laderio
Goto Top

Pakete von DCs von Port 139/445 auf Ports 3764 bis 4249 (TCP)

Hallo,

ich habe einen Server (Windows Server 2003 EE R2), an dem die Firewall mit Protokollierung läuft und mir ist aufgefallen, dass von meinen beiden Domänen-Controllern (Windows Server 2003 EE R2) ständig Pakete an den Server gesendet werden, die die Firewall dann droppt. Diese TCP-Pakete kommen vorwiegend vom ersten DC von Port 139 und gehen auf die Ziel-Ports 3764, 3769, 3881, 3883, 3887, 3889 bis 4213, 4215, 4249. Zeitraum dieser Pakete ist 17:01:21 bis 17:54:57, also etwa eine Stunde, wobei er mit den kleinen Nummern anfing und immer weiter hoch geht. Ein Beispiel zweier Pakete aus dem Log:
2006-09-11 17:01:21 DROP TCP XX.XX.XXX.XXX(DC) XX.XX.XXX.XXX(Server) 139(Quellport) 3764(Zielport) 48(size) SA(tcp-flags) 1254313728(tcpsyn) 65573050(tcpack) 64240(tcpwin) -(icmptype) -(icmpcode) -(info) RECEIVE(path)

2006-09-11 17:01:31 DROP TCP xx.xx.xxx.xxx xx.xx.xxx.xxx 445 3769 48 SA 1476853865 2645033878 64240 - - - RECEIVE

2006-09-11 17:54:57 DROP TCP xx.xx.xxx.xxx xx.xx.xxx.xxx 139 4249 48 SA 3597614552 686404276 64240 - - - RECEIVE


Hat hier jemand eine Ahnung, was das sein kann? Was sollte ich tun?

1) Ports öffnen (wobei das ganz schön viele wären)
2) DCs dazu bringen, keine Pakete mehr zu senden (falls eh unwichtig)
3) ignorieren

Ich hoffe ihr könnt mir helfen ;)

Content-ID: 39866

Url: https://administrator.de/contentid/39866

Ausgedruckt am: 14.11.2024 um 19:11 Uhr

aqui
aqui 17.09.2006 um 17:10:19 Uhr
Goto Top
3764 und die anderen Ports werden vom MS Port Reporter Tool verwendet.
Guckst du hier:
http://support.microsoft.com/?id=837243
laderio
laderio 03.10.2006 um 21:42:22 Uhr
Goto Top
Habe dieses Tool auf dem DC nicht installiert. Kommt noch etwas anderes in Frage?