Pakete von DCs von Port 139/445 auf Ports 3764 bis 4249 (TCP)
Hallo,
ich habe einen Server (Windows Server 2003 EE R2), an dem die Firewall mit Protokollierung läuft und mir ist aufgefallen, dass von meinen beiden Domänen-Controllern (Windows Server 2003 EE R2) ständig Pakete an den Server gesendet werden, die die Firewall dann droppt. Diese TCP-Pakete kommen vorwiegend vom ersten DC von Port 139 und gehen auf die Ziel-Ports 3764, 3769, 3881, 3883, 3887, 3889 bis 4213, 4215, 4249. Zeitraum dieser Pakete ist 17:01:21 bis 17:54:57, also etwa eine Stunde, wobei er mit den kleinen Nummern anfing und immer weiter hoch geht. Ein Beispiel zweier Pakete aus dem Log:
2006-09-11 17:01:21 DROP TCP XX.XX.XXX.XXX(DC) XX.XX.XXX.XXX(Server) 139(Quellport) 3764(Zielport) 48(size) SA(tcp-flags) 1254313728(tcpsyn) 65573050(tcpack) 64240(tcpwin) -(icmptype) -(icmpcode) -(info) RECEIVE(path)
2006-09-11 17:01:31 DROP TCP xx.xx.xxx.xxx xx.xx.xxx.xxx 445 3769 48 SA 1476853865 2645033878 64240 - - - RECEIVE
2006-09-11 17:54:57 DROP TCP xx.xx.xxx.xxx xx.xx.xxx.xxx 139 4249 48 SA 3597614552 686404276 64240 - - - RECEIVE
Hat hier jemand eine Ahnung, was das sein kann? Was sollte ich tun?
1) Ports öffnen (wobei das ganz schön viele wären)
2) DCs dazu bringen, keine Pakete mehr zu senden (falls eh unwichtig)
3) ignorieren
Ich hoffe ihr könnt mir helfen ;)
ich habe einen Server (Windows Server 2003 EE R2), an dem die Firewall mit Protokollierung läuft und mir ist aufgefallen, dass von meinen beiden Domänen-Controllern (Windows Server 2003 EE R2) ständig Pakete an den Server gesendet werden, die die Firewall dann droppt. Diese TCP-Pakete kommen vorwiegend vom ersten DC von Port 139 und gehen auf die Ziel-Ports 3764, 3769, 3881, 3883, 3887, 3889 bis 4213, 4215, 4249. Zeitraum dieser Pakete ist 17:01:21 bis 17:54:57, also etwa eine Stunde, wobei er mit den kleinen Nummern anfing und immer weiter hoch geht. Ein Beispiel zweier Pakete aus dem Log:
2006-09-11 17:01:21 DROP TCP XX.XX.XXX.XXX(DC) XX.XX.XXX.XXX(Server) 139(Quellport) 3764(Zielport) 48(size) SA(tcp-flags) 1254313728(tcpsyn) 65573050(tcpack) 64240(tcpwin) -(icmptype) -(icmpcode) -(info) RECEIVE(path)
2006-09-11 17:01:31 DROP TCP xx.xx.xxx.xxx xx.xx.xxx.xxx 445 3769 48 SA 1476853865 2645033878 64240 - - - RECEIVE
2006-09-11 17:54:57 DROP TCP xx.xx.xxx.xxx xx.xx.xxx.xxx 139 4249 48 SA 3597614552 686404276 64240 - - - RECEIVE
Hat hier jemand eine Ahnung, was das sein kann? Was sollte ich tun?
1) Ports öffnen (wobei das ganz schön viele wären)
2) DCs dazu bringen, keine Pakete mehr zu senden (falls eh unwichtig)
3) ignorieren
Ich hoffe ihr könnt mir helfen ;)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 39866
Url: https://administrator.de/contentid/39866
Ausgedruckt am: 26.11.2024 um 15:11 Uhr
2 Kommentare
Neuester Kommentar
3764 und die anderen Ports werden vom MS Port Reporter Tool verwendet.
Guckst du hier:
http://support.microsoft.com/?id=837243
Guckst du hier:
http://support.microsoft.com/?id=837243