Remove From My Forums

DC és tagszerverek külön VLAN-ban

Question
0

Sign in to vote

Sziasztok!

Adott két VLAN. VLAN1-ben vannak member szerverek, VLAN2-ben pedig a domain controller. Az ACL -ben (mindkét irányban) milyen portokat kell engedélyezni, hogy működjön a tagszerverek és a tartományvezérlő közötti kapcsolat (authentikáció, ...).

Egyáltalán port engedélyezésekkel megoldható, mert mintha lennének olyan protokollok, amelyek dinamikusan választanak szabad portot. Egy layer-2 switch pedig buta ehhez, nem?

Tuesday, May 8, 2007 9:34 AM

Answers

0

Sign in to vote

Hali,

A helyzet a következő:

Kell neked egyszer a DNS:

TCP/53, UDP/53

a Kerberos:

TCP/88, UDP/88

az SNTP:

UDP/123

az RPC:

TCP/135 (itt van még dinamikus allokáció, de erről később)

a NetBIOS:

UDP/137, UDP/138, TCP/139

az LDAP:

UDP/389, TCP/389

az SMB:

TCP/445

és a Global Catalog:

UDP/3268, TCP/3268

A fentiek kb. az abszolult minimum. Ezen felül, ha használsz egyéb szolgáltatásokat akkor azokat is át kell engedned (pl. IPSEC).

az RPC dinamikus port allokáció amit fent írtam elvileg az 1024-es TCP porttól a 65535-ös TCP portig bármi lehet. Ahelyett, hogy ezt a teljes tartományt átengednéd érdemes mind a szervereken mind a klienseken beállítani azt a tartományt amit használhat. Kb. minimum 100 db portra lesz szükséged.

Referencia:

http://support.microsoft.com/kb/832017/en-us

http://support.microsoft.com/kb/154596/en-us

üdv,

Zoli

Tuesday, May 8, 2007 10:05 AM

All replies

0

Sign in to vote

Hello,

LDAP, Kerberos mindenkép kelleni fog. Ezen felül domain controllerek között RPC, valamint ha certificate services is van a DC-n, akkor a klienseknek is el kell tudni érnie RPC-n a DC-t certificate kéréshez. RPC-t szűrni pedig nehéz lesz, mert változó portokat használ (ISA-ban van RPC filter).

Ha fájlszerverként is üzemelne a DC, akkor erre jönnek rá azok a portok (netbios és 445).

Üdv,

A.

Tuesday, May 8, 2007 9:58 AM
0

Sign in to vote

Hali,

A helyzet a következő:

Kell neked egyszer a DNS:

TCP/53, UDP/53

a Kerberos:

TCP/88, UDP/88

az SNTP:

UDP/123

az RPC:

TCP/135 (itt van még dinamikus allokáció, de erről később)

a NetBIOS:

UDP/137, UDP/138, TCP/139

az LDAP:

UDP/389, TCP/389

az SMB:

TCP/445

és a Global Catalog:

UDP/3268, TCP/3268

A fentiek kb. az abszolult minimum. Ezen felül, ha használsz egyéb szolgáltatásokat akkor azokat is át kell engedned (pl. IPSEC).

az RPC dinamikus port allokáció amit fent írtam elvileg az 1024-es TCP porttól a 65535-ös TCP portig bármi lehet. Ahelyett, hogy ezt a teljes tartományt átengednéd érdemes mind a szervereken mind a klienseken beállítani azt a tartományt amit használhat. Kb. minimum 100 db portra lesz szükséged.

Referencia:

http://support.microsoft.com/kb/832017/en-us

http://support.microsoft.com/kb/154596/en-us

üdv,

Zoli

Tuesday, May 8, 2007 10:05 AM
0

Sign in to vote

Ettől tartottam. Nem tűzfal, hanem router/layer-2 switch végezné a portszűréseket. Az RPC miatt valószínűsítem ez így nem járható út, vagy ha igen, eléggé leterhelné a routert/switchet. (Global Catalog dc-k között kell csak, nem?)

Én is ezeket a portokat gyűjtöttem ki, + még AD login & replication: TCP/1025 TCP/1026

Köszönöm Zoli!

Tuesday, May 8, 2007 11:39 AM
0

Sign in to vote

Hali,

Ha úgy érzed, hogy választ kaptál a kérdésedre akkor kérlek zárd le!

üdv,

Zoli

Tuesday, May 8, 2007 12:06 PM

Products

Resources

Solutions

Updates

Trials

Related Sites

Training

Certifications

Other resources

Support options

More support

Not an IT pro?

Answered by:

DC és tagszerverek külön VLAN-ban

Question

Answers

All replies