5
Welche Ports verwendet ein Domaincontroller????
Hi @ all
Versuche gerade ne Firewall auf unserem Domaincontroller zu installieren. Habe auch ein Buch da in dem steht das der
DC folgende Ports braucht :
53 TCP/UDP
88 TCP UDP
123 UDP
135 TCP/UDP
137 TCP/UDP
138 UDP
139 TCP
389 TCP
445 TCP/UDP
636 TCP
3268 TCP
3269 TCP
Nun habe ich die Ports auf meinem Domaincontroller mit Firewall freigemacht aber die Clients bekommen keine Verbindung mit dem Domaincontroller hin. Die Frage ist nun connecten die Clients über die Ports auch wieder zurück oder verwenden der Ports auf ner höheren Range ?? so zwischen 1024 bis 65535 (das währen dann dynamische RPC Aufrufe ??) ??? und wenn ja wie kann ich die auf einen Port festsetzen ??
hab gelesen das mann das mit Registrywerten hinbekommt wenn das stimmt wie währen diese???? Muss ich die dann nur Serverseitig verändern oder dies den clients auch mitteilen ???? Würde dies das System Verlangsamen ????
Danke im vorraus
MFG NEMESIS
Versuche gerade ne Firewall auf unserem Domaincontroller zu installieren. Habe auch ein Buch da in dem steht das der
DC folgende Ports braucht :
53 TCP/UDP
88 TCP UDP
123 UDP
135 TCP/UDP
137 TCP/UDP
138 UDP
139 TCP
389 TCP
445 TCP/UDP
636 TCP
3268 TCP
3269 TCP
Nun habe ich die Ports auf meinem Domaincontroller mit Firewall freigemacht aber die Clients bekommen keine Verbindung mit dem Domaincontroller hin. Die Frage ist nun connecten die Clients über die Ports auch wieder zurück oder verwenden der Ports auf ner höheren Range ?? so zwischen 1024 bis 65535 (das währen dann dynamische RPC Aufrufe ??) ??? und wenn ja wie kann ich die auf einen Port festsetzen ??
hab gelesen das mann das mit Registrywerten hinbekommt wenn das stimmt wie währen diese???? Muss ich die dann nur Serverseitig verändern oder dies den clients auch mitteilen ???? Würde dies das System Verlangsamen ????
Danke im vorraus
MFG NEMESIS
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 20445
Url: https://administrator.de/contentid/20445
Ausgedruckt am: 17.11.2024 um 09:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
guckst Du <a href="" target="_blank">hier.</a>
Da wirst Du auch auf die Frage stoßen, warum man eine FW auf einem DC einsetzt (sinnfrei).
Setz Dir eine HW-FW vor die WAN<=>LAN-Schnittstelle, dann ist Ruhe
JEder SoHo-Router bietet mittlerweile recht gute FW´s an (SPI).
Ansonsten kannst Du einen Portmonitor (http://www.sysinternals.com) einsetzen.
Gruß, Rene
guckst Du <a href="" target="_blank">hier.</a>
Da wirst Du auch auf die Frage stoßen, warum man eine FW auf einem DC einsetzt (sinnfrei).
Setz Dir eine HW-FW vor die WAN<=>LAN-Schnittstelle, dann ist Ruhe
JEder SoHo-Router bietet mittlerweile recht gute FW´s an (SPI).Ansonsten kannst Du einen Portmonitor (http://www.sysinternals.com) einsetzen.
Gruß, Rene
Hi,
ich verstehe die Denkweise auch nicht, auf jedem Client und Server eine (Personal-Firewall und was anderes ist die Windows-Firewall nicht) einzusetzen. Gerade im Lan macht das doch mehr Probleme als einem lieb sein kann.
Und wenn man so schutzbedürftig im Lan seinen Clienst gegenüber ist, dann frage ich mich, warum man überhaupt ein Lan betreut. Ich bin der Meinung, ein etwaigen Angreifer erst am Server stoppen zu wollen, ist zu spät. Der dürfte gleich gar nicht ins Netz kommen.
Also Firewalt zum Internet (die ist auch sicherer als eine Softwar-FW auf einem Rechner), verhindern dass sich willkürlich Rechner ins Lan schmuggeln können (kein DHCP oder die Adressen hinterlegen), Portsecurity an den Switch, auf einem Client darf niemand ausser den Admins Software installieren ...
Gruss,
Thomas
ich verstehe die Denkweise auch nicht, auf jedem Client und Server eine (Personal-Firewall und was anderes ist die Windows-Firewall nicht) einzusetzen. Gerade im Lan macht das doch mehr Probleme als einem lieb sein kann.
Und wenn man so schutzbedürftig im Lan seinen Clienst gegenüber ist, dann frage ich mich, warum man überhaupt ein Lan betreut. Ich bin der Meinung, ein etwaigen Angreifer erst am Server stoppen zu wollen, ist zu spät. Der dürfte gleich gar nicht ins Netz kommen.
Also Firewalt zum Internet (die ist auch sicherer als eine Softwar-FW auf einem Rechner), verhindern dass sich willkürlich Rechner ins Lan schmuggeln können (kein DHCP oder die Adressen hinterlegen), Portsecurity an den Switch, auf einem Client darf niemand ausser den Admins Software installieren ...
Gruss,
Thomas
Hi, zum Zitat:
Der meiste Angriff im Netz kommt von INNEN !!! D. H. man sollte ien DMZ zu seinem Servern aufbauen um Sie von den Clients fernzuhalten !!!
Schön und gut. Funktioniert in einer kleinen Firma, aber jemand der nen Laptop von zu Hause mitbringt hat meistens immer ein Problem. Die Frage nach den Ports also immer richtig und wichtig. Mich würde das auch gerne interessieren um meine DMZ auszubauen.
Danke.
U. Eckerle
Und wenn man so schutzbedürftig im Lan
seinen Clienst gegenüber ist, dann
frage ich mich, warum man überhaupt ein
Lan betreut. Ich bin der Meinung, ein
etwaigen Angreifer erst am Server stoppen zu
wollen, ist zu spät. Der dürfte
gleich gar nicht ins Netz kommen.
seinen Clienst gegenüber ist, dann
frage ich mich, warum man überhaupt ein
Lan betreut. Ich bin der Meinung, ein
etwaigen Angreifer erst am Server stoppen zu
wollen, ist zu spät. Der dürfte
gleich gar nicht ins Netz kommen.
Der meiste Angriff im Netz kommt von INNEN !!! D. H. man sollte ien DMZ zu seinem Servern aufbauen um Sie von den Clients fernzuhalten !!!
Also Firewalt zum Internet (die ist auch
sicherer als eine Softwar-FW auf einem
Rechner), verhindern dass sich
willkürlich Rechner ins Lan schmuggeln
können (kein DHCP oder die Adressen
hinterlegen), Portsecurity an den Switch,
auf einem Client darf niemand ausser den
Admins Software installieren ...
sicherer als eine Softwar-FW auf einem
Rechner), verhindern dass sich
willkürlich Rechner ins Lan schmuggeln
können (kein DHCP oder die Adressen
hinterlegen), Portsecurity an den Switch,
auf einem Client darf niemand ausser den
Admins Software installieren ...
Schön und gut. Funktioniert in einer kleinen Firma, aber jemand der nen Laptop von zu Hause mitbringt hat meistens immer ein Problem. Die Frage nach den Ports also immer richtig und wichtig. Mich würde das auch gerne interessieren um meine DMZ auszubauen.
Danke.
U. Eckerle
Moin,
Diese "Löcher" sollte man also als erstes in einer Domäne "stopfen".
), weil er sein Laptop in´s Netz klinkte und ZACK ==> Virus im Netz!
Private EDV hat im Firmennetz nichts, aber auch GAR NICHTS zu suchen!
Es ist völlig unnötig, das gesamte Laptop mitzubringen. Wenn es notwendig sein sollte, kann der User eine CD brennen oder einen USB-Stick dem Admin zur Freigabe mitbringen, dieser stellt dann ? nach Prüfung/Scan der Daten ? die Daten dem User in´s Netz.
Sorry, aber da bin ich rigoros, keine Ausnahmen. Entweder Daten werden vom Admin geprüft, oder "dunkeltuten" ? ohne Spielraum.
Ich kann ja mal zum Kunden gehen und ihm vorschlagen, eine DMZ für die privaten Belange seiner Angestellten einzurichten ? ich glaube der "prügelt mich vom Hof" 
Gruß, Rene
Der meiste Angriff im Netz kommt von INNEN
Jo, wenn man CD-Laufwerke, USB-Sticks und die Ports 110/25 (private E-Mail) freigibt.Diese "Löcher" sollte man also als erstes in einer Domäne "stopfen".
Schön und gut. Funktioniert in einer
kleinen Firma, aber jemand der nen Laptop
von zu Hause mitbringt hat meistens immer
ein Problem.
Zu Recht! Ich erinnere mich an einen Kunden, der mich anrief (das war mein Erstauftrag bei diesem Kunden kleinen Firma, aber jemand der nen Laptop
von zu Hause mitbringt hat meistens immer
ein Problem.
), weil er sein Laptop in´s Netz klinkte und ZACK ==> Virus im Netz!Private EDV hat im Firmennetz nichts, aber auch GAR NICHTS zu suchen!
Es ist völlig unnötig, das gesamte Laptop mitzubringen. Wenn es notwendig sein sollte, kann der User eine CD brennen oder einen USB-Stick dem Admin zur Freigabe mitbringen, dieser stellt dann ? nach Prüfung/Scan der Daten ? die Daten dem User in´s Netz.
Sorry, aber da bin ich rigoros, keine Ausnahmen. Entweder Daten werden vom Admin geprüft, oder "dunkeltuten" ? ohne Spielraum.
Ich kann ja mal zum Kunden gehen und ihm vorschlagen, eine DMZ für die privaten Belange seiner Angestellten einzurichten ? ich glaube der "prügelt mich vom Hof"
Gruß, Rene
Hi Rene,
ich bin ganz und gar Deiner Meinung!
Gruss,
Thomas
ich bin ganz und gar Deiner Meinung!
Gruss,
Thomas
