RPC - fixe Ports (laut MS KB) für Ex03 funzt nicht 100%

[hhred]

hallo alle miteinander.

ich habe hier eine kleine testumgebung und stehe vor einem kleinen problem (oder ich sehe den wald vor lauter bäumen nicht ....),

also:

server: windows server 2003, exchange 2003
client: xp prof
alle: jeweils die letzten service packs installiert

laut ms kb (mehrere artikel) besteht die möglichkeit, dem rpc dienst in zusammenhang mit exchange seine "dynamische" portallokierung oberhalb von 1024 abzugewöhnen.

dazu sind drei eintragungen notwendig:
hklm\system\currentcontrolset\services\...
...\msexchangeDS\Parameters\TCP/IP=abcd <<<< anmerkung 1
...\msexchangeIS\ParametersSystem\TCP/IP Port=abce <<<< 2
...\msexchangeSA\Parameters\TCP/IP Port=abcf

Wenns wie von MS (für ältere Exchange Versionen ?!?) beschrieben
funktionieren würde, könnte man so z.b. die Ports 5000, 5001 und 5002 fixieren (Anmerkung: zumindest in meiner Testumgebung sind
- ohne Manipulation in der Registry - immer die 3 selben Ports in Verwendung - aber ohne Gewähr ...)

Nun, was passiert:

Ich starte also Outlook von der Workstation, uiui, das Logo bleibt verdammt lang stehen, irgend etwas hackt ....

hier ein dump erstellt mit TCPView von Sysinternals:

OUTLOOK.EXE:3280 TCP 192.168.168.2:1528 192.168.168.3:135 ESTABLISHED
OUTLOOK.EXE:3280 TCP 192.168.168.2:1532 192.168.168.3:135 ESTABLISHED
OUTLOOK.EXE:3280 TCP 192.168.168.2:1533 192.168.168.3:5002 ESTABLISHED
OUTLOOK.EXE:3280 TCP 192.168.168.2:1534 192.168.168.3:5002 ESTABLISHED
OUTLOOK.EXE:3280 TCP 192.168.168.2:1537 192.168.168.3:5001 ESTABLISHED
OUTLOOK.EXE:3280 UDP 0.0.0.0:1535 *:*
OUTLOOK.EXE:3280 UDP 0.0.0.0:1536 *:*
OUTLOOK.EXE:3280 TCP 192.168.168.2:1544 u.v.w.x:1292 SYN_SENT <<- meine public IP

aha, 5001 und 5002 funktionieren also so wie MS es beschreibt,
nur port 5000 will nicht, stattdessen kommt der "alte" port (1292) und wartet und wartet ....

irgendwann überlegt es sich outlook dann aber doch und fängt an zu arbeiten.

zu den anmerkungen:

1) hier schient das problem zu liegen, und zwar in geballter form:

a) laut ms heisst der pfad: ...\msexchangeDS\...
aber zumindest bei exchange 2003 heisst er: ...\msexchangeDSAccess\....

b) ...\Parameters gab es erst gar nicht, gut macht nix, is ja schnell angelegt
c) hm wie jetzt, "TCP/IP"=Wert (laut MS Doku) oder wie bei den beiden anderen "TCP/IP Port"=Wert (übrigens jeweils reg_dword)
auch egal, beide erstellt, Server Neustart, denkste.

also vielleicht kann jemand da etwas Licht dahinterbringen.

Der Hintergrund sei vielleicht auch noch kurz erwähnt:
Obwohl wir VPN's einsetzen (die ja jeder hochjubelt) wollen wir deshalb nicht gleich allen VPN benutzern alle Türen und Tore öffnen und nur wirklich jene Ports freigeben die unbedingt notwendig sind.

Schließlich kann ja z.b. mal ein Trojaner sich auf einem VPN Client eingenistet haben, und der ist ja nicht an den verschlüsselten Daten des VPN Tunnels interessiert (und mehr bringt ja VPN nicht) sondern
vielleicht an anderen krummen Dingen .... naja, egal, wir wollen halt unser möglichstes tun, dazu zählt auch das wir den VPN Clients nicht um alles in der Welt unser Vertrauen schenken ....

also, wer sieht da den Hund begraben?
könnte das mal jemand an einem exchange 2003 server nachvollziehen?

danke für eure wertvollen hinweise bereits im voraus

hubert

[Darkmind]

hallo hhred

kann dir leider keine lösung anbieten, aber ich beschäftigte mich eine zeit lang damit und habs auch nie hinbekommen mit den fixed RPC Ports. ( AD Replikation in DMZ)

Bei mir hat aber AD schon nicht repliziert.

also stehe / stand vor dem gleichen problem.


grüsse

darkmind

[Velius]

Hallöle

So wie es scheint, möchtest du nur die Clients mit dem Exchange über eine fixen Port komunizieren lassen, und auch nur die Mobilen, richtig?


