Zweckoptimist

So, die Ports konnte ich nun auf ein Minimum eingrenzen: TCP/UDP 135 - RPC Cert Services UDP 53 - DNS TCP 445 - SMB (input) TCP/UDP 123 - NTP TCP 507 - Content Replication TCP 88 - Kerberos v5 TCP/UDP 389 - LDAP und TCP 49100-49199 Mit diesen Einstellungen bekomme ich keinen Treffer mehr auf der Deny-Regel und kann mich problemlos mit dem AD verbinden. :) Danke für Eure Hilfe. Grüße

Ok, danke. ich probiere das mal und berichte dann wieder :) Gruß Christian

Grundsätzlich gibt es zwar schon eine 'any -> dc deny-Regel' aber auf Deinen Tip hin habe ich mal eine 'Web -> dc' (deny) hinzugefügt und bekomme bei einer Anmeldung 16 hits..

Nun, grundsätzlich hast Du schon recht, aber wir haben zahlreiche Benutzer die sich für verschiedene Dienste über das AD anmelden und wir somit eine einheitliche Benutzerverwaltung haben. Das würden wir gerne auf dem Webserver ebenfalls haben um dort nicht lokale User pflegen zu müssen. Daher versuche ich nur die nötigsten Ports dafür zu öffnen. ggf. würde ich auch mit ADLDS da ran gehen, wenn ich den Connect kriegen würde... :cool:

Danke für Deine schnelle Antwort! :) ICMP any hatte ich vergessen zu posten. Sah auch zunächst gut aus mit dem Port 390, nach einem Neustart jedoch wieder das gleiche Problem.. :(

Hallo zusammen! :) Ich versuche schon seit längerem unseren neuen Webserver aus der DMZ heraus mit unserem AD zu verbinden (..zur Abfrage der FTP-berechtigten User). Dazu habe ich ihn zum Memberserver gemacht und kann mich auch dort anmelden und alles einstellen solange ich die hier aufgeführten Ports 'UND (!) TCP (all) bzw. IP (all)' zwischen dem WEB und zwei DCs aktiviert habe: TCP + UDP: DNS (53), WINS (42), NetBIOS (137), SMB (445), NTP (123), Kerberos (88 + 464), LDAP (389 + 636) CIFS (445), RPC (135), SNMP (161 + 162), WinIntNS (1512) Nur TCP: NetBIOS (139), RS (1025), CR (507), GC (3268 + 3269) LSAR (691), ASP.Net (42424) Nur UDP: Kerberos (750), NetBIOS (138) Für den AD-Connect fehlt mir jedoch ein Port. Mit TCP (all) oder IP (all) bekomme ich dort bei der Anmeldung 1 Hit und finde den Port nicht heraus. Den dynamischen Portbereich habe ich mit Netsh int, ipv4 set dynamicport tcp start=5000 num=5100 und Netsh int, ipv4 set dynamicport udp start=5000 num=5100 auf dem Server selbst zu begrenzen versucht und die Range auch so auf der ASA eingetragen, jedoch bekomme ich dort keinen Treffer. Auch wenn ich eine tcp-udp-Range von 1-1023 und eine von 1024-65535 eingebe (ich wollte es nach und nach eingrenzen) gibt es dort keinen Treffer. Die Anmeldung dauert 4 1/2 Minuten und ich kann die User aus dem AD so nicht abfragen. Lediglich, wie gesagt bei aktiviertem TCP (all) bzw. IP (all) bekomme ich dort den Treffer und bin umgehend verbunden. Welcher Port fehlt mir oder wo liegt mein Denkfehler? Jemand eine Idee? Gruß Christian

Hallo, ich war leider lange nicht mehr hier und hab Deine Frage nicht mitbekommen. :( Die Essentials laufen und funktionieren prima auf 2008. Version SCE 2007 SP1. War ein nervtötender Akt, aber ich habs hinbekommen. :cool: Die SQL-Einstellungen sind wirklich furchtbar gewesen und Microsoft war auch alles andere als eine Hilfe... Sorry für die späte Rückmeldung, das Thema war für mich schon abgehakt.. Etwas wundern tut mich grad, dass Du von .NET-Einstellungen schreibst. Den Löwenanteil hatte bei mir die scheinbar werkseitig fehlerhafte Installation des SQL-Servers. Gruß Christian

Hi, ich kam leider vorher nicht zum schreiben.. :-( Das Projekt war etwas umfangreicher als gedacht und ist jetzt beendet. Die Einstellungen durch die AD-integrierte (Haupt-)Zone waren durch die sich selbst in der Zone registrierenden Server inkorrekt und nach aussen sichtbar. Die Lokale Domäne war somit neben der Zone im Internet sichtbar. (Also Server1.dnsdomäne.local) Das Problem ließ sich nur lösen, indem ich die Hauptzone als primäre nicht- AD-integrierte Zone definiert habe und auf den RODCs Sekundäre Zonen angelegt habe. Darüber hinaus musste der dns-extern.firmenseite.de sowohl als Host-A als auch als DNS-Server eingetragen werden und der primäre Server als Namensserver für die Zone gelöscht werden. Lediglich als SOA ist der lokale Server somit nur noch in der Zone gespeichert. Falls Jemand noch eine Idee hat wie ich das Ganze AD-integriert laufen lassen kann wäre das sehr interessant zu erfahren. Andernfalls läuft nun alles (bis auf die AD-Integration) wie gewünscht und ist bis auf eventuelle Verbesserungen lauffähig und läuft auch produktiv. Danke nochmal für die Antworten! :) Gruß Christian

