-
Gesamte Inhalte
89 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Zweckoptimist
-
-
Ok, danke. ich probiere das mal und berichte dann wieder :)
Gruß
Christian
-
Grundsätzlich gibt es zwar schon eine 'any -> dc deny-Regel'
aber auf Deinen Tip hin habe ich mal eine 'Web -> dc' (deny)
hinzugefügt und bekomme bei einer Anmeldung 16 hits..
-
Nun, grundsätzlich hast Du schon recht,
aber wir haben zahlreiche Benutzer die
sich für verschiedene Dienste über das
AD anmelden und wir somit eine einheitliche
Benutzerverwaltung haben.
Das würden wir gerne auf dem Webserver ebenfalls
haben um dort nicht lokale User pflegen zu müssen.
Daher versuche ich nur die nötigsten Ports dafür
zu öffnen.
ggf. würde ich auch mit ADLDS da ran gehen,
wenn ich den Connect kriegen würde... :cool:
-
Danke für Deine schnelle Antwort! :)
ICMP any hatte ich vergessen zu posten.
Sah auch zunächst gut aus mit dem Port 390, nach einem
Neustart jedoch wieder das gleiche Problem.. :(
-
Hallo zusammen! :)
Ich versuche schon seit längerem unseren neuen Webserver
aus der DMZ heraus mit unserem AD zu verbinden
(..zur Abfrage der FTP-berechtigten User).
Dazu habe ich ihn zum Memberserver gemacht und kann mich
auch dort anmelden und alles einstellen solange ich die hier
aufgeführten Ports 'UND (!) TCP (all) bzw. IP (all)' zwischen
dem WEB und zwei DCs aktiviert habe:
TCP + UDP: DNS (53), WINS (42), NetBIOS (137), SMB (445),
NTP (123), Kerberos (88 + 464), LDAP (389 + 636)
CIFS (445), RPC (135), SNMP (161 + 162), WinIntNS (1512)
Nur TCP: NetBIOS (139), RS (1025), CR (507), GC (3268 + 3269)
LSAR (691), ASP.Net (42424)
Nur UDP: Kerberos (750), NetBIOS (138)
Für den AD-Connect fehlt mir jedoch ein Port. Mit TCP (all) oder IP (all)
bekomme ich dort bei der Anmeldung 1 Hit und finde den Port nicht heraus.
Den dynamischen Portbereich habe ich mit
Netsh int, ipv4 set dynamicport tcp start=5000 num=5100 und
Netsh int, ipv4 set dynamicport udp start=5000 num=5100
auf dem Server selbst zu begrenzen versucht und die Range auch
so auf der ASA eingetragen, jedoch bekomme ich dort keinen Treffer.
Auch wenn ich eine tcp-udp-Range von 1-1023 und eine von 1024-65535
eingebe (ich wollte es nach und nach eingrenzen) gibt es dort keinen Treffer.
Die Anmeldung dauert 4 1/2 Minuten und ich kann die User aus
dem AD so nicht abfragen. Lediglich, wie gesagt bei aktiviertem
TCP (all) bzw. IP (all) bekomme ich dort den Treffer und bin umgehend
verbunden.
Welcher Port fehlt mir oder wo liegt mein Denkfehler?
Jemand eine Idee?
Gruß
Christian
-
Hallo,
ich war leider lange nicht mehr hier und hab Deine Frage
nicht mitbekommen. :(
Die Essentials laufen und funktionieren prima auf 2008.
Version SCE 2007 SP1.
War ein nervtötender Akt, aber ich habs hinbekommen. :cool:
Die SQL-Einstellungen sind wirklich furchtbar gewesen und
Microsoft war auch alles andere als eine Hilfe...
Sorry für die späte Rückmeldung, das Thema war für mich schon
abgehakt..
Etwas wundern tut mich grad, dass Du von .NET-Einstellungen
schreibst. Den Löwenanteil hatte bei mir die scheinbar werkseitig
fehlerhafte Installation des SQL-Servers.
