Imansible ricall il server LDAP nella port 389 del controller di dominio Win2K da una substring diversa

Ho un problema piuttosto sconcertante con l'accesso LDAP a Active Directory in un dominio di Windows. La configuration è la seguente:

  • Ci sono due reti principali: 192.168.0.0/24 e 192.168.100.0/24
  • Queste reti sono collegate a un collegamento OpenVPN (la networking di trasferimento è 192.168.201.0/30)
  • Un controller di dominio che esegue Windows 2000 SP3 Server e Exchange 2000 nella networking 192.168.0.0/24
  • Routing appropriato
  • Entrambe le sottoreti registrate con il sito nel Snap-in Siti e Servizi

Quasi tutto funziona: gli utenti delle macchine in entrambe le reti possono accedere, accedere alle parti SMB sui file server della networking 192.168.0.0/24, utilizzare Outlook con il loro account di scambio e così via. Inoltre, tutte le query DNS, inclusi i record SRV specifici AD (ad esempio _ldap._tcp.dc._msdcs. $ DOMAINNAME), indicano i luoghi corretti

  • Come posso triggersre le richieste HTTP / HTTPS in output su un EC2 in una substring pubblica all'interno di un VPC su Amazon AWS
  • Accedi l'impronta digitale, il dominio è ampio
  • Ricerca di un tree LDAP con una wildcard per un livello di nodo?
  • Come esportre l'elenco di protezione AD in Excel
  • Come distriggersre l'accesso anonimo su LDAP
  • Come ripristinare la directory triggers di Windows Server 2003 R2 - Ottenere un errore 0xc00006a
  • Non esiste alcun firewall sul collegamento OpenVPN.

    Ora il problema: non posso interrogare il server LDAP LD (NTDS, port 389) da qualsiasi computer della networking 192.168.100.0/24. È interessante notare che le query LDAP sul Catalogo Globale (port 3268 sullo stesso server) funzionano perfettamente. Ho anche un collegamento alla port 389, ma viene resettato immediatamente dal server.

    Non ci sono voci sospette nel registro events di servizio directory (interface LDAP), anche con il massimo livello di log ansible.

    Qui l'esempio di output dello strumento LDP che cerca di connettersi alla DC a 192.168.0.1:

     0x0 = ldap_unbind (ld);
     ld = ldap_open ("192.168.0.1", 389);
     Collegamento stabilito a 192.168.0.1.
     Recupero delle informazioni DSA di base ...
     Errore del server: <empty>
     Errore <94>: ldap_parse_result fallito: Nessun risultato presente nel messaggio
     Ottenere 0 voci:
    

    Tutto ciò che ho trovato sul Web dice le stesse due cose, fondamentalmente: "controlla il DNS" e "controlla il firewall". Beh, ho duplicato e triplo controllato sia il DNS che il IP routing / filtraggio, e sembra che andiamo bene.

    Avete altre idee where guardare e cosa controllare? Mi piacerebbe avere una risposta. Se hai bisogno di ulteriori informazioni diagnostiche, sarò lieto di fornirlo.

    Aggiornare

    Grazie alla risposta di Adamo, sono stato in grado di ridurre ulteriormente il problema. Il problema è che tutto il traffico verso la networking 192.168.0.0/24 sulla port 389 in qualche modo viene ingannato dalla macchina OpenVPN è in esecuzione. Ciò accade a prescindere da quale macchina di destinazione cerco di connettersi alla port 389 / tcp e anche a prescindere dal fatto che la macchina di destinazione effettivamente ascolta la port 389. Qualsiasi altra port (ad esempio, 390) funziona bene e ottengo una connessione o un messaggio "connessione rifiutata" se nessun process sta ascoltando su quella port.

    Port 389 / udp funziona bene.

    Cosa può causare un server Windows 2000 a bloccare il traffico in questo modo molto selettivo?

    Aggiorna 2

    Per ridurre al minimo le interazioni tra i servizi DC / NTDS e OpenVPN, ho spostato il server OpenVPN in un'altra macchina (e ho cambiato il routing IP di conseguenza). Ora posso collegarmi a qualsiasi macchina tranne la DC sulla port 389 / tcp. Tuttavia, se cerco di connettersi al server LDAP sulla DC sulla port 389 / tcp dalla networking 192.168.100.0/24, il server LDAP chiude immediatamente la connessione, quindi in fondo torno al quadrato.

    Qualche idea come convincere il NTDS a parlare con un'altra networking? O forse qualche soluzione?

    2 Solutions collect form web for “Imansible ricall il server LDAP nella port 389 del controller di dominio Win2K da una substring diversa”

    3 domande:

    1. Può ricall la port 389 / tcp da un computer sulla stessa LAN con il server LDAP?
    2. Il server OpenVPN è il "firewall" tra quei lan, o esiste un terzo gateway? Quali sono i sisthemes operativi per questi dispositivi?
    3. Nella LAN in cui si trova il server LDAP è ansible impostare una macchina e eseguire un listener netcat sulla port 389 / tcp? In caso affermativo, la connessione viene ripristinata immediatamente o no?

    ms ldap ha un problema che consente di reimpostare immediatamente le nuove connessioni su tcp 389

    http://support.microsoft.com/kb/2000061

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.