Zweckoptimist

So, die Ports konnte ich nun auf ein Minimum eingrenzen:

TCP/UDP 135 - RPC Cert Services

UDP 53 - DNS

TCP 445 - SMB (input)

TCP/UDP 123 - NTP

TCP 507 - Content Replication

TCP 88 - Kerberos v5

TCP/UDP 389 - LDAP

und

TCP 49100-49199

Mit diesen Einstellungen bekomme ich keinen Treffer mehr

auf der Deny-Regel und kann mich problemlos mit dem AD

verbinden. :)

Danke für Eure Hilfe.

Grüße

Ok, danke. ich probiere das mal und berichte dann wieder :)

Gruß

Christian

Grundsätzlich gibt es zwar schon eine 'any -> dc deny-Regel'

aber auf Deinen Tip hin habe ich mal eine 'Web -> dc' (deny)

hinzugefügt und bekomme bei einer Anmeldung 16 hits..

Nun, grundsätzlich hast Du schon recht,

aber wir haben zahlreiche Benutzer die

sich für verschiedene Dienste über das

AD anmelden und wir somit eine einheitliche

Benutzerverwaltung haben.

Das würden wir gerne auf dem Webserver ebenfalls

haben um dort nicht lokale User pflegen zu müssen.

Daher versuche ich nur die nötigsten Ports dafür

zu öffnen.

ggf. würde ich auch mit ADLDS da ran gehen,

wenn ich den Connect kriegen würde... :cool:

Danke für Deine schnelle Antwort! :)

ICMP any hatte ich vergessen zu posten.

Sah auch zunächst gut aus mit dem Port 390, nach einem

Neustart jedoch wieder das gleiche Problem.. :(

Hallo zusammen! :)

Ich versuche schon seit längerem unseren neuen Webserver

aus der DMZ heraus mit unserem AD zu verbinden

(..zur Abfrage der FTP-berechtigten User).

Dazu habe ich ihn zum Memberserver gemacht und kann mich

auch dort anmelden und alles einstellen solange ich die hier

aufgeführten Ports 'UND (!) TCP (all) bzw. IP (all)' zwischen

dem WEB und zwei DCs aktiviert habe:

TCP + UDP: DNS (53), WINS (42), NetBIOS (137), SMB (445),

NTP (123), Kerberos (88 + 464), LDAP (389 + 636)

CIFS (445), RPC (135), SNMP (161 + 162), WinIntNS (1512)

Nur TCP: NetBIOS (139), RS (1025), CR (507), GC (3268 + 3269)

LSAR (691), ASP.Net (42424)

Nur UDP: Kerberos (750), NetBIOS (138)

Für den AD-Connect fehlt mir jedoch ein Port. Mit TCP (all) oder IP (all)

bekomme ich dort bei der Anmeldung 1 Hit und finde den Port nicht heraus.

Den dynamischen Portbereich habe ich mit

Netsh int, ipv4 set dynamicport tcp start=5000 num=5100 und

Netsh int, ipv4 set dynamicport udp start=5000 num=5100

auf dem Server selbst zu begrenzen versucht und die Range auch

so auf der ASA eingetragen, jedoch bekomme ich dort keinen Treffer.

Auch wenn ich eine tcp-udp-Range von 1-1023 und eine von 1024-65535

eingebe (ich wollte es nach und nach eingrenzen) gibt es dort keinen Treffer.

Die Anmeldung dauert 4 1/2 Minuten und ich kann die User aus

dem AD so nicht abfragen. Lediglich, wie gesagt bei aktiviertem

TCP (all) bzw. IP (all) bekomme ich dort den Treffer und bin umgehend

verbunden.

Welcher Port fehlt mir oder wo liegt mein Denkfehler?

Jemand eine Idee?

Gruß

Christian

Hallo,

ich war leider lange nicht mehr hier und hab Deine Frage

nicht mitbekommen. :(

Die Essentials laufen und funktionieren prima auf 2008.

