SBS 2003 nur Wilkommenseite über internet

[Fruranski 10]

hallo,

 

ich versuche gerade einen SBS 2003 zu konfigurieren.

Ich benutze einen router port 80 ist auf den Server 192.168.0.100 geroutet. wenn ich jetzt über internet die web seite des SBS aufrufe so kommt auch schön die wilkommenseite.

wenn ich jetzt auf interne Firmenwebseite clicke so komme "die seite kann nicht angezeigt werde" der link verweist auf http://companyweb". klar die seite kann nicht aufgelöst werden.

 

was habe ich falsch eingestellt ?

[GuentherH 61]

Hi.

 

Du hast auf deinem Router wahrscheinlich nur Port 80 freigegeben.

 

Der SBS benötigt folgende Ports:

 

OWA - 80 für http:// und 443 für https://

OMA - 80 und 443

Remote-Webarbeitsplatz - 4125

Serverleistungs- und Servernutzungsberichte - 443

Intranetseite Sharepoint Services - 444

Firmenwebseite - 80

 

Du musst daher zumindes 80, 443, 444 und 4125 freigeben

 

LG Günther

[Stahlbaer 10]

was ist OWA bzw OMA ??

 

falls jemand gerade Zeit hat das zu beantworten :rolleyes:

DANKE !

[WSUSPraxis 48]

OWA = Outlook Web Access

 

OMA = Outlook Mobil Access

[r00t 10]

Moin,

 

ich glaube das companyweb ist für den "Lokalen" AUfrucf gedacht, wenn du nun bespielsweise zuhause bist, wähle dich per VPN ein (ports habe ich gerade nicht parat) und dann schreibe in die

 

c:\windows\system32\drivers\etc\hosts

 

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost
10.0.0.2	 Companyweb

 

Durch diesen Eintrag funktioniert dein http://companyweb dann auch, denn auf diese Datei greifen soweit ich weiß ersteinmal alle MS Programme drauf zu.

 

P.S.: Die IP 10.0.0.2 musst du natürlich mit deiner Serverip ersetzten...

 

Ich hoffe ich konnte helfen.

 

mfg

Jan (r00t)

[GuentherH 61]

Hi.

 

Die beiden Artikel sollten dir weiterhelfen:

 

http://support.microsoft.com/default.aspx?scid=kb;en-us;838429

http://download.microsoft.com/download/1/7/6/176c5f1e-a0a1-4d10-81f6-42283327617e/PublishWSS.doc

 

LG Günther

[WarriorHell 10]

Hi.

 

Du hast auf deinem Router wahrscheinlich nur Port 80 freigegeben.

 

Der SBS benötigt folgende Ports:

 

OWA - 80 für http:// und 443 für https://

OMA - 80 und 443

Remote-Webarbeitsplatz - 4125

Serverleistungs- und Servernutzungsberichte - 443

Intranetseite Sharepoint Services - 444

Firmenwebseite - 80

 

Du musst daher zumindes 80, 443, 444 und 4125 freigeben

 

LG Günther

 

 

Habe ich alles gemacht und im Assistenten habe ich folgendes freigegeben:

 

OWA

Remote Webarbeitsplatz

Intranetseite der Windows Sharepoint Seite

Firmenwebseite /wwwroot/

 

 

ergibt sich durch Aktivierung der Firmenwebseite ein Sicherheitsloch?

 

Denn eigentlich, soll die companyweb Seite gar nicht darüber verfügbar sein, da wir sie momentan nicht verwenden.

 

Langer Rede kurzer Sinn, ich will den remote Webarbeitsplatz nutzen, aber so wenig wie nötig freischalten.

 

was ist denn der genau Unterschied zwischen Intranetseite Sharepoint Services

Firmenwebseite, muss ja scheinbar beides zwangsläufig aktiviert sein, damit die Willkommensseite kommt.

[Gadget 37]

Hi,

 

ich verstehe euch nicht wie ihr so Arglos Ports frei geben könnt?

 

Auch wenn man eine Dynamische IP hat so ändert die sich zumindest 24h nicht und jeder der mal einer Firewall-Log genauer angeschaut hat weis, dass Teilweise gezielte Portscans über ganze IP-Bereich abgefahren werden.

 

Wenn jetzt ein Bad-Guy einen geöffneten Port gefunden hat, dann wars das auch schon mit dem Server und jedes Script-Kiddie macht den dann Platt.

 

Denial-of-Service, Trojaner, Datendiebstahl usw...

 

Also warum sollte man auf die Idee kommen den Port 80 zu forwarden. :shock:

 

Zum Thema:

http://www.smallbizserver.net/Default.aspx?tabid=105]ONE FINAL WARNING BEFORE YOU START: Hosting a website on Small Business Server 2000 can be a big risk to your organization. Opening port 80 on the server is considered a major security risk. Once somebody has found a hole in IIS that is not yet discovered by the security experts and properly patched by Microsoft a hacker has unlimited access to your server and can ruin your business completely. In order to limit the risk to the minimum you must understand the following:

 

An open port is a hole is a weakness is a entry is a ....got it?

http://msmvps.com/bradley/archive/2005/02/04/34974.aspx

 

Ich halte grundlegend garnichts davon OWA, Companyweb oder sonst irgendeinen Webservice vom SBS freizugeben - Einzig und alleine VPN sollte imho verwendet werden.

 

Solche Dienste werden in einer Enterprise-Umgebung aus gutem Grund nur in einer DMZ angeboten - da aber in ner Small Business Serverumgebung eben nur ein Server da ist haut das nicht ganz hin.

 

LG Gadget

[WarriorHell 10]

@Kohn du hast irgendwie völlig Recht, zumal der Zugriff nur von meinem User/pass geschützt wird.

 

Hintergedanke war nur das ich gezwungen bin von einem Inet Cafe (Urlaub)auf den server zuzugreifen ohne das ich dort eine VPN Verbindung einrichten kann.

 

Da ich gerade mein schlaues SBS 2003 Buch durchforste bin ich drauf gestossen, hoffentlich bringt kich das nicht noch auf andere W"böse"Ideen. :D

 

Egal denke Risiko lohnt nicht

[WarriorHell 10]

Habe ja noch den 443 offen wegen OWA

 

laut shields up:

The presence of this secure web port in your system implies that this system is establishing secure connections with web browsers. The number one reason for doing this is the transmission of credit card information. This implies that the successful intruder could access the web server's credit card database and score bigtime. This is a VERY bad port to have open unless you are actually conducting secure web commerce!

[Gadget 37]

@Gadget du hast irgendwie völlig Recht, zumal der Zugriff nur von meinem User/pass geschützt wird.

 

und das Passwort ist auch das eigentliche Problem wenn erstmal ein Admin-Account geknackt ....dann is aber "holla die Waldfee" angesagt und wahrscheinlich ist man auch seinen Job los.

 

Und bei dieser =>

https://www.mcseboard.de/showthread.php?t=66825

 

Studie hat MS auch festgestellt, dass durchschnittlich 80% der Kennwörter in kürzester Zeit zu knacken sind.

 

Deswegen hat bei mir die Sicherheit immer oberste Priorität und ein bisserl gesunde Paranoia sollte man als IT´ler auch haben.

 

Als Beipsiel will ich hiermal einen Artikel anführen der von Frank Solinske (Security MVP) verfasst wurde man muss den Aufwand betrachten den er für erforderlich sah, um einen SBS als Webserver zu betreiben. (Port 80 forwarden)

 

Server Hardening eines SBS 2003 premium Edition

http://techtalk.unterwegs-im.net/content/view/55/3/

 

LG Gadget

[WarriorHell 10]

@Kohn na kannst auch nicht schlafen, können wir uns ja auf einen Big Mac treffen

 

:-) damn kriege jetzt wirklich Hunger

 

 

----------------

[Gadget 37]

@Warrior

 

Off-Topic:

Na - Hau mich gleich ins Bett werd mir noch ein bisserl Lesestoff zu gemüte führen

 

cu

[WarriorHell 10]

oki guts nächtle

 

Sorry Guenther hat sich dann doch erledigt.

[computer-jaeger 10]

Hallo

Falls der Remote Webarbeitsplatz wirklich benötigt wird, kann das Sicherheitsrisiko des Administrator-Konto-Hacks auf folgende Weise zumindest minimiert werden:

 

Small Business Server-Kontosperrungsrichtlinien

Damit Angreifer über den Remote-Webarbeitsplatz nicht oder nur erschwert mit einer Brute-Force oder Wörterbuchattacke ins Netzwerk eindringen können, können Kontosperrungsrichtlinien eingesetzt werden.

Small Business Server-Kontosperrungsrichtlinien:

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kontosperrungsrichtlinien

Mithilfe der Überwachung Berichterstattung in der Serververwaltungskonsole können Warnungen definiert werden, die Systemadmin alarmieren, wenn Kontos gesperrt werden.

 

Administratorkonto

Das Administratorkonto wird durch die Kontosperrungsrichtlinien nicht betroffen. Damit über auch dieses Konto nicht für Attacken benutzt werden, kann es per Gruppenrichtlinie deaktiviert werden (Z:B. in der Default Domain Policy):

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Konten: Administratorkontostatus=Deaktiviert

Hinweis: Im abgesicherten Modus ist das Administratorkonto immer aktiviert. Bei dieser Gelegenheit empfiehlt es sich, auch gleich das Gastkonto zu deaktivieren.

Um Problemen vorzubeugen, sollte dem Administratorkonto kein Exchange-Postfach zugewiesen werden, und die Deaktivierung in einem frühen Stadium vorgenommen werden. Am sichersten ist es, wenn das Konto zuerst im AD kopiert wird. Dieses neue Konto "profitiert" dann von den Kontosperrungsrichtlinien.

 

Freue mich auf Anregungen und Berichtigungen...