Domain Login door PIX

Op de microsoft site staan die poort ranges, het probleem is echter dat dit wel slordige ranges zijn en er heel veel poorten worden open gezet.
Ik denk dat je beter een 2de dc (hoeft niet heel zwaar te zijn natuurlijk) in je dmz te zetten.
Dit is veiliger en sneller in het geval van uitval.
Je moet namelijk, of de beslissing nemen om die poorten altijd open te zetten, of de beslissing nemen om die poorten alleen open te zetten in geval van storing.
Een 2de dc draait altijd en neemt de taken waar wanneer de 1ste plat ligt zonder tussen komst van een admin.

ff artikel opgezocht, dat je volgens mij nodig hebt.
http://support.microsoft....aspx?scid=kb;en-us;179442

[ Voor 11% gewijzigd door Acmosa op 22-04-2005 10:02 ]

misschien een idee om eerst eens te zoeken... iets op google met netbios ldap kerberos dan moet je op de juiste poorten komen.... Enige kennis van hoe een Windows-server zich authenticeert is wel nodig.

Euh.. een DC in je DMZ.. een mailserver op je DC.. Volgens mij zijn dat niet de meest verstandige keuzes..

Verwijderd schreef op vrijdag 22 april 2005 @ 10:47:
thanks pinky, ik ben iig een stukje verder. ik kom nu op het domein maar ik krijg nu de melding "there are no more endpoints available" bij het inloggen op srv04.

dns staat niet goed. deze moet alleen wijzen naar de srv05 dns, externe queries dus ook.

verder is het onzin om een 2de dc in de dmz te zetten, net alsof je dan geen porten moet openzetten (volgens mij zelfs veel meer porten )

edit: het documentje heeft ook weinig met jou situatie te maken, aangezien je geen trust hoeft op te zetten. gewoon ff verder zoeken naar authenticatie door een firewall heen (alleen dns, ldap en kerberos porten volgens mij). edit hmmm de rpc port en smb port heeft ook wel zin

[ Voor 25% gewijzigd door Verwijderd op 22-04-2005 11:29 ]

Verwijderd schreef op vrijdag 22 april 2005 @ 11:17:
[...]

dns staat niet goed. deze moet alleen wijzen naar de srv05 dns, externe queries dus ook.

verder is het onzin om een 2de dc in de dmz te zetten, net alsof je dan geen porten moet openzetten (volgens mij zelfs veel meer porten )

edit: het documentje heeft ook weinig met jou situatie te maken, aangezien je geen trust hoeft op te zetten. gewoon ff verder zoeken naar authenticatie door een firewall heen (alleen dns, ldap en kerberos porten volgens mij). edit hmmm de rpc port en smb port heeft ook wel zin

* Grolsch zoekt i'm with stupid icoontje

Maar TS waarom heb jij in vredes naam een DMZ als je juist de informatie welke je wil beschermen dmv een DMZ regelrecht IN je dmz zet

Daar mag absoluut GEEN DC staan, geen DNS server met interne DNS zone's en al helemaal geen mailserver (hooguit een relay of een front-end).

maar om je toch maar te helpen wat je er in vredes naam ook mee wil.

Service Port/protocol
RPC endpoint mapper 135/tcp, 135/udp
NetBIOS name service 137/tcp, 137/udp
NetBIOS datagram service 138/udp
NetBIOS session service 139/tcp
RPC dynamic assignment 1024-65535/tcp
SMB over IP (Microsoft-DS) 445/tcp, 445/udp
LDAP 389/tcp
LDAP over SSL 636/tcp
Global catalog LDAP 3268/tcp
Global catalog LDAP over SSL 3269/tcp
Kerberos 88/tcp, 88/udp
DNS 53/tcp[1], 53/udp
WINS resolution (if required) 1512/tcp, 1512/udp
WINS replication (if required) 42/tcp, 42/udp
Network time protocol (NTP) 123/udp

ligt er een beetje aan wat je wil gebruiken.

Gezocht met google.nl op ports open replication domain controller
eerste hit is bingo http://www.microsoft.com/...lumnsactivedirectory.mspx

[ Voor 32% gewijzigd door Grolsch op 22-04-2005 11:51 ]

het bovenstaande zijn alle porten die je nodig kan hebben:

voor win2k(3) heb je nodig:

Service Port/protocol
RPC endpoint mapper 135/tcp, 135/udp
SMB over IP (Microsoft-DS) 445/tcp, 445/udp
LDAP 389/tcp
LDAP over SSL 636/tcp (alleen nodig als je dat gebruikt en dan heb je zonder ssl niet nodig)
Global catalog LDAP 3268/tcp
Global catalog LDAP over SSL 3269/tcp (alleen nodig als je dat gebruikt en dan heb je zonder ssl niet nodig)
Kerberos 88/tcp, 88/udp
DNS 53/tcp[1], 53/udp
Network time protocol (NTP) 123/udp (als je een ntp server hebt in je dmz en je synct je dc ook met deze ntp server dan hoef je dit niet open te zetten naar je office segment, gewoon direct syncen met ntp server in de dmz).

alleen nodig als je apps wil benaderen op je dc: RPC dynamic assignment 1024-65535/tcp

nt4 only: WINS resolution (if required) 1512/tcp, 1512/udp
nt4 only: WINS replication (if required) 42/tcp, 42/udp
nt4 only: NetBIOS name service 137/tcp, 137/udp
nt4 only: NetBIOS datagram service 138/udp
nt4 only: NetBIOS session service 139/tcp

[ Voor 9% gewijzigd door Verwijderd op 22-04-2005 12:03 ]

waarom gebruik je isa dan niet als 2de firewall?

situatie: pix-dmz-isa-intern

in de dmz zet je alleen standalone machines neer en sta je alleen het verkeer naar binnen toe wat noodzakelijk is... (mailrelay, database toegang als dat niet anders kan). owa kan je dan via isa publishen, direct naar een mailserver intern. isa werkt als reverse proxy dus het verkeer van buitenaf gaat dan ook niet verder dan de isa server en je kan leuke dingen uithalen met domain authenticatie restricties, iets wat een pix niet kan...

de bovenstaande situatie is imho beter dan:

pix-dmz-pix-intern of

pix-dmz
|
intern

[ Voor 9% gewijzigd door Verwijderd op 22-04-2005 13:27 ]

en wat dropt er dan op de pix?

btw situatie is dus www-isa-dmz-pix-intern?
ik ben een ms fan, maar m'n loyaliteit gaat nu ook weer niet zo ver... een pix vertrouw ik toch meer.

[ Voor 72% gewijzigd door Verwijderd op 22-04-2005 14:59 ]

Verwijderd schreef op vrijdag 22 april 2005 @ 14:04:
onze systeembeheerder (mijn docent) heeft nu de ISA rechtstreeks achter de ADSL modem staan om zo al het verkeer te monitoren en te loggen.

maargoed... ff verder met waar ik mee bezig was...


dat probleem van die endpoints was een domme fout van mij.. (had niet door dat het account waarmee ik probeerde in te loggen niet meer bestaat)... maar nu heb ik iets anders:

Als ik de poorten openzet die volgens iis5_rulez moet open zetten dan duurt het 15 minuten om op SRV04 in te loggen terwijl als ik gewoon alle poorten weer openzet het inloggen in ongeveer 1 minuut gebeurt is...

staat er niets in de event viewer

Voor het inloggen wordt naar mijn idee eerst DNS (53) gebruikt om een SRV record te vinden voor een DC, en vervolgens LDAP voor een queury naar een DC

toch niet zo vreemd hoor... alleen heb ik geen idee waarvoor die port is.
met netstat -ano (win2k3) of anders tcpview? van sysinternals kan je achterhalen welke programma die port openzet. zo kan je misschien nog verklaren waarom die port open moet. misschien is dit een variabele port die via rpc opgevraagd wordt. in dat geval ben je f****d en zou je alles boven 1024 moeten openzetten (of telkens na een service/server herstart je firewall rules moeten aanpassen).

maarum aan de situatie te zien ben ik blij dat je ISA i.i.g. standalone staat

ff gekeken voor port 1025
Is wel grappig!
1025 tcp/udp blackjack network blackjack
1025 tcp/udp # Remote Storm, ABCHlp, Lala, W32.Spybot
1025- tcp/udp # W32.Keco

Heb je wat te zoeken.

Het lijkt erop dat DCOM "schijnbaar" deze poort ook wel eens gebruikt om TTL pakketjes te versturen.
Niet echt betrouwbaar dus...

[ Voor 19% gewijzigd door Kabouterplop01 op 22-04-2005 17:14 ]

Verdiep je in het RPC protocol (mbt poort 1025) en wanneer je tijd hebt in ISA RPC publishing dit is namelijk wat je zoekt. Wanneer je ISA tussen je DMZ en je LAN hebt staan en authenticatie moet plaatsvinden tussen een host in het DMZ en je LAN dan is RPC publishing waarschijnlijk de beste optie.