Version SCE 2007 SP1.

War ein nervtötender Akt, aber ich habs hinbekommen. :cool:

Die SQL-Einstellungen sind wirklich furchtbar gewesen und

Microsoft war auch alles andere als eine Hilfe...

Sorry für die späte Rückmeldung, das Thema war für mich schon

abgehakt..

Etwas wundern tut mich grad, dass Du von .NET-Einstellungen

schreibst. Den Löwenanteil hatte bei mir die scheinbar werkseitig

fehlerhafte Installation des SQL-Servers.

Gruß

Christian

Hi,

ich kam leider vorher nicht zum schreiben.. :-(

Das Projekt war etwas umfangreicher als gedacht und ist jetzt beendet.

Die Einstellungen durch die AD-integrierte (Haupt-)Zone waren durch

die sich selbst in der Zone registrierenden Server inkorrekt und nach

aussen sichtbar. Die Lokale Domäne war somit neben der Zone im Internet

sichtbar. (Also Server1.dnsdomäne.local)

Das Problem ließ sich nur lösen, indem ich die Hauptzone als primäre nicht-

AD-integrierte Zone definiert habe und auf den RODCs Sekundäre Zonen

angelegt habe. Darüber hinaus musste der dns-extern.firmenseite.de sowohl

als Host-A als auch als DNS-Server eingetragen werden und der primäre Server als Namensserver für die Zone gelöscht werden. Lediglich als SOA ist der lokale Server somit nur noch in der Zone gespeichert.

Falls Jemand noch eine Idee hat wie ich das Ganze AD-integriert laufen

lassen kann wäre das sehr interessant zu erfahren. Andernfalls läuft

nun alles (bis auf die AD-Integration) wie gewünscht und ist bis auf

eventuelle Verbesserungen lauffähig und läuft auch produktiv.

Danke nochmal für die Antworten! :)

Gruß

Christian

Danke erstmal für den Tip. Hat leider nicht funktioniert.

Ich versuchs mal zu umschreiben.

Die Domäne heisst dnsdomäne.local.

Im internet soll allerdings nur firmenseite.de stehen.

Wenn ich nun NSlookup auf z.b. dem ersten Server

eingebe kommt:

> firmenseite.de

Server: server1.dnsdomäne.local

Adress: 192.168.1.1

Name: firmenseite.de

Ich möchte sowohl die externe Adresse dort eingetragen haben

als auch firmenseite.de als Server.

Hast Du eine Idee wie ich das realisieren kann oder wo

mein Denkfehler liegt?

Gruß

Christian

Hallo zusammen,

ich habe eine 2008er DNS-Struktur aufgebaut, bei der u.a. 2 RODCs

zum Einsatz kommen. Daher sollen alle Zonen vorzugsweise automatisch

repliziert werden.

Da ich dem DNS eine eigene Domäne spendiert habe und dieser Name

nach aussen nicht sichtbar sein soll, habe ich die NS-Einträge der

betreffenden Zone gelöscht und den nach aussen sichtbaren Namen

eingetragen. Leider registrieren sich die DCs immer wieder selbst in der

Zone.

Wenn ich die Zone nicht in das AD integriere, bleibt mein Eintrag so

stehen und nslookup gibt die korrekten Angaben aus.

Mit AD bekomme ich immer wieder die lokalen Angaben.

Kann ich für einzelne Zonen oder von mir aus auch für alle Zonen unterbinden dass sich die Server selbst in die Zonen eintragen?

Der 2003er und ein 2008er sind DCs in der selben Domäne und können sich nicht sehen...!? können sie sich denn gegenseitig unter Verwendung des Namens pingen? Ist jeder der DCs beim jeweils anderen im DNS registriert?

Ich versuche seit 2 Wochen die System Center Essentials 2007

auf einem 2008er Server zu installieren. Kurz vor Ende der Installation

bricht SCE selbst ab und deinstalliert sich wieder. Ich bekomme keinen

konkreten Hinweis dafür und stehe vor einem Rätsel.

