Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory mit 2 Domänencontroller mit eingeschalteter Windows-Firewall

Mitglied: Fischerle75

Fischerle75 (Level 1) - Jetzt verbinden

15.11.2005, aktualisiert 16.04.2008, 9630 Aufrufe, 6 Kommentare

Windows 2003 Server Std (als Prä-Windows) und Windows NT 4.0 - SP6a Clients.

Moin!


Ich versuche seit Tagen AD mit 2 DC mit eingeschalteter Windows-Firewall zum Laufen zu bringen. Damit AD mit 2 DC reibungslos (Replikation, ... usw.) funktioniert, muss man ja einiges an Ports freigeben. Da standardmäßig für die AD Replikation dynamisch ein Port ausgewählt wird, so habe ich die per Registry auf einen statischen Port gesetzt:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"TCP/IP Port"=dword:0000c000

0000c000 = Port 49152. Auch dieser wurde in der Firewall freigeschaltet (TCP + UDP)

Ports, die freigegeben wurden:

RPC: 135 (TCP, UDP)
RPC static Port: 49152 (TCP, UDP - siehe oben)
Kerberos: 88 (TCP, UDP)
LDAP: 389 (TCP)
LDAP over SSL: 636 (TCP)
Global Catalog LDAP: 3268 (TCP)
Global Catalog LDAP over SSL: 3269 (TCP)
SMB over IP (MS-DS): 445 (TCP, UDP)
DNS: 53 (TCP, UDP)
NTP: 123 (UDP)
NetBIOS name service: 137 (TCP, UDP)
NetBIOS datagram service: 138 (UDP)
NetBIOS session service: 139 (TCP)

Das sind die Ports, die ich aus Microsoft´s Doc´s gefunden habe. Leider will es so nicht funktionieren. Wenn die Firewall ausgeschaltet ist, dann funktioniert wieder alles einfandfrei!

Externe Firewall will ich nicht verwenden, da die DC´s mit Fiber am Backbone angeschlossen sind und mit 1000 MBit/s angesteuert werden. Habe keine Zeit, dafür eine Kiste zusammenzubauen (mit Linux), da ich sonst keine Firewall kenne, die mit 1000 MBit/s angepeilt werden kann.

Hat vielleicht jemand schon mal sowas gemacht? Ich habe das Gefühl, daß da noch mehr Ports frei gegeben werden müssen.

Andere Frage: Gibt es eine Möglichkeit, in der Windows-Firewall einen Portsbereich (z.B. 5000 bis 5020) freizugeben? So muss man jeden einzelnen Ports freigeben.

Danke schon mal für jeden Rat und Hinweis!

Schönen Tag noch,
Alex
Mitglied: ketchup
15.11.2005 um 12:03 Uhr
ich weiß die ports jetzt auch nicht so auswendig.

aber du könntest die firewall ausschalten und im netstat bzw tcpview (sysinternals) oder einem anderen portscan-tool die ports rausfinden.

jürgen
Bitte warten ..
Mitglied: Fischerle75
16.11.2005 um 14:07 Uhr
Auf einen Portscanner bin ich auch schon gekommen.

Da werden aber immer dauernd andere Ports angezeigt (> 1024). Wenn man da soviele freigeben muss, dann hat die Firewall ja nicht mehr die eigentliche Funktion?

Irgendwie ist es mir ein Rätsel, warum zwischen 2 DC nicht immer die gleichen Ports verwendet werden können.

In diversen Doc von MS steht auch nicht wirklich alles drinnen. Mal so, mal so.

Weiß vielleicht jemand einen guten Link, wo sowas definitiv genau beschrieben ist?

Danke schon mal im voraus!

Gruß,
Alex
Bitte warten ..
Mitglied: SMU
16.11.2005 um 15:10 Uhr
Du wirst Dich von dem Wunsch trennen müssen das Du da nur ein oder 5 Ports aufmachst.

Du musst das ganze Microsoft Scheunentor aufschließen.

DNS - Kerberos - das ganze Zeug.

Ich schließe mich meinem Vorredener an.

Lass mal die Ports mitloggen. Aber mindestens 2-3 Stunden.
Du wirst erstaunt sein wie mitteilungsbedürftig diese Kisten sind.

Die Frage die sich mir stellt ist warum Du in Deinem Intranet Firewalls brauchst.
Die Firewall soll doch an sich die Hölle draußen lassen und nicht die User.

Wenn Du die Dienste blocken willst dann musst Du sie schon abschalten und nicht nur die Tür zuschließen.

Also ich würde die Firewall vor das WAN-Loch schieben und nicht im LAN eine Blackbox bauen.

