David.FX eMail in einer DMZ und Probleme mit Zugriff auf DC im anderen privaten Netz
Hallo zusammen,
ich habe folgendes Szenario. Wir haben einen David.FX Mail Server durch eine Gateprotect Firewall vom anderen internen Netz mit Domaincontroller, File- und SQL- Server getrennt. Der David.FX Server ist auch im Active Directory als Mitgliedsserver angemeldet. Früher war der David.FX Server im gleichen Netz wie der DC. Seit gestern haben wir aber eine Netztrennung durchgeführt.
Netzwerk David.FX Mail Server -> 192.168.2.x
Netzwerk internes Netz -> 192.168.1.x
Nun haben wir die Firewallregeln so eingerichtet, dass man von dem Netz 192.168.1.x nur über Port 267 (David.FX Client), NetBios, LDAP, Kerberos, DNS, SMB auf das Netz 192.168.2.x zugreifen darf. Umgekehrt aber nicht.
Zusätzlich gibt es eine Regel, die sowohl vom Netz David.FX Server 192.168.2.1 auf den Domaincontroller mit 192.168.1.1 und umgekehrt zugreifen darf. Als freigebene Dienste sind hier NetBios, Kerberos, DNS, PING, LDAP.
Nun haben wir das Problem, dass der David.FX Mail Server scheinbar noch Probleme bei der Kommunikation mit dem DC hat. Der Zugriff auf die Benutzerdatenbank des DCS scheint möglich zu sein, weil ich z.b. bei den Freigaben des David.FX Mailservers auch Zugriff auf die Benutzer des ADs habe und hinzufügen kann.
Wir haben aber zeitgleich auch das Kennwort des Administrators geändert, aber der David.FX Mail Server benutzt immer noch das alte Adminkennwort. Er hat von der Änderung nichts mitgekommen. Außerdem passiert es sporadisch, dass der David.FX Client (welches auch auf die Benutzer des DCs zugreift) an verschiedene Arbeitsplätzen sich nicht authentifizieren kann. wenn man dann ein paar Minuten wartet, dann funktioniert es dann doch.
Die IP- Konfiguration ist wie folgt.
192.168.1.254 Gateprotect Interface 1
192.168.2.254 Gateprotect Interface 2
Internet Gateprotect Interface 3
Domaincontroller:
IP- Adresse: 192.168.1.1
Subnetmask 255.255.255.0
Gateway 192.168.1.254
DNS: 192.168.1.1
David.FX Mailserver
IP- Adresse: 192.168.2.1
Subnetmask: 255.255.255.0
Gateway: 192.168.2.254
DNS: 192.168.1.1
Meine Frage ist zum einen, ob die IP- Konfiguration der Server so korrekt ist und ob ich vielleicht noch weitere Dienste/ Ports in der Firewall freischalten muss.
ich habe folgendes Szenario. Wir haben einen David.FX Mail Server durch eine Gateprotect Firewall vom anderen internen Netz mit Domaincontroller, File- und SQL- Server getrennt. Der David.FX Server ist auch im Active Directory als Mitgliedsserver angemeldet. Früher war der David.FX Server im gleichen Netz wie der DC. Seit gestern haben wir aber eine Netztrennung durchgeführt.
Netzwerk David.FX Mail Server -> 192.168.2.x
Netzwerk internes Netz -> 192.168.1.x
Nun haben wir die Firewallregeln so eingerichtet, dass man von dem Netz 192.168.1.x nur über Port 267 (David.FX Client), NetBios, LDAP, Kerberos, DNS, SMB auf das Netz 192.168.2.x zugreifen darf. Umgekehrt aber nicht.
Zusätzlich gibt es eine Regel, die sowohl vom Netz David.FX Server 192.168.2.1 auf den Domaincontroller mit 192.168.1.1 und umgekehrt zugreifen darf. Als freigebene Dienste sind hier NetBios, Kerberos, DNS, PING, LDAP.
Nun haben wir das Problem, dass der David.FX Mail Server scheinbar noch Probleme bei der Kommunikation mit dem DC hat. Der Zugriff auf die Benutzerdatenbank des DCS scheint möglich zu sein, weil ich z.b. bei den Freigaben des David.FX Mailservers auch Zugriff auf die Benutzer des ADs habe und hinzufügen kann.
Wir haben aber zeitgleich auch das Kennwort des Administrators geändert, aber der David.FX Mail Server benutzt immer noch das alte Adminkennwort. Er hat von der Änderung nichts mitgekommen. Außerdem passiert es sporadisch, dass der David.FX Client (welches auch auf die Benutzer des DCs zugreift) an verschiedene Arbeitsplätzen sich nicht authentifizieren kann. wenn man dann ein paar Minuten wartet, dann funktioniert es dann doch.
Die IP- Konfiguration ist wie folgt.
192.168.1.254 Gateprotect Interface 1
192.168.2.254 Gateprotect Interface 2
Internet Gateprotect Interface 3
Domaincontroller:
IP- Adresse: 192.168.1.1
Subnetmask 255.255.255.0
Gateway 192.168.1.254
DNS: 192.168.1.1
David.FX Mailserver
IP- Adresse: 192.168.2.1
Subnetmask: 255.255.255.0
Gateway: 192.168.2.254
DNS: 192.168.1.1
Meine Frage ist zum einen, ob die IP- Konfiguration der Server so korrekt ist und ob ich vielleicht noch weitere Dienste/ Ports in der Firewall freischalten muss.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 167328
Url: https://administrator.de/contentid/167328
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
1 Kommentar
Zitat von @BananaJoe:
Meine Frage ist zum einen, ob die IP- Konfiguration der Server so korrekt ist und ob ich vielleicht noch weitere Dienste/ Ports in
der Firewall freischalten muss.
Meine Frage ist zum einen, ob die IP- Konfiguration der Server so korrekt ist und ob ich vielleicht noch weitere Dienste/ Ports in
der Firewall freischalten muss.
Falsches setup!
Der FX gehört ins LAN und in die DMZ gehört ein Mail-Gateway. Ansonsten müßt Ihr zuviele "Löcher" in die Firewall bohren, insbesondere dann, wen Ihr nicht einmal wißt, welche Löcher Ihr braucht.
Wenn der FX unbedingt ind der DMZ stehen muß udn Ihr keinen zweiten FX aufstellen wollt, solltet Ihr da einen eigenen DC hinpacken, der dann mit dem LAN synchronisiert und den FX mit AD versorgt.