Archief - W2003 (orange) ADD in W2008 domein (green)

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
L

Lunake

Legacy Member
Ik heb de situatie zo goed mogelijk proberen te schetsen:

Klik
ImageShack® - Online Photo and Video Hosting

Red zone = internet

Orange zone = 192.168.244.128
Interface van orange = 192.168.244.129
W2003 = 192.168.244.130
W2008 SQL + IIS = 192.168.244.131

Green zone = 192.168.244.0
Interface van green = 192.168.244.1
w2008 DC1 = 192.168.244.2
w2008 DC2 = 192.168.244.3
rest doet er niet toe

Onze proxy/firewall/... draait op IPCOP (linux distributie)

Het probleem is volgend:

We willen van de w2003 in de orange zone onze mailserver maken.
hiervoor moet die eerst in het domein gegooid worden.
Dit lukt niet.

Op DC1 hebben we gewoon dcpromo gedraaid gelijk we al zo vaak gedaan hebben, alle settings zijn normaal juist.

Op IPCOP hebben we alle poorten open gezet die nodig zijn voor AD.
Pingen is zowieso geblokkeerd, ipcop ondersteunt enkel TCP en UDP. ICMP is geblokkeerd.

We denken dat het probleem zich situeert bij DNS.
Hier hebben we nog niets ingesteld, NSLookup op DC1 geeft:

default server: localhost
address: 172.0.0.1

NSLookup op de w2003 geeft:
DNS request timed out.
cant find server name for address 192.168.244.2: timed out
Server: unknown
address: 192.168.244.2

wat moet er dan nog geconfigureerd worden zodat dit zou werken?

Ik hoop dat ik duidelijk ben in mijn uitleg
tx!
.

.conne.

Legacy Member
lijkt me inderdaad DNS gerelateerd. om in het domein te geraken moet je sowieso DNS lookup van het domein kunnen doen. aangezien je time out krijgt, lijkt het me dat DNS niet gaat door de firewall. zou eerst daar eens kijken, dus poort 53 openen.
btw: orange = dmz?
L

Lunake

Legacy Member
neen orange is niet dmz.
ik moet hier wel de DMZ-openingen instellen. dus alles staat standaard dicht.
is dit dan eigelijk wel DMZ?

uhu was ik vergeten te melden, poort 53 staat open..

En ik kan pingen van green naar orange, maar niet omgekeerd, maar dat is normaal.
Maar ik moet normaal toch geen host records aanmaken ofzo..
En met DNS Forwarders heeft het ook niets te maken?

screen van poorten die open staan:
[URL="http://imageshack.us/photo/my-images/863/dmzopeningen.jpg/"]http://imageshack.us/photo/my-images/863/dmzopeningen.jpg/[/URL]
.

.conne.

Legacy Member
Het enige wat nodig is, is dat de W2003 de SRV records e.d. kan opzoeken voor het domein. daarna natuurlijk ook AD kunnen aanspreken.
Wat voor foutmelding krijg je als je de W2003 in het domein probeert te steken?

Doe eens hetgeen bij nslookup staat van op de W2003:
http://support.microsoft.com/kb/816587

Wat ik wel zou doen, is de DNS & AD poorten ook openzetten naar de andere DC. Want in feite weet je wel niet tegen welke DC je server gaat authenticeren.

Terloops, subnet voor Groen & Oranje zijn hetzelfde?
L

Lunake

Legacy Member
"A domain controller for the domain xxx could not be contacted. ..."

Bij details:

The following error occured when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain xxx.

the error was: this operation returned because the timeout period has expired.

The dns servers used by this computer for name resolution are not responding. this computer is configured to use DNS servers with the following IP:
192.168.244.2

en da is het ip van DC01..

vreemd..
't is een volledige testomgeving (alle, 't is voor ons eindwerk van de avondschool..) , ik heb RDS aanstaan, je mag zelf ook kijken als je wil :)
enige wat ze tot nu toe gezegd hebben is dat er iets mis is met de DNS, maar zover waren we ook al..

*edit*

heb ook al geprobeerd op ip address, gaat ook niet.
en tijdens dcpromo hebben we domain level op 2003 compatibel gezet..

voor de rest kan ik nergens opkomen..
.

.conne.

