DCG Skrevet 25. juli 2011 Del Skrevet 25. juli 2011 Jeg har behov for å sette opp en terminalserver mot Internettt som skal benyttes av eksterne brukere for å bytte passord på sine brukerkontoer. Planen min er å plassere terminalserveren i DMZ hvor den i utgangspunktet ikke har tilgang til resten av nettverket. Men ettersom den skal være en del av domenet og ha mulighet til å endre passord så må den ha tilgang til en av domenekontrollerene. Spørsmålet er da; hvilke porter er nødvendig for dette? Så vidt jeg kan se så trenger jeg enten å åpne port TCP/389 for LDAP eller TCP/636 for LDAP SSL. Trenger jeg flere porter for å få muligheten til at en bruker endrer passord? Om mulig så satser jeg på å ikke åpne for DNS, men heller lage noen records i hosts-filen på serveren. Lenke til kommentar
CrZy_T Skrevet 25. juli 2011 Del Skrevet 25. juli 2011 Du trenger nok også hvertfall DNS og SMB (for å nå logonscriptet) i tillegg kan NTP også være anbefalt. I tillegg har du en dynamisk "high port" (1025-5000 =<2003 og 49152-65535 >=2008). Lenke til kommentar
xcomiii Skrevet 26. juli 2011 Del Skrevet 26. juli 2011 Har du en Exchange server fra før, er det nok å logge seg på OWA og bytte passord der. Og Exchange CAS servere skal etter MS sine anbefalinger stå i LAN, men med en offentlig NAT'et IP adresse. Du må åpne så mange porter på en server i DMZ som skal være medlem av det interne domenet, at du kan like godt sette opp NAT. Lenke til kommentar
DCG Skrevet 8. august 2011 Forfatter Del Skrevet 8. august 2011 Har sett på dette igjen nå og det er tydeligvis lettere sagt enn gjort. Jeg har fått begrenset en del av de dynamiske portene til å holde seg innenfor et range jeg har kontroll på (5001-5202), samt at jeg har fått åpnet for kjente services (Kerberos, LDAP, etc.). Det som skaper noe problemer er at serveren forsøker å koble seg til andre domenekontrollere jeg ikke har åpnet for og den forsøker å bruke noen porter jeg ikke kjenner helt til. Uansett så ser det ut til å gå fremover. Når det gjelder å bruke Exchange så er det ikke en mulighet da ikke alle brukere nødvendigvis har en mailkonto hos oss og da kan man heller ikke logge på. Lenke til kommentar
xcomiii Skrevet 8. august 2011 Del Skrevet 8. august 2011 Hvis du har lisenser eller penger til det, kan du sette opp en Forefront UAG 2010 server i DMZ. Da får du en webportal som tillater alle brukere å lage nytt passord om det er gått ut på dato. Og da trenger du ikke å styre så mye med porter også, i tillegg til at de trenger ikke RDP klienten heller. Lenke til kommentar
DCG Skrevet 9. august 2011 Forfatter Del Skrevet 9. august 2011 Forefront ser absolutt interessant ut, men pengene skaper en begrensning desverre. Nå ser det uansett ut til at det fungerer som det skal uten så altfor mange porter åpne, det er iallefall mulig for en bruker å endre passordet sitt fra Internett. Må bare få låst ned maskinen med noen GPO'er så mener jeg det er sikkert nok. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå