Eigenen DHCP-Server in einem Host-Only verwenden

[VMWare01]

Hallo zusammen,

ich beschäftige mich seit kurzem mit VMWare Workstation (Version 7.1.5) und versuche das ganze zu verstehen.
Ich habe schon einiges gelesen, meine auch es zu verstehen, komme aber nicht zum gewünschten Ergebnis.

Aktuell habe ich auf meinem Notebook ein VM mit einem Win2003 Server und einem XP-Client install.
Da ich mit den beiden untereinander, aber auch ins www. kommunizieren möchte, habe ich den beiden den VMnet8 Adapter verpaßt.
Wenn ich es richtig verstanden habe, ist VMnet8 das gleiche wie VMnet1 (also Host-only) nur mit dem zusätzlichen NAT-Router.
http://www.heise.de/netze/artikel/Im-pr ... 24214.html

Ich möchte einen eigenen DHCP-Server verwenden, was aber nicht funktioniert.
Ich habe das ganze mal mit Screenshots in einem .pdf (94,5kb) dokumentiert.

Leider kann ich es nicht anhängen.
Fehler:
Attachment kann nicht hinzugefügt werden, da die maximale Anzahl von 0 Attachments in dieser Nachricht erreicht wurde. ??????

Über Eure Hilfe würde ich mich freuen.
Vielen Dank schon mal im voraus.

Siggi

[PeterDA]

Hi,
Attachments gehen hier nicht,bitte bei einem Freehoster hochladen und den Link hier Posten.

Mir ist aber nicht so ganz klar was du willst.

Zu den 3 Standard Einstellungen:

- Bridged
Her ist die VM wie ein Evhner in deinem Host Netz und braucht eine IP aus diesem Netz. Gibt es in dem Netz einen DHCP so bekommt die VM von dort eine IP.

- NAT
Hier bekommt die VM keine eigene IP aus deinem Hostnetz, sondern hier wird zwischen VM und Host via NAT geroutet. Im Zweifelsfall musst du auf dem Host noch NAT Regeln einrichten.

- Host only
Auch hier bekommt die VM keine IP aus dem Hostnetz. Hier kann die VM auch nur mit dem Host reden und nicht mit dem restlichen Netz.


Für die beiden letzten hat VMware DHCP Server in IP Range auf den VMnetwork konfiguriert. du müsst also nichts mehr machen.

Gruß Peter

[VMWare01]

Auch Hi,

die 3 Standardeinstellungen sind mir soweit klar.

Was ich will ?

Ich möchte mir mit VM eine virtuelle Domäne mit einem Dom-Server inkl. DHCP,DNS, WINS und 1 od. 2 Clients zu Übungszwecken erstellen.
Es soll quasi so wie unserer Domäne in der Firma aufgebaut sein.

Deshalb möchte ich auch nicht den VMWare DHCP-Server verwenden.

Ich meine, daß das mit VMWare möglich sein müßte. Wenn ja, habe ich vermutlich irgendwo einen Konfig.fehler.

Hier der LINK zum ..pdf. Dokument:
Ich hoffe es funktioniert. Habe auf diese Weise noch keine Attachment zur verfügung gestellt.

http://ifile.it/d85xjvh
http://ifile.it/d85xjvh/VMWare.pdf

[PeterDA]

Hi,
dann must du vorallem den DHCP Server auf dem VMnet deaktivieren, denn sonst hast du ja zwei DHCP Servern im virtuellen Netz.


Gruß Peter

[VMWare01]

......"Dazu habe ich den DHCP von VMnet8 deaktiviert und den Win2003 Server entsprechend
konfiguriert...... so dachte ich zumindest." (auf Seite 2)

[PeterDA]

Hi,
Funktioniert denn der Win DHCP Server? Ist der Bereich nachdem einrichten aktiviert worden? Sind beide VMs im gleichen VMnet?

Gruß Peter

[VMWare01]

... DHCP, DNS und WINS funktionieren. nslookup funktioniert ebenfalls (Screenshot) Der Bereich ist aktiv. Die Domäne heist vmware01.de in der sich auch der Client befindet. Beide VMs sind im Vmnet8.

Gruß Siggi

[PeterDA]

Gib der XP VM mal eine fetes Ip und Versuch den 2003er Server anzusingen. Nur um sicherzustellen, dass das alles stimmt.

Gruß Peter

[VMWare01]

Hi zu später Stunde,

so, hab jetzt noch mal rumprobiert und hab´s geschafft.
Die Windows Firewall des Servers blockiert das ganze.
Wenn ich sie deaktiviere, flutscht es. Daran hätte ich auch schon frührer denken können, daß mal zu probieren

Da ich sie aber nicht abschalten möchte:
Was muß ich explizit für VMWare freischalten ?
Weißt Du vielleicht Bescheid ?

Gruß Siggi

[PeterDA]

Hi,
für VMware brauchst du nichts auf der VM freizuschalten. Für alles andere findest u hier die well know Ports. http://de.wikipedia.org/wiki/Port_(Protokoll)

Warum brauchst du eine Firewall in einergnateten VM?


