PDC ohne Grenzen

[flattman 10]

Hallo,

habe hier ein riesiges Problem. Ich habe den Auftrag bekommen einen Router

zwischen zwei, momentan noch zusammenliegenden Netzen, einzubauen. Nun sieht

es so aus, dass ich 4 Subnetze haben. Hier mal der Aufbau:

 

1. Subnet: "sichere Zone" Client mit Win XP Pro und teilw. SP2

2. Subnet: "wild Port" = werden in Inet durchgeroutet.

3. Subnet: WAN

4. Subnet: DMZ

 

Nun sollen die Clients in 1. mit dem Server in 4. kommunizieren. Ping funzt

auch wunderbar, aber leider keine Anmeldung an der Domäne. Als Router wird

ein Linux Server mit iptables verwendet. Wenn ich die IPtables ausschalte,

kann ich mich leider nciht anmelden. Teilweise hat es schon funktioniert,

wenn wir den Winsserver (Samba auf dem Router) aktiviert und verwendet

hatten. Nur konnte Win XP mal den Profilpfad nciht finden oder mal meinte

es, wir sollen uns mit dem Server verbinden, welcher uns authentifiziert

hat. Profile und ADS ligen auf einer Maschine. (warum meckert win??) Und was

hat dem Port 80 bei der Anmeldung für eine Funktion. Wir haben uns mit

tcpdump mal den Verkehr angeschaut und bemerkt, dass die folgende Ports

verwendet werden:

TCP: 135,137,138,139,445, 80 (?????)

UDP: 42,53

 

Wie gesagt Firewall ist down! Was fehlt??? Win kann die Maschine, wo die

Profile drauf sind ja finden. Müssen wir die RPC Ports auf dem Server

statisch setzten oder gibt es Probleme mit den Win XP Clients??

 

Hat jemand eine gut Idee, die uns vielleicht zum Ziel bringen kann??

 

Schonmal thx,

 

Flattman

[the_brayn 10]

Hiho,

 

nur eine kleine Anmerkung meinerseits. Ein DC hat nichts in der DMZ zu suchen.

 

Gruß Guido

[flattman 10]

*gg* bei uns schon, da noch der Exchange drauf läuft *gg*

 

ich weiß, dass gehört so auch nicht aber ist halt so, ich würde auch gerne mehrer Server aufstellen.

[MichaStgt 10]

sind die port auch alle richtig konfiguriert?

Respektive frei oder richtig weitergeleitet?

 

Du brauchst:

- 389 für LDAP

- 88 Kerberos

- 3268 LDAP Dienstindentifikation ( GC Anfragen )

- 53 DNS

 

glaub das alle die man zum anmelden benötigt.

Und btw ping hat nicht viel zu sagen...

[grizzly999 11]

Für die Anmeldung sind auch RPC nötig, Portbereich 1024-65525, kann man aber per Registry auch auf bestimmte einschränken.

 

grizzly999

[the_brayn 10]

Hiho,

 

vielleicht hilft dir auch das weiter: http://www.microsoft.com/germany/technet/datenbank/articles/392763.mspx

 

Gruß Guido

[flattman 10]

thx für die Hilfe, werde das mit den RPC port mal ausprobieren.

 

@MichaStgt:

es sind quasi alle Ports ungefiltert. Also der Router forwarded einfach nur. Da müsste es doch möglich sein, sich anzumelden. Oder sehe ich das falsch? Mag Win es vielleicht nicht, wenn die Pakete eine andere src IP haben?? Muss ich masquarding aktivieren? Ab und zu sagt Win ja, dass es ein Sicherheitsproblem gibt.

[grizzly999 11]

Wenn alle Ports offen sind (also reines Routing), dann sollte auch eine Anmeldung klappen.

Da gibt es dann IMHO adhoc die Möglichkeit, es sind nicht alle Ports offen, oder der Client findet den DC nicht. DNS ist bei den Clients korrekt eingetragen?

 

grizzly999

[flattman 10]

als DNS ist der Router selbst eingetragen, welcher auf den DNS auf dem PDC weiterleitet.

Habe auch schon den PDC als DNS direkt eingtragen half aber auch leider nicht.

 

Windows sagt mir, dass meion PWD und so ok, kann aber aufgrund eines Sicherheitsproblems mein Profil nicht laden. Hier mal die Fehlermeldung:

 

Das system hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher das Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können."

 

Aber ist doch eigentlich klar, dass ich eine Verbindung aufnehmen kann, wenn er mich schon authentifiziert hat, oder?