ueffitsch 10 Geschrieben 13. September 2010 Melden Geschrieben 13. September 2010 Hallo Zusammen, momentan konfigurieren wir eine neue Windows Domäne unter Server 2008 R2 (4 DCs) . Jetzt ist unserem Netzwerkteam im Firewall log aufgefallen, dass diese AD Server versuchen über Port 80 auf externe IP Adressen (diese sind bei Microsoft registriert) zuzugreifen. Nach Recherche auf den DC's konnte ich feststellen, dass der DNS (DNS.exe)Dienst diese Verbindungen versucht zu öffnen. Der Update Service ist dafür nicht verantworltich da er für die Nutzung des WSUS-Severs konifguiert ist und die Log-Datei auch keinen Hinweis darauf liefert. Kann sich jemand erklären, warum der DNS Dienst versucht über Port 80 eine Verbindung zu Microsoft herzustellen? Vielen Dank. Grüße Zitieren
Necron 71 Geschrieben 13. September 2010 Melden Geschrieben 13. September 2010 Hallo Zusammen, momentan konfigurieren wir eine neue Windows Domäne unter Server 2008 R2 (4 DCs) . Jetzt ist unserem Netzwerkteam im Firewall log aufgefallen, dass diese AD Server versuchen über Port 80 auf externe IP Adressen (diese sind bei Microsoft registriert) zuzugreifen. Hi, um welche Adressen handelt es sich denn? Zitieren
Sunny61 816 Geschrieben 13. September 2010 Melden Geschrieben 13. September 2010 momentan konfigurieren wir eine neue Windows Domäne unter Server 2008 R2 (4 DCs) . Jetzt ist unserem Netzwerkteam im Firewall log aufgefallen, dass diese AD Server versuchen über Port 80 auf externe IP Adressen (diese sind bei Microsoft registriert) zuzugreifen. Nach Recherche auf den DC's konnte ich feststellen, dass der DNS (DNS.exe)Dienst diese Verbindungen versucht zu öffnen. Der Update Service ist dafür nicht verantworltich da er für die Nutzung des WSUS-Severs konifguiert ist und die Log-Datei auch keinen Hinweis darauf liefert. Läuft der WSUS evtl. auf dem DC? Zitieren
ueffitsch 10 Geschrieben 14. September 2010 Autor Melden Geschrieben 14. September 2010 hi, es handelt sich um folgende Adressen auf die die AD Server zugreifen: 65.54.89.157 65.54.89.158 65.54.89.5 65.54.89.146 65.54.89.147 77.67.19.129 77.67.19.113 Der WSUS ist auf keinem DC installiert. Grüße Zitieren
zahni 570 Geschrieben 14. September 2010 Melden Geschrieben 14. September 2010 Bist Du sicher, dass es der DNS-Dienst ist ? Wie hast Du das herausgefunden ? Die Adressen gehören jedenfalls zu Microsoft bzw. die Akamai . Mach's doch mal am DC mit dem Netmon einen netzwerktrace. Dann siehst Du, was dort rüber geht. -Zahni Zitieren
Sunny61 816 Geschrieben 14. September 2010 Melden Geschrieben 14. September 2010 es handelt sich um folgende Adressen auf die die AD Server zugreifen: 65.54.89.157 65.54.89.158 65.54.89.5 65.54.89.146 65.54.89.147 77.67.19.129 77.67.19.113 Der WSUS ist auf keinem DC installiert. Dann evtl. Windows/Microsoft Update oder habt ihr den Dienst WUAUSERV deaktiviert? Zitieren
IThome 10 Geschrieben 15. September 2010 Melden Geschrieben 15. September 2010 Naja, der DNS-Dienst verbindet sich jedenfalls sicherlich nicht mit einem TCP Port 80 irgendwo ... Zitieren
Sunny61 816 Geschrieben 15. September 2010 Melden Geschrieben 15. September 2010 Naja, der DNS-Dienst verbindet sich jedenfalls sicherlich nicht mit einem TCP Port 80 irgendwo ... Das ist mir schon klar, WU/MU könnte sich über Port 80 verbinden. Und vielleicht hat sich der OP mit DNS ja nur falsch ausgedrückt. ;) Zitieren
IThome 10 Geschrieben 15. September 2010 Melden Geschrieben 15. September 2010 Das ist mir schon klar, WU/MU könnte sich über Port 80 verbinden. Und vielleicht hat sich der OP mit DNS ja nur falsch ausgedrückt. ;) Dass Dir das klar ist, weiss ich ... Möglicherweise dem TO aber nicht ... oder eben nur falsch ausgedrückt, aber warten wir die Antwort des TO mal ab ... Zitieren
ueffitsch 10 Geschrieben 15. September 2010 Autor Melden Geschrieben 15. September 2010 Hi, anhand der Quellports aus dem Firewall log, habe ich über netstat geprüft, welches Programm denn den Port geöffnet hat. Und hier konnte man sehen, dass es der Prozess DNS.exe ist. Für mich macht es auch keinen Sinn, dass der DNS Dienst solche Verbindung aufbaut. Daher ja auch mein posting an dieser Stelle. Netmon ist eine gute Idee, des Weiteren werde ich den Update Dienst mal testweise deaktiviere um zu sehen ob es doch aus der Richtung kommt. Grüße Zitieren
zahni 570 Geschrieben 15. September 2010 Melden Geschrieben 15. September 2010 Eigentlich "hört" der DNS-Dienst nur auf UDP, Port 53. Falls der DNS eine TCP-Verbindung aufbauen sollte, geht das wie immer über einen dynamischen Port. Also die Frage nochmal: Wie genau hast DU gesehen, dass der DNS-Server derjenige welcher ist ? -Zahni Zitieren
ueffitsch 10 Geschrieben 16. September 2010 Autor Melden Geschrieben 16. September 2010 als Beispiel anbei eine Verbinung aus dem Network Monitor. Bei einem trace von ca. 45 Minuten waren es 6 Veribindungen in dieser Richtung. 2384 13:06:05 16.09.2010 975.7373656 Unavailable DCNAME.XXX-Domain.net 65.54.89.73 TCP TCP:[synReTransmit #2383]Flags=......S., SrcPort=64466, DstPort=HTTP(80), PayloadLen=0, Seq=3156293117, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 8192 {TCP:356, IPv4:355} mit netstat -ato lass ich mir anzeigen welcher prozess welchen port nutzt, dort finde ich SrcPort 64466 folgendes UDP 0.0.0.0:64466 *:* 1688 die PID 1688 gehört zum Prozess DNS.exe. Ich weiß, dass netstat hier udp anzeigt und im network monitor eine tcp Verbindung auftaucht. Trotzdem ist es merkwürdig. Leider kann der Network Monitor uach den Prozessnamen nicht auflösen und schreibt nur unavailable. Danke und Gruß Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.