Gruß Peter

[Dayworker]

Peter's Antwort ist mal wieder der Forensoftware zum Opfer gefallen...
Für VMware brauchst du im Gast nichts freischalten. Für die restlichen eingerichteten Rollen im W2k3-Server pickt dieser selbst die passenden Löcher in seine Firewall.

[PeterDA]

Hi,
Da Dayworker das was ich sagen wollte gesagt hat, wiederhole ich mein Posteingang mal nicht.

Gruß Peter

[VMWare01]

Hi,

ich wiederspreche nur ungern....aber was ist es dann ?
Mit aktiver Windows-Firewall auf dem Server bekommt der Client keine Lease und auch nslookup funktioniert nicht richtig.
Nur der Ping mit IP-Adress. kommt zurück.
Schalte ich die FW aus,bekommt der Client seine Lease und auch alles andere funktioniert.

Gruß Siggi

[PeterDA]

Hi,
Dann würde ich auf der Firewall mal die UDP Ports 67 & 68 freischalten. Hlt die normalen DHCP Ports. Das at aber nchts mit VMware zu tun, sondern ist ein normales Netzproblem.

Gruß Peter

[VMWare01]

War´s leider auch nicht !

Hmmmmmmmmmmm ?

[Dayworker]

Schalte mal die Host-Firewall für die VMware-VMnetX-Adapter ab. Das ist hier unkritisch, da die Gast-FW jetzt zum Zuge kommt.

[PeterDA]

Hi,
dann hilft normalerweise ein Blick in die Firewall Logs. Irgendetwas muss ja gegen die FW laufen.

Gruss Peter

[VMWare01]

Hi,

@Dayworker:
Die Host Windows-Firewall ist komplett AUS.
Ich nutze COMODO Intenet Securiy Premium.
Die habe ich zum Test auch schon ausgeschaltet.
Hilft alles nichts.
Virenscanner iat auch keiner install.

Seltsamerweise kann ich die Win-FW des VMware Client einschalten.
Hier wird nichts blockiert.
Ich habe die beiden Firewalls in den Einstellungen auch schon verglichen..... kann aber nichts feststellen.

@Peter:
Da hilft auch ein Blick in die Logs nichts

Ich meine:
Zum testen kann ich schon auf die FW verzichten.
Ich darf halt nur nicht vergessen sie einzuschalten wenn ich ins www.gehe.

Ich wüßte aber trotzdem gerne, woran´s liegt.
Vielleicht hat ja doch noch jemand einen Geistesblitz

Gruß Siggi

[PeterDA]

Hi,
wieso bringt der Blick ind die Logs nichts? Wenn es mit Firewall OFF geht und mit Firewall ON nicht, dann muss da ja was geblockt werden und das sollte man auch in den Logs finden.

Gruß Peter

[Dayworker]

Die Host Windows-Firewall ist komplett AUS.
Ich nutze COMODO Intenet Securiy Premium.
Die habe ich zum Test auch schon ausgeschaltet.

Danke, aber warum kommst du damit erst jetzt

Bist du dir absolut sicher, daß sich diese testweise überhaupt komplett deaktivieren läßt?
Es wäre nicht das erste Mal, daß ein solches Machtwerk für einen Haufen unnötigen Ärgers sorgt...

Da hilft auch ein Blick in die Logs nichts

Irrtum!
Beispielsweise verewigt VMware Eingriffe des bekanntermaßen problematische Avira-AV im "vmware.log" und das dürfte auch noch für weitere Produkte anderer Hersteller zutreffen.

[VMWare01]

Bist du dir absolut sicher, daß sich diese testweise überhaupt komplett deaktivieren läßt?
Es wäre nicht das erste Mal, daß ein solches Machtwerk für einen Haufen unnötigen Ärgers sorgt....

Wenn der Dienst beendet und deaktiviert ist, sollte auch wirklich deaktiviert sein.

Habe im Eventlog des Server folgende Fehler:
(Habe sie aber noch nicht beseitigen können und bin mir auch nicht sicher ob es damit was zu tun haben könnte ...... glaube aber eher nicht)
--------------------------------
MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9351, Pid: 1184
No Callstack,
CmdLine: C:\WINDOWS\system32\msdtc.exe
--------------------------------------
MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: %1
----------------------------------

-------------------------------------------------------
Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/DomServer01.vmware1.de; WSMAN/DomServer01.

Zusätzliche Daten
Empfangener Fehler: 8344: Die Zugriffsrechte reichen für diesen Vorgang nicht aus. .

Benutzeraktion
Die SPNs können von einem Administrator mithilfe des Dienstprogramms "setspn.exe" erstellt werden.
-----------------------------------------------------------
Die folgenden Fehler habe ich erst seit heute:

-----------------------------------------
DNS-Server hat einen kritischen Fehler im Active Directory ermittelt. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert. Die erweitere Fehlerdebuginformation (die eventuell leer ist), ist "". Die Ereignisdaten enthalten den Fehlercode.
---------------------------------------------
Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone "." nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation (die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode.
----------------------------------------------
Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone "_msdcs.vmware1.de" nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation (die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode.
------------------------------------------------
Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone "21.168.192.in-addr.arpa" nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation (die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode.
----------------------------------------------
Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone "vmware1.de" nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation (die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode.
-------------------------------------------------


Na das ist doch mal was

Im vmware.log, wenn ich denn das richtige angesehen habe, ist mir nichts aufgefallen.
Bin aber diesbzgl. ja noch Anfänger.
Und bei der Fülle von Infos....???????????????

