Brutus69 0 Geschrieben 7. April 2017 Melden Teilen Geschrieben 7. April 2017 Hallo zusammen, ich bin ein blutiger Anfänger, was Windows-Server angeht und versuche momentan eine Domäne einzurichten. Jetzt bin ich am versuchen, den Server so zu konfigurieren, dass er nichtmehr "offen" ist. Soweit ich weiß, muss ich dazu den Zugriff auf Port 389 beschränken. Sobald ich allerdings die eingehende Verbindung auf Port 389 sperre oder auf sichere Verbindungen beschränke, kann ich keine Clients mehr zu der Domäne hinzufügen bzw. mich an den Clients anmelden. Kennt jemand einen Lösungsansatz wie ich das Problem beheben kann? Danke und viele Grüße! :) Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 7. April 2017 Melden Teilen Geschrieben 7. April 2017 Hi, Port 389 ist einer der benötigten. Der DC braucht noch ein paar weitere: https://technet.microsoft.com/en-us/library/8daead2d-35c1-4b58-b123-d32a26b1f1dd Gruß Jan Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 7. April 2017 Melden Teilen Geschrieben 7. April 2017 Moin, warum genau und auf welcher Grundlage und anhand welcher Informationen willst du deinen DC als "nicht mehr offen" konfigurieren? Deine Frage betrifft einen der notwendigen Ports, auf denen das AD beruht. Mir scheinen dort Missverständnisse vorzuliegen. Windows ist ja nun beim besten Willen nicht "offen", sodass man da zwingend irgendwas machen müsste, schon gar nicht im internen Netz. Gruß, Nils Zitieren Link zu diesem Kommentar
Brutus69 0 Geschrieben 7. April 2017 Autor Melden Teilen Geschrieben 7. April 2017 Ich versuche es so einzurichten, dass der Server nciht mehr für DDoS-Reflection-Angriffe brauchbar ist. https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/CERT-Reports/HOWTOs/Offene-LDAP-Server/Offene-LDAP-Server_node.html Nur leider werde ich dadraus nicht so recht schlau :/ Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 7. April 2017 Melden Teilen Geschrieben 7. April 2017 Hi, Offen aus dem Internet erreichbare LDAP-Server können für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden. Darüber hinaus können Angreifer die Schwachstelle potenziell nutzen, um Informationen über das System bzw. Netzwerk zur Vorbereitung weiterer Angriffe auszuspähen. das wird ja bei dir und deinem/n DC/s hoffentlich nicht der Fall sein, oder? Gruß Jan Zitieren Link zu diesem Kommentar
Brutus69 0 Geschrieben 7. April 2017 Autor Melden Teilen Geschrieben 7. April 2017 Per ldapsearch ist es jedenfalls möglich Information zu sammeln. Das kann ich bisher nur verhindern indem ich Port 389 blockiere... Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 7. April 2017 Melden Teilen Geschrieben 7. April 2017 Testest du das jetzt _intern_ in deinem LAN? Oder ist der Server _öffentlich_ im Internet erreichbar? Zitieren Link zu diesem Kommentar
Brutus69 0 Geschrieben 7. April 2017 Autor Melden Teilen Geschrieben 7. April 2017 Der Server ist öffentlich erreichbar. Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 7. April 2017 Melden Teilen Geschrieben 7. April 2017 (bearbeitet) Der Server ist öffentlich erreichbar. Und wie kommt man auf die Idee einen Server direkt ins Internet zu stellen!? Das ist übrigens unabhängig davon, ob es nur ein Windows oder Linux-Server ist. Einen Server direkt ins Internet zu stellen ist zumeist keine gute Idee. Willst Du bestimmte Dienste öffentlich anbieten (z.B. Webserver). Warum keine Firewall vor den Server, die nur die Dienste ins Internet freigibt die man auch möchte? bearbeitet 7. April 2017 von monstermania Zitieren Link zu diesem Kommentar
Brutus69 0 Geschrieben 7. April 2017 Autor Melden Teilen Geschrieben 7. April 2017 Einige Dienste sollen/müssen Öffentlich sein. Deshalb versuche ich jetzt den LDAP-Port auch abzusichern. Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 7. April 2017 Melden Teilen Geschrieben 7. April 2017 Sorry, aber das ist schier Wahnsinn was du da machst. Man stellt einen Windows-Server, schon gar keinen DC, öffentlich ins Internet (ich vermute einen Root-Server). Du sprichst davon, dass da dann keine Clients mehr zur Domäne hinzugefügt werden können. Frage: Du hast einen Windows Server irgendwo im Internet stehen und bindest an diesen Domain Controller Clients an?! Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 7. April 2017 Melden Teilen Geschrieben 7. April 2017 Du bist dabei einen "Dienst" zu veröffentlichen der alles andere als öffentlich sein muss bzw. sollte. Warum _muss_ das denn in deinen Augen so sein? Und was soll da denn später rauskommen? Beschreibe doch einfach mal was du denn da vor hast. Mir scheint das aber auch alles andere als eine geeignete Aufgabe für einen "blutigen (Windows) Anfänger" zu sein. Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 7. April 2017 Melden Teilen Geschrieben 7. April 2017 Moin, wie die Kollegen schon sagen: Der Fehler ist, einen DC direkt ans Internet anzubinden. Das tut man nicht. Active Directory ist ein rein interner Dienst. Irgendwie haben wir aber vor etwa zwei Wochen ziemlich genau diese Diskussion hier schon mal geführt - besteht da ein Zusammenhang, oder ist das Zufall? Gruß, Nils Zitieren Link zu diesem Kommentar
knut4linux 0 Geschrieben 9. April 2017 Melden Teilen Geschrieben 9. April 2017 Hi, welche Dienste müssen denn öffentlich erreichbar sein um ein DC im Internet zu veröffentlichen? Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 9. April 2017 Melden Teilen Geschrieben 9. April 2017 Moin, ich verstehe die Frage nicht. Warum würde man einen DC im Internet veröffentlichen wollen? Mir fällt dazu kein einziges valides Szenario ein. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.