Vitel 10 Geschrieben 6. November 2020 Melden Teilen Geschrieben 6. November 2020 Hallo zusammen, wir haben bereits unsere Server und unsere Clients in unterschiedlichen Netzen, Managementsysteme sind nochmals in einem eigenen Netz. Ebenso haben wir vor ca. einem Jahr angefangen das Tieringmodell einzuführen für die Trennung der Adminuser. T0 haben wir den DC und den Exchange, T1 sonstige Mitgliedsever und T2 Clients und sonstige Peripherigeräte. Allerdings ist es aktuell so, dass die Server in einem gemeinsamen Netz sind, was wir gerne ändern würden und die Netze auch mittels Firewall trennen wollen. Bei der Suche nach den benötigten Ports, bin ich über folgenden Link gestossen: https://docs.microsoft.com/en-in/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts Nun bin ich unsicher ob ich wirklich die aufgeführten Ports benötige um von meinen T1/T2-Geräten darauf zuzugreifen. DNS zb haben wir vom DC getrennt und somit würde ich diesen ja nicht brauchen. LDAP, Kerberos und SMB ist mir auch klar. Aber was ist mit den restlichen Ports? Wie realisiert ihr das? Wenn interessant so haben wir eine Win2019-Domain mit ca. 180 Servern und ca. 350 Clients, also eine eher überschaubare Umgebung. Für Hilfe und Denkanstösse bin ich dankbar. Gruss Lars Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 8. November 2020 Melden Teilen Geschrieben 8. November 2020 Du mußt konkreter werden - der MS-Artikel ist eigentlich erschöpfend, und alles, von dem Du weißt, daß Du es nicht brauchst, kannst Du natürlich rausnehmen. Was soll mit den restlichen Ports sein? Zitieren Link zu diesem Kommentar
Vitel 10 Geschrieben 8. November 2020 Autor Melden Teilen Geschrieben 8. November 2020 vor 12 Stunden schrieb daabm: Du mußt konkreter werden - der MS-Artikel ist eigentlich erschöpfend, und alles, von dem Du weißt, daß Du es nicht brauchst, kannst Du natürlich rausnehmen. Was soll mit den restlichen Ports sein? Hi Martin, erstmal danke für deine Antwort. Ich bin mir unsicher wofür genau die einzelnen Dienste sind. Es sind ja Mitgliedserver und Clients angebunden und keine Replikationen zu anderen DCs ausserhalb von diesem Netz. LDAP/s, DNS, Kerberos und SMB ist klar. Aber brauch ich die anderen Dienste zwingend bzw wofür sind die einzelnen. Aber was ich tatsächlich zuvor in dem Artikel überlesen habe ist der Punkt, dass ich den RPC-Traffic auf einen speziellen Port festlegen kann, das würde ich gern tun. Gibt es aus der Erfahrung heraus Probleme auf die ich zukommen könnte oder würdest du den kompletten Bereich freischalten? Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 8. November 2020 Melden Teilen Geschrieben 8. November 2020 Ich denke das Forum ist der falsche Weg Dir alle Dienste des Domain Controllers zu erklären. Man musst auch nicht alle kennen. Wichtig ist nur die Support-Artikel ernst zu nehmen und auch so umzusetzen. Nur so kann man sich relativ sicher sein, dass dieser auch wie gewünscht seinen Dienst tut. Zitieren Link zu diesem Kommentar
Beste Lösung daabm 1.366 Geschrieben 11. November 2020 Beste Lösung Melden Teilen Geschrieben 11. November 2020 Am 8.11.2020 um 14:30 schrieb Vitel: Aber was ich tatsächlich zuvor in dem Artikel überlesen habe ist der Punkt, dass ich den RPC-Traffic auf einen speziellen Port festlegen kann, das würde ich gern tun. Gibt es aus der Erfahrung heraus Probleme auf die ich zukommen könnte oder würdest du den kompletten Bereich freischalten? RPC auf nur einen Port festzunageln ist ein Schuß ins Knie - da läuft ziemlich viel drüber. "Moderne" Firewalls können das dynamisch freischalten, wenn das nicht geht, empfehle ich 1000 Ports als Range. RPC kann leider nicht auf einem einzigen Port mehrere Sockets bedienen, da sind immer glaub 10 aktive Listener, und für jeden belegten kommt dann ein weiterer dazu. Und Jan hat's schon gesagt - der Artikel scheint ziemlich viele Ports zu fordern, aber die braucht's leider auch. AD-Replikation, DFS/NTFRS-Replikation, Netlogon High Port usw usw, die Liste ist leider lang Zitieren Link zu diesem Kommentar
Vitel 10 Geschrieben 12. November 2020 Autor Melden Teilen Geschrieben 12. November 2020 vor 9 Stunden schrieb daabm: RPC auf nur einen Port festzunageln ist ein Schuß ins Knie - da läuft ziemlich viel drüber. "Moderne" Firewalls können das dynamisch freischalten, wenn das nicht geht, empfehle ich 1000 Ports als Range. RPC kann leider nicht auf einem einzigen Port mehrere Sockets bedienen, da sind immer glaub 10 aktive Listener, und für jeden belegten kommt dann ein weiterer dazu. Und Jan hat's schon gesagt - der Artikel scheint ziemlich viele Ports zu fordern, aber die braucht's leider auch. AD-Replikation, DFS/NTFRS-Replikation, Netlogon High Port usw usw, die Liste ist leider lang ok, die Aussage hilft mir weiter. Danke dafür Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 12. November 2020 Melden Teilen Geschrieben 12. November 2020 Moin, ich werfe noch mal in die Runde, dass man sich gerade bei DCs durchaus die Sinnfrage einer Netztrennung stellen darf. Praktisch alle relevanten Funktionen eines DCs müssen für User und für Admins gleichermaßen erreichbar sein und werden dann über Berechtigungen usw. voneinander getrennt. Anders als bei manchen anderen Serverdiensten gibt es keine Aufteilung in Nutz- und Admintraffic. Es braucht also schon gute Gründe und gute Beherrschung des Netzwerks, um so eine Separation sinnvoll umzusetzen. Kann man das nicht gewährleisten, dann ist es die falsche Baustelle. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.