Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory mit 2 Domänencontroller mit eingeschalteter Windows-Firewall

Mitglied: Fischerle75

Fischerle75 (Level 1) - Jetzt verbinden

15.11.2005, aktualisiert 16.04.2008, 9635 Aufrufe, 6 Kommentare

Windows 2003 Server Std (als Prä-Windows) und Windows NT 4.0 - SP6a Clients.

Moin!


Ich versuche seit Tagen AD mit 2 DC mit eingeschalteter Windows-Firewall zum Laufen zu bringen. Damit AD mit 2 DC reibungslos (Replikation, ... usw.) funktioniert, muss man ja einiges an Ports freigeben. Da standardmäßig für die AD Replikation dynamisch ein Port ausgewählt wird, so habe ich die per Registry auf einen statischen Port gesetzt:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"TCP/IP Port"=dword:0000c000

0000c000 = Port 49152. Auch dieser wurde in der Firewall freigeschaltet (TCP + UDP)

Ports, die freigegeben wurden:

RPC: 135 (TCP, UDP)
RPC static Port: 49152 (TCP, UDP - siehe oben)
Kerberos: 88 (TCP, UDP)
LDAP: 389 (TCP)
LDAP over SSL: 636 (TCP)
Global Catalog LDAP: 3268 (TCP)
Global Catalog LDAP over SSL: 3269 (TCP)
SMB over IP (MS-DS): 445 (TCP, UDP)
DNS: 53 (TCP, UDP)
NTP: 123 (UDP)
NetBIOS name service: 137 (TCP, UDP)
NetBIOS datagram service: 138 (UDP)
NetBIOS session service: 139 (TCP)

Das sind die Ports, die ich aus Microsoft´s Doc´s gefunden habe. Leider will es so nicht funktionieren. Wenn die Firewall ausgeschaltet ist, dann funktioniert wieder alles einfandfrei!

Externe Firewall will ich nicht verwenden, da die DC´s mit Fiber am Backbone angeschlossen sind und mit 1000 MBit/s angesteuert werden. Habe keine Zeit, dafür eine Kiste zusammenzubauen (mit Linux), da ich sonst keine Firewall kenne, die mit 1000 MBit/s angepeilt werden kann.

Hat vielleicht jemand schon mal sowas gemacht? Ich habe das Gefühl, daß da noch mehr Ports frei gegeben werden müssen.

Andere Frage: Gibt es eine Möglichkeit, in der Windows-Firewall einen Portsbereich (z.B. 5000 bis 5020) freizugeben? So muss man jeden einzelnen Ports freigeben.

Danke schon mal für jeden Rat und Hinweis!

Schönen Tag noch,
Alex
Mitglied: ketchup
15.11.2005 um 12:03 Uhr
ich weiß die ports jetzt auch nicht so auswendig.

aber du könntest die firewall ausschalten und im netstat bzw tcpview (sysinternals) oder einem anderen portscan-tool die ports rausfinden.

jürgen
Bitte warten ..
Mitglied: Fischerle75
16.11.2005 um 14:07 Uhr
Auf einen Portscanner bin ich auch schon gekommen.

Da werden aber immer dauernd andere Ports angezeigt (> 1024). Wenn man da soviele freigeben muss, dann hat die Firewall ja nicht mehr die eigentliche Funktion?

Irgendwie ist es mir ein Rätsel, warum zwischen 2 DC nicht immer die gleichen Ports verwendet werden können.

In diversen Doc von MS steht auch nicht wirklich alles drinnen. Mal so, mal so.

Weiß vielleicht jemand einen guten Link, wo sowas definitiv genau beschrieben ist?

Danke schon mal im voraus!

Gruß,
Alex
Bitte warten ..
Mitglied: SMU
16.11.2005 um 15:10 Uhr
Du wirst Dich von dem Wunsch trennen müssen das Du da nur ein oder 5 Ports aufmachst.

Du musst das ganze Microsoft Scheunentor aufschließen.

DNS - Kerberos - das ganze Zeug.

Ich schließe mich meinem Vorredener an.

Lass mal die Ports mitloggen. Aber mindestens 2-3 Stunden.
Du wirst erstaunt sein wie mitteilungsbedürftig diese Kisten sind.

Die Frage die sich mir stellt ist warum Du in Deinem Intranet Firewalls brauchst.
Die Firewall soll doch an sich die Hölle draußen lassen und nicht die User.

Wenn Du die Dienste blocken willst dann musst Du sie schon abschalten und nicht nur die Tür zuschließen.

Also ich würde die Firewall vor das WAN-Loch schieben und nicht im LAN eine Blackbox bauen.

Der Fiberchannel an den Backbone macht doch sowieso keinen Sinn da Du nach der Backbone nur 2 oder 4 oder 6 MBit hast.
Die HardwareFirewalls haben da sowieso nur aus diesem Grund einen 100 MBit Anschluss dran.

Eine wirklich gute Firewall ist SonicWallPro 2040 inkl VPN + Client.
Straßenpreis 1550,- mit Verhandlung kannst Du das Ding aber auch schon für 1100,- bekommen.

Das Ding ist rattenschnell und Du kannst die Flussrichtungen noch bestimmen oder Dir eine DMZ einrichten und nicht bloss die Ports blocken.
DHCP mit Reservierung, Kontentfilter usw.usw.

