Thuroc 10 Geschrieben 26. April 2009 Melden Teilen Geschrieben 26. April 2009 Hallo zusammen, habe hier einen frisch aufgesetzten Windows 2003 Server, auf dem eine Netzwerkfreigabe existiert und ein paar Benutzer eingerichtet wurden. Heute habe ich versucht auf diese Freigabe von XP aus zuzugreifen. In der Console habe ich mit net use auch eine Verbindung, jedenfalls so weit dass er mich nach dem Passwort fragt. Sobald ich das eingebe kommt der Systemfehler 1231. Das Passwort und der Benutzername ist jetzt 10 mal kontrolliert worden, daran kann es nicht liegen. Der Server steht im Netz 192.168.3.0/24, der XP Client im 192.168.1.0/24 Netz. Dazwischen hängt eine IP-Cop Firewall, die die Ports 137-139 zwischen den beiden offen hat. Auf Server und Client ist die Datei- und Druckerfreigabe aktiviert. Kann mir jemand helfen? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. April 2009 Melden Teilen Geschrieben 26. April 2009 Hi, der Fehler 131 bedeutet "ERROR_NETWORK_UNREACHABLE". Du mußt neben den Ports 137-139 TCP / UDP für Netzwerkfreigaben in jedem Fall Port 445 TCP und auch Port 135 TCP freigeben. Dazu kommen noch einige dynamische RPC Ports, bei Windows Server 2003 standardmäßig oberhalb von 1024. Damit solltest Du nicht zu knapp sein, auch wenn Du den Zugriff einschränken willst oder mußt. Siehe dazu auch: Service overview and network port requirements for the Windows Server system Viele Grüße olc Zitieren Link zu diesem Kommentar
Thuroc 10 Geschrieben 26. April 2009 Autor Melden Teilen Geschrieben 26. April 2009 Hab die Ports 445, 135 auf Clientseite und die Ports 1024-65535 für den Server nun geöffnet. Es tut sich leider immer noch nichts :( Ping zwischen den PCs funktioniert einwandfrei. Was ich eben noch vergessen hab zu erwähnen: NetBIOS TCP/IP ist auf beiden aktiviert. Das witzige ist ja, das die Eingabe von \\192.168.3.2\Files mit "Zugriff verweigert" abgelehnt wird. Also eine Verbindung scheint schon irgendwie da zu sein oder nicht? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. April 2009 Melden Teilen Geschrieben 26. April 2009 Hi, gib doch testweise einmal alle Ports frei - wenn es dann geht, weißt Du, daß es an den Ports liegt. Dann könntest Du ggf. einen Netzwerktrace ziehen und prüfen, welche Pakete nicht durchkommen. Ggf. liegt es auch am Protokoll, es wird ab und an zwischen UDP oder TCP unterschieden. Probieren könntest Du auch noch den Zugriff über die IP-Adresse des Servers, nicht über den Namen. Dann wird kein Kerberos verwendet, sondern NTLM. In der Aufstellung oben fehlt u.a. auch die Freigabe für Port 88 UDP / TCP (Kerberos). Bei dem Thema: wenn es sich um eine Domänenumgebung handelt, müssen noch weitere Ports freigegeben werden. Daher solltest Du in jedem Fall in das oben genannte Dokument schauen, es sind dann noch einige Anpassungen vorzunehmen. Eine Firewall in solchen Konstellationen ist halt immer so eine Sache. Viele Grüße olc Zitieren Link zu diesem Kommentar
Thuroc 10 Geschrieben 26. April 2009 Autor Melden Teilen Geschrieben 26. April 2009 Hab die Ports testweise alle Freigegeben und eine Domäne, bzw. AD nutze ich nicht. Selbst mit der IP, also ohne Kerberos, komme ich nicht weiter. Das ist ja das was mich so erstaunt... An den Ports scheint es jedenfalls schon mal nicht zu liegen. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. April 2009 Melden Teilen Geschrieben 26. April 2009 Hi, was steht im Sicherheitsprotokoll des Servers? Wird der Logonversuch protokolliert? Ist vielleicht auf dem 2003er Server eine Firewall aktiv? Oder eine Firewall auf den Clients, die Zugriffe nach außen blockiert? Die Freigabe der Verbindungen am IPCop zeigt in beide Richtungen und nicht nur in eine Richtung als "one-way ticket"? Zieh doch einmal einen Netzwerktrace und schau einmal hinein, was genau beim Zugriff passiert. Viele Grüße olc Zitieren Link zu diesem Kommentar
