hhred 10 Geschrieben 9. Dezember 2004 Melden Teilen Geschrieben 9. Dezember 2004 hallo alle miteinander. ich habe hier eine kleine testumgebung und stehe vor einem kleinen problem (oder ich sehe den wald vor lauter bäumen nicht ....), also: server: windows server 2003, exchange 2003 client: xp prof alle: jeweils die letzten service packs installiert laut ms kb (mehrere artikel) besteht die möglichkeit, dem rpc dienst in zusammenhang mit exchange seine "dynamische" portallokierung oberhalb von 1024 abzugewöhnen. dazu sind drei eintragungen notwendig: hklm\system\currentcontrolset\services\... ...\msexchangeDS\Parameters\TCP/IP=abcd <<<< anmerkung 1 ...\msexchangeIS\ParametersSystem\TCP/IP Port=abce <<<< 2 ...\msexchangeSA\Parameters\TCP/IP Port=abcf Wenns wie von MS (für ältere Exchange Versionen ?!?) beschrieben funktionieren würde, könnte man so z.b. die Ports 5000, 5001 und 5002 fixieren (Anmerkung: zumindest in meiner Testumgebung sind - ohne Manipulation in der Registry - immer die 3 selben Ports in Verwendung - aber ohne Gewähr ...) Nun, was passiert: Ich starte also Outlook von der Workstation, uiui, das Logo bleibt verdammt lang stehen, irgend etwas hackt .... hier ein dump erstellt mit TCPView von Sysinternals: OUTLOOK.EXE:3280 TCP 192.168.168.2:1528 192.168.168.3:135 ESTABLISHED OUTLOOK.EXE:3280 TCP 192.168.168.2:1532 192.168.168.3:135 ESTABLISHED OUTLOOK.EXE:3280 TCP 192.168.168.2:1533 192.168.168.3:5002 ESTABLISHED OUTLOOK.EXE:3280 TCP 192.168.168.2:1534 192.168.168.3:5002 ESTABLISHED OUTLOOK.EXE:3280 TCP 192.168.168.2:1537 192.168.168.3:5001 ESTABLISHED OUTLOOK.EXE:3280 UDP 0.0.0.0:1535 *:* OUTLOOK.EXE:3280 UDP 0.0.0.0:1536 *:* OUTLOOK.EXE:3280 TCP 192.168.168.2:1544 u.v.w.x:1292 SYN_SENT <<- meine public IP aha, 5001 und 5002 funktionieren also so wie MS es beschreibt, nur port 5000 will nicht, stattdessen kommt der "alte" port (1292) und wartet und wartet .... irgendwann überlegt es sich outlook dann aber doch und fängt an zu arbeiten. zu den anmerkungen: 1) hier schient das problem zu liegen, und zwar in geballter form: a) laut ms heisst der pfad: ...\msexchangeDS\... aber zumindest bei exchange 2003 heisst er: ...\msexchangeDSAccess\.... b) ...\Parameters gab es erst gar nicht, gut macht nix, is ja schnell angelegt c) hm wie jetzt, "TCP/IP"=Wert (laut MS Doku) oder wie bei den beiden anderen "TCP/IP Port"=Wert (übrigens jeweils reg_dword) auch egal, beide erstellt, Server Neustart, denkste. also vielleicht kann jemand da etwas Licht dahinterbringen. Der Hintergrund sei vielleicht auch noch kurz erwähnt: Obwohl wir VPN's einsetzen (die ja jeder hochjubelt) wollen wir deshalb nicht gleich allen VPN benutzern alle Türen und Tore öffnen und nur wirklich jene Ports freigeben die unbedingt notwendig sind. Schließlich kann ja z.b. mal ein Trojaner sich auf einem VPN Client eingenistet haben, und der ist ja nicht an den verschlüsselten Daten des VPN Tunnels interessiert (und mehr bringt ja VPN nicht) sondern vielleicht an anderen krummen Dingen .... naja, egal, wir wollen halt unser möglichstes tun, dazu zählt auch das wir den VPN Clients nicht um alles in der Welt unser Vertrauen schenken .... also, wer sieht da den Hund begraben? könnte das mal jemand an einem exchange 2003 server nachvollziehen? danke für eure wertvollen hinweise bereits im voraus hubert Zitieren Link zu diesem Kommentar
Darkmind 10 Geschrieben 9. Dezember 2004 Melden Teilen Geschrieben 9. Dezember 2004 hallo hhred kann dir leider keine lösung anbieten, aber ich beschäftigte mich eine zeit lang damit und habs auch nie hinbekommen mit den fixed RPC Ports. ( AD Replikation in DMZ) Bei mir hat aber AD schon nicht repliziert. also stehe / stand vor dem gleichen problem. grüsse darkmind Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 9. Dezember 2004 Melden Teilen Geschrieben 9. Dezember 2004 Hallöle So wie es scheint, möchtest du nur die Clients mit dem Exchange über eine fixen Port komunizieren lassen, und auch nur die Mobilen, richtig? Probier's doch mal so rum: http://www.mcseboard.de/showthread.php?postid=294120#post294120 Ist eh einfacher zu konfigurieren. Gruss Velius Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 9. Dezember 2004 Melden Teilen Geschrieben 9. Dezember 2004 Stichwort statische RPC Ports: Hier noch ein Dokument, wo das auch noch behandelt wird. http://www.mcseboard.de/showthread.php?postid=287663#post287663 Zitieren Link zu diesem Kommentar
hhred 10 Geschrieben 10. Dezember 2004 Autor Melden Teilen Geschrieben 10. Dezember 2004 erstmals danke für die tipps. also es funzt immer noch nicht, allerdings habe ich gerade einen interessanten beitrag in einer anderen newsgroup http://x220.win2ktest.com/forum/topic.asp?whichpage=-1&TOPIC_ID=9209&REPLY_ID=37554 gefunden: ============================================ sorted cheers. using checkpoint firewall so secure in that area, vpn wasn't an option. I managed to investigate assigning static ports to Exchange, and came across some more information in a newsgroup. I have now made the configuration change and it seems to be working. The problem was that I needed to set the TCP/IP Port for NTDS to the same as the port for the Directory Proxy Service. I gave the following ports: Global Catalog Referral Service: 4000 Directory Proxy Service: 4001 Information Store Service: 4002 NTDS: 4001 Edited by - tombott on 05/17/2004 06:19:44 AM ============================================ also, wenn ich das richtig verstehe muss man nicht nur exchange knebeln sondern auch noch das AD und zwar mit dem selben Port. also schade ist ja nur das bei obigem posting die reg.einträge nicht angeführt sind .... werde übers we noch etwas rumprobieren ..... achja, in der anleitung von ms (artikel in kb: http:// http://support.microsoft.com/kb/148732/EN-US/ ) ist es für mich leider *nicht* eindeutig ersichtlich wo die einzelnen einträge in der registry anzubringen sind. zb heisst es da: HKLM\System\CurrentControlSet\Services\MSExchangeDS\Parameters aber das gibt es unter exchange2003 schlichtweg so nicht sondern: HKLM\System\CurrentControlSet\Services\MSExchangeDSAccess\Parameters werde jetzt mal die einträge für NTDS ändern, mal sehen ...... Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 10. Dezember 2004 Melden Teilen Geschrieben 10. Dezember 2004 Original geschrieben von hhred also schade ist ja nur das bei obigem posting die reg.einträge nicht angeführt sind .... werde übers we noch etwas rumprobieren ..... Wechseln Sie im Registrierungs-Editor zu folgendem Registrierungsschlüssel: HKEY_LOCAL_MACHINE SYSTEM\ CurrentControlSet\ Services\ NTDS\ Parameters\ Fügen Sie den neuen DWORD-Wert TCP/IP Port (einschließlich Leerzeichen) hinzu. Legen Sie den Wert auf die gewünschte Portnummer fest. Vergessen Sie nicht, die angezeigte Basis auf dezimal festzulegen, ehe Sie die Daten eingeben. Geben Sie auf allen Servern so vor, auf denen Active Directory ausgeführt wird. Sie müssen die Server neu starten, damit die änderung wirksam wird. Konfigurieren Sie nun Ihren Firewall so, dass Folgendes zugelassen wird: Dienst Port/Protokoll RPC-Endpunktzuordnung 135/TCP, 135/UDP NetBIOS-Namensdienst 137/TCP, 137/UDP NetBIOS-Datagrammdienst 138/UDP NetBIOS-Sitzungsdienst 139/TCP Statischer RPC-Port für Active Directory-Replikation Fester Port/TCP SMB über IP (Microsoft-DS) 445/TCP, 445/UDP LDAP 389/TCP LDAP über SSL 636/TCP LDAP für globalen Katalog 3268/TCP LDAP für globalen Katalog über SSL 3269/TCP Kerberos 88/TCP, 88/UDP DNS 53/TCP, 53/UDP WINS-Auflösung (falls erforderlich) 1512/TCP, 1512/UDP WINS-Replikation (falls erforderlich) 42/TCP, 42/UDP Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 10. Dezember 2004 Melden Teilen Geschrieben 10. Dezember 2004 Oder wie steht's hiermit? XCCC: TCP/IP-Ports für Exchange- und Outlook Client-Verbindungen durch eine Firewall einrichten Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.