This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Über RED50 Domänenanmeldung der Clients

Guten Tag zusammen,

ich hoffe, ich kann mit meinem etwas laienhaften Wissen mein Problem erklären.

 

Wir betreiben ein eigenes, kleines IT-Netzwerk in der eine SG 125 zum Einsatz kommt. Die einzelnen User-Clients melden sich an einem Domänencontroller (UCS) an. Nun wollen wir ein entferntes Büro an dieses Netzwerk anbinden, dabei soll die Anmeldung weiterhin am DC möglich sein. Nur die Ressourcen des Hauptnetzwerkes nutzen reicht nicht aus.

 

Um dies zu bewerkstelligen haben wir eine RED 50 im neuen Büro. Diese ist im Modus Standard/Getrennt eingerichtet. Nach dem Tuning an der Firewall sind alle notwendigen Ressourcen erreichbar, nur die Anmeldung der Workstations über den DC sind nicht möglich.

 

Folgende Configs sind bereits erledigt:

- Net Firma 10.1.20.0/24, DC 10.1.20.10

- RED 10.1.20.0/24, DNS auf 10.1.20.10

- RED Anbindung an DNS zugelassene Netzwerke

 

Leider bin ich, was dieses Problem betrifft, mit meinem Latein am Ende.



This thread was automatically locked due to age.
  • Hi,

     

    sieht erstmal ok aus. Die Clients können vermutlich auch am DC auflösen? Hast Du bestimmte Firewallregeln gesetzt? Prüf doch mal das Livelog, ob irgendwas geblockt wird, wenn sich ein Client am DC anmeldet.

  • ThorstenSult said:

    Hi,

     

    sieht erstmal ok aus. Die Clients können vermutlich auch am DC auflösen? Hast Du bestimmte Firewallregeln gesetzt? Prüf doch mal das Livelog, ob irgendwas geblockt wird, wenn sich ein Client am DC anmeldet.

     

     

    Danke für die rasche Antwort. Ich teste das gerade nur mit einem Client, der bereits im "alten" Büro stand. Ich habe ihn aus dem alten Subnetz ins Neue gepinnt und die FW-Regeln für diesen genauso nachgezogen. FW-LiveLog liefert leider keinen Fehler.

    Weiterhin habe ich folgendes über Nacht getestet:

    - Setzen der des Reverse-DNS 1.20.10.in-addr.arpa.

    - ISP DNS deaktiviert und unseren DC eingetragen

    - Folgende Anleitung im gesamten getestet Sophos UTM: Best practices for DNS Configuration

     

    Zum Mäuse melken.

  • Hi Miguel,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    My guess is that the UCS server is ignoring the login attempts because they aren't coming from inside its subnet.  You can check that by doing tcpdump at the command line and/or modifying the relevant firewall rule to log passed packets.

    Was gelernt dadurch?

    MfG - Bob (Bitte auf Deutsch weiterhin.)
    PS If you've had the RED 50 for less than a month, I would suggest returning it and replacing it with an SG 115 with a Network Protection subscription.  This is a more-flexible and less-expensive solution than a RED 50 with warranty extensions.

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • BAlfson said:

    ... My guess is that the UCS server is ignoring the login attempts because they aren't coming from inside its subnet.  You can check that by doing tcpdump at the command line and/or modifying the relevant firewall rule to log passed packets...

     

    Thanks Bob. Nun die große Frage, wie meintest du das mit der command line? Wir arbeiten "noch" mit WIN7 Systemen. Der DC ist eine alte Univention. Im Firewall-Live-Log sehe ich leider keine Fehler.

     

    Ich werde wohl deinem Rat folgen, eine SG115 holen und ein Site-to-Site-VPN aufbauen. Wäre trotzdem schön, wenn das auch mit der RED 50 ginge.

  • Problem gelöst. Weder die DNS-Reverse-Einstellungen, noch weitere verzweifelte Versuche die Firewall aufzubohren, waren notwendig. Ein kurzer Blick in den DC (Marke letztes Jahrhundert) und man sieht das notwendige Anmeldeverfahren, nämlich NetBios.

     

    Auf Grund der statischen verwendeten statischen IPs haben wir die WINS Einstellung, komplett übersehen. IP des DC eingetragen, NetBIOS über TCP/IP freigeschalten, DONE.

     

    Danke nochmals für die Unterstützung und die Geduld.