Thuroc 10 Geschrieben 26. April 2009 Autor Melden Teilen Geschrieben 26. April 2009 So genau, das ich Netzwerktraces durchführen könnte, kenne ich mich leider nicht aus. Ich habe jetzt allerdings einmal in das Login-Protokoll geschaut und es wurden noch keine Versuche geloggt. Also scheint das Problem wirklich noch an der Firewall zu liegen. Ethereal sagt mir allerdings das der ACK vom Client mit einer falschen Cehcksum ausgeliefert wird. Aber selbst mit dem Wissen wüsste ich jetzt nicht unbedingt viel anzufangen... Was mich an den Etherealdaten wundert ist, das der Client bei der Einbindung des Netzlaufwerkes vom Port 1365 auf den Port 80 zugreifen möchte. Ich dachte das läuft auch über die 137-139!? Eine Firewall auf dem Server ist noch garnicht installiert und die vom Client filtert nur Input. //EDIT Ich hab noch ein paar interessante Zeilen vom Server aufgeschnappt: The requestes URL coult not be retrieved Connection to 192.168.3.2 Failed The remote host or network may be down. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. April 2009 Melden Teilen Geschrieben 26. April 2009 Hi, die "Checksummenfehler" liegen meist an Netzwerkfunktionen wie "TCP Offloading" etc., die kannst Du also im Normalfall getrost ignorieren. Wenn am Server gar keine Sicherheitsmeldungen beim Zugriff auf das Share im Security Protokoll geloggt werden, kommt nichts an. Das war auch nach der Fehlermeldung zu erwarten. Schalte einmal konkret den Firewall-Dienst auf Client und Server ab und versuche den Zugriff noch einmal. Zusätzlich könntest Du testweise einmal einen Client auf die "Server Seite" stellen, das Subnetz anpassen und den Zugriff nochmals versuchen. Wie genau hast Du den Zugriff am IPCop eingestellt? Nutzt Du die Standard Mechanismen mit grünem und gelben Netz (in welchem Netz steht der Server?) oder nutzt Du BOT als AddOn? Viele Grüße olc Zitieren Link zu diesem Kommentar
Thuroc 10 Geschrieben 26. April 2009 Autor Melden Teilen Geschrieben 26. April 2009 Ja, ich nutze alle verfügbaren Netzwerke. Rot für Internet, Blau für mein WLAN, Orange für den Server und Grün für den Client. BOT hab ich zwar installiert aber bereits von Anfang an ausgeschaltet, damit es nicht zu kompliziert wird. Trotzdem hier kurz die BOT Freigaben: (Moe ist der Server = 192.168.3.2) Und da man von Orange auf Grün nicht freigeben kann, mussten DMZ-Schlupflöcher her: Mit Hostnamen arbeite ich garnicht, ich versuche also immer mit der IP das Netzlaufwerk zu verbinden: net share k: \\192.168.3.2\Ordner PASSWORT /USER:MOE\username Die Windowsfirewall auf dem Client ist jetzt testweise komplett ausgeschalet und trotzdem tut sich nichts... //EDIT Ich kann den Client leider nicht in Orange oder anders herum den Server in Grün einbinden, da ich keine Switches habe. Arbeite hier zum Einrichten nur mit Crossoverkabeln direkt an der Firewall. //EDIT2 Hier auch mal der tcpdump von Ethereal //EDIT 3 :D Hab noch was ausprobiert. Mir ist eingefallen das ich einen transparenten Proxy auf Port 800 laufen hab. Ich dachte bisher das hat mit den Windowsfreigaben nichts zu tun, da nur der Port 80 betroffen ist. Nun bekommen ich aber in Ethereal vom Server nur noch RST/ACK zurück. tcpdump.zip Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. April 2009 Melden Teilen Geschrieben 26. April 2009 Hi, ich vermute, daß Du den Server nicht im orangenen Netz betreiben kannst. Ich bin mir im Moment nicht sicher, inwieweit hier Stateful Packet Inspection ausreichend ist. Du müßtest also eher BOT nutzen und einige Ports auch vom Server zu den Clients freigeben. Der TCPDUMP zeigt nur die HTTP Zugriffe, die sind meines Erachtens im Moment nicht relevant. Wichtiger wären die Netzwerkzugriffe auf den Server. Wie gesagt, ich denke, daß es mit dem orangenen Netz nicht funktionieren wird. Dort wird das Problem liegen. Bevor Du nun weiter nach einem Problem suchst, was schon geklärt ist, würde ich vorschlagen, daß Du Dir einen Switch besorgst und den Server mit in das grüne Netz hängst. Falls es dann immer noch Probleme gibt, dann schauen wir weiter. Aber ich würde vermuten, daß das nicht der Fall ist. ;) Insgesamt vielleicht noch einmal die Grundsatzfrage zu dem Vorhaben: Was möchtest Du genau damit erreichen? Warum stellst Du den Server in die DMZ? Viele Grüße olc Zitieren Link zu diesem Kommentar
