Jump to content

RPC - fixe Ports (laut MS KB) für Ex03 funzt nicht 100%


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

hallo alle miteinander.

 

ich habe hier eine kleine testumgebung und stehe vor einem kleinen problem (oder ich sehe den wald vor lauter bäumen nicht ....),

 

also:

 

server: windows server 2003, exchange 2003

client: xp prof

alle: jeweils die letzten service packs installiert

 

laut ms kb (mehrere artikel) besteht die möglichkeit, dem rpc dienst in zusammenhang mit exchange seine "dynamische" portallokierung oberhalb von 1024 abzugewöhnen.

 

dazu sind drei eintragungen notwendig:

hklm\system\currentcontrolset\services\...

...\msexchangeDS\Parameters\TCP/IP=abcd <<<< anmerkung 1

...\msexchangeIS\ParametersSystem\TCP/IP Port=abce <<<< 2

...\msexchangeSA\Parameters\TCP/IP Port=abcf

 

Wenns wie von MS (für ältere Exchange Versionen ?!?) beschrieben

funktionieren würde, könnte man so z.b. die Ports 5000, 5001 und 5002 fixieren (Anmerkung: zumindest in meiner Testumgebung sind

- ohne Manipulation in der Registry - immer die 3 selben Ports in Verwendung - aber ohne Gewähr ...)

 

Nun, was passiert:

 

Ich starte also Outlook von der Workstation, uiui, das Logo bleibt verdammt lang stehen, irgend etwas hackt ....

 

hier ein dump erstellt mit TCPView von Sysinternals:

 

OUTLOOK.EXE:3280 TCP 192.168.168.2:1528 192.168.168.3:135 ESTABLISHED

OUTLOOK.EXE:3280 TCP 192.168.168.2:1532 192.168.168.3:135 ESTABLISHED

OUTLOOK.EXE:3280 TCP 192.168.168.2:1533 192.168.168.3:5002 ESTABLISHED

OUTLOOK.EXE:3280 TCP 192.168.168.2:1534 192.168.168.3:5002 ESTABLISHED

OUTLOOK.EXE:3280 TCP 192.168.168.2:1537 192.168.168.3:5001 ESTABLISHED

OUTLOOK.EXE:3280 UDP 0.0.0.0:1535 *:*

OUTLOOK.EXE:3280 UDP 0.0.0.0:1536 *:*

OUTLOOK.EXE:3280 TCP 192.168.168.2:1544 u.v.w.x:1292 SYN_SENT <<- meine public IP

 

aha, 5001 und 5002 funktionieren also so wie MS es beschreibt,

nur port 5000 will nicht, stattdessen kommt der "alte" port (1292) und wartet und wartet ....

 

irgendwann überlegt es sich outlook dann aber doch und fängt an zu arbeiten.

 

zu den anmerkungen:

 

1) hier schient das problem zu liegen, und zwar in geballter form:

 

a) laut ms heisst der pfad: ...\msexchangeDS\...

aber zumindest bei exchange 2003 heisst er: ...\msexchangeDSAccess\....

 

b) ...\Parameters gab es erst gar nicht, gut macht nix, is ja schnell angelegt

c) hm wie jetzt, "TCP/IP"=Wert (laut MS Doku) oder wie bei den beiden anderen "TCP/IP Port"=Wert (übrigens jeweils reg_dword)

auch egal, beide erstellt, Server Neustart, denkste.

 

also vielleicht kann jemand da etwas Licht dahinterbringen.

 

Der Hintergrund sei vielleicht auch noch kurz erwähnt:

Obwohl wir VPN's einsetzen (die ja jeder hochjubelt) wollen wir deshalb nicht gleich allen VPN benutzern alle Türen und Tore öffnen und nur wirklich jene Ports freigeben die unbedingt notwendig sind.

 

Schließlich kann ja z.b. mal ein Trojaner sich auf einem VPN Client eingenistet haben, und der ist ja nicht an den verschlüsselten Daten des VPN Tunnels interessiert (und mehr bringt ja VPN nicht) sondern

vielleicht an anderen krummen Dingen .... naja, egal, wir wollen halt unser möglichstes tun, dazu zählt auch das wir den VPN Clients nicht um alles in der Welt unser Vertrauen schenken ....

