پورتهای باز اینترنت مورد نیاز سرور DC و DNS
سلام
برای یک سرور اکتیو دایرکتوری و DNS چه پورتهای برای دسترسی به اینترنت باید باز باشه ؟
تشکر
8 پاسخ
سلام ، من منظورتون رو متوجه نشدم. لطفا سناریوتون رو بیشتر توضیح بدید.
سلام
ممنون
مشکل اینجاست که وقتی کاربران از سما فایروال احراز هویت مشن بدون مشکل به اینترنت دسترسی دارند و سایتها باز میشه
ولی ما اومیدم چند تا سایت بدون احراز هویت باز گذاشتیم تا همکار وارد اون سایت بشه
حالا زمانی که سرور اکتیو دایرکتوری و DNS که با هم هست اینترنت داره سایتها بالا میاد
ولی وقتی اینترنت DC قطع میشه دیگه این سایتها بالا نمیاد( سایت را با آی پی بالا میاره و لی با اسم دومین بالا نمیاد)
تشکر
سلام
در سوفوس 4.2.2.4 و 5.200.200.200 و 9.9.9.9
در Tab Forwarders، آدرس IP قرار ندادم
بله با اینترنت نداشتن سرور DC، کاربرهایی که برای دسترسی به اینترنت احراز هویت می شوند، می توانند سایت ها را به اسم باز کنند.
کربران از VPN استفاده نمیکنند
تشکر
سلام
همانطور که قبلا هم خدمتتون عرض کردم، دیدی نسبت به تنظیمات شما در حوزه DNS و Sophos و معماری شبکه شما ندارم و شما خودتون به این قضیه اشراف کاملتری دارید. اما با توجه به توضیحات شما مسیله در تنظیمات پالیسی در Sophos و تنظیمات DNS هستش. برای روشن شدن این موضوع راه حلی که پیشنهاد می کنم، بر روی سیستمی که طبق فرمایش خودتون قرار احراز هویت صورت نگیره Wireshark اجرا کنید تا مشخص بشه مشکل از کجاست.
اما طرح مناسب برای Resolve شدن آدرس های اینترنتی بدین شکل هستش که بر روی یک ویندوز سرور رل DNS را نصب کنید، نیازی به ساخت هیچ زونی بر روی این DNS سرور نیست. سپس داخل کنسول مدیریتی DNS به تب Forwarder برید و آدرس IP های DNS Public مثل (4.2.2.4، 8.8.8.8) و آدرس DNS سرویس Provider را وارد کنید، این سرور هم بر روی پرت 53، پروتکل TCP به سمت اینترنت دسترسی داشته باشد. بر روی DNS موجود در سرور DC هم در تب Forwarder، آدرس IP سروری که راه اندازی کردید را به عنوان Forwarder در این بخش وارد می کنید. (ارتباط Network ای هم بین DC و سرور DNS جدید بر روی پرت 53 هم پیش فرض باید برقرار شود.)
DNS کلاینت ها هم آدرس IP سرور DC می باشد.