Probier's doch mal so rum:

http://www.mcseboard.de/showthread.p...120#post294120


Ist eh einfacher zu konfigurieren.


Gruss
Velius

[Velius]

Stichwort statische RPC Ports:

Hier noch ein Dokument, wo das auch noch behandelt wird.

http://www.mcseboard.de/showthread.p...663#post287663

[hhred]

erstmals danke für die tipps.

also es funzt immer noch nicht, allerdings habe ich gerade einen interessanten beitrag in einer anderen newsgroup
http://x220.win2ktest.com/forum/topi...REPLY_ID=37554
gefunden:

============================================
sorted cheers. using checkpoint firewall so secure in that area, vpn wasn't an option.

I managed to investigate assigning static ports to Exchange, and came across some more information in a newsgroup.

I have now made the configuration change and it seems to be working.

The problem was that I needed to set the TCP/IP Port for NTDS to the same as the port for the Directory Proxy Service.

I gave the following ports:
Global Catalog Referral Service: 4000
Directory Proxy Service: 4001
Information Store Service: 4002

NTDS: 4001
Edited by - tombott on 05/17/2004 06:19:44 AM
============================================

also, wenn ich das richtig verstehe muss man nicht nur exchange knebeln sondern auch noch das AD und zwar mit dem selben Port.

also schade ist ja nur das bei obigem posting die reg.einträge nicht angeführt sind ....

werde übers we noch etwas rumprobieren .....

achja, in der anleitung von ms (artikel in kb: http://support.microsoft.com/kb/148732/EN-US/ ) ist es für mich leider *nicht* eindeutig ersichtlich wo die einzelnen einträge in der registry anzubringen sind.

zb heisst es da:

HKLM\System\CurrentControlSet\Services\MSExchangeDS\Parameters

aber das gibt es unter exchange2003 schlichtweg so nicht sondern:

HKLM\System\CurrentControlSet\Services\MSExchangeDSAccess\Parameters


werde jetzt mal die einträge für NTDS ändern, mal sehen ......

[Velius]

Original geschrieben von hhred also schade ist ja nur das bei obigem posting die reg.einträge nicht angeführt sind .... werde übers we noch etwas rumprobieren .....

Wechseln Sie im Registrierungs-Editor zu folgendem Registrierungsschlüssel: HKEY_LOCAL_MACHINE SYSTEM\ CurrentControlSet\ Services\ NTDS\ Parameters\ Fügen Sie den neuen DWORD-Wert TCP/IP Port (einschließlich Leerzeichen) hinzu. Legen Sie den Wert auf die gewünschte Portnummer fest. Vergessen Sie nicht, die angezeigte Basis auf dezimal festzulegen, ehe Sie die Daten eingeben. Geben Sie auf allen Servern so vor, auf denen Active Directory ausgeführt wird. Sie müssen die Server neu starten, damit die änderung wirksam wird. Konfigurieren Sie nun Ihren Firewall so, dass Folgendes zugelassen wird: Dienst Port/Protokoll RPC-Endpunktzuordnung 135/TCP, 135/UDP NetBIOS-Namensdienst 137/TCP, 137/UDP NetBIOS-Datagrammdienst 138/UDP NetBIOS-Sitzungsdienst 139/TCP Statischer RPC-Port für Active Directory-Replikation Fester Port/TCP SMB über IP (Microsoft-DS) 445/TCP, 445/UDP LDAP 389/TCP LDAP über SSL 636/TCP LDAP für globalen Katalog 3268/TCP LDAP für globalen Katalog über SSL 3269/TCP Kerberos 88/TCP, 88/UDP DNS 53/TCP, 53/UDP WINS-Auflösung (falls erforderlich) 1512/TCP, 1512/UDP WINS-Replikation (falls erforderlich) 42/TCP, 42/UDP

[Velius]

Oder wie steht's hiermit?

XCCC: TCP/IP-Ports für Exchange- und Outlook Client-Verbindungen durch eine Firewall einrichten