Jump to content

DomainController in eigenes Netz, welche Ports werden benötigt


Go to solution Solved by daabm,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

wir haben bereits unsere Server und unsere Clients in unterschiedlichen Netzen, Managementsysteme sind nochmals in einem eigenen Netz.

 

Ebenso haben wir vor ca. einem Jahr angefangen das Tieringmodell einzuführen für die Trennung der Adminuser.

 

T0 haben wir den DC und den Exchange, T1 sonstige Mitgliedsever und T2 Clients und sonstige Peripherigeräte.

 

Allerdings ist es aktuell so, dass die Server in einem gemeinsamen Netz sind, was wir gerne ändern würden und die Netze auch mittels Firewall trennen wollen.

 

Bei der Suche nach den benötigten Ports, bin ich über folgenden Link gestossen: https://docs.microsoft.com/en-in/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts

 

Nun bin ich unsicher ob ich wirklich die aufgeführten Ports benötige um von meinen T1/T2-Geräten darauf zuzugreifen. DNS zb haben wir vom DC getrennt und somit würde ich diesen ja nicht brauchen. LDAP, Kerberos und SMB ist mir auch klar. Aber was ist mit den restlichen Ports? 

 

Wie realisiert ihr das?

 

Wenn interessant so haben wir eine Win2019-Domain mit ca. 180 Servern und ca. 350 Clients, also eine eher überschaubare Umgebung.

 

Für Hilfe und Denkanstösse bin ich dankbar.

 

Gruss

 

Lars

Link to post
vor 12 Stunden schrieb daabm:

Du mußt konkreter werden - der MS-Artikel ist eigentlich erschöpfend, und alles, von dem Du weißt, daß Du es nicht brauchst, kannst Du natürlich rausnehmen. Was soll mit den restlichen Ports sein?

Hi Martin, 

erstmal danke für deine Antwort. Ich bin mir unsicher wofür genau die einzelnen Dienste sind. Es sind ja Mitgliedserver und Clients angebunden und keine Replikationen zu anderen DCs ausserhalb von diesem Netz. LDAP/s, DNS, Kerberos und SMB ist klar. Aber brauch ich die anderen Dienste zwingend bzw wofür sind die einzelnen. 

Aber was ich tatsächlich zuvor in dem Artikel überlesen habe ist der Punkt, dass ich den RPC-Traffic auf einen speziellen Port festlegen kann, das würde ich gern tun. Gibt es aus der Erfahrung heraus Probleme auf die ich zukommen könnte oder würdest du den kompletten Bereich freischalten?

 

 

Link to post

Ich denke das Forum ist der falsche Weg Dir alle Dienste des Domain Controllers zu erklären. Man musst auch nicht alle kennen. Wichtig ist nur die Support-Artikel ernst zu nehmen und auch so umzusetzen. Nur so kann man sich relativ sicher sein, dass dieser auch wie gewünscht seinen Dienst tut.

Link to post
  • Solution
Am 8.11.2020 um 14:30 schrieb Vitel:

Aber was ich tatsächlich zuvor in dem Artikel überlesen habe ist der Punkt, dass ich den RPC-Traffic auf einen speziellen Port festlegen kann, das würde ich gern tun. Gibt es aus der Erfahrung heraus Probleme auf die ich zukommen könnte oder würdest du den kompletten Bereich freischalten?

RPC auf nur einen Port festzunageln ist ein Schuß ins Knie - da läuft ziemlich viel drüber. "Moderne" Firewalls können das dynamisch freischalten, wenn das nicht geht, empfehle ich 1000 Ports als Range. RPC kann leider nicht auf einem einzigen Port mehrere Sockets bedienen, da sind immer glaub 10 aktive Listener, und für jeden belegten kommt dann ein weiterer dazu. Und Jan hat's schon gesagt - der Artikel scheint ziemlich viele Ports zu fordern, aber die braucht's leider auch. AD-Replikation, DFS/NTFRS-Replikation, Netlogon High Port usw usw, die Liste ist leider lang :-)

Link to post
vor 9 Stunden schrieb daabm:

RPC auf nur einen Port festzunageln ist ein Schuß ins Knie - da läuft ziemlich viel drüber. "Moderne" Firewalls können das dynamisch freischalten, wenn das nicht geht, empfehle ich 1000 Ports als Range. RPC kann leider nicht auf einem einzigen Port mehrere Sockets bedienen, da sind immer glaub 10 aktive Listener, und für jeden belegten kommt dann ein weiterer dazu. Und Jan hat's schon gesagt - der Artikel scheint ziemlich viele Ports zu fordern, aber die braucht's leider auch. AD-Replikation, DFS/NTFRS-Replikation, Netlogon High Port usw usw, die Liste ist leider lang :-)

ok, die Aussage hilft mir weiter. 

 

Danke dafür

Link to post

Moin,

 

ich werfe noch mal in die Runde, dass man sich gerade bei DCs durchaus die Sinnfrage einer Netztrennung stellen darf. Praktisch alle relevanten Funktionen eines DCs müssen für User und für Admins gleichermaßen erreichbar sein und werden dann über Berechtigungen usw. voneinander getrennt. Anders als bei manchen anderen Serverdiensten gibt es keine Aufteilung in Nutz- und Admintraffic. Es braucht also schon gute Gründe und gute Beherrschung des Netzwerks, um so eine Separation sinnvoll umzusetzen. Kann man das nicht gewährleisten, dann  ist es die falsche Baustelle.

 

Gruß, Nils

 

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...