سلام
یک دستگاه utm هست سوفوس
هر کاربری یوزر و پسوردی داره که اینترنت با استفاه از اون براش باز میشه
حالا ما اومدیم و چند تا سایت کلا باز گذاشتیم که اگر کاربر کاربر و ورمزش را هم نزد سایت بالا بیاد
مشکل اینجاست که زمانی که سرور اکتیو و دی ان اس وقتی اینترنت ندارند ، بدون احراز هویت دیگه سایتها بالا نمیاد
ولی وقتی سرور اکتیو و دی ان اس اینترنت دارن اون سایتها هم پشت سیستم کاربرا بالا میاد
ظاهرا مشکل ارتباط دی ان اس هست
سلام
خواهش می کنم من این بخش از پاسختون را متوجه نشدم
مشکل اینجاست که وقتی کاربران از سما فایروال احراز هویت مشن بدون مشکل به اینترنت دسترسی دارند و سایتها باز میشه
ولی ما اومیدم چند تا سایت بدون احراز هویت باز گذاشتیم تا همکار وارد اون سایت بشه
1. منظورتون از اینکه سمت فایروال احراز هویت میشن یا یکسری از سایت ها نیاز به احراز هویت ندارند، متوجه نشدم
2. منظور شما از فایروال سرویس Accounting اینترنت هستش؟
3. وقتی که سرور DC اینترنت ندارد سایت هایی که بدون احراز هویت هستند (طبق فرمایش خودتون)، با آدرس IP باز می شوند؟
4. سرور DC زمانی که اینترنت ندارد، سایت های بدون احراز هویت که گفتین از اسم (یعنی آدرس سایت) به آدرس IP و بالعکس Resolve می شوند؟
سلام
اگر از سوفوس همان Cyberoam سابق منظورتون باشه، یا به طور کلی یک بخشی بود به اسم FQDN Host که دقیقا شما آن وبسایت ها را آونجا تعریف می کنید و یک FQDN Host Group ایجاد و تمامی آدرس سایت ها را به آن اضافه می کنید و سپس در قسمتی که رول ها تعریف می شوند، مشخص می کنید که از هر آدرسی بدون احراز هویت به آن FQDN Host Group مورد نظر دسترسی داشته باشند، از آنجایی که دیدی نسبت به تنظیمات شما در سوفوس ندارم، ممکن یک بخشی برای تنظیم جا مانده باشد.
بر روی سوفوس آدرس IP برای DNS چه آدرس IP هایی گذاشتین؟
داخل کنسول DNS در سرور DC، آیا در Tab Forwarders، آدرس IP گذاشتین؟
آیا با اینترنت نداشتن سرور DC، کاربرهایی که برای دسترسی به اینترنت احراز هویت می شوند، می توانند سایت ها را به اسم باز کنند؟
کاربرا برای اینکه اینترنت داشته باشند با VPN به سرویس Accounting وصل می شوند، یا به واسطه SSO به اینترنت دسترسی دارند؟
سلام
سوالتون کمی مبهم هستش، اما اگر اشتباه برداشت کردم، شما اصلاح کنید. قصد دارید برای سرور Domain Contrller که سرویس Active Directory و DNS نصب شده است بر روی یکسری پرت خاص به اینترنت دسترسی دهید.
این دسترسی که قرار به سمت اینترنت یا از اینترنت به سمت سرور فراهم کنید برای یک شبکه ای هستش که خانگی هستش، یا به صورت تستی برای تمرین و آگاهی راه اندازی کردید یا برای سرویس و شبکه سازمان، ارگان یا شرکتی قصد دارید این کار را انجام دهید. اگر شبکه شما از دسته دوم باشد یعنی یک شبکه واقعی می باشد، چه از اینترنت به سمت سرور و چه از سرور به سمت اینترنت هیچ پرتی نباید فعال باشد، چون با این کار سرورها، سرویس ها و شبکه مورد نظر را در معرض خطر جدی قرار خواهید داد.
اگر بپرسید که برای تنظیم PDC Emulator و Sync کردن ساعت سرور ها و کلاینت ها پس چه باید کرد؟! می بایست NTP Server راه اندازی کنید.
پس برای آپدیت کردن سرور چه باید کرد؟! (منظورم برای همین سرور DC که گفتین، البته سایر سرور ها و کلاینت ها هم شامل می شوند)
پیاده سازی Patch Management مثل سرویس WSUS.
اگر هم بپرسید برای گرفتن DNS Query از اینترنت چه باید کرد؟! باید DNS سرور از نوع Caching Only یا Resolver پیاده سازی کنید.
در نهایت اگر برای پیاده سازی این حداقل ها از نظر بودجه و منابع امکانش فراهم نیست، ریسک داشتن دسترسی به اینترنت از سرور DC و DNS و آسیب پذیری آنها را باید در نظر داشته باشید.