Jump to content

SBS 2003 nur Wilkommenseite über internet


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hallo,

 

ich versuche gerade einen SBS 2003 zu konfigurieren.

Ich benutze einen router port 80 ist auf den Server 192.168.0.100 geroutet. wenn ich jetzt über internet die web seite des SBS aufrufe so kommt auch schön die wilkommenseite.

wenn ich jetzt auf interne Firmenwebseite clicke so komme "die seite kann nicht angezeigt werde" der link verweist auf http://companyweb". klar die seite kann nicht aufgelöst werden.

 

was habe ich falsch eingestellt ?

Link zu diesem Kommentar

Hi.

 

Du hast auf deinem Router wahrscheinlich nur Port 80 freigegeben.

 

Der SBS benötigt folgende Ports:

 

OWA - 80 für http:// und 443 für https://

OMA - 80 und 443

Remote-Webarbeitsplatz - 4125

Serverleistungs- und Servernutzungsberichte - 443

Intranetseite Sharepoint Services - 444

Firmenwebseite - 80

 

Du musst daher zumindes 80, 443, 444 und 4125 freigeben

 

LG Günther

Link zu diesem Kommentar
  • 4 Monate später...

Moin,

 

ich glaube das companyweb ist für den "Lokalen" AUfrucf gedacht, wenn du nun bespielsweise zuhause bist, wähle dich per VPN ein (ports habe ich gerade nicht parat) und dann schreibe in die

 

c:\windows\system32\drivers\etc\hosts

 

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost
10.0.0.2	 Companyweb

 

Durch diesen Eintrag funktioniert dein http://companyweb dann auch, denn auf diese Datei greifen soweit ich weiß ersteinmal alle MS Programme drauf zu.

 

P.S.: Die IP 10.0.0.2 musst du natürlich mit deiner Serverip ersetzten...

 

Ich hoffe ich konnte helfen.

 

mfg

Jan (r00t)

Link zu diesem Kommentar
  • 5 Monate später...
Hi.

 

Du hast auf deinem Router wahrscheinlich nur Port 80 freigegeben.

 

Der SBS benötigt folgende Ports:

 

OWA - 80 für http:// und 443 für https://

OMA - 80 und 443

Remote-Webarbeitsplatz - 4125

Serverleistungs- und Servernutzungsberichte - 443

Intranetseite Sharepoint Services - 444

Firmenwebseite - 80

 

Du musst daher zumindes 80, 443, 444 und 4125 freigeben

 

LG Günther

 

 

Habe ich alles gemacht und im Assistenten habe ich folgendes freigegeben:

 

OWA

Remote Webarbeitsplatz

Intranetseite der Windows Sharepoint Seite

Firmenwebseite /wwwroot/

 

 

ergibt sich durch Aktivierung der Firmenwebseite ein Sicherheitsloch?

 

Denn eigentlich, soll die companyweb Seite gar nicht darüber verfügbar sein, da wir sie momentan nicht verwenden.

 

Langer Rede kurzer Sinn, ich will den remote Webarbeitsplatz nutzen, aber so wenig wie nötig freischalten.

 

was ist denn der genau Unterschied zwischen Intranetseite Sharepoint Services

Firmenwebseite, muss ja scheinbar beides zwangsläufig aktiviert sein, damit die Willkommensseite kommt.

Link zu diesem Kommentar

Hi,

 

ich verstehe euch nicht wie ihr so Arglos Ports frei geben könnt?

 

Auch wenn man eine Dynamische IP hat so ändert die sich zumindest 24h nicht und jeder der mal einer Firewall-Log genauer angeschaut hat weis, dass Teilweise gezielte Portscans über ganze IP-Bereich abgefahren werden.

 

Wenn jetzt ein Bad-Guy einen geöffneten Port gefunden hat, dann wars das auch schon mit dem Server und jedes Script-Kiddie macht den dann Platt.

 

Denial-of-Service, Trojaner, Datendiebstahl usw...

 

Also warum sollte man auf die Idee kommen den Port 80 zu forwarden. :shock:

 

Zum Thema:

http://www.smallbizserver.net/Default.aspx?tabid=105]ONE FINAL WARNING BEFORE YOU START: Hosting a website on Small Business Server 2000 can be a big risk to your organization. Opening port 80 on the server is considered a major security risk. Once somebody has found a hole in IIS that is not yet discovered by the security experts and properly patched by Microsoft a hacker has unlimited access to your server and can ruin your business completely. In order to limit the risk to the minimum you must understand the following:

 

An open port is a hole is a weakness is a entry is a ....got it?

http://msmvps.com/bradley/archive/2005/02/04/34974.aspx

 

Ich halte grundlegend garnichts davon OWA, Companyweb oder sonst irgendeinen Webservice vom SBS freizugeben - Einzig und alleine VPN sollte imho verwendet werden.

