Brutus69 0 Geschrieben 7. April 2017 Melden Geschrieben 7. April 2017 Hallo zusammen, ich bin ein blutiger Anfänger, was Windows-Server angeht und versuche momentan eine Domäne einzurichten. Jetzt bin ich am versuchen, den Server so zu konfigurieren, dass er nichtmehr "offen" ist. Soweit ich weiß, muss ich dazu den Zugriff auf Port 389 beschränken. Sobald ich allerdings die eingehende Verbindung auf Port 389 sperre oder auf sichere Verbindungen beschränke, kann ich keine Clients mehr zu der Domäne hinzufügen bzw. mich an den Clients anmelden. Kennt jemand einen Lösungsansatz wie ich das Problem beheben kann? Danke und viele Grüße! :)
testperson 1.860 Geschrieben 7. April 2017 Melden Geschrieben 7. April 2017 Hi, Port 389 ist einer der benötigten. Der DC braucht noch ein paar weitere: https://technet.microsoft.com/en-us/library/8daead2d-35c1-4b58-b123-d32a26b1f1dd Gruß Jan
NilsK 3.046 Geschrieben 7. April 2017 Melden Geschrieben 7. April 2017 Moin, warum genau und auf welcher Grundlage und anhand welcher Informationen willst du deinen DC als "nicht mehr offen" konfigurieren? Deine Frage betrifft einen der notwendigen Ports, auf denen das AD beruht. Mir scheinen dort Missverständnisse vorzuliegen. Windows ist ja nun beim besten Willen nicht "offen", sodass man da zwingend irgendwas machen müsste, schon gar nicht im internen Netz. Gruß, Nils
Brutus69 0 Geschrieben 7. April 2017 Autor Melden Geschrieben 7. April 2017 Ich versuche es so einzurichten, dass der Server nciht mehr für DDoS-Reflection-Angriffe brauchbar ist. https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/CERT-Reports/HOWTOs/Offene-LDAP-Server/Offene-LDAP-Server_node.html Nur leider werde ich dadraus nicht so recht schlau :/
testperson 1.860 Geschrieben 7. April 2017 Melden Geschrieben 7. April 2017 Hi, Offen aus dem Internet erreichbare LDAP-Server können für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden. Darüber hinaus können Angreifer die Schwachstelle potenziell nutzen, um Informationen über das System bzw. Netzwerk zur Vorbereitung weiterer Angriffe auszuspähen. das wird ja bei dir und deinem/n DC/s hoffentlich nicht der Fall sein, oder? Gruß Jan
Brutus69 0 Geschrieben 7. April 2017 Autor Melden Geschrieben 7. April 2017 Per ldapsearch ist es jedenfalls möglich Information zu sammeln. Das kann ich bisher nur verhindern indem ich Port 389 blockiere...
testperson 1.860 Geschrieben 7. April 2017 Melden Geschrieben 7. April 2017 Testest du das jetzt _intern_ in deinem LAN? Oder ist der Server _öffentlich_ im Internet erreichbar?
Brutus69 0 Geschrieben 7. April 2017 Autor Melden Geschrieben 7. April 2017 Der Server ist öffentlich erreichbar.
monstermania 53 Geschrieben 7. April 2017 Melden Geschrieben 7. April 2017 (bearbeitet) Der Server ist öffentlich erreichbar. Und wie kommt man auf die Idee einen Server direkt ins Internet zu stellen!? Das ist übrigens unabhängig davon, ob es nur ein Windows oder Linux-Server ist. Einen Server direkt ins Internet zu stellen ist zumeist keine gute Idee. Willst Du bestimmte Dienste öffentlich anbieten (z.B. Webserver). Warum keine Firewall vor den Server, die nur die Dienste ins Internet freigibt die man auch möchte? bearbeitet 7. April 2017 von monstermania
Brutus69 0 Geschrieben 7. April 2017 Autor Melden Geschrieben 7. April 2017 Einige Dienste sollen/müssen Öffentlich sein. Deshalb versuche ich jetzt den LDAP-Port auch abzusichern.
DocData 85 Geschrieben 7. April 2017 Melden Geschrieben 7. April 2017 Sorry, aber das ist schier Wahnsinn was du da machst. Man stellt einen Windows-Server, schon gar keinen DC, öffentlich ins Internet (ich vermute einen Root-Server). Du sprichst davon, dass da dann keine Clients mehr zur Domäne hinzugefügt werden können. Frage: Du hast einen Windows Server irgendwo im Internet stehen und bindest an diesen Domain Controller Clients an?!
testperson 1.860 Geschrieben 7. April 2017 Melden Geschrieben 7. April 2017 Du bist dabei einen "Dienst" zu veröffentlichen der alles andere als öffentlich sein muss bzw. sollte. Warum _muss_ das denn in deinen Augen so sein? Und was soll da denn später rauskommen? Beschreibe doch einfach mal was du denn da vor hast. Mir scheint das aber auch alles andere als eine geeignete Aufgabe für einen "blutigen (Windows) Anfänger" zu sein.
NilsK 3.046 Geschrieben 7. April 2017 Melden Geschrieben 7. April 2017 Moin, wie die Kollegen schon sagen: Der Fehler ist, einen DC direkt ans Internet anzubinden. Das tut man nicht. Active Directory ist ein rein interner Dienst. Irgendwie haben wir aber vor etwa zwei Wochen ziemlich genau diese Diskussion hier schon mal geführt - besteht da ein Zusammenhang, oder ist das Zufall? Gruß, Nils
knut4linux 0 Geschrieben 9. April 2017 Melden Geschrieben 9. April 2017 Hi, welche Dienste müssen denn öffentlich erreichbar sein um ein DC im Internet zu veröffentlichen?
NilsK 3.046 Geschrieben 9. April 2017 Melden Geschrieben 9. April 2017 Moin, ich verstehe die Frage nicht. Warum würde man einen DC im Internet veröffentlichen wollen? Mir fällt dazu kein einziges valides Szenario ein. Gruß, Nils
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden