kannst du auch eine VM in einer VM betreiben wenn der Server untendrunter es her gibt, in der Regel nutzt man dafür aber direkt ne physische Büchse.
Ich hatte vor ein paar Jahren einen Root Server bei Hetzner mit ESX drauf und hatte das genau so aufgebaut. pfsense als Router nach draußen und dahinter ein paar VMs mit den eigentlichen Diensten.
Kostet in der Regel ein paar EUR mehr als ein einzelner vServer aber du bist halt viel flexibler.

 

[bluelight_off]

Vielen Dank für die Hilfe!
Soweit ist alles klar, was die Domäne angeht.