 

also, wer sieht da den Hund begraben?

könnte das mal jemand an einem exchange 2003 server nachvollziehen?

 

danke für eure wertvollen hinweise bereits im voraus

 

hubert

Link to comment

erstmals danke für die tipps.

 

also es funzt immer noch nicht, allerdings habe ich gerade einen interessanten beitrag in einer anderen newsgroup

http://x220.win2ktest.com/forum/topic.asp?whichpage=-1&TOPIC_ID=9209&REPLY_ID=37554

gefunden:

 

============================================

sorted cheers. using checkpoint firewall so secure in that area, vpn wasn't an option.

 

I managed to investigate assigning static ports to Exchange, and came across some more information in a newsgroup.

 

I have now made the configuration change and it seems to be working.

 

The problem was that I needed to set the TCP/IP Port for NTDS to the same as the port for the Directory Proxy Service.

 

I gave the following ports:

Global Catalog Referral Service: 4000

Directory Proxy Service: 4001

Information Store Service: 4002

 

NTDS: 4001

Edited by - tombott on 05/17/2004 06:19:44 AM

============================================

 

also, wenn ich das richtig verstehe muss man nicht nur exchange knebeln sondern auch noch das AD und zwar mit dem selben Port.

 

also schade ist ja nur das bei obigem posting die reg.einträge nicht angeführt sind ....

 

werde übers we noch etwas rumprobieren .....

 

achja, in der anleitung von ms (artikel in kb: http:// http://support.microsoft.com/kb/148732/EN-US/ ) ist es für mich leider *nicht* eindeutig ersichtlich wo die einzelnen einträge in der registry anzubringen sind.

 

zb heisst es da:

 

HKLM\System\CurrentControlSet\Services\MSExchangeDS\Parameters

 

aber das gibt es unter exchange2003 schlichtweg so nicht sondern:

 

HKLM\System\CurrentControlSet\Services\MSExchangeDSAccess\Parameters

 

 

werde jetzt mal die einträge für NTDS ändern, mal sehen ......

Link to comment
Original geschrieben von hhred

 

also schade ist ja nur das bei obigem posting die reg.einträge nicht angeführt sind ....

 

werde übers we noch etwas rumprobieren .....

 

 

:confused::confused::confused:

 

Wechseln Sie im Registrierungs-Editor zu folgendem Registrierungsschlüssel:

 

HKEY_LOCAL_MACHINE

SYSTEM\

CurrentControlSet\

Services\

NTDS\

Parameters\

 

Fügen Sie den neuen DWORD-Wert TCP/IP Port (einschließlich Leerzeichen) hinzu. Legen Sie den Wert auf die gewünschte Portnummer fest. Vergessen Sie nicht, die angezeigte Basis auf dezimal festzulegen, ehe Sie die Daten eingeben. Geben Sie auf allen Servern so vor, auf denen Active Directory ausgeführt wird. Sie müssen die Server neu starten, damit die änderung wirksam wird.

 

Konfigurieren Sie nun Ihren Firewall so, dass Folgendes zugelassen wird:

Dienst Port/Protokoll

 

RPC-Endpunktzuordnung

 

 

 

 

135/TCP, 135/UDP

 

 

NetBIOS-Namensdienst

 

 

137/TCP, 137/UDP

 

 

NetBIOS-Datagrammdienst

 

 

138/UDP

 

 

NetBIOS-Sitzungsdienst

 

 

139/TCP

 

 

Statischer RPC-Port für Active Directory-Replikation

 

 

Fester Port/TCP

 

 

SMB über IP (Microsoft-DS)

 

 

445/TCP, 445/UDP

 

 

LDAP

 

 

389/TCP

 

 

LDAP über SSL

 

 

636/TCP

 

 

LDAP für globalen Katalog

 

 

3268/TCP

 

 

LDAP für globalen Katalog über SSL

 

 

3269/TCP

 

 

Kerberos

 

 

88/TCP, 88/UDP

 

 

DNS

 

 

53/TCP, 53/UDP

 

 

WINS-Auflösung (falls erforderlich)

 

 

1512/TCP, 1512/UDP

 

 

WINS-Replikation (falls erforderlich)

 

 

42/TCP, 42/UDP

 

 

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...