13
Domainjoin aus anderem VLAN nicht möglich
Hallo zusammen
Leider bekomme ich aus einem anderen VLAN keinen vernünftigen Domainjoin hin, nachdem ich dazu aufgefordert werde mich mit einem AD Konto zu verifizieren erhalte ich den Error das der RPC Server nicht verfügbar sei.
Nach etwas googeln habe ich gelesen das wohl die RPC Ports dynamisch und nicht fest sind, per Registry habe ich diese auf feste Werte gesetzt. (5982 für RPC und 5983 für Netlogon)
(https://learn.microsoft.com/de-DE/troubleshoot/windows-server/identity/r ..)
Dies hat leider nichts gebracht
Was mir jedoch aufgefallen ist, ist dass im AD der Computer angelegt wird. Jedoch wenn ich die fehlermeldung mit dem RPC Server einfach wegdrücke macht er komischerweise den Join weiter, jedoch kann ich mich dann nicht mit AD Konten anmelden weil dann die Meldung kommt das kein Computereintrag in der Datenbank vorhanden sei.
Der RPC Dienst auf dem DC läuft, in den Firewall logs (pfsense) sehe ich auch keine blockierten verbindungen vom DC aus oder umgekehrt.
Vom Client aus lässt sich der Dc auch erreichen und auflösen (ping, nslookup) das gleiche funktioniert auch umgekehrt.
Im anhang ein Bild von der Firewallregel und den Ports im Alias.
Zum Verständnis: im Adminnetwork (192.168.32.0) ist der PC der der Domäne beitreten soll, 192.168.30.6 ist der Domaincontroller.
Hat irgendjemand ne Idee was hier falsch läuft?
Danke für eure Hilfe
Leider bekomme ich aus einem anderen VLAN keinen vernünftigen Domainjoin hin, nachdem ich dazu aufgefordert werde mich mit einem AD Konto zu verifizieren erhalte ich den Error das der RPC Server nicht verfügbar sei.
Nach etwas googeln habe ich gelesen das wohl die RPC Ports dynamisch und nicht fest sind, per Registry habe ich diese auf feste Werte gesetzt. (5982 für RPC und 5983 für Netlogon)
(https://learn.microsoft.com/de-DE/troubleshoot/windows-server/identity/r ..)
Dies hat leider nichts gebracht
Was mir jedoch aufgefallen ist, ist dass im AD der Computer angelegt wird. Jedoch wenn ich die fehlermeldung mit dem RPC Server einfach wegdrücke macht er komischerweise den Join weiter, jedoch kann ich mich dann nicht mit AD Konten anmelden weil dann die Meldung kommt das kein Computereintrag in der Datenbank vorhanden sei.
Der RPC Dienst auf dem DC läuft, in den Firewall logs (pfsense) sehe ich auch keine blockierten verbindungen vom DC aus oder umgekehrt.
Vom Client aus lässt sich der Dc auch erreichen und auflösen (ping, nslookup) das gleiche funktioniert auch umgekehrt.
Im anhang ein Bild von der Firewallregel und den Ports im Alias.
Zum Verständnis: im Adminnetwork (192.168.32.0) ist der PC der der Domäne beitreten soll, 192.168.30.6 ist der Domaincontroller.
Hat irgendjemand ne Idee was hier falsch läuft?
Danke für eure Hilfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2579887286
Url: https://administrator.de/contentid/2579887286
Ausgedruckt am: 19.11.2024 um 20:11 Uhr
13 Kommentare
Neuester Kommentar
Und any:any würde den Join ermöglichen?
2
Moin,
versuche mal Port 135. Evtl. hilft dieser dir weiter.
Der Port dient als „Beiwagen“. Gröbste Erklärung
Gruß
Jannik
versuche mal Port 135. Evtl. hilft dieser dir weiter.
Der Port dient als „Beiwagen“. Gröbste Erklärung
Gruß
Jannik
Moin...
ich würde auch mit any:any gegenprüfen!
dann kannst später dichtmachen wenn es rennt!
Frank
ich würde auch mit any:any gegenprüfen!
dann kannst später dichtmachen wenn es rennt!
Frank
1
Moin,
Yap, any-any um zumindest die firewall ausschließen zu können.
Dann macht es Sinn hier weiter zu machen.
Vg
Celiko
Yap, any-any um zumindest die firewall ausschließen zu können.
Dann macht es Sinn hier weiter zu machen.
Vg
Celiko
Unabhängig dessen fehlt netbios-tcp 139 in der Auflistung.
Guten morgen
Also mit Any:Any funktioniert es...
Auch mit TCP139 in der Liste funktioniert es nicht.