Der Fiberchannel an den Backbone macht doch sowieso keinen Sinn da Du nach der Backbone nur 2 oder 4 oder 6 MBit hast.
Die HardwareFirewalls haben da sowieso nur aus diesem Grund einen 100 MBit Anschluss dran.

Eine wirklich gute Firewall ist SonicWallPro 2040 inkl VPN + Client.
Straßenpreis 1550,- mit Verhandlung kannst Du das Ding aber auch schon für 1100,- bekommen.

Das Ding ist rattenschnell und Du kannst die Flussrichtungen noch bestimmen oder Dir eine DMZ einrichten und nicht bloss die Ports blocken.
DHCP mit Reservierung, Kontentfilter usw.usw.

SMU
Bitte warten ..
Mitglied: Fischerle75
16.11.2005 um 20:26 Uhr
Hi!


Ich will, daß bei den DC´s nur das reinkommen soll, was nötig ist, um u.a. den ganzen Netzwerkverkehr so niedirg wie möglich zu halten und auch, daß keiner mit einem Notbook oder so, die DC´s belästigen kann.

Außerdem sollen dann noch 2 weitere DC´s über WAN (2 MBit/s) verbunden werden und da will ich schon schauen, daß da nicht zuviel unnötiger Traffic erzeugt wird, damit die Daten von der Datenbank freie Bahn haben.

Den Backbine meinte ich hier das lokale Netz, da es bis zum letzten Switch mit Fiber verbunden ist. Sorry, daß ich es so gesagt habe.

Naja, dann werde ich es wohl bleiben lassen müssen.
Bitte warten ..
Mitglied: SMU
17.11.2005 um 12:24 Uhr
Für die WAN-VPN Anbindung da ist doch die SonicWall genau das Richtige.
Du kannst darüber hinaus Dein Netz wirklich sauber halten.

Im Allgemeinen empfehle ich Dir die Netztwerkstandards.
Wenn sowieso alles Gigabit hast wenn interessieren denn da schon 224 kb verrückte Pakete die mehr oder weniger Sinvoll durchs Netz stolpern.

Außerdem ist doch alles geswitcht und der Broadcast hält sich auf grund Deiner Domaincontroller doch in Grenzen.

SMU
Bitte warten ..
Mitglied: eisenkarl
16.04.2008 um 10:00 Uhr
Ich kann dir hier nur den Tip geben, vergiss es! Immer wenn du denkst du hast alles an ports dauert es keine 2 tage und du hast erneut ein problem. Haben wir auch schon versuchtund sind dann zu dem entschluss gekommen die DC´s ohne Firewall zu betreiben. Schalte eine externe (Hardware)Firewall vor
Bitte warten ..
Ähnliche Inhalte
Windows Server

Dieser active directory domänencontroller schein der letzte dns

Frage von homermgWindows Server3 Kommentare

Hallo Leute, ich habe Server 2008 Domäne mit vielen DC's 2008er laufen nun will ich einen der DC mit ...

Windows 10

Windows 10 und Active Directory

Frage von Herbi1984Windows 105 Kommentare

Hi Zusammen, beim Upgrade wurde der Client fürs AD nicht übernommen. Sprich wenn ich jetzt auf die Gruppenrichtlinien unserer ...

Windows Server

Active Directory Vertrauensstellung

Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Windows Server

Active Directory - Umlaute ersetzen

gelöst Frage von duschgasWindows Server5 Kommentare

Hallo liebe Community, Ich besitze ein AD, das historisch gewachsen ist. Unter anderem enthält es Umlaute wie Ä Ü ...

Neue Wissensbeiträge
Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 1 TagHumor (lol)4 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 1 TagExchange Server6 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 2 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 2 TagenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Heiß diskutierte Inhalte
DSL, VDSL
Router Neustarts
Frage von XerebusDSL, VDSL16 Kommentare

Hallo an alle, ich hab eine Problem mit dem Neustart von meiner Fritz Box wo ich einfach nicht mehr ...

Netzwerke
Netzwerk-Architektur mit VLANs
Frage von niLuxxNetzwerke14 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Ich werde in Kürze das Netzwerk unserer (sehr) kleinen Firma ...

Webbrowser
Neuer Tab Firefox
gelöst Frage von BleifussWebbrowser12 Kommentare

Hallo, via Strg + T öffnet man ja einen neuen Tab. Gibt es die Möglichkeit, dass der Tab sich ...

Windows Server
2 DCs Hierarchie umkehren
Frage von TuberPlaysWindows Server11 Kommentare

Hallo, wir hatten bisher 1 Domain Controller in einer VM. Nun kam noch ein zusätzlicher Domain Controller auf einem ...