Danke erstmal für den Tip. Hat leider nicht funktioniert. Ich versuchs mal zu umschreiben. Die Domäne heisst dnsdomäne.local. Im internet soll allerdings nur firmenseite.de stehen. Wenn ich nun NSlookup auf z.b. dem ersten Server eingebe kommt: > firmenseite.de Server: server1.dnsdomäne.local Adress: 192.168.1.1 Name: firmenseite.de Ich möchte sowohl die externe Adresse dort eingetragen haben als auch firmenseite.de als Server. Hast Du eine Idee wie ich das realisieren kann oder wo mein Denkfehler liegt? Gruß Christian

Hallo zusammen, ich habe eine 2008er DNS-Struktur aufgebaut, bei der u.a. 2 RODCs zum Einsatz kommen. Daher sollen alle Zonen vorzugsweise automatisch repliziert werden. Da ich dem DNS eine eigene Domäne spendiert habe und dieser Name nach aussen nicht sichtbar sein soll, habe ich die NS-Einträge der betreffenden Zone gelöscht und den nach aussen sichtbaren Namen eingetragen. Leider registrieren sich die DCs immer wieder selbst in der Zone. Wenn ich die Zone nicht in das AD integriere, bleibt mein Eintrag so stehen und nslookup gibt die korrekten Angaben aus. Mit AD bekomme ich immer wieder die lokalen Angaben. Kann ich für einzelne Zonen oder von mir aus auch für alle Zonen unterbinden dass sich die Server selbst in die Zonen eintragen?

Der 2003er und ein 2008er sind DCs in der selben Domäne und können sich nicht sehen...!? können sie sich denn gegenseitig unter Verwendung des Namens pingen? Ist jeder der DCs beim jeweils anderen im DNS registriert?

Ich versuche seit 2 Wochen die System Center Essentials 2007 auf einem 2008er Server zu installieren. Kurz vor Ende der Installation bricht SCE selbst ab und deinstalliert sich wieder. Ich bekomme keinen konkreten Hinweis dafür und stehe vor einem Rätsel. Die Erforderlichen Rollen (Webserver, AD, DNS) sind installiert. .NET Framework habe ich inzwischen auf 3.5 gebracht. Da SQL Express (2005 und 2008) nicht funktionieren (SQL 2008 interessanter Weise auch nicht) verwende ich SQL 2005 Standard für den erforderlichen Berichtsserver. Nach viel Bastelei habe ich den auch Lauffähig bekommen. :-) WSUS wird zwar benötigt, wird jedoch bei der Installation aktualisiert, auch wenn es nicht bereits installiert ist. Report Viewer 2005 ist ebenfalls drauf, da WSUS ohne immer gemeckert hat. Nun ist die Frage was noch fehlt. :confused: Die Log-Datei zeigt zunächst eine erfolgreiche Installation an. Die letzten Zeilen lauten jedoch: MSI (s) (E8:BC) [14:54:44:169]: Note: 1: 1708 MSI (s) (E8:BC) [14:54:44:170]: Produkt: System Center Essentials 2007 -- Fehler beim Installationsvorgang. MSI (s) (E8:BC) [14:54:44:181]: Das Produkt wurde durch Windows Installer installiert. Produktname: System Center Essentials 2007. Produktversion: 6.0.1885.0. Produktsprache: 1031. Erfolg- bzw. Fehlerstatus der Installation: 1603. MSI (s) (E8:BC) [14:54:44:187]: Cleaning up uninstalled install packages, if any exist MSI (s) (E8:BC) [14:54:44:187]: MainEngineThread is returning 1603 MSI (s) (E8:58) [14:54:44:487]: Destroying RemoteAPI object. MSI (s) (E8:90) [14:54:44:487]: Custom Action Manager thread ending. MSI (s) (E8:58) [14:54:44:487]: No System Restore sequence number for this installation. === Protokollierung beendet: 15.01.2009 14:54:44 === MSI © (F0:B0) [14:54:44:510]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied. Counter after decrement: -1 MSI © (F0:B0) [14:54:44:511]: MainEngineThread is returning 1603 === Verbose logging stopped: 15.01.2009 14:54:44 === Hat jemand ne Ahnung was es mit 1603 bzw 1708 im Bezug auf die Essentials haben könnte? Für Ideen und Anregungen wäre ich ebenfalls dankbar. Ich komme da nicht weiter.

MOC sind "Microsoft official Course"-Unterlagen. Auch wenn du die im Selbstudium nicht brauchst wollte ich lediglich einen Preisvergleich bringen. Die Microsoft Bücher sind soweit schon prima. Steht alles drin was Du brauchst. Bei der 620er Prüfung verwundert es mich etwas, das Du damit zum MCSA kommst. Es gibt ja neue Zertifizierungen zu denen die Vista-Prüfung auch gehört. Mit der 270 bist du MCP, mit der 620 MCTS. Da der MCSA (& MCSE) bisher auf MCPs basierte und es für Server 2008 andere Bezeichnungen gibt (Vista gehört in die Zertifizierung MCITP) würde ich nochmal genauer nachfragen. Vielleicht bekommst Du ja den Vista-Kurz dazu..!?

Naja, die 70-270 hat eigentlich wenig mit XP zu tun. Geht mehr um das was XP im netzwerk kann. Die Prüfung ist zwar nicht soo schwer, aber wenn ich gewusst hätte was da auf mich zukommt hätte ich sie erst nach der 291 gemacht. Mit der 290 anzufangen macht schon Sinn. Macht auch mehr Spaß meiner Meinung nach. Übrigends sind 80 Schleifen für das Buch echt noch "günstig". Die original MOC-Unterlagen, die Du nie wieder verwenden oder verkaufen kannst liegen bei zirka 170 euronen und da steht nichtmal was zum nachlesen drin....