Thuroc 10 Geschrieben 26. April 2009 Autor Melden Teilen Geschrieben 26. April 2009 Ich werd mir morgen einen Switch ausleihen, so scheint es ja wirklich nicht zu funktionieren. Schonmal vielen vielen Dank für deine Hilfe. Im übrigen lässt BOT keine Orange -> Grün Freigaben zu, es kommt gleich eine Fehlermeldung. Wie es mit den Orange -> All Freigaben aussieht (die ohne Fehlermeldung angenommen werden) weiss ich ehrlich gesagt nicht, aber ich schätze genau da wird das Problem liegen. Was ich vorhabe? Nunja, ich war etwas knapp an Recourcen, so hab ich mir letzte Woche nen SATA Controller und neue Festplatten besorgt. Da mein Client aber schon überquillt und absolut nix mehr rein passt, musste das neue Zeug in den Server einziehen. Der Server selbst ist eigentlich ein reiner Web/FTP Server und sollte nun auch noch für die Backups aus dem LAN herhalten. Aber so wie ich das bis jetzt einschätze komm ich um VMWare und zwei getrennte OS nicht herum. Das wollte ich eigentlich wegen der Performance vermeiden. Der kleine hat auch so schon genug zu tun und wird dann total überlasten. Hast du vielleicht noch irgendeine Idee, wie ich vom LAN auf den Server zugreifen könnte? Der Server muss ja noch nicht mal aufs LAN zugreifen können, anders herum reicht ja völlig aus... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. April 2009 Melden Teilen Geschrieben 26. April 2009 Guten Abend, Im übrigen lässt BOT keine Orange -> Grün Freigaben zu, es kommt gleich eine Fehlermeldung. Wie es mit den Orange -> All Freigaben aussieht (die ohne Fehlermeldung angenommen werden) weiss ich ehrlich gesagt nicht, aber ich schätze genau da wird das Problem liegen. Ich denke schon, daß das funktioniert. Zumindest ist mir in der Vergangenheit noch nie ein Problem mit den Freigaben untergekommen. Aber ich habe im Moment kein IPCop System zum Testen. Was ich vorhabe? Nunja, ich war etwas knapp an Recourcen, so hab ich mir letzte Woche nen SATA Controller und neue Festplatten besorgt. Da mein Client aber schon überquillt und absolut nix mehr rein passt, musste das neue Zeug in den Server einziehen. Der Server selbst ist eigentlich ein reiner Web/FTP Server und sollte nun auch noch für die Backups aus dem LAN herhalten. Meines Erachtens eine ganz schlechte Idee. Einen Server für Daten / Backup und gleichzeitig als Web / FTP Server für den Zugriff von außen zu nutzen, ist ein Verbrechen. ;) Laß die Finger davon, damit kannst Du wirklich auf die Nase fallen... Aber so wie ich das bis jetzt einschätze komm ich um VMWare und zwei getrennte OS nicht herum. Das wollte ich eigentlich wegen der Performance vermeiden. Der kleine hat auch so schon genug zu tun und wird dann total überlasten. Na ja, "sicher" ist die Virtualisierung leider auch nicht. Aber wenn es denn unbedingt sein muß, ist es besser, als die derzeitige Konstellation. Insgesamt würde ich es jedoch (auch bei knapper Hardware) auf ein extra System packen. Auch wenn es erst einmal teuer scheint - wenn Deine Daten / Kundendaten verloren gehen oder "öffentlich" werden, dann sind die Kosten in vielerlei Hinsicht höher. Hast du vielleicht noch irgendeine Idee, wie ich vom LAN auf den Server zugreifen könnte? Der Server muss ja noch nicht mal aufs LAN zugreifen können, anders herum reicht ja völlig aus... Etwa über WebDAV oder FTP / SFTP. Aber wie gesagt, ich würde das gar nicht so lösen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Thuroc 10 Geschrieben 27. April 2009 Autor Melden Teilen Geschrieben 27. April 2009 Hardware ist leider im Moment noch nicht drin, also wird die VMWare Lösung ein paar Monate durchhalten müssen. Für Heute Abend hab ich mir erstmal einen Switch besorgt, dann geb ich schon mal bescheid, ob es am IPCop lag. Zitieren Link zu diesem Kommentar
Thuroc 10 Geschrieben 28. April 2009 Autor Melden Teilen Geschrieben 28. April 2009 OK, es lag am IPCop. Mit Switch klappt es einwandfrei. Werde es wohl über eine VPN lösen müssen... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 28. April 2009 Melden Teilen Geschrieben 28. April 2009 Hi, wie gesagt - ich würde es nicht mit einem VPN lösen, sondern eher mittels BOT die erforderlichen Ports in beide Richtungen freigeben. Zwar ist das ganze dann als DMZ nichts mehr wert und Du läufst in massive Sicherheitsprobleme, aber dieses Thema hatten wir ja schon. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.