Die Erforderlichen Rollen (Webserver, AD, DNS) sind installiert.

.NET Framework habe ich inzwischen auf 3.5 gebracht.

Da SQL Express (2005 und 2008) nicht funktionieren (SQL 2008

interessanter Weise auch nicht) verwende ich SQL 2005 Standard

für den erforderlichen Berichtsserver.

Nach viel Bastelei habe ich den auch Lauffähig bekommen. :-)

WSUS wird zwar benötigt, wird jedoch bei der Installation aktualisiert,

auch wenn es nicht bereits installiert ist.

Report Viewer 2005 ist ebenfalls drauf, da WSUS ohne immer gemeckert

hat.

Nun ist die Frage was noch fehlt. :confused:

Die Log-Datei zeigt zunächst eine erfolgreiche Installation an. Die

letzten Zeilen lauten jedoch:

MSI (s) (E8:BC) [14:54:44:169]: Note: 1: 1708

MSI (s) (E8:BC) [14:54:44:170]: Produkt: System Center Essentials 2007 -- Fehler beim Installationsvorgang.

MSI (s) (E8:BC) [14:54:44:181]: Das Produkt wurde durch Windows Installer installiert. Produktname: System Center Essentials 2007. Produktversion: 6.0.1885.0. Produktsprache: 1031. Erfolg- bzw. Fehlerstatus der Installation: 1603.

MSI (s) (E8:BC) [14:54:44:187]: Cleaning up uninstalled install packages, if any exist

MSI (s) (E8:BC) [14:54:44:187]: MainEngineThread is returning 1603

MSI (s) (E8:58) [14:54:44:487]: Destroying RemoteAPI object.

MSI (s) (E8:90) [14:54:44:487]: Custom Action Manager thread ending.

MSI (s) (E8:58) [14:54:44:487]: No System Restore sequence number for this installation.

=== Protokollierung beendet: 15.01.2009 14:54:44 ===

MSI © (F0:B0) [14:54:44:510]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied. Counter after decrement: -1

MSI © (F0:B0) [14:54:44:511]: MainEngineThread is returning 1603

=== Verbose logging stopped: 15.01.2009 14:54:44 ===

Hat jemand ne Ahnung was es mit 1603 bzw 1708 im Bezug auf die

Essentials haben könnte?

Für Ideen und Anregungen wäre ich ebenfalls dankbar. Ich komme da

nicht weiter.

MOC sind "Microsoft official Course"-Unterlagen.

Auch wenn du die im Selbstudium nicht brauchst wollte ich

lediglich einen Preisvergleich bringen. Die Microsoft Bücher

sind soweit schon prima. Steht alles drin was Du brauchst.

Bei der 620er Prüfung verwundert es mich etwas, das Du damit zum

MCSA kommst. Es gibt ja neue Zertifizierungen zu denen die

Vista-Prüfung auch gehört.

Mit der 270 bist du MCP, mit der 620 MCTS. Da der MCSA (& MCSE)

bisher auf MCPs basierte und es für Server 2008 andere Bezeichnungen

gibt (Vista gehört in die Zertifizierung MCITP) würde ich nochmal genauer nachfragen. Vielleicht bekommst Du ja den Vista-Kurz dazu..!?

Naja, die 70-270 hat eigentlich wenig mit XP zu tun. Geht mehr um das

was XP im netzwerk kann. Die Prüfung ist zwar nicht soo schwer, aber

wenn ich gewusst hätte was da auf mich zukommt hätte ich sie erst nach der 291 gemacht.

Mit der 290 anzufangen macht schon Sinn. Macht auch mehr Spaß meiner

Meinung nach.

Übrigends sind 80 Schleifen für das Buch echt noch "günstig".

Die original MOC-Unterlagen, die Du nie wieder verwenden oder

verkaufen kannst liegen bei zirka 170 euronen und da steht nichtmal

was zum nachlesen drin....