=BT=Viper 11 Geschrieben 9. August 2006 Autor Melden Teilen Geschrieben 9. August 2006 Ich hab nochmal ne Frage: In der MS Doku zu FE/BE Konstelationen heisst es man sollte die RPC Ports reduzieren wenn der FE in einem Perimeter Netzwerk sitzt. Ich war dann erstmal so schlau und hab mit RPCCGF.EXE nur Port 1024 definiert. Dann hats gekracht und einige Dienste die RPC benötigen konnten nicht gestartet werden (Exchange, DHCP, usw.) Jetzt hab ich erstmal mehr Ports definiert und es klappt wieder. Wieviele Ports sollte ich denn für RPC freigeben? MS meint min. 100 aber das reicht nicht. Wie kann ich den RPC wieder auch seine Standart Settings bringen, bzw. was sind denn die std. Ports? Zitieren Link zu diesem Kommentar
=BT=Viper 11 Geschrieben 11. August 2006 Autor Melden Teilen Geschrieben 11. August 2006 Also irgendwie bekomm ich das mit dem RPC nicht hin. Nochmacl kurz die aktuelle Konfiguration: Server1 2003 Standart, DC, DNS, DHCP, Exchange 2003 SP2 BE, 192.168.1.1 Server2 2003 Standart, Exchange 2003 SP2 FE, 192.168.111.1 Zwischen den Servern sitzt nun meine Gateprotect Firewall. Ich habe alle Regeln für die notwendigen Ports erstellt und den Server der Domäne hinzugefügt. Der FE meldet sich also schön beim DC an ohne Probs. Jetzt habe ich versucht die RPC Ports zu ändern damit ich auf der FW nicht so viel freigeben muss. Jedoch hat der Server dann Probleme die Exchage Server zu verbinden. Ich hab es mit RPCCFG versucht: rpccfg -pe 5000-6000 -d 0 Vielleicht kann mir ja jemand sagen wie ich die RPC Ports richtig umleite? Es klappt alles, nur schaffen es die Exchange Server nicht die Mails untereinander weiterzuleiten :( Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Hallo Viper, im Grunde benötigst Du exakt nur einen Port: einen VPN-Port warum? Na weil Du zwischen FE und BE ein VPN erstellst, welches transparent durch die Firewall geroutet wird. Innerhalb des VPN sind dann alle Ports verfügbar. Lies auch mal hier: Exchange RPC über HTTPS http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3RPCHTTPDep/92f1a371-86dc-4839-9732-5a85525a0874.mspx?mfr=true IPsec grüße dippas Zitieren Link zu diesem Kommentar
=BT=Viper 11 Geschrieben 14. August 2006 Autor Melden Teilen Geschrieben 14. August 2006 Klar, VPN würde auch gehen, aber ohne wär mir lieber. Denn wenn einer den DMZ Server hackt hat er dann auch alle Ports. Ich hab nochmal alles überprüft und es passt alles. Doch sobald der FE Mails vom Internet geholt hat, hängen die lange in der Warteschlange. Auf der FW krachen dynamische Ports wo der DC/BE auf den FE will. Daher denke ich es liegt am RPC. MS schreibt dazu: Beschränken des RPC-Datenverkehrs Wenn Sie die für RPCs benötigten Features, wie zum Beispiel Authentifizierung oder implizite Anmeldung, konfigurieren möchten, die breite Palette von Anschlüssen über 1024 jedoch nicht öffnen möchten, können Sie Ihre Domänencontroller und globalen Katalogserver zur Verwendung eines einzelnen Anschlusses für den gesamten RPC-Datenverkehr konfigurieren. Weitere Informationen zur Beschränkung von RPC-Datenverkehr finden Sie im Microsoft Knowledge Base-Artikel 224196, "Einschränken von Active Directory-Replikationsverkehr an einem bestimmten Port." Zur Clientauthentifizierung muss der Registrierungsschlüssel (wie im oberen Knowledge Base-Artikel und im Folgenden erläutert) auf allen Servern festgelegt werden, die der Front-End-Server möglicherweise kontaktiert (zum Beispiel ein globaler Katalogserver). Legen Sie den folgenden Registrierungsschlüssel für einen bestimmten Anschluss fest, zum Beispiel 1600: HKEY_LOCAL_MACHINE\CurrentControlSet\Services\NTDS\Parameters Registrierungswert: TCP/IP-Port Werttyp: REG_DWORD-Wertdaten: (verfügbarer Anschluss) Öffnen Sie auf der Firewall zwischen dem Umgebungsnetzwerk und Ihrem Intranet lediglich die beiden Anschlüsse für die RPC-Kommunikation - Der RPC-Portmapper (135) und der von Ihnen angegebene Anschluss (Anschluss 1600, wie in der folgenden Tabelle angegeben). Der Front-End-Server versucht zunächst, die Back-End-Server mit RPCs über Anschluss 135 zu kontaktieren, und der Back-End-Server antwortet mit dem aktuell verwendeten RPC-Anschluss. Ich hab den Wert gesetzt, jedoch ohne Erfolg. Mir ist aber aufgefallen, daß der Wert in jedem Dokument von MS anders geschrieben wird. TCP/IP-Port TCP/IP Port TCP-IP-Port ??? ja was denn nun? FRS hab ich nun auch auf einen Port gesetzt...hat aber au nix gebracht. So langsam bin ich echt am verzweifeln. Konfiguriert sind die Server 100% richtig denn im LAN klappt es supi! Zitieren Link zu diesem Kommentar
=BT=Viper 11 Geschrieben 15. August 2006 Autor Melden Teilen Geschrieben 15. August 2006 Es geht nun. Lag an der Schreibweise des REG eintrags für RPC. "TCP/IP Port" ist die richtige schreibweise. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.