Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 3302 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Microsoft Authentication from DMZ to a Domain Controller INTERNA

arska_01
Dear all,

I have had hard time to set up a MS Exchange Server 5.5 in DMZ (172.16.1.x) to authenticate to a Domain Controller in the Internal Network (10.0.0.x). 
Could somebody, PLEASE, explain:
1) All the ports needed to open on ASL ?
2) DNAT in this case ? o Masquerading ?

THANX IN ADVANCE

  [:S]


This thread was automatically locked due to age.
  • 0
    Read the following Articles in
    Microsoft Knowledge Base:

    How to Configure a Firewall for Domains and Trusts (Q179442)

    Additional if the PDC uses official IP-Address

    TCP/IP Ports Used by Microsoft Mobile Information Server (Q294297)

    Works here !

    Important:
    If you use W2000 Active Directory be sure you have a working W2K-DNS-Structure or take the "lmhosts"
  • 0 in reply to MB_03
    Thanx a lot for the hint. 
    I read the papers and opened corresponding ports. The packet Filter Violation -log shows that all the packages from the host in DMZ (172.16.1.x) to Internal (10.0.0.x) are trapped. Specifically ports 138 and 137.

    I have defined DNAT for the PDC services as:

    DmzNIC RPC  PDC1 RPC  
    DmzNIC WINS REPLICATION  PDC1 WINS REPLICATION 
    DmzNIC netbios-dgm  PDC1 netbios-dgm  
    DmzNIC netbios-ns  PDC1 netbios-ns  
    DmzNIC netbios-ssn  PDC1 netbios-ssn  

    where DmzNIC is the internal if (172.16.1.1) of ASL2.0 .

    Packet Filtering rule is:

    1  DmzNIC Any INTERNA Allow 

    Still not working and I'm confused ! HELP PLEASE !
      [:S]
  • 0 in reply to arska_01
    Think your primary problem is not the firewall nor DNAT. Be sure to make tests with fullservice from DMZ to your internal net first.

    There are to much open questions:

    Is the Message Server member of the domain ?
    Are the users members of the domain ?
    Is it NT4.0 or W2K ?

    Think the Message Server dont know who is the first PDC of your domain and where he finds him.

    "nbtstat -c" on the Message Server must show the
    IP for PDC and for your domain.

    Hope you see there are too much open questions on the WINDOWS site.
    After a positiv result with "ALL PORTS OPEN" you can secure your connection between both networks.

    IN THE END - it will be more secure to use a local
    userdb on the server in DMZ.

    Hint: use "tail -f /var/log/kernel" on your firewall to see all needed ports...
  • 0 in reply to MB_03
    Thanx MB,

    I agree, but still I`m wondering why the Packet Filter Violation Log shows this:
    Time Source  Port Destination Port Protocol 08:00:46 172.16.1.2 138 -> 172.16.1.255 138 UDP

    As far as I understand this means that Astaro is stopping the packages ..right ?

    We can see that those packages are going to a broadcast address of the internal interface of Astaro, which should DNAT them and send to the internal network.. right ? Or am I missing here something ...?

      
Unfiltered HTML