Globale AD-Gruppe wird nicht "verteilt"

1. offizieller Beitrag

    Hallo,


    habe hier einen Globale Sicherheitsgruppe, die den Zugriff an unserem Frontendserver in der DMZ regelt.


    Nun habe ich einen Benutzer aus der Gruppe entfernt, das kümmert aber den Frontendserver nicht.


    Meines Erachtens bekommt der Frontend keine Update zu dieser Gruppe.


    Ist das möglich, bzw. kann ich das irgendwie überprüfen?



    Bernd

    Hi Heinz


    es sind ALLE Ports in beiden Richtungen offen und ich habe keinerlei Log, das was geblockt werden würde.


    Und - es hat ja schon mal funktioniert.


    Bernd

    • Offizieller Beitrag

    Guten Morgen Zusammen :)


    verstehe im Moment die Problematik nicht ganz :-?


    Du hast eine Globale Gruppe, die mehrere User beinhaltet. Einen dieser User hast Du entfernt.
    Soweit soklar :)


    Diese Gruppe regelt den zugriff auf Deinen FE; nachdem u den User entfernt hast, hat er immer noch Zugriff auf den FE, richtig?


    Die Gruppe liegt doch auf dem DC /im AD, richtig?


    Ess ieht ja folgender massen aus. Beim Anmeldevorgang wird geprüft, in welchen Gruppen befindet sich der User; dann bekommt der User ein "Anmeldetoken" in dem die gruppenmitgliedschaften eingetragen sind.
    Greift ein User jetzt auf irgendein Sicherheitsprinzipal zu, wird in dem Token geprüft ob der User berechtigt ist darauf zuzugreifen. Dementsprechend erhält er zugriff oder auch nicht.


    Die Änderungen in Gruppen werden auf alle DC`s repliziert; dies dauert (gem Standarteinstellung) 5 -15 min; je nachdem wieviele DC´s ihr habt.
    Danach sollte nach erneuter Anmeldung die Änderung Wirksam sein :)


    Kann es sein, dass bei Dir der User durch Verschachtelung von Gruppen immer noch berechtigungen hat (ist in der Globalen Gruppe noch eine andere Globale Gruppe intergiert in der sich der User befindet?)


    Denn ich denke mal, dass der FE auch nichts anderes macht, als beim DC zu prüfen ob der User Zugriff hat oder nicht?


    Ich hoffe ich habe hier nicht falsch verstanden, wenn doch, bitte verbessert mich :P

    Hallo Sascha,


    die Gruppenzugehörigkeit ist bei dieser Konfiguration umngedreht. Jeder Benutzer, der Mitglied in der Gruppe owa_verboten ist, hat KEINEN OWA-Zugriff über den FE-Server in der DMZ.
    Ist nicht schön, geht aber nicht anders. Wir haben das tagelang ausgetestet. Die Gruppe owa_verboten musste ich bei zwei Einstellungen in der "Lokalen Sicherheitsrichtlinie" hinzufügen. Habe die Konfig jetzt nicht hier, aber die Punkte nannten sich meiner Erinnerung nach "Lokale Anmeldung verweigern" und "Zugriff über das Netzwerk verweigern".


    Aber egal, die Konfig hatte eigentlich wunderbar funkioniert und jeder Benutzer der in dieser Gruppe war, dem wurde der Zugang auch wirklich verboten.


    Und jetzt geht es nicht mehr. Da in dieser Gruppe NUR Benutzer enthalten sind, sollte es auch kein Problem mit irgendwelchen Verschachtelungen geben.


    Da aber die "früheren" Einstellungen noch aktiv sind - also ich meine, Benutzer die ich vor ca. zwei Wochen aus der Gruppe entfernt habe, haben auch wirklich noch einen Zugriff - meine ich, dass der FE die Gruppe irgendwie nicht aktualisiert. Liegen die Miglieder in irgendeinem Cache am FE-Server und kann ich das prüfen?


    Lieder wüsste ich momentan nicht, wo ich nach der Ursache suchen soll.


    Wir haben 4 DCs, den Synch habe ich mit Replmon schon mehrmals angestossen und die FE-Server habe ich auch schon mehrmals gebootet.


    Mir ist noch aufgefallen, dass es in der Lokalen Sicherheitsrichtlinie Einträge in der Art "S-123424-23" gibt. Bedeutet das nicht, dass der FE irgendwelche Sachen nicht korrekt auflösen kann, bzw. irgendwas mit dem AD nicht passt?


    Grüsse Bernd

    • Offizieller Beitrag

    Hi,


    die nummer ist die SID eines Objektes, welches nicht mehr vorhanden ist. (Leiche)


    Wenn die Informationen in allen DCs repliziert wurde, sollte der FE diese insfo auch haben. Nach dem Neustart sollte auch ein eventueller Cache nicht mehr da sein.


    Die Funktion, ob ein Anwender OWA verwenden kann, geht so weit mit bekannt nur über die Eigenschaften des AD Benutzerobjektes. Da kannst Du über "Exchange Aufgaben" einstellen, ob diese Funktion aktiv oder inaktiv ist.


    Dies über eine Gruppe zu steuern ist mir neu. Bist Du sicher, dass dies mit der Gruppe auch sauber funktioniert hat und nicht nur bei dem Benutzer deaktiviert wurde?


    Gruss
    Heinz

    • Offizieller Beitrag

    Guten Morgen Bernd,


    ok, verstehe; die User in der Gruppe haben keinen Zugriff auf den FE.
    Das ändert aber grundsätzlich nichts an der Sache wie geprüft wird ob der user Zugriff bekommt oder nicht (siehe mein Post vorher).
    Das Du plötzlich eine SID in der Gruppe hast ist nicht normal; Es kann sich hier tatsächlich um eine "Leiche" handeln, oder Dein FE hat keinen Zugriff auf den DC.


    Du kannst mit den Tool "SID2User" (such mal bei Google) ja mal prüfen wer hinter der SID steckt. Wenn der User nicht gelöscht wurde kannst Du ihn so wieder ausfindig machen.
    Dann weisst Du weinigstens um wen es sich handelt :)


    Check nochmal Deine Firewall; ich denke es müsste der normale LDAP-Port offen sein für die Anfrage im AD (ich glaube es ist Port 389)

    • Offizieller Beitrag

    Hallo,


    aber jetzt mal eine generelle Frage.


    Was für eine FW habt ihr denn im Einsatz?
    Wenn das ISA 2004 + ist, dann würde ich dringend empfehlen, den FE Server aus der DMZ zu holen und im LAN bereitstellen.


    Du kannst nämlich über ISA das Publishing machen und so sind deine AD Infos sehr viel sicherer.


    FE in der DMZ war vor 3,4,5 Jahren aktuell.