none
DC enviando dados RRS feed

  • Pergunta

  • Olá, meu DC (Win 2012 R2) fica constantimente enviando dados para algum lugar.

    Ja desabilitei a recursao no DNS mas mesmo assim, sai dados a 3mb por segundo e isso vem gerando um trafego enorme.

    Como descubro o que ele está enviando ?


    Silvio Tavares - Analista de Sistemas

    terça-feira, 25 de abril de 2017 15:14

Respostas

  • Olá Silvio,

    Vamos lá.

    O Windows Firewall é uma ferramenta extremamente versátil, a qual é possível criar vários tipos de configurações, como dito uma delas é possível atrelar uma delas ao IP de Origem, IP de Destino ou até ambos. Neste caso, pode fazer o seguinte:

    IP de Origem: Any + IP de Destino: IP do seu Servidor: 200.200.200.1 + Porta TCP 53 Ação= Permite

    IP de Origem: Any + IP de Destino: IP do seu Servidor: 200.200.200.1 + Porta Any Ação= Block

    Com isso eu já resolvi o problema do DNS Externo, vamos ao Interno:

    IP de Origem: Any + IP de Destino: IP do seu Servidor: 172.16.0.1 + Porta Any Ação= Permite

    Com isso a comunicação Interna está Ok.

    Além disso, é possível criar regras com o Windows Firewall através de Interface, é possível dizer a qual Interface a qual essa regra se aplica.

    Por fim, existe uma configuração no Windows Firewall que poucas pessoas utilizam, o que eu pessoalmente acho errado. Quando falamos de comportamento padrão de um Firewall, o correto é: Nada sai e Nada entra se não houver regra, certo? É possível deixar o Windows Firewall desta maneira, conforme a imagem abaixo:

    Com esta configuração, voce não precisa se preocupar com regras de Bloqueio, pois toda e qualquer comunicação irá funcionar apenas se houver uma regra pré-configurada. Acho que com isso respondo a sua pergunta sobre bloqueio. Neste caso voce terá apenas que revisar as configurações das regras existentes, ou atrelar todas as atuais regras apenas a Interface de Rede Interna, entendeu?

    Com tudo, pensando no seu caso, já que voce está mexendo no ambiente, porque voce não cria uma Zona de DNS neste Exchange e faz a publicação dela? Desta forma voce deixa apenas este Exchange Publico com o DNS e faz a configuração as configurações de Firewall da forma que voce deseja. O que acha?

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    • Marcado como Resposta Silvio AST segunda-feira, 23 de outubro de 2017 16:23
    segunda-feira, 23 de outubro de 2017 12:05
  • Olá,

    Ok, eu havia pensando que este DNS estava sendo utilizado na Internet para fornecer os endereços IP Públicos dos seus Recursos na Internet, tipo: exchange.empresa.com.br

    Se for isso, crie uma Zona de DNS no seu Exchange apenas com os recursos que deve estar Públicos na Internet. E deixe o seu DNS com AD apenas para a REDE Interna, entendeu?

    Também é possível utilizar o ambiente com o Firewall, agora que voce está conhecendo tudo de Windows Firewall!! :)

    Por favor, não se esqueça de "Marcar como Resposta" todos os Posts que te ajudaram neste caso, pois isso é o nosso reconhecimento por estarmos aqui dedicando o nosso tempo a Comunidade.

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    • Sugerido como Resposta Rafael Damásio segunda-feira, 23 de outubro de 2017 13:21
    • Marcado como Resposta Silvio AST segunda-feira, 23 de outubro de 2017 16:23
    segunda-feira, 23 de outubro de 2017 13:17
  • Olá Silvio,

    Perfeito!!

    Fico feliz que o seu caso foi resolvido. Disponha da Comunidade do Technet.

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    • Marcado como Resposta Silvio AST segunda-feira, 23 de outubro de 2017 16:48
    segunda-feira, 23 de outubro de 2017 16:40

Todas as Respostas

  • Olá Silvio,


    Você pode usar o Network Monitor para tal função. Dê uma olhada neste link:

    https://www.microsoft.com/en-us/download/details.aspx?id=4865


    Por favor, se te ajudei, não esqueça de marcar como resposta. Acesse meu blog: http://msexperts.blog.br ____________________________________________________________ Please remember to mark the replies as answers if they help.

    terça-feira, 25 de abril de 2017 18:20
  • Ola, rapaz monstruoso esse programa.

