locked
Peticiones LDAP aleatorias en todo el bosque de dominio? RRS feed

  • Pregunta

  • Buenas,

    hemos detectado desde los firewalls ubicados en sudominios, peticiones por el puerto 389 de algunos equipos , ubicados fisicamente en nuestro dominio padre.
    Los servidores DNS esta correctamente configurados en su contexto, pero aleatoriamente salta el aviso en los firewalls de un intento de acceso a los DC ubicados en dominios hijos.

    Lo unico que mas o menos hemos podido sacar en claro es que este comportamiento, los 7/8 PC que hemos detectado son todos Windows 7. 

    Todos funcionan correctamente y no presentan ningun tipo de incidencia, pero desde el departamento de seguridad , logicamente les ha llamado la atencion.

    Sabeis si hay algun tipo de BUG que haga que los W7 realizen este tipo de conexiones sin motivo?

    Gracias

    miércoles, 28 de marzo de 2012 7:45

Respuestas

  • Hola Eskaiguolker

    La puerta 389 que la de comunicación de LDAP, realmente creo que no sea ningún problema.

    El Exchange también puede utilizar la misma puerta.

    No puede ser algo de exchange?  

    http://support.microsoft.com/kb/240078/es


    Saludos.


    Eduardo Portescheller - LATAM Forum Support Engineer
    Microsoft Corporation


    viernes, 30 de marzo de 2012 12:38
  • Hola Eskaiguolker,

    Creo que estas peticiones pueden estar relacionadas con un intento de localización o comprobación de disponibilidad de los DC´s del bosque, no llego a entender el porque de la consulta es desde equipos el dominio padre hacia los DC´s de los dominios hijos, me imagino que dichos DC´s serán servidores de catalogo global, en este sentido disponen de una copia del esquema completo del bosque e intuyo que estas peticiones serán consultas al mismo. En el siguiente link tienes información detallada de como funcionan las búsquedas a lo largo de AD, que son de tipo LDAP, quizás con esta información y un analizador de red puedas sacar algo más en claro.

    http://technet.microsoft.com/es-es/library/cc755809%28v=ws.10%29.aspx

    Suerte

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    viernes, 30 de marzo de 2012 14:35

Todas las respuestas

  • Hola Eskaiguolker,

    Estas peticiones ¿Son de equipos situados en los dominios hijos hacia los Dc´s del dominio padre?

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    miércoles, 28 de marzo de 2012 9:00
  • Buenas Grego,

    no al contrario. 

    Son equipos situados en el dominio padre hacia los DC hijos

    Gracias!!

    miércoles, 28 de marzo de 2012 9:19
  • Hola Eskaiguolker

    La puerta 389 que la de comunicación de LDAP, realmente creo que no sea ningún problema.

    El Exchange también puede utilizar la misma puerta.

    No puede ser algo de exchange?  

    http://support.microsoft.com/kb/240078/es


    Saludos.


    Eduardo Portescheller - LATAM Forum Support Engineer
    Microsoft Corporation


    viernes, 30 de marzo de 2012 12:38
  • Hola Eskaiguolker,

    Creo que estas peticiones pueden estar relacionadas con un intento de localización o comprobación de disponibilidad de los DC´s del bosque, no llego a entender el porque de la consulta es desde equipos el dominio padre hacia los DC´s de los dominios hijos, me imagino que dichos DC´s serán servidores de catalogo global, en este sentido disponen de una copia del esquema completo del bosque e intuyo que estas peticiones serán consultas al mismo. En el siguiente link tienes información detallada de como funcionan las búsquedas a lo largo de AD, que son de tipo LDAP, quizás con esta información y un analizador de red puedas sacar algo más en claro.

    http://technet.microsoft.com/es-es/library/cc755809%28v=ws.10%29.aspx

    Suerte

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    viernes, 30 de marzo de 2012 14:35
  • Hola Eduardo,

    no puede ser exchange, no lo tenemos instalado en la organizacion.

    Saludos!

    lunes, 2 de abril de 2012 7:12
  • Buenas Grego,

    el caso es que acudía aquí por si alguno de vosotros conocía este comportamiento, en mi caso es aleatorio de ciertos equipos clientes y no todos.
    Pero como es tan "escandaloso" en los firewalls perimetrales, llena logs etc etc.
    Aparte es que no tiene sentido que un equipo del dominio padre busque consular en un hijo, no hay motivo para ello, administrativamente tiene todos sus recursos localmente.

    El tema del analizador de red ya lo hemos hecho pero se queda en la capa 4 y no puedo identificar la aplicación en concreto que genera la petición.

    Se que al menos en el caso en el que lo he probado la peticion se ha realizado a primera hora de la mañana cuando el usuario ha iniciado sesión y en otra ocasión pasadas unas horas.

    Así que realmente estoy en punto muerto respecto a mis averiguaciones.

    El otro dato es que los equipos clientes parecen ser todos Windows 7, de hay mi pregunta, pensaba que este SO hacia algun tipo de pregunta LDAP a niveles que no debe o no necesita.

    lunes, 2 de abril de 2012 7:24