Moin Forum,
wir suchen, leider bisher ohne Erfolg, nach einem sporadischen auftretenden Fehler der bei uns beim Routing unterschiedlicher Netze auftritt.
Blöd ist dabei das der Fehler leider nicht reproduzierbar ist, man kann nicht sagen wann und warum er auftritt.
Wir routen bei uns mehrere Netze da Produktions- und Verwaltungsbereiche getrennt sind. Eins davon ist über eine WLan Strecke auf der anderen Seite mit ´ner ASG120 angebunden, hier wurde zusätzlich eine net2net VPN Verbindung mit x509 konfiguriert. Zwei weitere LANs hängen intern direkt an der ASTARO, ein Produktions- und ein internes WLan Netz.
Es handelt sich um das Hauptnetz 192.168.250.0/24, das Remote LAN hinter der WLan Strecke ist 192.168.251.0/24, zwar gibt es da noch mehrere Netze, diese bereiten aber nicht das folgt geschilderte Problem. Das intern geroutete Netz welches direkt an der ASTARO hängt ist das 192.168.249.0/24.
Im Hauptnetz, also im 250er Netz, stehen alle Server, und alle anderen Netze sollen nun diese Server erreichen können.
Erwähnt werden sollte vielleicht noch, dass die aktuelle Version der ASTARO auf einem ESX läuft, weiß nicht, ob´s vielleicht da irgendwo klemmen könnte. Als Adapter ist ein e1000 bei den NIC´s eingerichtet. Laut VMware ist das wohl die beste Variante. Die Astaro Appliance ist zwar anders konfiguriert, aber auch im Forum habe ich irgendwo gelesen das man die e1000 nehmen sollte.
Unser Umgebung ist weitestgehend Microsoft, alles Windows 2003 bzw. 2008 Server, aktuell handelt es sich um eine Windows 2003 Domäne. Die betroffenen Clients haben alle Windows XP.
Grundsätzlich ist das Problem, oder das Schöne, dass generell erst einmal alles funktioniert. Es gibt Filterregel im Paketfilter, 249 --> 250 any, 250 --> 249 any und 251 --> 250 any, 250 --> 251 any. Masquerading ist nicht konfiguriert, ist hier ja auch nicht notwendig.
Generell funktioniert erstmal alles, Domänenanmeldung, Profile ziehen, Daten speichern usw. funktioniert grundsätzlich erstmal. Das bedeutet, dass eigentlich alle Konfigurationen sauber sind.
Nun zum Problem. Irgendwann, sporadisch, warum auch immer, erreichen die Clients aus den anderen Netzen das 250er Netz nicht mehr. Meint konkret, dass z.B. ´nen Ping immer funktioniert. Nicht nur auf das Interface, sondern auch auf irgendeinen Server oder Switch im 250er Netz. Probleme gibt´s aber wenn z.B. auf Laufwerksfreigaben zugegriffen werden soll die per net use beim Anmelden des Users verbunden wurden. Ebenfalls haben Anwendungen die z.B. "srv003" suchen Schwierigkeiten, und die Anwendung macht Probleme. Öffne ich den Explorer und versuche z.B. ´ne Freigabe über \srv001 zu erreichen, oder auch als FQDN, dann funktioniert das manchmal, manchmal auch nicht, zumindest in dem Moment, wo der Fehler gerade akut da ist. Grundsätlich klappt das aber. Versuche ich das Ganze dann über die IP Adresse, z.B. mit \192.168.250.21, dann dauert das ewig, funktioniert dann aber auch.
An bzw. Abmelden ist in dem Fall garnicht möglich, wir arbeiten mit servergespeicherten Profilen, es dauert eine ganze Zeit, gibt dann ´ne Fehlermeldung, und dann wird der User auch abgemeldet.
Versucht in dem Moment ein User sich an zu melden erhält dieser eine Meldung das der Domänenbenutzer nicht gefunden werden kann. Logisch wäre dann vielleicht noch wenn in diesem Moment garnichts mehr funktionieren würde. Merkwürdigerweise kann es aber sein, dass ein anderer Client der schon länger angemeldet ist und ohne Probleme arbeitet dies auch noch weiter tun kann. Das kann eine ganze Zeit gut gehen, kann dann aber auch sein das er wenige Sekunden später auch nicht mehr auf seine Laufwerke zugreifen kann.
Aber, dass Problem ist halt, dass dieser Fehler nur sporadisch auftaucht. Generell funktioniert es eigentlich alles einwandfrei.
Wir hatten schon die Idee, dass es irgendwie mit Kerberos Authentifizierung und UDP zusammen hängt, bei 2003 läuft die im Standard wohl noch über UDP, und irgendwo konnte man in diesem Zusammenhang was von fragmentierten Paketen lesen. Zumindest beim Remote Standort gingen wir davon aus, haben das schon auf TCP umgestellt, hat aber auch nichts gebracht. Das Problem tritt mal ein oder zwei Tage vielleicht garnicht auf, dann vielleicht am dritten Tag alle zwei Stunden.
Das Einzige, was wir in dem Fall tun können, ist die ASTARO neu zu starten. Irgendwie fehlt hier momentan der Ansatz was zu tun ist um das Problem zu lösen.
Gedanklich ist einfach die Frage ob´s an der ASTARO liegt, ob´s irgendwo mit der ESX Umgebung zusammen hängt, oder ob´s auf der Windows Ebene zu suchen ist.
Hat soetwas vielleicht irgendjemand schonmal gesehen oder eine Idee was man ggf. machen oder versuchen könnte?
Danke für eure Antworten im Voraus.
Mfg, Pit
This thread was automatically locked due to age.