    Mas nao entendi muito bem nao, ele mostra todos os IPs e pacotes que entram e saem do DC.

    O estranho é que este é um servidor do Exchange 2016, havia aparecido nele aquele programa TAP V9 que gera uma conexao de rede nele, desentalei, mas dizem que ele cria uma VPN para algum lugar.


    Silvio Tavares - Analista de Sistemas

    terça-feira, 25 de abril de 2017 18:58
  • Ola, 

    Com o Netmonitor eu nao entendi muito bem.

    Dai usei este outro programa mas a mesma coisa, continuo sem entender o porque que o meu DC está enviando tantos dados assim.

    Acho que a unica saida seroa mudar o IP fixo deste servidor.

    Uma vez passei por isos e era a recursão de DNS ativa, desativei e resolveu o problema.

    Mas esse caso eu nao consigo entende.


    Silvio Tavares - Analista de Sistemas

    sexta-feira, 28 de abril de 2017 17:24
  • Olá Silvio,

    Vamos usar uma outra ferramenta agora, baixe o Process Explorer e dê uma olhada nas dependências do executável lsass.exe, ele que está consumindo este tanto de banda, mas por padrão ele não consome isso não, então estou suspeitando que alguém tenha explorado alguma vulnerabilidade dele e você tenha sido hackeado.

    Vamos ver melhor com o Processo Explorer.

    https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx


    Por favor, se te ajudei, não esqueça de marcar como resposta. Acesse meu blog: http://msexperts.blog.br ____________________________________________________________ Please remember to mark the replies as answers if they help.

    sexta-feira, 28 de abril de 2017 20:07
  • Sílvio,

    É normal consultas LDAP saírem constantemente do seu Domain Controller para o Exchange Server. Inclusive, há um evento no Event Viewer que mostra isso. É o ID 2080, que consulta de 5 em 5 minutos todos os DCs de toda sua organização, e traz informações de saúde, conectividade, portas LDAP, roles e outros.

    Event ID 2080 from MSExchangeDSAccess
    https://support.microsoft.com/en-us/help/316300/event-id-2080-from-msexchangedsaccess

    Mas, como em todo ambiente, é bom que seja feita uma análise e acompanhamento. Mas conexão do AD com o Exchange é normal e necessária, afinal a base de configuração de toda a estrutura do Exchange Server fica no Active Directory. ;)

    Abços,


    Bruno Lopes | MVP & Technical Trainer
    MCP Certification Profile | Linkedin | Facebook Page | http://blogdolopez.com

     

    terça-feira, 2 de maio de 2017 22:56
  • Ola Bruno,

    Eu até entendo essa parte.

    Mas a mais de 10 anos gerencio ambientes Exchange e nunca me deparei com esse tipo de trafego especificamente de saida.

    A unica vez que me deparei com isso foi quando deixei o DNS aberto a recursão, quando desativo a recursão esse problema resolveu.

    No caso aqui, tenho um ambiente com o Exchange 2013 e o 2016, ambos com o 2012 R2 e ambos apresentando esse sintoma, o que antes nao acontecia.

    Verifiquei com o programa Process Explorer mas nao consegui entender aonde está o problema.

    Hackear o servidor pode até ser, mas nunca passei por isso, enfim, ta complicado isso... 


    Silvio Tavares - Analista de Sistemas

    terça-feira, 2 de maio de 2017 23:18
  • Ola Leonardo,

    Executei ele, mas quais dados precisa dele para analisar ?


    Silvio Tavares - Analista de Sistemas

    terça-feira, 2 de maio de 2017 23:19
  • Só para citar: O trafego que estou falando de saída é contante, ou seja, de 2mb a 4mb por segundo saindo....

    Silvio Tavares - Analista de Sistemas

    terça-feira, 2 de maio de 2017 23:37
  • É...com essa quantidade (2 a 4 Mb), não achei nenhuma Referência.

