Welche Ports für die Anmeldung von Clients am DC
Hallo allerseits,
ich habe die Situation, daß ich zwischen einem DomainController und den Clients eine Firewall habe. Welche Ports muß die Firewall durchlassen, damit das funktioniert?
ich habe die Situation, daß ich zwischen einem DomainController und den Clients eine Firewall habe. Welche Ports muß die Firewall durchlassen, damit das funktioniert?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 32715
Url: https://administrator.de/contentid/32715
Ausgedruckt am: 26.11.2024 um 10:11 Uhr
3 Kommentare
Neuester Kommentar
Hi!
Folgende Ports des Domain Controllers müssen erreichbar sein:
135 tcp rpc-portmapper
389 tcp + udp ldap
636 tcp ldap ssl
3268 tcp ldap gc
326 tcp ldap gc ssl
53 tcp + udp dns
88 tcp + udp kerberos
445 tcp smb
137-139 tcp + udp (smb für Windows NT)
Für Remotemanagement u.a.m. (DCOM) müssten außerdem alle UDP-Ports geöffnet werden (sie werden dynamisch vergeben).
Das wäre für eine Firewall-Konfiguration untragbar. Eine gewisse Abhilfe schafft ein Registry-Eintrag am Server :
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Key "Internet" erstellen
Values:
Ports: REG_MULTI_SZ: 5000-5100
PortsInternetAvailable: REG_SZ: Y
UseInternetPorts: REG_SZ: Y
Damit ist der Portrange auf 100 Ports beschränkt, bei kleineren Domänen kann man auch weniger angeben.
Dann braucht man nur diesen UDP-Portrange am Firewall zulassen. Auch das Protokoll icmp muss zugelassen sein.
Noch jemand einen Vorschlag?
Gruß, Marcus
Folgende Ports des Domain Controllers müssen erreichbar sein:
135 tcp rpc-portmapper
389 tcp + udp ldap
636 tcp ldap ssl
3268 tcp ldap gc
326 tcp ldap gc ssl
53 tcp + udp dns
88 tcp + udp kerberos
445 tcp smb
137-139 tcp + udp (smb für Windows NT)
Für Remotemanagement u.a.m. (DCOM) müssten außerdem alle UDP-Ports geöffnet werden (sie werden dynamisch vergeben).
Das wäre für eine Firewall-Konfiguration untragbar. Eine gewisse Abhilfe schafft ein Registry-Eintrag am Server :
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Key "Internet" erstellen
Values:
Ports: REG_MULTI_SZ: 5000-5100
PortsInternetAvailable: REG_SZ: Y
UseInternetPorts: REG_SZ: Y
Damit ist der Portrange auf 100 Ports beschränkt, bei kleineren Domänen kann man auch weniger angeben.
Dann braucht man nur diesen UDP-Portrange am Firewall zulassen. Auch das Protokoll icmp muss zugelassen sein.
Noch jemand einen Vorschlag?
Gruß, Marcus
Hi!
Netmeeting kenne ich zu wenig...
Gruß, Marcus
Netmeeting kenne ich zu wenig...
Gruß, Marcus