3
Welche Ports für die Anmeldung von Clients am DC
Hallo allerseits,
ich habe die Situation, daß ich zwischen einem DomainController und den Clients eine Firewall habe. Welche Ports muß die Firewall durchlassen, damit das funktioniert?
ich habe die Situation, daß ich zwischen einem DomainController und den Clients eine Firewall habe. Welche Ports muß die Firewall durchlassen, damit das funktioniert?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 32715
Url: https://administrator.de/contentid/32715
Printed on: April 20, 2024 at 00:04 o'clock
3 Comments
Latest comment
Hi!
Folgende Ports des Domain Controllers müssen erreichbar sein:
135 tcp rpc-portmapper
389 tcp + udp ldap
636 tcp ldap ssl
3268 tcp ldap gc
326 tcp ldap gc ssl
53 tcp + udp dns
88 tcp + udp kerberos
445 tcp smb
137-139 tcp + udp (smb für Windows NT)
Für Remotemanagement u.a.m. (DCOM) müssten außerdem alle UDP-Ports geöffnet werden (sie werden dynamisch vergeben).
Das wäre für eine Firewall-Konfiguration untragbar. Eine gewisse Abhilfe schafft ein Registry-Eintrag am Server :
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Key "Internet" erstellen
Values:
Ports: REG_MULTI_SZ: 5000-5100
PortsInternetAvailable: REG_SZ: Y
UseInternetPorts: REG_SZ: Y
Damit ist der Portrange auf 100 Ports beschränkt, bei kleineren Domänen kann man auch weniger angeben.
Dann braucht man nur diesen UDP-Portrange am Firewall zulassen. Auch das Protokoll icmp muss zugelassen sein.
Noch jemand einen Vorschlag?
Gruß, Marcus
Folgende Ports des Domain Controllers müssen erreichbar sein:
135 tcp rpc-portmapper
389 tcp + udp ldap
636 tcp ldap ssl
3268 tcp ldap gc
326 tcp ldap gc ssl
53 tcp + udp dns
88 tcp + udp kerberos
445 tcp smb
137-139 tcp + udp (smb für Windows NT)
Für Remotemanagement u.a.m. (DCOM) müssten außerdem alle UDP-Ports geöffnet werden (sie werden dynamisch vergeben).
Das wäre für eine Firewall-Konfiguration untragbar. Eine gewisse Abhilfe schafft ein Registry-Eintrag am Server :
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Key "Internet" erstellen
Values:
Ports: REG_MULTI_SZ: 5000-5100
PortsInternetAvailable: REG_SZ: Y
UseInternetPorts: REG_SZ: Y
Damit ist der Portrange auf 100 Ports beschränkt, bei kleineren Domänen kann man auch weniger angeben.
Dann braucht man nur diesen UDP-Portrange am Firewall zulassen. Auch das Protokoll icmp muss zugelassen sein.
Noch jemand einen Vorschlag?
Gruß, Marcus
Folgende Ports des Domain Controllers müssen erreichbar sein:
...
...
Das ist doch mal eine brauchbare und konkrete Antwort, DANKE!
Eine gewisse Abhilfe schafft ein Registry-Eintrag am Server :
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc Key "Internet" erstellen
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc Key "Internet" erstellen
Das klingt interessant. Funktioniert das auch für Netmeeting, das geht ja auch auf dynamischen Porty raus
Hi!
Netmeeting kenne ich zu wenig...
Gruß, Marcus
Netmeeting kenne ich zu wenig...
Gruß, Marcus