    Vi tráfegos pequenos, mas de comunicação normal. Veja:

    Exchange servers send ICMP and UDP packets to clients or Domain Controllers, why?
    https://blogs.technet.microsoft.com/nettracer/2010/08/04/exchange-servers-send-icmp-and-udp-packets-to-clients-or-domain-controllers-why/

    Vi alguns relatos de Load Balance no ambiente. Talvez num horário de menor impacto, vc pode ir parando alguns recursos da sua rede para descobrir o possível causador.

    Abços,


    Bruno Lopes | MVP & Technical Trainer
    MCP Certification Profile | Linkedin | Facebook Page | http://blogdolopez.com

     

    sexta-feira, 12 de maio de 2017 21:54
  • Pois é Bruno,

    Estou quase fazendo o seginte, instalando outro DC, depois promovo ele como CG e retiro o outro da rede.

    Agora, se isso estiver vindo do servidor do Exchange, dai me ferrei.

    Mas se estamos falando de trafego de saida, entao nao pode ser o Exchange enviando esses dados para o meu DC.

    Acredito que o problema esteja ligado diretamente com o meu DC mandando dados para algum lugar.


    Silvio Tavares - Analista de Sistemas

    sexta-feira, 12 de maio de 2017 22:34
  • Pois é...

    Quando você configurar um novo Domain Controller, valide o EventID 2080 no Exchange Server. Nele, você vai ver entradas de todos os seus controladores de domínio, como na imagem abaixo. Se eles estiverem iguais, quer dizer que o Exchange está se comunicando de forma saudável com ambos...aí você pode remover o outro com mais tranquilidade...

    Abços,


    Bruno Lopes | MVP & Technical Trainer
    MCP Certification Profile | Linkedin | Facebook Page | http://blogdolopez.com

     

    • Marcado como Resposta Guilherme Macedo S sexta-feira, 26 de maio de 2017 20:03
    • Não Marcado como Resposta Silvio AST terça-feira, 3 de outubro de 2017 14:09
    sábado, 13 de maio de 2017 16:28
  • Bom dia,

    Por falta de retorno esta thread esta encerrada !

    Por gentileza, caso necessário abra uma nova thread.

    Atenciosamente,


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    sexta-feira, 26 de maio de 2017 20:04
  • Amigos, após meses tentando descobrir este problema, que ainda luto contra ele, um engenheiro de rede do Datacenter da iWeb no Canadá me mandou o problema, porém ele nao pode me ajudar.

    Vejam só: https://www.scmagazineuk.com/more-than-400-ddos-attacks-identified-using-new-attack-vector--ldap/article/652939/

    É um ataque DDos na porta 389 LDAP de autenticacao.

    O problema é que fechar essa porta para todos os servicos de comunicacao do Exchange.

    Alguem tem alguma informacao ?


    Silvio Tavares - Analista de Sistemas

    terça-feira, 3 de outubro de 2017 14:11
  • Sílvio,

    Seu Exchange e Domain Controller estão na mesma rede? Se sim, você pode bloquear a 389 externamente no seu FW. Ninguém de fora precisa consumir seu serviço LDAP, só seu Exchange e demais serviços de domínio, mas internos. Mesmo se estiver em outra rede, você pode configurar as liberações por zonas/redes, e não deixar a porta aberta pra consulta de qualquer lugar da Internet.

    Acho que isso é mais configuração de Firewall do que DS/Exchange Server.

    Abço,


    Bruno Lopes | MVP & Technical Trainer
    MCP Certification Profile | Linkedin | Facebook Page | http://blogdolopez.com

     

    quarta-feira, 11 de outubro de 2017 18:41
  • Ola Bruno,

    Nao, meu DC de meu Exchange nao fazem parte da mesma rede, cada um tem seu IP fixo.

    Voce poderia me dizer como crio regras para que só o IP fixo do meu Exchange acesse a porta LDAP ?

    La so tenho o Firewall do Windows habilitado.


    Silvio Tavares - Analista de Sistemas

    segunda-feira, 16 de outubro de 2017 12:20
  • Se eu fizer a regra no firewall do Windows dessa forma, ele derruba a autenticacao dos Outlooks.