 

Solche Dienste werden in einer Enterprise-Umgebung aus gutem Grund nur in einer DMZ angeboten - da aber in ner Small Business Serverumgebung eben nur ein Server da ist haut das nicht ganz hin.

 

LG Gadget

Link zu diesem Kommentar

@Kohn du hast irgendwie völlig Recht, zumal der Zugriff nur von meinem User/pass geschützt wird.

 

Hintergedanke war nur das ich gezwungen bin von einem Inet Cafe (Urlaub)auf den server zuzugreifen ohne das ich dort eine VPN Verbindung einrichten kann.

 

Da ich gerade mein schlaues SBS 2003 Buch durchforste bin ich drauf gestossen, hoffentlich bringt kich das nicht noch auf andere W"böse"Ideen. :D

 

Egal denke Risiko lohnt nicht

Link zu diesem Kommentar

Habe ja noch den 443 offen wegen OWA

 

laut shields up:

The presence of this secure web port in your system implies that this system is establishing secure connections with web browsers. The number one reason for doing this is the transmission of credit card information. This implies that the successful intruder could access the web server's credit card database and score bigtime. This is a VERY bad port to have open unless you are actually conducting secure web commerce!

Link zu diesem Kommentar
@Gadget du hast irgendwie völlig Recht, zumal der Zugriff nur von meinem User/pass geschützt wird.

 

und das Passwort ist auch das eigentliche Problem wenn erstmal ein Admin-Account geknackt ....dann is aber "holla die Waldfee" angesagt und wahrscheinlich ist man auch seinen Job los.

 

Und bei dieser =>

https://www.mcseboard.de/showthread.php?t=66825

 

Studie hat MS auch festgestellt, dass durchschnittlich 80% der Kennwörter in kürzester Zeit zu knacken sind.

 

Deswegen hat bei mir die Sicherheit immer oberste Priorität und ein bisserl gesunde Paranoia sollte man als IT´ler auch haben.

 

Als Beipsiel will ich hiermal einen Artikel anführen der von Frank Solinske (Security MVP) verfasst wurde man muss den Aufwand betrachten den er für erforderlich sah, um einen SBS als Webserver zu betreiben. (Port 80 forwarden)

 

Server Hardening eines SBS 2003 premium Edition

http://techtalk.unterwegs-im.net/content/view/55/3/

 

LG Gadget

Link zu diesem Kommentar
  • 9 Monate später...

Hallo

Falls der Remote Webarbeitsplatz wirklich benötigt wird, kann das Sicherheitsrisiko des Administrator-Konto-Hacks auf folgende Weise zumindest minimiert werden:

 

Small Business Server-Kontosperrungsrichtlinien

Damit Angreifer über den Remote-Webarbeitsplatz nicht oder nur erschwert mit einer Brute-Force oder Wörterbuchattacke ins Netzwerk eindringen können, können Kontosperrungsrichtlinien eingesetzt werden.

Small Business Server-Kontosperrungsrichtlinien:

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kontosperrungsrichtlinien

Mithilfe der Überwachung Berichterstattung in der Serververwaltungskonsole können Warnungen definiert werden, die Systemadmin alarmieren, wenn Kontos gesperrt werden.

 

Administratorkonto

Das Administratorkonto wird durch die Kontosperrungsrichtlinien nicht betroffen. Damit über auch dieses Konto nicht für Attacken benutzt werden, kann es per Gruppenrichtlinie deaktiviert werden (Z:B. in der Default Domain Policy):

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Konten: Administratorkontostatus=Deaktiviert

Hinweis: Im abgesicherten Modus ist das Administratorkonto immer aktiviert. Bei dieser Gelegenheit empfiehlt es sich, auch gleich das Gastkonto zu deaktivieren.

Um Problemen vorzubeugen, sollte dem Administratorkonto kein Exchange-Postfach zugewiesen werden, und die Deaktivierung in einem frühen Stadium vorgenommen werden. Am sichersten ist es, wenn das Konto zuerst im AD kopiert wird. Dieses neue Konto "profitiert" dann von den Kontosperrungsrichtlinien.

 

Freue mich auf Anregungen und Berichtigungen...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...