Gruß
Christian
-
Hi,
ich kam leider vorher nicht zum schreiben.. :-(
Das Projekt war etwas umfangreicher als gedacht und ist jetzt beendet.
Die Einstellungen durch die AD-integrierte (Haupt-)Zone waren durch
die sich selbst in der Zone registrierenden Server inkorrekt und nach
aussen sichtbar. Die Lokale Domäne war somit neben der Zone im Internet
sichtbar. (Also Server1.dnsdomäne.local)
Das Problem ließ sich nur lösen, indem ich die Hauptzone als primäre nicht-
AD-integrierte Zone definiert habe und auf den RODCs Sekundäre Zonen
angelegt habe. Darüber hinaus musste der dns-extern.firmenseite.de sowohl
als Host-A als auch als DNS-Server eingetragen werden und der primäre Server als Namensserver für die Zone gelöscht werden. Lediglich als SOA ist der lokale Server somit nur noch in der Zone gespeichert.
Falls Jemand noch eine Idee hat wie ich das Ganze AD-integriert laufen
lassen kann wäre das sehr interessant zu erfahren. Andernfalls läuft
nun alles (bis auf die AD-Integration) wie gewünscht und ist bis auf
eventuelle Verbesserungen lauffähig und läuft auch produktiv.
Danke nochmal für die Antworten! :)
Gruß
Christian
-
Danke erstmal für den Tip. Hat leider nicht funktioniert.
Ich versuchs mal zu umschreiben.
Die Domäne heisst dnsdomäne.local.
Im internet soll allerdings nur firmenseite.de stehen.
Wenn ich nun NSlookup auf z.b. dem ersten Server
eingebe kommt:
> firmenseite.de
Server: server1.dnsdomäne.local
Adress: 192.168.1.1
Name: firmenseite.de
Ich möchte sowohl die externe Adresse dort eingetragen haben
als auch firmenseite.de als Server.
Hast Du eine Idee wie ich das realisieren kann oder wo
mein Denkfehler liegt?
Gruß
Christian
-
Hallo zusammen,
ich habe eine 2008er DNS-Struktur aufgebaut, bei der u.a. 2 RODCs
zum Einsatz kommen. Daher sollen alle Zonen vorzugsweise automatisch
repliziert werden.
Da ich dem DNS eine eigene Domäne spendiert habe und dieser Name
nach aussen nicht sichtbar sein soll, habe ich die NS-Einträge der
betreffenden Zone gelöscht und den nach aussen sichtbaren Namen
eingetragen. Leider registrieren sich die DCs immer wieder selbst in der
Zone.
Wenn ich die Zone nicht in das AD integriere, bleibt mein Eintrag so
stehen und nslookup gibt die korrekten Angaben aus.
Mit AD bekomme ich immer wieder die lokalen Angaben.
Kann ich für einzelne Zonen oder von mir aus auch für alle Zonen unterbinden dass sich die Server selbst in die Zonen eintragen?
-
Der 2003er und ein 2008er sind DCs in der selben Domäne und können sich nicht sehen...!? können sie sich denn gegenseitig unter Verwendung des Namens pingen? Ist jeder der DCs beim jeweils anderen im DNS registriert?
-
Ich versuche seit 2 Wochen die System Center Essentials 2007
auf einem 2008er Server zu installieren. Kurz vor Ende der Installation
bricht SCE selbst ab und deinstalliert sich wieder. Ich bekomme keinen
konkreten Hinweis dafür und stehe vor einem Rätsel.
Die Erforderlichen Rollen (Webserver, AD, DNS) sind installiert.
.NET Framework habe ich inzwischen auf 3.5 gebracht.
Da SQL Express (2005 und 2008) nicht funktionieren (SQL 2008
interessanter Weise auch nicht) verwende ich SQL 2005 Standard
für den erforderlichen Berichtsserver.
Nach viel Bastelei habe ich den auch Lauffähig bekommen. :-)
WSUS wird zwar benötigt, wird jedoch bei der Installation aktualisiert,
auch wenn es nicht bereits installiert ist.
Report Viewer 2005 ist ebenfalls drauf, da WSUS ohne immer gemeckert
hat.
Nun ist die Frage was noch fehlt. :confused:
Die Log-Datei zeigt zunächst eine erfolgreiche Installation an. Die
letzten Zeilen lauten jedoch:
MSI (s) (E8:BC) [14:54:44:169]: Note: 1: 1708
MSI (s) (E8:BC) [14:54:44:170]: Produkt: System Center Essentials 2007 -- Fehler beim Installationsvorgang.
MSI (s) (E8:BC) [14:54:44:181]: Das Produkt wurde durch Windows Installer installiert. Produktname: System Center Essentials 2007. Produktversion: 6.0.1885.0. Produktsprache: 1031. Erfolg- bzw. Fehlerstatus der Installation: 1603.
MSI (s) (E8:BC) [14:54:44:187]: Cleaning up uninstalled install packages, if any exist
MSI (s) (E8:BC) [14:54:44:187]: MainEngineThread is returning 1603
MSI (s) (E8:58) [14:54:44:487]: Destroying RemoteAPI object.
MSI (s) (E8:90) [14:54:44:487]: Custom Action Manager thread ending.
MSI (s) (E8:58) [14:54:44:487]: No System Restore sequence number for this installation.
=== Protokollierung beendet: 15.01.2009 14:54:44 ===
MSI © (F0:B0) [14:54:44:510]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied. Counter after decrement: -1
MSI © (F0:B0) [14:54:44:511]: MainEngineThread is returning 1603
=== Verbose logging stopped: 15.01.2009 14:54:44 ===
Hat jemand ne Ahnung was es mit 1603 bzw 1708 im Bezug auf die
Essentials haben könnte?
Für Ideen und Anregungen wäre ich ebenfalls dankbar. Ich komme da
nicht weiter.
-
MOC sind "Microsoft official Course"-Unterlagen.
Auch wenn du die im Selbstudium nicht brauchst wollte ich
lediglich einen Preisvergleich bringen. Die Microsoft Bücher
sind soweit schon prima. Steht alles drin was Du brauchst.
Bei der 620er Prüfung verwundert es mich etwas, das Du damit zum
MCSA kommst. Es gibt ja neue Zertifizierungen zu denen die
Vista-Prüfung auch gehört.
Mit der 270 bist du MCP, mit der 620 MCTS. Da der MCSA (& MCSE)
bisher auf MCPs basierte und es für Server 2008 andere Bezeichnungen
gibt (Vista gehört in die Zertifizierung MCITP) würde ich nochmal genauer nachfragen. Vielleicht bekommst Du ja den Vista-Kurz dazu..!?
-
Naja, die 70-270 hat eigentlich wenig mit XP zu tun. Geht mehr um das
was XP im netzwerk kann. Die Prüfung ist zwar nicht soo schwer, aber
wenn ich gewusst hätte was da auf mich zukommt hätte ich sie erst nach der 291 gemacht.
Mit der 290 anzufangen macht schon Sinn. Macht auch mehr Spaß meiner
Meinung nach.
Übrigends sind 80 Schleifen für das Buch echt noch "günstig".
Die original MOC-Unterlagen, die Du nie wieder verwenden oder
verkaufen kannst liegen bei zirka 170 euronen und da steht nichtmal
was zum nachlesen drin....
ASA und Server 2008 AD-Connect
in Cisco Forum — Allgemein
Geschrieben
So, die Ports konnte ich nun auf ein Minimum eingrenzen:
TCP/UDP 135 - RPC Cert Services
UDP 53 - DNS
TCP 445 - SMB (input)
TCP/UDP 123 - NTP
TCP 507 - Content Replication
TCP 88 - Kerberos v5
TCP/UDP 389 - LDAP
und
TCP 49100-49199
Mit diesen Einstellungen bekomme ich keinen Treffer mehr
auf der Deny-Regel und kann mich problemlos mit dem AD
verbinden. :)
Danke für Eure Hilfe.
Grüße