Ciao a tutti!!!!
Ho un problemino che non mi sta facendo dormire in queste 2 notti:
La mia configurazione è ipcop che funge da firewall hardware e natta la rete di casa dove vi è il domain controller Win Server 2003.
All'interno della rete tutto funziona tranquillamente e tutti possono agganciarsi al dominio.

Se tento di far joinare un pc esterno alla rete privata di casa, mi restituisce il seguente errore:

Query DNS relativa al record della risorsa Posizione servizio (SRV) utilizzato per trovare un controller per il dominio "blabla.it" riuscita:

La query stata eseguita per il record SRV per _ldap._tcp.dc._msdcs.blabla.it

La query ha identificato i seguenti controller di dominio:

dom2k3dc-01.blabla.it

Le cause pi comuni per questo tipo di errore includono:

1. Mancano i record dell'host (A) che eseguono il mapping del nome del controller del dominio ai relativi indirizzi IP oppure gli indirizzi in esso contenuti sono errati.

2. I controller di dominio registrati in DNS non sono connessi alla rete o non sono in esecuzione.


Il DC lo aggancia, lo vede!!!! e gli ip di puntamento sono giusti!!!!!
Il problema è che se elimino il firewall ed attacco il server all'hag di FW direttamente, eliminando il firewall e mettendo una seconda scheda al server con le relative modifiche di configurazione, tutto funziona regolarmente e sia con nslookup, sia coi join!!!!!

Il dns sembra essere in ordine, ho controllato i puntamenti di ldap, kerberos e gli eventuali host a e sono tutti ok, puntano tutti sul dc!!!!!
Il DNS è il mio server, nessuna zona di trasferimento. I client che tentano il join hanno il mio dns impostato che risolve tutto in qualsiasi caso!!!!
sul firewall ho aperto tutte le porte usate dal 2003 per le comunicazioni di chiavi e tutto!!!!!

cosa diavolo devo aprire!??!?!?!?!?!?!?!
ho visto dai log del firewall che vi sono dei broadcast bloccati in ingresso dall'interfaccia esterna sulle porte 137-138 quando faccio i tentativi di join.....

suggerimenti?
spero di non aver fatto troppo casino nella spiegazione
A questo punto, il problema secondo voi risiede in ipcop?
più che aprire porte a nastro (88, 389, 749, 750, 3268 e per prova le 137-138-139) non so dove andare a guardare

Grazie a tutti!!!!

per aprire le porte intendi che le hai forwardate verso l'ip del dc?

si, esatto
da ipcop forwardate sul server

e hai forwardato tutto? hai provato a dare un'occhiata con windump al traffico per vedere che porte vengono usate?
netbios over tcp/ip è attivato?

eccomi, scusa

per provare ho forwardato tutto... sia in tcp che udp...
il netbios si, è attivato

il server riceve solo la richiesta sulla 53 di ricerca di _ldap._tcp.dc._msdcs.dom2k3.it

mentre su ipcop ho dei log che hanno come sorgente l'ip del client fastweb:137/138 - come destinazione l'indirizzo di broadcast della rete fastweb....

11:31:49.465495 IP FPC-02.1067 > dom2k3dc-01.dom2k3.it.53: 11362+ SRV? _ldap._tcp.dc._msdcs.dom2k3.it. (48)
11:31:49.465627 IP dom2k3dc-01.dom2k3.it.53 > FPC-02.1067: 11362* 1/0/1 (105)
11:31:57.378503 IP FPC-02.1069 > dom2k3dc-01.dom2k3.it.53: 36706+ SRV? _ldap._tcp.dc._msdcs.dom2k3.it. (48)
11:31:57.378623 IP dom2k3dc-01.dom2k3.it.53 > FPC-02.1069: 36706* 1/0/1 (105)2 16.015625 LOCAL 0050BA5E5704 DNS 0xE162:Std Qry Resp. for _ldap._tcp.dc._msdcs.dom2k3.it. of type Srv Loc on class INET addr. DOM2K3DC-01 1.30.224.172 IP

clint ---> server

DNS: Question Entry Count = 1 (0x1)
DNS: Answer Entry Count = 0 (0x0)
DNS: Name Server Count = 0 (0x0)
DNS: Additional Records Count = 0 (0x0)
DNS: Question Section: _ldap._tcp.dc._msdcs.dom2k3.it. of type Srv Loc on class INET addr.
DNS: Question Name: _ldap._tcp.dc._msdcs.dom2k3.it.
DNS: Question Type = Service Location
DNS: Question Class = Internet address class