SMU
Bitte warten ..
Mitglied: Fischerle75
16.11.2005 um 20:26 Uhr
Hi!


Ich will, daß bei den DC´s nur das reinkommen soll, was nötig ist, um u.a. den ganzen Netzwerkverkehr so niedirg wie möglich zu halten und auch, daß keiner mit einem Notbook oder so, die DC´s belästigen kann.

Außerdem sollen dann noch 2 weitere DC´s über WAN (2 MBit/s) verbunden werden und da will ich schon schauen, daß da nicht zuviel unnötiger Traffic erzeugt wird, damit die Daten von der Datenbank freie Bahn haben.

Den Backbine meinte ich hier das lokale Netz, da es bis zum letzten Switch mit Fiber verbunden ist. Sorry, daß ich es so gesagt habe.

Naja, dann werde ich es wohl bleiben lassen müssen.
Bitte warten ..
Mitglied: SMU
17.11.2005 um 12:24 Uhr
Für die WAN-VPN Anbindung da ist doch die SonicWall genau das Richtige.
Du kannst darüber hinaus Dein Netz wirklich sauber halten.

Im Allgemeinen empfehle ich Dir die Netztwerkstandards.
Wenn sowieso alles Gigabit hast wenn interessieren denn da schon 224 kb verrückte Pakete die mehr oder weniger Sinvoll durchs Netz stolpern.

Außerdem ist doch alles geswitcht und der Broadcast hält sich auf grund Deiner Domaincontroller doch in Grenzen.

SMU
Bitte warten ..
Mitglied: eisenkarl
16.04.2008 um 10:00 Uhr
Ich kann dir hier nur den Tip geben, vergiss es! Immer wenn du denkst du hast alles an ports dauert es keine 2 tage und du hast erneut ein problem. Haben wir auch schon versuchtund sind dann zu dem entschluss gekommen die DC´s ohne Firewall zu betreiben. Schalte eine externe (Hardware)Firewall vor
Bitte warten ..
Ähnliche Inhalte
Windows Server

Dieser active directory domänencontroller schein der letzte dns

Frage von homermgWindows Server3 Kommentare

Hallo Leute, ich habe Server 2008 Domäne mit vielen DC's 2008er laufen nun will ich einen der DC mit ...

Windows 10

Windows 10 und Active Directory

Frage von Herbi1984Windows 105 Kommentare

Hi Zusammen, beim Upgrade wurde der Client fürs AD nicht übernommen. Sprich wenn ich jetzt auf die Gruppenrichtlinien unserer ...

Windows Server

Active Directory Vertrauensstellung

Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Windows Server

Active Directory - Umlaute ersetzen

gelöst Frage von duschgasWindows Server5 Kommentare

Hallo liebe Community, Ich besitze ein AD, das historisch gewachsen ist. Unter anderem enthält es Umlaute wie Ä Ü ...

Neue Wissensbeiträge
Sicherheit

Oracle gibt kritische Updates für diverse Produkte frei (16. Oktober 2018)

Information von kgborn vor 9 StundenSicherheit

Oracle hat zum 16. Oktober 2018 eine ganze Reihe an kritischen Updates für seine Produkte freigegeben. Eine Kurzübersicht mit ...

Windows 10
FYI: Fristen beim Windows 10 Downgrade-Recht
Information von kgborn vor 9 StundenWindows 10

Möglicherweise ist das bei euch bekannt - ich habe es gerade aus einem Newsletter eines OEMs herausgefischt. Beim Downgrade-Recht ...

CMS
Freie Wähler Bayern MySQL PW online
Information von sabines vor 12 StundenCMS6 Kommentare

Die Typo3 Installation der Freien Wähler Bayern scheint wohl längere Zeit nicht mehr angefasst und/oder fehlkonfiguriert zu sein. Nach ...

Sicherheit
Adminrechte dank Bug in Intel HD Graphics Treiber
Information von DerWoWusste vor 1 TagSicherheit

Intel HD graphics 4200 und neuer (4400, 4600 520,530,620, 630,) sind auf jeden Fall betroffen und bereinigte Treiber sind ...

Heiß diskutierte Inhalte
Windows 10
Sysprep Fehler im Log kann nicht starten
Frage von grillinator95Windows 1021 Kommentare

Hallo, kann leider SYSPREP nicht mehr starten, Win10 64bit. Logfile sagt folgendes: 2018-10-17 13:44:56, Info SYSPRP 2018-10-17 13:44:56, Info ...

Internet
Ist diese URL denkbar (Syntax)?
gelöst Frage von departure69Internet17 Kommentare

Hallo. Der Sohn eines Arbeitskollegen hat im Gymnasium EDV-Unterricht. Leider hat er in der letzten Klassenarbeit einen Fünfer geschrieben. ...

Debian
Linux debian 9 Installation
Frage von Green14Debian15 Kommentare

Hallo zusammen, ich habe mich ein wenig mit Debian auseinandergesetzt und möchte mir eine Standard-Installation als Grundlage für andere ...

Exchange Server
Outlook Anywhere - Anmeldefenster muss mit Domain gefüllt werden
Frage von leon123Exchange Server15 Kommentare

Hallo zusammen, ich habe relativ erfolgreich einen Exchange 2016 aufgesetzt, sowie ein SAN-Zertifikat eingespielt und Outlook Anywhere aktiviert. Beim ...