Also wenn niemand eine Lösung für diesen Fehler hat ..........- ich habe zwar schon einige Tips gefunden, die aber nicht zum gewünschten Ergebnis führten- werde ich den Server nochmal neu install.

Mal sehen was dann passiert.

Gute Nacht und Gruß Siggi

[Dayworker]

Höher-/Tieferstufen eines Domänencontrollers

Hast du "dcpromo" nicht ausgeführt oder sogar einen Snapshot restored ?

"21.168.192.in-addr.arpa"

Die Zone ist ungültig, da du einen Punkt vergessen hast.
Die Zone sollte sicher lauten: "2.1.168.192.in-addr.arpa"

Bei diesen simplen Config-Fehlern würde ich erstmal komplett auf irgendwelche Zusatz-SW verzichten und die Server funktional einrichten. Zumal man auf einem DC aus Sicherheitsgründen keine weitere SW installiert, aber dazu findest du hier im Forum schon genügend Lektüre.

[VMWare01]

Höher-/Tieferstufen eines Domänencontrollers

Hast du "dcpromo" nicht ausgeführt oder sogar einen Snapshot restored ?

Da es sich ja bereits um einen Dom-Controller handelt ( habe ich aber erwähnt), muß ich dcpromo nicht nochmal ausführen.... außer ich will ihn zum Memberserver herabstufen.
Snaphot habe ich leider keinen.

"21.168.192.in-addr.arpa"

Die Zone ist ungültig, da du einen Punkt vergessen hast.
Die Zone sollte sicher lauten: "2.1.168.192.in-addr.arpa"

Mein Adressbereich ist 192.168.21.0.
Somit sollte auch die Zone richtig sein

Ich habe jetzt mal fogendes gemacht:
Ich habe DHCP,WINS und DNS deinst., den Server mit dcpromo zum Members herabgestuft, alte Verz. gelöscht und mit dcpromo wieder zum DomController heraufgestuft.
DNS ist jetzt fehlerfrei und meine Reverse-Lookupzone ist wieder die 21.168.192.in-addr.arpa.
Nslookup funktioniert.

Die folgenden beiden Fehler waren nach der Neukonfig. sofort wieder vorhanden und es hat etwas gedauert, bis ich die richtigen Lösungen hatte.

Bei diesen simplen Config-Fehlern ….

So Simpel sind die Fehler anscheinend nicht .
------------------------------------------------
Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/DomServer01.vmware1.de; WSMAN/DomServer01.

Zusätzliche Daten
Empfangener Fehler: 8344: Die Zugriffsrechte reichen für diesen Vorgang nicht aus. .

Benutzeraktion
Die SPNs können von einem Administrator mithilfe des Dienstprogramms "setspn.exe" erstellt werden.
-------------------------------------------------

Workaround:
http://wiki.it-world.at/index.php/Probl ... llt_werden

---------------------------------------------------
MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9351, Pid: 1188
No Callstack,
CmdLine: C:\WINDOWS\system32\msdtc.exe

Workaround:
http://support.microsoft.com/kb/923977/de


Also, ich habe in unserer Fa. über 20 Server...... davon 5 Dom-Controller mit Win2003 und 2008 install. und konfiguriert die alle einwandfrei laufen. Aber so einen Mist habe ich bis jetzt noch nicht erlebt.

Meine Windows Eventlogs sind zwar jetzt absolut sauber, aber die Firewall des Server blockiert immer noch.
Ich habe in den Ausnahmen und Erweitert mal alles angehakt was angeboten wird …. ohne Erfolg.
Ich bin mir ziemlich sicher, daß das etwas mit VMware Workstaion zu tun hat.
Ich denke mal ein Port.....
Sollte ich die Lösung finden, werde ich sie posten.

Ich werde mir auch noch einen Win2008 R2 install. der dann den Win2003 ablösen soll.
Das wird aber noch ein bisschen dauern.
Sollte es mit dem funktionieren, werde ich es ebenfalls posten.

Gruß Siggi

[VMWare01]

So, wie versprochen, meine weiteren Erkenntisse:
Eine Lösung für das Firewall-Problem des Win2003 Servers habe ich nicht gefunden.

Aber ich habe den Server jetzt durch einen Win2008 R2 ersetzt, und siehe da:
Alles funktioniert wunderbar.
FW auf dem Server ist aktiv, Kommunikation nach allen Seiten funktioniert und nichts wird geblockt.

Sieht so aus, als wenn Win2008 R2 einfach besser mit VMWare Wst zusammenspielt.

Gruß Siggi

[Dayworker]

Sieht so aus, als wenn Win2008 R2 einfach besser mit VMWare Wst zusammenspielt.

Das halte ich für ein Gerücht.