--------

server----> client

DNS: Additional Records Count = 1 (0x1)
DNS: Question Section: _ldap._tcp.dc._msdcs.dom2k3.it. of type Srv Loc on class INET addr.
DNS: Question Name: _ldap._tcp.dc._msdcs.dom2k3.it.
DNS: Question Type = Service Location
DNS: Question Class = Internet address class
DNS: Answer section: _ldap._tcp.dc._msdcs.dom2k3.it. of type Srv Loc on class INET addr.
DNS: Resource Name: _ldap._tcp.dc._msdcs.dom2k3.it.
DNS: Resource Type = Service Location
DNS: Resource Class = Internet address class
DNS: Time To Live = 600 (0x258)
DNS: Resource Data Length = 29 (0x1D)
DNS: Priority = 0 (0x0)
DNS: Weight = 100 (0x64)
DNS: Port = 389 (0x185)
DNS: Target Name: dom2k3dc-01.dom2k3.it.
DNS: Additional Records Section: dom2k3dc-01.dom2k3.it. of type Host Addr on class INET addr.
DNS: Resource Name: dom2k3dc-01.dom2k3.it.
DNS: Resource Type = Host Address
DNS: Resource Class = Internet address class
DNS: Time To Live = 3600 (0xE10)
DNS: Resource Data Length = 4 (0x4)
DNS: IP address = 192.168.0.1

Sulla 389 non arriva niente ne al dc ne viene loggato niente sul firewall che il suo forward per quella porta da spedire sul 2003

come wins nel client gli metti l'ip del dc? controlla che sia attivo il wins.

wins già attivato e client configurato
ma non si trovano usando i nomi netbios

:muro: :muro: :muro:

beh il fatto che usi il broadcast vuol dire che non risolve i nomi netbios. io proverei a sto punto (visto che mi dici che con il wins la cosa non va) a disattivare il netbios. in questo modo quando il client va a cercare in rete il dc interroghi il dns senza usare il broadcast (questo nella teoria).

in questo modo i log del firewall rimangono puliti....
ma non c'è altra richiesta se non al dns di trovare l'host del dc

DNS: Question Section: _ldap._tcp.dc._msdcs.dom2k3.it. of type Srv Loc on class INET addr.
DNS: Question Name: _ldap._tcp.dc._msdcs.dom2k3.it.
DNS: Question Type = Service Location
DNS: Question Class = Internet address class
DNS: Answer section: _ldap._tcp.dc._msdcs.dom2k3.it. of type Srv Loc on class INET addr.
DNS: Resource Name: _ldap._tcp.dc._msdcs.dom2k3.it.
DNS: Resource Type = Service Location
DNS: Resource Class = Internet address class
DNS: Time To Live = 600 (0x258)
DNS: Resource Data Length = 29 (0x1D)
DNS: Priority = 0 (0x0)
DNS: Weight = 100 (0x64)
DNS: Port = 389 (0x185)
DNS: Target Name: dom2k3dc-01.dom2k3.it.
DNS: Additional Records Section: dom2k3dc-01.dom2k3.it. of type Host Addr on class INET addr.
DNS: Resource Name: dom2k3dc-01.dom2k3.it.
DNS: Resource Type = Host Address
DNS: Resource Class = Internet address class
DNS: Time To Live = 3600 (0xE10)
DNS: Resource Data Length = 4 (0x4)
DNS: IP address = 192.168.0.1

il problema è lui dice di non trovarlo, ma il dns risponde giusto!!!

vai per gradi. prova con un host della lan e vedi se disattivando netbios riesce a fare il join nel dominio.

all'interno ho fatto un po' prove e funziona tranquillamente con il netbios staccato, senza lmhosts e cache ripulita....

per sfizio ho aggirato ancora il firewall attacando il dc all'hag e subito dal client mi ha chiesto le credenziali x joinare....
a questo sto iniziando a delirare, non so più cosa pensare....

mi piacerbbe fare una prova con un fastweb che non sia nei miei ip dell'hag....

Prova a dare un'occhiata qua:
http://howtonetworking.com/index.htm

Spero ti possa essere utile, ciao!

Ci sono riucito!!!!!!!!!!!!

ho provato ad implementare isa 2004 (sto viaggiando di demo, almeno provo pure gli aggiornamenti) attaccando direttamente il server all'hag..... ho eliminato il firewall ipcop.

sbloccato dalla situazione di default che chiude ogni cosa ho provato il join dall'esterno.
di prima botta ho avuto lo stesso errore....
nei log ho visto che bloccava l'accesso alla 389udp e le 2 porte del global catalog (3268/3269)
fatta la regolina almeno x tutto ldap ho avuto la possibilità di portemi registrare!!!!! ora stacco un pc muletto e lo metto fuori x fare le cose complete.
ho ripreso ipcop, rifatto tutte le regole, rimesso a posto il server, tolto isa, pulito x bene ma purtroppo col firewall linux non ne vuole proprio sapere
l'ultima prova sarà vedere se devo aprire le porte di kerberos oppure sono già di default aperte abilitando l'accesso nell'ad.


Scopo raggiunto :D :cincin: :winner: