fischerle75
Goto Top

Active Directory mit 2 Domänencontroller mit eingeschalteter Windows-Firewall

Windows 2003 Server Std (als Prä-Windows) und Windows NT 4.0 - SP6a Clients.

Moin!


Ich versuche seit Tagen AD mit 2 DC mit eingeschalteter Windows-Firewall zum Laufen zu bringen. Damit AD mit 2 DC reibungslos (Replikation, ... usw.) funktioniert, muss man ja einiges an Ports freigeben. Da standardmäßig für die AD Replikation dynamisch ein Port ausgewählt wird, so habe ich die per Registry auf einen statischen Port gesetzt:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"TCP/IP Port"=dword:0000c000

0000c000 = Port 49152. Auch dieser wurde in der Firewall freigeschaltet (TCP + UDP)

Ports, die freigegeben wurden:

RPC: 135 (TCP, UDP)
RPC static Port: 49152 (TCP, UDP - siehe oben)
Kerberos: 88 (TCP, UDP)
LDAP: 389 (TCP)
LDAP over SSL: 636 (TCP)
Global Catalog LDAP: 3268 (TCP)
Global Catalog LDAP over SSL: 3269 (TCP)
SMB over IP (MS-DS): 445 (TCP, UDP)
DNS: 53 (TCP, UDP)
NTP: 123 (UDP)
NetBIOS name service: 137 (TCP, UDP)
NetBIOS datagram service: 138 (UDP)
NetBIOS session service: 139 (TCP)

Das sind die Ports, die ich aus Microsoft´s Doc´s gefunden habe. Leider will es so nicht funktionieren. Wenn die Firewall ausgeschaltet ist, dann funktioniert wieder alles einfandfrei!

Externe Firewall will ich nicht verwenden, da die DC´s mit Fiber am Backbone angeschlossen sind und mit 1000 MBit/s angesteuert werden. Habe keine Zeit, dafür eine Kiste zusammenzubauen (mit Linux), da ich sonst keine Firewall kenne, die mit 1000 MBit/s angepeilt werden kann.

Hat vielleicht jemand schon mal sowas gemacht? Ich habe das Gefühl, daß da noch mehr Ports frei gegeben werden müssen.

Andere Frage: Gibt es eine Möglichkeit, in der Windows-Firewall einen Portsbereich (z.B. 5000 bis 5020) freizugeben? So muss man jeden einzelnen Ports freigeben.

Danke schon mal für jeden Rat und Hinweis!

Schönen Tag noch,
Alex

Content-ID: 19700

Url: https://administrator.de/forum/active-directory-mit-2-domaenencontroller-mit-eingeschalteter-windows-firewall-19700.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

ketchup
ketchup 15.11.2005 um 12:03:52 Uhr
Goto Top
ich weiß die ports jetzt auch nicht so auswendig.

aber du könntest die firewall ausschalten und im netstat bzw tcpview (sysinternals) oder einem anderen portscan-tool die ports rausfinden.

jürgen
Fischerle75
Fischerle75 16.11.2005 um 14:07:04 Uhr
Goto Top
Auf einen Portscanner bin ich auch schon gekommen. face-wink

Da werden aber immer dauernd andere Ports angezeigt (> 1024). Wenn man da soviele freigeben muss, dann hat die Firewall ja nicht mehr die eigentliche Funktion?

Irgendwie ist es mir ein Rätsel, warum zwischen 2 DC nicht immer die gleichen Ports verwendet werden können.

In diversen Doc von MS steht auch nicht wirklich alles drinnen. Mal so, mal so.

Weiß vielleicht jemand einen guten Link, wo sowas definitiv genau beschrieben ist?

Danke schon mal im voraus!

Gruß,
Alex
SMU
SMU 16.11.2005 um 15:10:14 Uhr
Goto Top
Du wirst Dich von dem Wunsch trennen müssen das Du da nur ein oder 5 Ports aufmachst.

Du musst das ganze Microsoft Scheunentor aufschließen.

DNS - Kerberos - das ganze Zeug.

Ich schließe mich meinem Vorredener an.

Lass mal die Ports mitloggen. Aber mindestens 2-3 Stunden.
Du wirst erstaunt sein wie mitteilungsbedürftig diese Kisten sind.

Die Frage die sich mir stellt ist warum Du in Deinem Intranet Firewalls brauchst.
Die Firewall soll doch an sich die Hölle draußen lassen und nicht die User.

Wenn Du die Dienste blocken willst dann musst Du sie schon abschalten und nicht nur die Tür zuschließen.

Also ich würde die Firewall vor das WAN-Loch schieben und nicht im LAN eine Blackbox bauen.

Der Fiberchannel an den Backbone macht doch sowieso keinen Sinn da Du nach der Backbone nur 2 oder 4 oder 6 MBit hast.
Die HardwareFirewalls haben da sowieso nur aus diesem Grund einen 100 MBit Anschluss dran.

Eine wirklich gute Firewall ist SonicWallPro 2040 inkl VPN + Client.
Straßenpreis 1550,- mit Verhandlung kannst Du das Ding aber auch schon für 1100,- bekommen.

Das Ding ist rattenschnell und Du kannst die Flussrichtungen noch bestimmen oder Dir eine DMZ einrichten und nicht bloss die Ports blocken.
DHCP mit Reservierung, Kontentfilter usw.usw.

SMU
Fischerle75
Fischerle75 16.11.2005 um 20:26:05 Uhr
Goto Top
Hi!


Ich will, daß bei den DC´s nur das reinkommen soll, was nötig ist, um u.a. den ganzen Netzwerkverkehr so niedirg wie möglich zu halten und auch, daß keiner mit einem Notbook oder so, die DC´s belästigen kann.

Außerdem sollen dann noch 2 weitere DC´s über WAN (2 MBit/s) verbunden werden und da will ich schon schauen, daß da nicht zuviel unnötiger Traffic erzeugt wird, damit die Daten von der Datenbank freie Bahn haben.

Den Backbine meinte ich hier das lokale Netz, da es bis zum letzten Switch mit Fiber verbunden ist. Sorry, daß ich es so gesagt habe.

Naja, dann werde ich es wohl bleiben lassen müssen. face-sad
SMU
SMU 17.11.2005 um 12:24:46 Uhr
Goto Top
Für die WAN-VPN Anbindung da ist doch die SonicWall genau das Richtige.
Du kannst darüber hinaus Dein Netz wirklich sauber halten.

Im Allgemeinen empfehle ich Dir die Netztwerkstandards.
Wenn sowieso alles Gigabit hast wenn interessieren denn da schon 224 kb verrückte Pakete die mehr oder weniger Sinvoll durchs Netz stolpern.

Außerdem ist doch alles geswitcht und der Broadcast hält sich auf grund Deiner Domaincontroller doch in Grenzen.

SMU
eisenkarl
eisenkarl 16.04.2008 um 10:00:15 Uhr
Goto Top
Ich kann dir hier nur den Tip geben, vergiss es! Immer wenn du denkst du hast alles an ports dauert es keine 2 tage und du hast erneut ein problem. Haben wir auch schon versuchtund sind dann zu dem entschluss gekommen die DC´s ohne Firewall zu betreiben. Schalte eine externe (Hardware)Firewall vor