Jump to content

ASA und Server 2008 AD-Connect


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen! :)

 

Ich versuche schon seit längerem unseren neuen Webserver

aus der DMZ heraus mit unserem AD zu verbinden

(..zur Abfrage der FTP-berechtigten User).

Dazu habe ich ihn zum Memberserver gemacht und kann mich

auch dort anmelden und alles einstellen solange ich die hier

aufgeführten Ports 'UND (!) TCP (all) bzw. IP (all)' zwischen

dem WEB und zwei DCs aktiviert habe:

TCP + UDP: DNS (53), WINS (42), NetBIOS (137), SMB (445),

NTP (123), Kerberos (88 + 464), LDAP (389 + 636)

CIFS (445), RPC (135), SNMP (161 + 162), WinIntNS (1512)

Nur TCP: NetBIOS (139), RS (1025), CR (507), GC (3268 + 3269)

LSAR (691), ASP.Net (42424)

Nur UDP: Kerberos (750), NetBIOS (138)

 

Für den AD-Connect fehlt mir jedoch ein Port. Mit TCP (all) oder IP (all)

bekomme ich dort bei der Anmeldung 1 Hit und finde den Port nicht heraus.

 

Den dynamischen Portbereich habe ich mit

Netsh int, ipv4 set dynamicport tcp start=5000 num=5100 und

Netsh int, ipv4 set dynamicport udp start=5000 num=5100

auf dem Server selbst zu begrenzen versucht und die Range auch

so auf der ASA eingetragen, jedoch bekomme ich dort keinen Treffer.

 

Auch wenn ich eine tcp-udp-Range von 1-1023 und eine von 1024-65535

eingebe (ich wollte es nach und nach eingrenzen) gibt es dort keinen Treffer.

 

Die Anmeldung dauert 4 1/2 Minuten und ich kann die User aus

dem AD so nicht abfragen. Lediglich, wie gesagt bei aktiviertem

TCP (all) bzw. IP (all) bekomme ich dort den Treffer und bin umgehend

verbunden.

 

Welcher Port fehlt mir oder wo liegt mein Denkfehler?

Jemand eine Idee?

 

Gruß

Christian

Link zu diesem Kommentar

Hast du einfach mal bei einem "all" das ganze mit Tracen gelassen - dann siehst du doch welche Ports. Ich würde jedoch nicht aus einer DMZ auf eine AD so zugreifen - sondern sich da was anderes einfallen lassen - den dann macht die ganze DMZ keinen so richtigen Sinn mehr - da man wenn man auf dem Server ist und der Client in der AD ist - man sehr schön die AD auslesen kann.

Link zu diesem Kommentar

Nun, grundsätzlich hast Du schon recht,

aber wir haben zahlreiche Benutzer die

sich für verschiedene Dienste über das

AD anmelden und wir somit eine einheitliche

Benutzerverwaltung haben.

Das würden wir gerne auf dem Webserver ebenfalls

haben um dort nicht lokale User pflegen zu müssen.

Daher versuche ich nur die nötigsten Ports dafür

zu öffnen.

ggf. würde ich auch mit ADLDS da ran gehen,

wenn ich den Connect kriegen würde... :cool:

Link zu diesem Kommentar

So, die Ports konnte ich nun auf ein Minimum eingrenzen:

 

TCP/UDP 135 - RPC Cert Services

UDP 53 - DNS

TCP 445 - SMB (input)

TCP/UDP 123 - NTP

TCP 507 - Content Replication

TCP 88 - Kerberos v5

TCP/UDP 389 - LDAP

und

TCP 49100-49199

 

Mit diesen Einstellungen bekomme ich keinen Treffer mehr

auf der Deny-Regel und kann mich problemlos mit dem AD

verbinden. :)

 

Danke für Eure Hilfe.

 

Grüße

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...