Legacy Member
De melding zegt het zelf he, SRV records kunnen niet gevonden worden, zoals ik ook zei.
Wat soms ook kan is dat je de volledige DNS naam van het domein moet opgeven bij het inschrijven in het domein, i.p.v. de Netbios naam. Dus bvb. "domein.local". Ik wil gerust eens kijken, maar ik denk dat het voor je leerproces beter is als je de oplossing zelf kan vinden. ;)
L

Lunake

Legacy Member
ook al geprobeerd met .local :)
tja leerproces..
tijdens de lessen hebben we, of ik, al 87 keer domeinen gemaakt, exchange servers, alles wat je wil, had 18.5/20 op server 2008, da is het probleem niet.

Er is iets met die DNS wat we nog niet zijn tegengekomen tijdens de lessen wat nu nie werkt door die green/orange.

Want IPCOP etc hadden we ook niet gezien, allemaal zelfstudie, komt wel goed uiteindelijk, maar tijdens de lessen laten ze u alleen VMWare gebruiken.
iedereen kan 7 servers installeren en 7 domeinen koppelen in VMWare..

Dit is ff iets anders toch wel..
Anyway, morge verder zoeken :)
.

.conne.

Legacy Member
Wat me nog opvalt aan je firewall regels is dat je voor de W2003 poort 53 UDP geopend hebt naar DC01. Voor de IIS+SQL heb je TCP geopend, mogelijk ligt daar je probleem.
Ook al werkt DNS eigenlijk op beide; voor sommige zaken wordt UDP gebruikt, voor andere zaken TCP, de reden zal je wel geleerd hebben in de lessen netwerken.
Mocht je er niet uit geraken mag je me altijd een PM sturen om eens te kijken.
L

Lunake

Legacy Member
Heb nu bij de DMZ openingen poort 53 TCP en UDP gezet.
Ook was ik poort 42 (wins) ook vergeten bij UDP, stond enkel TCP open.

Maar toevoegen in domein lukt nog steeds niet.
L

Lunake

Legacy Member
neen, voor die staan de poorten ook nog niet open, ik zou zeggen ik probeer dat even maar onze programmeurs zijn daar op bezig, dus ik weet niet wat voor effect dat eventueel gaat hebben als ik die even in het domein zou zetten.
Morgen hebben we vergadering dan kan ik dat eventueel testen.

We zijn met 2 netwerkers en 2 programmeurs, vandaar..
Morgenavond weet ik je meer te vertellen, dan heb ik ook ineens de leerkracht nog eens onder spervuur gezet :)
m

menace2070

Legacy Member
check mss je logs eens in IPCOP??
daar zal je al wijzer uit worden...

trouwens ik vrees dat het probleem ligt bij dezelfde ranges op 2 verschillende interfaces...
als jij een dns server instelt op 192.168.244.x
maar je server zelf ligt ook in het zelfde subnet (op een andere interface) komt het niet in orde.
tenzij je tekening niet volledig klopt.

kan je wel tracerouten?
normaal laat ipcop dit toe, en trouwens icmp ook...(als je het instelt)
L

Lunake

Legacy Member
hmm, die ip's hebben we thans opgegeven gekregen.. ma het kan hoor, zal het strax eens navragen en zal die logs ook eens bekijken, stom om dat eigelijk nog niet gedaan te hebben.

traceroute nog niet geprobeerd.
icmp werkt van green naar orange maar niet andersom.
Op de site van ipcop staat dat alles default dicht staat, behalve van green naar orange.
En bij DMZ openingen kan ik icmp protocol niet selecteren, enkel TCP en UDP.
Misschien heb ik die instelling ergens anders over het hoofd gezien..

Strax verder uitzoeken!
L

Lunake

Legacy Member
Het probleem zit hem bij de poorten die open staan..

Als ik in IPCOP de poorten van 1-1024 open zet, en ik wil de mailserver in het domein gooien, krijg ik onmiddellijk een login schermpje..

Dus, dan maar alle poorten gaan adden:
Active Directory and Firewall Ports

Andre Broers' Blog: open firewall ports for domain membership

How to configure a firewall for domains and trusts

allemaal verschillend, en allemaal geprobeerd, er ontbreekt nog ergens een poort.
na het ingeven van de credentials loopt dat venster vast..
m

menace2070

Legacy Member
zoals ik al zei, check je logs op de ipcop daar zie je normaal wat er misgaat/geblokt wordt.

poorten:
53 - DNS-UDP
88 - Kerberos
636 - ADAM

en kan je vanop de srv in dmz pingen naar fqdn van de andere server?
ik weet dat icmp niet gaat, maar hij zou hem op zijn minst moeten kunnen resolven.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan