Vitel 10 Posted November 6, 2020 Report Posted November 6, 2020 Hallo zusammen, wir haben bereits unsere Server und unsere Clients in unterschiedlichen Netzen, Managementsysteme sind nochmals in einem eigenen Netz. Ebenso haben wir vor ca. einem Jahr angefangen das Tieringmodell einzuführen für die Trennung der Adminuser. T0 haben wir den DC und den Exchange, T1 sonstige Mitgliedsever und T2 Clients und sonstige Peripherigeräte. Allerdings ist es aktuell so, dass die Server in einem gemeinsamen Netz sind, was wir gerne ändern würden und die Netze auch mittels Firewall trennen wollen. Bei der Suche nach den benötigten Ports, bin ich über folgenden Link gestossen: https://docs.microsoft.com/en-in/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts Nun bin ich unsicher ob ich wirklich die aufgeführten Ports benötige um von meinen T1/T2-Geräten darauf zuzugreifen. DNS zb haben wir vom DC getrennt und somit würde ich diesen ja nicht brauchen. LDAP, Kerberos und SMB ist mir auch klar. Aber was ist mit den restlichen Ports? Wie realisiert ihr das? Wenn interessant so haben wir eine Win2019-Domain mit ca. 180 Servern und ca. 350 Clients, also eine eher überschaubare Umgebung. Für Hilfe und Denkanstösse bin ich dankbar. Gruss Lars Quote
daabm 1,377 Posted November 8, 2020 Report Posted November 8, 2020 Du mußt konkreter werden - der MS-Artikel ist eigentlich erschöpfend, und alles, von dem Du weißt, daß Du es nicht brauchst, kannst Du natürlich rausnehmen. Was soll mit den restlichen Ports sein? Quote
Vitel 10 Posted November 8, 2020 Author Report Posted November 8, 2020 vor 12 Stunden schrieb daabm: Du mußt konkreter werden - der MS-Artikel ist eigentlich erschöpfend, und alles, von dem Du weißt, daß Du es nicht brauchst, kannst Du natürlich rausnehmen. Was soll mit den restlichen Ports sein? Hi Martin, erstmal danke für deine Antwort. Ich bin mir unsicher wofür genau die einzelnen Dienste sind. Es sind ja Mitgliedserver und Clients angebunden und keine Replikationen zu anderen DCs ausserhalb von diesem Netz. LDAP/s, DNS, Kerberos und SMB ist klar. Aber brauch ich die anderen Dienste zwingend bzw wofür sind die einzelnen. Aber was ich tatsächlich zuvor in dem Artikel überlesen habe ist der Punkt, dass ich den RPC-Traffic auf einen speziellen Port festlegen kann, das würde ich gern tun. Gibt es aus der Erfahrung heraus Probleme auf die ich zukommen könnte oder würdest du den kompletten Bereich freischalten? Quote
MurdocX 964 Posted November 8, 2020 Report Posted November 8, 2020 Ich denke das Forum ist der falsche Weg Dir alle Dienste des Domain Controllers zu erklären. Man musst auch nicht alle kennen. Wichtig ist nur die Support-Artikel ernst zu nehmen und auch so umzusetzen. Nur so kann man sich relativ sicher sein, dass dieser auch wie gewünscht seinen Dienst tut. Quote
Solution daabm 1,377 Posted November 11, 2020 Solution Report Posted November 11, 2020 Am 8.11.2020 um 14:30 schrieb Vitel: Aber was ich tatsächlich zuvor in dem Artikel überlesen habe ist der Punkt, dass ich den RPC-Traffic auf einen speziellen Port festlegen kann, das würde ich gern tun. Gibt es aus der Erfahrung heraus Probleme auf die ich zukommen könnte oder würdest du den kompletten Bereich freischalten? RPC auf nur einen Port festzunageln ist ein Schuß ins Knie - da läuft ziemlich viel drüber. "Moderne" Firewalls können das dynamisch freischalten, wenn das nicht geht, empfehle ich 1000 Ports als Range. RPC kann leider nicht auf einem einzigen Port mehrere Sockets bedienen, da sind immer glaub 10 aktive Listener, und für jeden belegten kommt dann ein weiterer dazu. Und Jan hat's schon gesagt - der Artikel scheint ziemlich viele Ports zu fordern, aber die braucht's leider auch. AD-Replikation, DFS/NTFRS-Replikation, Netlogon High Port usw usw, die Liste ist leider lang Quote
Vitel 10 Posted November 12, 2020 Author Report Posted November 12, 2020 vor 9 Stunden schrieb daabm: RPC auf nur einen Port festzunageln ist ein Schuß ins Knie - da läuft ziemlich viel drüber. "Moderne" Firewalls können das dynamisch freischalten, wenn das nicht geht, empfehle ich 1000 Ports als Range. RPC kann leider nicht auf einem einzigen Port mehrere Sockets bedienen, da sind immer glaub 10 aktive Listener, und für jeden belegten kommt dann ein weiterer dazu. Und Jan hat's schon gesagt - der Artikel scheint ziemlich viele Ports zu fordern, aber die braucht's leider auch. AD-Replikation, DFS/NTFRS-Replikation, Netlogon High Port usw usw, die Liste ist leider lang ok, die Aussage hilft mir weiter. Danke dafür Quote
NilsK 2,971 Posted November 12, 2020 Report Posted November 12, 2020 Moin, ich werfe noch mal in die Runde, dass man sich gerade bei DCs durchaus die Sinnfrage einer Netztrennung stellen darf. Praktisch alle relevanten Funktionen eines DCs müssen für User und für Admins gleichermaßen erreichbar sein und werden dann über Berechtigungen usw. voneinander getrennt. Anders als bei manchen anderen Serverdiensten gibt es keine Aufteilung in Nutz- und Admintraffic. Es braucht also schon gute Gründe und gute Beherrschung des Netzwerks, um so eine Separation sinnvoll umzusetzen. Kann man das nicht gewährleisten, dann ist es die falsche Baustelle. Gruß, Nils Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.