Active Directory mit 2 Domänencontroller mit eingeschalteter Windows-Firewall
Windows 2003 Server Std (als Prä-Windows) und Windows NT 4.0 - SP6a Clients.
Moin!
Ich versuche seit Tagen AD mit 2 DC mit eingeschalteter Windows-Firewall zum Laufen zu bringen. Damit AD mit 2 DC reibungslos (Replikation, ... usw.) funktioniert, muss man ja einiges an Ports freigeben. Da standardmäßig für die AD Replikation dynamisch ein Port ausgewählt wird, so habe ich die per Registry auf einen statischen Port gesetzt:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"TCP/IP Port"=dword:0000c000
0000c000 = Port 49152. Auch dieser wurde in der Firewall freigeschaltet (TCP + UDP)
Ports, die freigegeben wurden:
RPC: 135 (TCP, UDP)
RPC static Port: 49152 (TCP, UDP - siehe oben)
Kerberos: 88 (TCP, UDP)
LDAP: 389 (TCP)
LDAP over SSL: 636 (TCP)
Global Catalog LDAP: 3268 (TCP)
Global Catalog LDAP over SSL: 3269 (TCP)
SMB over IP (MS-DS): 445 (TCP, UDP)
DNS: 53 (TCP, UDP)
NTP: 123 (UDP)
NetBIOS name service: 137 (TCP, UDP)
NetBIOS datagram service: 138 (UDP)
NetBIOS session service: 139 (TCP)
Das sind die Ports, die ich aus Microsoft´s Doc´s gefunden habe. Leider will es so nicht funktionieren. Wenn die Firewall ausgeschaltet ist, dann funktioniert wieder alles einfandfrei!
Externe Firewall will ich nicht verwenden, da die DC´s mit Fiber am Backbone angeschlossen sind und mit 1000 MBit/s angesteuert werden. Habe keine Zeit, dafür eine Kiste zusammenzubauen (mit Linux), da ich sonst keine Firewall kenne, die mit 1000 MBit/s angepeilt werden kann.
Hat vielleicht jemand schon mal sowas gemacht? Ich habe das Gefühl, daß da noch mehr Ports frei gegeben werden müssen.
Andere Frage: Gibt es eine Möglichkeit, in der Windows-Firewall einen Portsbereich (z.B. 5000 bis 5020) freizugeben? So muss man jeden einzelnen Ports freigeben.
Danke schon mal für jeden Rat und Hinweis!
Schönen Tag noch,
Alex
Moin!
Ich versuche seit Tagen AD mit 2 DC mit eingeschalteter Windows-Firewall zum Laufen zu bringen. Damit AD mit 2 DC reibungslos (Replikation, ... usw.) funktioniert, muss man ja einiges an Ports freigeben. Da standardmäßig für die AD Replikation dynamisch ein Port ausgewählt wird, so habe ich die per Registry auf einen statischen Port gesetzt:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"TCP/IP Port"=dword:0000c000
0000c000 = Port 49152. Auch dieser wurde in der Firewall freigeschaltet (TCP + UDP)
Ports, die freigegeben wurden:
RPC: 135 (TCP, UDP)
RPC static Port: 49152 (TCP, UDP - siehe oben)
Kerberos: 88 (TCP, UDP)
LDAP: 389 (TCP)
LDAP over SSL: 636 (TCP)
Global Catalog LDAP: 3268 (TCP)
Global Catalog LDAP over SSL: 3269 (TCP)
SMB over IP (MS-DS): 445 (TCP, UDP)
DNS: 53 (TCP, UDP)
NTP: 123 (UDP)
NetBIOS name service: 137 (TCP, UDP)
NetBIOS datagram service: 138 (UDP)
NetBIOS session service: 139 (TCP)
Das sind die Ports, die ich aus Microsoft´s Doc´s gefunden habe. Leider will es so nicht funktionieren. Wenn die Firewall ausgeschaltet ist, dann funktioniert wieder alles einfandfrei!
Externe Firewall will ich nicht verwenden, da die DC´s mit Fiber am Backbone angeschlossen sind und mit 1000 MBit/s angesteuert werden. Habe keine Zeit, dafür eine Kiste zusammenzubauen (mit Linux), da ich sonst keine Firewall kenne, die mit 1000 MBit/s angepeilt werden kann.
Hat vielleicht jemand schon mal sowas gemacht? Ich habe das Gefühl, daß da noch mehr Ports frei gegeben werden müssen.
Andere Frage: Gibt es eine Möglichkeit, in der Windows-Firewall einen Portsbereich (z.B. 5000 bis 5020) freizugeben? So muss man jeden einzelnen Ports freigeben.
Danke schon mal für jeden Rat und Hinweis!
Schönen Tag noch,
Alex
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 19700
Url: https://administrator.de/forum/active-directory-mit-2-domaenencontroller-mit-eingeschalteter-windows-firewall-19700.html
Ausgedruckt am: 23.12.2024 um 11:12 Uhr
6 Kommentare
Neuester Kommentar
Du wirst Dich von dem Wunsch trennen müssen das Du da nur ein oder 5 Ports aufmachst.
Du musst das ganze Microsoft Scheunentor aufschließen.
DNS - Kerberos - das ganze Zeug.
Ich schließe mich meinem Vorredener an.
Lass mal die Ports mitloggen. Aber mindestens 2-3 Stunden.
Du wirst erstaunt sein wie mitteilungsbedürftig diese Kisten sind.
Die Frage die sich mir stellt ist warum Du in Deinem Intranet Firewalls brauchst.
Die Firewall soll doch an sich die Hölle draußen lassen und nicht die User.
Wenn Du die Dienste blocken willst dann musst Du sie schon abschalten und nicht nur die Tür zuschließen.
Also ich würde die Firewall vor das WAN-Loch schieben und nicht im LAN eine Blackbox bauen.
Der Fiberchannel an den Backbone macht doch sowieso keinen Sinn da Du nach der Backbone nur 2 oder 4 oder 6 MBit hast.
Die HardwareFirewalls haben da sowieso nur aus diesem Grund einen 100 MBit Anschluss dran.
Eine wirklich gute Firewall ist SonicWallPro 2040 inkl VPN + Client.
Straßenpreis 1550,- mit Verhandlung kannst Du das Ding aber auch schon für 1100,- bekommen.
Das Ding ist rattenschnell und Du kannst die Flussrichtungen noch bestimmen oder Dir eine DMZ einrichten und nicht bloss die Ports blocken.
DHCP mit Reservierung, Kontentfilter usw.usw.
SMU
Du musst das ganze Microsoft Scheunentor aufschließen.
DNS - Kerberos - das ganze Zeug.
Ich schließe mich meinem Vorredener an.
Lass mal die Ports mitloggen. Aber mindestens 2-3 Stunden.
Du wirst erstaunt sein wie mitteilungsbedürftig diese Kisten sind.
Die Frage die sich mir stellt ist warum Du in Deinem Intranet Firewalls brauchst.
Die Firewall soll doch an sich die Hölle draußen lassen und nicht die User.
Wenn Du die Dienste blocken willst dann musst Du sie schon abschalten und nicht nur die Tür zuschließen.
Also ich würde die Firewall vor das WAN-Loch schieben und nicht im LAN eine Blackbox bauen.
Der Fiberchannel an den Backbone macht doch sowieso keinen Sinn da Du nach der Backbone nur 2 oder 4 oder 6 MBit hast.
Die HardwareFirewalls haben da sowieso nur aus diesem Grund einen 100 MBit Anschluss dran.
Eine wirklich gute Firewall ist SonicWallPro 2040 inkl VPN + Client.
Straßenpreis 1550,- mit Verhandlung kannst Du das Ding aber auch schon für 1100,- bekommen.
Das Ding ist rattenschnell und Du kannst die Flussrichtungen noch bestimmen oder Dir eine DMZ einrichten und nicht bloss die Ports blocken.
DHCP mit Reservierung, Kontentfilter usw.usw.
SMU
Für die WAN-VPN Anbindung da ist doch die SonicWall genau das Richtige.
Du kannst darüber hinaus Dein Netz wirklich sauber halten.
Im Allgemeinen empfehle ich Dir die Netztwerkstandards.
Wenn sowieso alles Gigabit hast wenn interessieren denn da schon 224 kb verrückte Pakete die mehr oder weniger Sinvoll durchs Netz stolpern.
Außerdem ist doch alles geswitcht und der Broadcast hält sich auf grund Deiner Domaincontroller doch in Grenzen.
SMU
Du kannst darüber hinaus Dein Netz wirklich sauber halten.
Im Allgemeinen empfehle ich Dir die Netztwerkstandards.
Wenn sowieso alles Gigabit hast wenn interessieren denn da schon 224 kb verrückte Pakete die mehr oder weniger Sinvoll durchs Netz stolpern.
Außerdem ist doch alles geswitcht und der Broadcast hält sich auf grund Deiner Domaincontroller doch in Grenzen.
SMU