Jump to content

DomainController in eigenes Netz, welche Ports werden benötigt


Direkt zur Lösung Gelöst von daabm,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

wir haben bereits unsere Server und unsere Clients in unterschiedlichen Netzen, Managementsysteme sind nochmals in einem eigenen Netz.

 

Ebenso haben wir vor ca. einem Jahr angefangen das Tieringmodell einzuführen für die Trennung der Adminuser.

 

T0 haben wir den DC und den Exchange, T1 sonstige Mitgliedsever und T2 Clients und sonstige Peripherigeräte.

 

Allerdings ist es aktuell so, dass die Server in einem gemeinsamen Netz sind, was wir gerne ändern würden und die Netze auch mittels Firewall trennen wollen.

 

Bei der Suche nach den benötigten Ports, bin ich über folgenden Link gestossen: https://docs.microsoft.com/en-in/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts

 

Nun bin ich unsicher ob ich wirklich die aufgeführten Ports benötige um von meinen T1/T2-Geräten darauf zuzugreifen. DNS zb haben wir vom DC getrennt und somit würde ich diesen ja nicht brauchen. LDAP, Kerberos und SMB ist mir auch klar. Aber was ist mit den restlichen Ports? 

 

Wie realisiert ihr das?

 

Wenn interessant so haben wir eine Win2019-Domain mit ca. 180 Servern und ca. 350 Clients, also eine eher überschaubare Umgebung.

 

Für Hilfe und Denkanstösse bin ich dankbar.

 

Gruss

 

Lars

Link zu diesem Kommentar
vor 12 Stunden schrieb daabm:

Du mußt konkreter werden - der MS-Artikel ist eigentlich erschöpfend, und alles, von dem Du weißt, daß Du es nicht brauchst, kannst Du natürlich rausnehmen. Was soll mit den restlichen Ports sein?

Hi Martin, 

erstmal danke für deine Antwort. Ich bin mir unsicher wofür genau die einzelnen Dienste sind. Es sind ja Mitgliedserver und Clients angebunden und keine Replikationen zu anderen DCs ausserhalb von diesem Netz. LDAP/s, DNS, Kerberos und SMB ist klar. Aber brauch ich die anderen Dienste zwingend bzw wofür sind die einzelnen. 

Aber was ich tatsächlich zuvor in dem Artikel überlesen habe ist der Punkt, dass ich den RPC-Traffic auf einen speziellen Port festlegen kann, das würde ich gern tun. Gibt es aus der Erfahrung heraus Probleme auf die ich zukommen könnte oder würdest du den kompletten Bereich freischalten?

 

 

Link zu diesem Kommentar
  • Beste Lösung
Am 8.11.2020 um 14:30 schrieb Vitel:

Aber was ich tatsächlich zuvor in dem Artikel überlesen habe ist der Punkt, dass ich den RPC-Traffic auf einen speziellen Port festlegen kann, das würde ich gern tun. Gibt es aus der Erfahrung heraus Probleme auf die ich zukommen könnte oder würdest du den kompletten Bereich freischalten?

RPC auf nur einen Port festzunageln ist ein Schuß ins Knie - da läuft ziemlich viel drüber. "Moderne" Firewalls können das dynamisch freischalten, wenn das nicht geht, empfehle ich 1000 Ports als Range. RPC kann leider nicht auf einem einzigen Port mehrere Sockets bedienen, da sind immer glaub 10 aktive Listener, und für jeden belegten kommt dann ein weiterer dazu. Und Jan hat's schon gesagt - der Artikel scheint ziemlich viele Ports zu fordern, aber die braucht's leider auch. AD-Replikation, DFS/NTFRS-Replikation, Netlogon High Port usw usw, die Liste ist leider lang :-)

Link zu diesem Kommentar
vor 9 Stunden schrieb daabm:

RPC auf nur einen Port festzunageln ist ein Schuß ins Knie - da läuft ziemlich viel drüber. "Moderne" Firewalls können das dynamisch freischalten, wenn das nicht geht, empfehle ich 1000 Ports als Range. RPC kann leider nicht auf einem einzigen Port mehrere Sockets bedienen, da sind immer glaub 10 aktive Listener, und für jeden belegten kommt dann ein weiterer dazu. Und Jan hat's schon gesagt - der Artikel scheint ziemlich viele Ports zu fordern, aber die braucht's leider auch. AD-Replikation, DFS/NTFRS-Replikation, Netlogon High Port usw usw, die Liste ist leider lang :-)

ok, die Aussage hilft mir weiter. 

 

Danke dafür

Link zu diesem Kommentar

Moin,

 

ich werfe noch mal in die Runde, dass man sich gerade bei DCs durchaus die Sinnfrage einer Netztrennung stellen darf. Praktisch alle relevanten Funktionen eines DCs müssen für User und für Admins gleichermaßen erreichbar sein und werden dann über Berechtigungen usw. voneinander getrennt. Anders als bei manchen anderen Serverdiensten gibt es keine Aufteilung in Nutz- und Admintraffic. Es braucht also schon gute Gründe und gute Beherrschung des Netzwerks, um so eine Separation sinnvoll umzusetzen. Kann man das nicht gewährleisten, dann  ist es die falsche Baustelle.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...