Verstehe aber nicht was hier noch fehlen soll, der log wirft ja nix blockiertes?
Also mit Any:Any funktioniert es...
Auch mit TCP139 in der Liste funktioniert es nicht.
Verstehe aber nicht was hier noch fehlen soll, der log wirft ja nix blockiertes?
Moin..
135 tcp rpc-portmapper
389 tcp + udp ldap
636 tcp ldap ssl
3268 tcp ldap gc
326 tcp ldap gc ssl
53 tcp + udp dns
88 tcp + udp kerberos
445 tcp smb
137-139 tcp + udp (smb für Windows NT)
Für Remotemanagement u.a.m. (DCOM) müssten außerdem alle UDP-Ports geöffnet werden (sie werden dynamisch vergeben).
Frank
135 tcp rpc-portmapper
389 tcp + udp ldap
636 tcp ldap ssl
3268 tcp ldap gc
326 tcp ldap gc ssl
53 tcp + udp dns
88 tcp + udp kerberos
445 tcp smb
137-139 tcp + udp (smb für Windows NT)
Für Remotemanagement u.a.m. (DCOM) müssten außerdem alle UDP-Ports geöffnet werden (sie werden dynamisch vergeben).
Frank
2
Also mit Any:Any funktioniert es...
Unter Diagnostics und Paket Capture hat die pfSense Firewall eine schöne Sniffer Funktion.Capture Filter auf die Host IP des PCs und AD IP setzen und einmal mitsniffern was da beim Join abgeht.
Die gesicherte .pcap Datei kannst du dir bequem mit dem Kabelhai ansehen.
So weisst du sofort welche TCP/UDP Ports verwendet bzw. geblockt werden und welche Regel dir das Bein stellt...
Dr. Google und Microsoft hat auch einiges zu der Thematik:
https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/c ...
https://devopstales.github.io/linux/pfsense-ad-join/
https://www.encryptionconsulting.com/ports-required-for-active-directory ...
Usw. usw.
1
Hallo zusammen,
Ich war leider so blöd und habe den haken bei der letzten Block Regel fürs Loggen nicht drin gehabt, deswegen wurde nichts in den Log geschmissen.
Gerade eben den Domainjoin mit logging gemacht und das ist das ergebnis (siehe Bild)
Ich habe übrigens die Registry einträge wieder rausgelöscht indem ich ein Snapshot eingespielt habe, der DC hat sich durch die Registry einträge irgendwie "komisch" verhalten.
Port 123 für Zeitserver kann ich in das Alias reinmachen, aber wie sieht das mit den 2 anderen Ports aus? ich gehe mal von aus die sind Dynamisch weil Google kann mir zu denen auch nichts sagen. Gibts da ne Portrange von MS?
:
Ich war leider so blöd und habe den haken bei der letzten Block Regel fürs Loggen nicht drin gehabt, deswegen wurde nichts in den Log geschmissen.
Gerade eben den Domainjoin mit logging gemacht und das ist das ergebnis (siehe Bild)
Ich habe übrigens die Registry einträge wieder rausgelöscht indem ich ein Snapshot eingespielt habe, der DC hat sich durch die Registry einträge irgendwie "komisch" verhalten.
Port 123 für Zeitserver kann ich in das Alias reinmachen, aber wie sieht das mit den 2 anderen Ports aus? ich gehe mal von aus die sind Dynamisch weil Google kann mir zu denen auch nichts sagen. Gibts da ne Portrange von MS?
Moin,
in der Liste von Frank fehlen noch die High Ports von RPC: TCP/UDP 49152 – 65535
Gruß,
Dani
in der Liste von Frank fehlen noch die High Ports von RPC: TCP/UDP 49152 – 65535
Gruß,
Dani
1Zitat von @Dani:
Moin,
in der Liste von Frank fehlen noch die High Ports von RPC: TCP/UDP 49152 – 65535
Gruß,
Dani
Moin,
in der Liste von Frank fehlen noch die High Ports von RPC: TCP/UDP 49152 – 65535
Gruß,
Dani
Ich schätze mal das wird die Portrange sein die Blockiert wird (siehe Bild) werde ich später mal testen. Danke!
Zitat von @Dani:
Moin,
in der Liste von Frank fehlen noch die High Ports von RPC: TCP/UDP 49152 – 65535
Gruß,
Dani
Moin,
in der Liste von Frank fehlen noch die High Ports von RPC: TCP/UDP 49152 – 65535
Gruß,
Dani
Okay das war scheinbar tatsächlich die Portrange die gefehlt hat, der AD Join läuft jetzt ohne fehlermeldungen durch. Vielen Dank!
1
