This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AD Authentifizierung nicht mehr möglich

Hallo zusammen,

wir haben aktuell das Problem, dass man sich von einem Standort aus nicht mehr gegen das AD Authentifizieren kann. Macht sich zum Beispiel daran bemerkbar, dass die Adminuser nicht mehr angemeldet werden können, oder neue AD Gruppen nicht mehr gesyncht werden können.

Das ganze fing an, seitdem wir von SG auf XG - am Hauptstandort - umgestellt haben. Der andere Standort ist seit Monaten eine XG und via Site to Site VPN angebunden, mit entsprechender system ipsec_route und dazugehöriger NAT Policy.

Wie gesagt, es lief ja auch vorher zwischen XG Remotestandort und SG Hauptstandort. Am Remotestandort hat sich bei der Umstellung nichts geändert.

Das Netz ist im Tunnel freigegeben und das Regelwerk lässt die Kommunikation theoretisch ebenfalls zu. Auch eine Testregel die das remotenetz <> Domaincontroller - any erlaubt hat brachte keinen Erfolg.

Pingen kann man den Server auch ganz normal von der Remote XG zum DC. 

Leider habe ich nun keine Idee mehr und erhoffe mir hier einen brillianten Einfall eines anderen ;)



This thread was automatically locked due to age.
Parents
  • Hallo,

    du bist hier im UTM/SG Forum. Mehr Informationen gibt es evtl. im XG-Forum "Sophos Firewall"

    Sind die Authentifizierungsanfragen am zentralen Standort im Log-viewer zu finden?

    Evtl. "zerstört" die SSL/TLS decryption die Anfragen. Gibt es da eine Ausnahme für "interne" Traffic?

    kannst du die Frage bitte verschieben?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo Dirk, stimmt, falsches Forum :S Gar nicht drauf geachtet...

    Die Anfragen sieht man im Logviewer ankommen, ja

  • 172.16.10.1 ist der DC/ldap-server?

    Dann wäre es an der Zeit ein packetcapture zu erstellen. Port 636 als filter ... das sollte ja überschaubar bleiben.

    Und das ganze dann an beiden XG.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 172.16.10.1 ist der DC/ldap-server?

    Dann wäre es an der Zeit ein packetcapture zu erstellen. Port 636 als filter ... das sollte ja überschaubar bleiben.

    Und das ganze dann an beiden XG.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
No Data