[2003] Inloggen op domein niet mogelijk met WindowsFirewall? - Serversoftware en clouddiensten

woensdag 13 juli 2005 16:12

Acties:

you don't wanna know ...

Topicstarter

Heb hier een Windows 2003 Server met een aantal clients. Deze clients kunnen prima inloggen op het domein maar zodra ik de ingebouwde Windows Firewall van de server aanzet, lukt dit niet meer. Welke poorten moet ik daarvoor openzetten?

woensdag 13 juli 2005 16:17

Acties:

elevator

Officieel moto fan :)

Normaal gezien horen jouw clients vanzelf te detecteren dat ze in een domain omgeving zitten en vanzelf de juiste porten openzetten

Iig - vertel eerst eens eevn wat je zelf allemaal al geprobeerd en gedaan hebt om dit probleem op te lossen - het zou zonde zijn als we de hele troubleshooting stappen die jij al gedaan hebt nog eens zelf moeten maken

woensdag 13 juli 2005 16:23

Acties:

Morax

elevator schreef op woensdag 13 juli 2005 @ 16:17:
Normaal gezien horen jouw clients vanzelf te detecteren dat ze in een domain omgeving zitten en vanzelf de juiste porten openzetten

Geldt dit ook voor de server? Want hij zegt dus dat hij de firewall op de server aanzet

[ Voor 3% gewijzigd door Morax op 13-07-2005 16:23 ]

What do you mean I have no life? I am a gamer, I got millions!

woensdag 13 juli 2005 16:25

Acties:

willem-alex

you don't wanna know ...

Topicstarter

Dank voor je snelle antwoord. Ik heb inmiddels zelf het onderstaande gevonden en het lijkt te werken:

Logging into the domain through a Firewall

Note this is to log in - NOT for Exchange, SQL or a Domain Controller, I’ve not tried those so I can't comment.

The following ports have to be open from the outside (or DMZ) to the domain controllers.
NB: I know having these open from outside/DMZ has security implications but sometimes it needs to be done.

Ports open from DMZ\Outside

UDP domain 53
TCP domain 53
UDP Kerberos 88
TCP Kerberos 88
UDP Time 123
TCP Kerberos Auth 135
UDP netbios-ns 137
TCP netbios-ssn 139
TCP ldap 389
UDP ldap 389
TCP microsoft-ds 445
TCP ldap to GC 3268

However the process still fails (or runs like a two legged dog and appears to work) this is because
of the RPC system that runs on the domain controllers, when you log in the client fires up a
communication over port 135 the Domain controller, which then fires back a port number it wants to communicate
with the client over (this can be any number over 1024) your firewall lets this through outbound.

When it hits your client, it tries to open comms on that port, which is inevitably blocked on the firewall

When this happens you will see errors like

Error 1053
There are no more endpoints available from the endpoint mapper.

if you run netdiag on the machine you will see errors like
[WARNING] Cannot call DsBind to servername.domain_name.com (<ip address>). [EPT_S_NOT_REGISTERED]

There are two ways to solve the problem

1. Open every port above 1024 on your firewall, however this is about as sensible as eating yellow snow.

2. Change the way your domain controller handles RPC requests,

NOTE this must be done on EVERY domain controller

Click Start > Run > regedit {enter}

Navigate to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\

Create a new DWORD value called "TCP/IP Port" (remove the quotes and include the space)
double click it and change the "base" to decimal type in a port number (between 1024 and 64000) for the sake of argument use 1024

Exit the Registry Editor and you MUST reboot the server.

Now go back to the Firewall and open the following port

TCP static RPC 1024

Now the process will work.

Bron: http://www.experts-exchan..._Security/Q_21398608.html