69313
Goto Top

Netzwerk mit Win Server 2003

Hallo,

ich bin Neuling bei Administrator und meine Netzwerk- und Server-Betriebssystem Kenntnisse sind sehr bescheiden daher bitte höflich um Eure Hilfe. Für Lernzwecke habe ich folgendes mini Netzwerk konfiguriert. Beide Rechner sind z.Z. noch über ein Crossover-Kabel verbunden, ein dritter kommt in kürze hinzu.

(Rechner1) Betriebssystem: Win Server 2003 SP2 Enterprise Edition
Bezieht IP-Adresse per APIPA (169.254.239.37)
Server 2003 Firewall ist aktiv (Ausnahmen: Datei und Druckerfreigabe)
Zwei Benutzerkonten: Administrator und Godewind

(Rechner2) Betriebssystem: Win XP Prof. SP2
Bezieht IP-Adresse per APIPA (169.254.230.166)
XP Firewall ist inaktiv
Zwei Benutzerkonten: Administrator und Godewind

Dieses Peer-to-Peer Netzwerk funktioniert einwandfrei, ich kann auf beide Arbeitsgruppen-Computer und freigegebene Ordner zugreifen. Im zweiten Schritt habe ich mit dem Serverkonfigurations-Assistent eine Standardkonfiguration für einen ersten Server erstellt. Statische IP-Adresse: 192.168.0.1, Subnetzmaske: 255.255.255.0. DHCP-Server (192.168.0.10 bis 192.168.0.254), Active Directory und DNS werden installiert. Domainname ist smallbusines.local. Kennwort muss Komplexitätsvoraussetzungen entsprechen habe ich deaktiviert.

Wenn die 2003 Firewall jedoch aktiv ist funktioniert in dieser Client-Server Umgebung nichts mehr. Dank Forumssuche habe ich bereits herrausgefunden das in der 2003 Firewall der DHCP-Server-Port 67 UDP freigegeben werden muß damit der XP-Client auch eine IP (192.168.0.10) vom DHCP-Server erhält.

Hauptproblem ist jedoch das jede Anbindung des XP-Clients in die Domain smallbusiness.local fehlschlägt und zurückgewiesen wird. Zweite Frage: Wenn ich auf einem Client-Server System Order freigebe werden diese nicht in der Netzwerkumgebung aufgeführt wie z.B. in einem Peer-to-Peer Netz.

Schönen Dank für jeden Tip und Gruß .. Godewind

Content-Key: 96170

Url: https://administrator.de/contentid/96170

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: colinardo
colinardo 05.09.2008 um 08:01:56 Uhr
Goto Top
Für den Betrieb eines Domänencontrollers mit Firewall benötig dieser noch weitere offene Ports in der Firewall, siehst du hier

Diese Ports sollten fürs erste ausreichen:

b. on all Domain Controllers in the Forest, add the following two registry values with regedit (or use a .reg file - see References below)
i. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\TCP/IP Port
- DWORD containing the selected TCP port number for AD replication (e.g. 53211 - cfdb (hex))
ii. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\RPC TCP/IP Port Assignment
- DWORD containing the selected TCP port number for FRS (e.g. 53212 - cfdc (hex))


a. Windows Firewall: Protect all network connections - Enabled
b. Windows Firewall: Allow remote administration exception - Enabled (enables port 135 and 445 which are both required for Domain Controllers)
b. Windows Firewall: Allow file and printer sharing exception: - Enabled
c. Windows Firewall: Define port exceptions: - Enabled (in the list of port exceptions below, the * indicates incoming requests from any IP address will be accepted. Other values are possible - see the text on the Setting tab in Group Policy Editor for details. For example, localsubnet may be applicable in some circumstances). The strings below are exactly what needs to be in the list of port exceptions.
123:udp:*:enabled:NTP
3268:tcp:*:enabled:Global Catalog LDAP
389:tcp:*:enabled:LDAP
389:udp:*:enabled:LDAP
53:tcp:*:enabled:DNS
53:udp:*:enabled:DNS
53211:tcp:*:enabled:AD Replication (Note: use the port number selected in 1.b.i above)
53212:tcp:*:enabled:File Replication Service (Note: use the port number selected in 1.b.ii above)
88:tcp:*:enabled:Kerberos
88:udp:*:enabled:Kerberos
Mitglied: 69313
69313 06.09.2008 um 12:41:54 Uhr
Goto Top
Danke Softmeister für den Tip bzw. Beitrag "Portfreigaben für die Firewall eines Server 2003 Domänencontrollers"

Ich habe das Problem zunächst mit dem Sicherheitskonfigurations-Assistent gelöst, mann kann mit den Standardvorgaben dieses Assistenten eine Richtlinie erstellen die alle benötigten Ports in der Firewall freigibt. Alternativ installiere ich das System heute noch einmal neu und versuche selbst die entsprechenden Ports als Ausnahmen in der Firewall zu definieren.

Normalerweise ist ja der Einsatzt des Aktive Directory in einem so kleinen Netz der pure Overkill, aber es dient hier wie erwähnt für Lernzwecke.

Gruß .. Godewind

PS: Enschuldigung .. mit etwas besserer Recherche hätte mann selbst darauf kommen müssen.
Mitglied: aqui
aqui 13.09.2008 um 13:15:23 Uhr
Goto Top