xerver
Goto Top

Welche Ports verwendet ein Domaincontroller????

Hi @ all

Versuche gerade ne Firewall auf unserem Domaincontroller zu installieren. Habe auch ein Buch da in dem steht das der

DC folgende Ports braucht :

53 TCP/UDP
88 TCP UDP
123 UDP
135 TCP/UDP
137 TCP/UDP
138 UDP
139 TCP
389 TCP
445 TCP/UDP
636 TCP
3268 TCP
3269 TCP

Nun habe ich die Ports auf meinem Domaincontroller mit Firewall freigemacht aber die Clients bekommen keine Verbindung mit dem Domaincontroller hin. Die Frage ist nun connecten die Clients über die Ports auch wieder zurück oder verwenden der Ports auf ner höheren Range ?? so zwischen 1024 bis 65535 (das währen dann dynamische RPC Aufrufe ??) ??? und wenn ja wie kann ich die auf einen Port festsetzen ??

hab gelesen das mann das mit Registrywerten hinbekommt wenn das stimmt wie währen diese???? Muss ich die dann nur Serverseitig verändern oder dies den clients auch mitteilen ???? Würde dies das System Verlangsamen ????

Danke im vorraus

MFG NEMESIS

Content-ID: 20445

Url: https://administrator.de/forum/welche-ports-verwendet-ein-domaincontroller-20445.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

10545
10545 27.11.2005 um 08:06:08 Uhr
Goto Top
Moin,

guckst Du <a href="" target="_blank">hier.</a>

Da wirst Du auch auf die Frage stoßen, warum man eine FW auf einem DC einsetzt (sinnfrei).
Setz Dir eine HW-FW vor die WAN<=>LAN-Schnittstelle, dann ist Ruhe face-wink JEder SoHo-Router bietet mittlerweile recht gute FW´s an (SPI).

Ansonsten kannst Du einen Portmonitor (http://www.sysinternals.com) einsetzen.

Gruß, Rene
superboh
superboh 27.11.2005 um 11:17:15 Uhr
Goto Top
Hi,

ich verstehe die Denkweise auch nicht, auf jedem Client und Server eine (Personal-Firewall und was anderes ist die Windows-Firewall nicht) einzusetzen. Gerade im Lan macht das doch mehr Probleme als einem lieb sein kann.
Und wenn man so schutzbedürftig im Lan seinen Clienst gegenüber ist, dann frage ich mich, warum man überhaupt ein Lan betreut. Ich bin der Meinung, ein etwaigen Angreifer erst am Server stoppen zu wollen, ist zu spät. Der dürfte gleich gar nicht ins Netz kommen.
Also Firewalt zum Internet (die ist auch sicherer als eine Softwar-FW auf einem Rechner), verhindern dass sich willkürlich Rechner ins Lan schmuggeln können (kein DHCP oder die Adressen hinterlegen), Portsecurity an den Switch, auf einem Client darf niemand ausser den Admins Software installieren ...

Gruss,
Thomas
schray
schray 28.11.2005 um 15:19:50 Uhr
Goto Top
Hi, zum Zitat:

Und wenn man so schutzbedürftig im Lan
seinen Clienst gegenüber ist, dann
frage ich mich, warum man überhaupt ein
Lan betreut. Ich bin der Meinung, ein
etwaigen Angreifer erst am Server stoppen zu
wollen, ist zu spät. Der dürfte
gleich gar nicht ins Netz kommen.

Der meiste Angriff im Netz kommt von INNEN !!! D. H. man sollte ien DMZ zu seinem Servern aufbauen um Sie von den Clients fernzuhalten !!!

Also Firewalt zum Internet (die ist auch
sicherer als eine Softwar-FW auf einem
Rechner), verhindern dass sich
willkürlich Rechner ins Lan schmuggeln
können (kein DHCP oder die Adressen
hinterlegen), Portsecurity an den Switch,
auf einem Client darf niemand ausser den
Admins Software installieren ...

Schön und gut. Funktioniert in einer kleinen Firma, aber jemand der nen Laptop von zu Hause mitbringt hat meistens immer ein Problem. Die Frage nach den Ports also immer richtig und wichtig. Mich würde das auch gerne interessieren um meine DMZ auszubauen.

Danke.

U. Eckerle
10545
10545 28.11.2005 um 19:54:59 Uhr
Goto Top
Moin,

Der meiste Angriff im Netz kommt von INNEN
Jo, wenn man CD-Laufwerke, USB-Sticks und die Ports 110/25 (private E-Mail) freigibt.
Diese "Löcher" sollte man also als erstes in einer Domäne "stopfen".

Schön und gut. Funktioniert in einer
kleinen Firma, aber jemand der nen Laptop
von zu Hause mitbringt hat meistens immer
ein Problem.
Zu Recht! Ich erinnere mich an einen Kunden, der mich anrief (das war mein Erstauftrag bei diesem Kunden face-wink ), weil er sein Laptop in´s Netz klinkte und ZACK ==> Virus im Netz!
Private EDV hat im Firmennetz nichts, aber auch GAR NICHTS zu suchen!
Es ist völlig unnötig, das gesamte Laptop mitzubringen. Wenn es notwendig sein sollte, kann der User eine CD brennen oder einen USB-Stick dem Admin zur Freigabe mitbringen, dieser stellt dann ? nach Prüfung/Scan der Daten ? die Daten dem User in´s Netz.

Sorry, aber da bin ich rigoros, keine Ausnahmen. Entweder Daten werden vom Admin geprüft, oder "dunkeltuten" ? ohne Spielraum.

Ich kann ja mal zum Kunden gehen und ihm vorschlagen, eine DMZ für die privaten Belange seiner Angestellten einzurichten ? ich glaube der "prügelt mich vom Hof" face-wink face-big-smile

Gruß, Rene
superboh
superboh 29.11.2005 um 05:29:11 Uhr
Goto Top
Hi Rene,

ich bin ganz und gar Deiner Meinung!


Gruss,
Thomas