    Silvio Tavares - Analista de Sistemas

    segunda-feira, 16 de outubro de 2017 12:44
  • Então Silvio, você teria que fazer isso no seu Firewall externo, e não somente no Firewall do Windows. Pq os ataques DDOS geralmente vem de for a, e não de dentro.

    Mas segue uma documentação sobre as configurações de rede para o Exchange Server:

    Network ports for clients and mail flow in Exchange 2016
    https://technet.microsoft.com/en-us/library/bb331973(v=exchg.160).aspx

    Abços,


    Bruno Lopes | MVP & Technical Trainer
    MCP Certification Profile | Linkedin | Facebook Page | http://blogdolopez.com

     

    quarta-feira, 18 de outubro de 2017 15:15
  • Olá Silvio,

    Cara inicialmente tente fazer o bloqueio daqueles endereços IP que você nos mostrou na imagem acima e veja se resolve. 

    Outra coisa, não vejo o porque do seu DC possuír permissão de sair para Internet, faça o bloqueio disso o mais breve possível, deixe liberado apenas as consultas de DNS. 

    Att, 

    Marcos Roberto 


    quarta-feira, 18 de outubro de 2017 16:34
  • Marcos Roberto, mas como eu faria esse bloqueio ?

    Tanto o meu DC quanto o meu Exchange tem IPs fixos diferentes e eles estao em um Datacenter americano.

    O unico firewall que possuo é o do Windows mesmo.

    Se eu bloquear o acesso a internet, como os usuarios iria acessar o dominio publico ?


    Silvio Tavares - Analista de Sistemas

    quarta-feira, 18 de outubro de 2017 19:50
  • Olá,

    Então, veja que o acesso a Internet se dá dentro pra fora e de fora pra dentro. Neste caso, estou falando do acesso de dentro pra fora, acesso do seu DC navegar na Internet. Mesmo o seu DC estando em um Datacenter, vejo que deve existir um Firewall que controle esse acesso. Verifique com o pessoal que controla esse Firewall para melhorar esses regras, pois esses acessos da firma como estão podem vir a te causar muitos problemas.

    Att, 

    Marcos Roberto 

    quinta-feira, 19 de outubro de 2017 14:23
  • Marcos boa tarde,

    Eu nao tenho firewall externo da Datacenter nao.

    Nao entendi bem o que disse, mas se eu bloquear a internet no DC, dai como o dominio que esta nele vai funcionar ?

    Ai que ta o problema, pensei em colocar uma placa de rede no meu DC e EXCHANGE com IP interno, para que os dois pudessem se enxergar, mas o problema é como manter o DNS funcionando ?

    Estou procurando algum lugar na internet que mostre o meu cenario, sobre como fazer, queria deixar o DC e o Exchange sem internet e instalar um EDGE para fazer o transporte e envio dos emails, ele sim eu deixaria na internet fora do meu dominio, mas o problema é como fazer o dominio do DC ficar online ?


    Silvio Tavares - Analista de Sistemas

    quinta-feira, 19 de outubro de 2017 16:03
  • Estou instalando 3 novos servidores, um DC, um Exchange 2013 e um Edge, todos com o Windows Server 2012 R2 e todos com IP fixo.

    A ideia que tive era colocar o servidor com o EDGE com duas placas de rede, uma interna e outra externa.

    Dai pela placa interna os 3 servidores vão se comunicar, mas apenas o EDGE vai ficar fora do dominio e vai ter internet.

    O problema deste cenário é como fazer o dominio do DC responder para atender os pedidos do OWA e para conexao com os Outlooks e Mobiles.


    Silvio Tavares - Analista de Sistemas

    quinta-feira, 19 de outubro de 2017 16:07
  • Olá Silvio,

    Neste caso o DC serve ao Exchange somente para autenticar os seus usuários, desta forma não existe nenhuma necessidade técnica para que ele esteja exposto na Internet, pois o Exchange deve possuir conexão através da REDE Interna do com o Controlador de Domínio e não através da Internet.

    Desta forma, recomendo fortemente que voce remova a presença deste DC na Internet, deixando apenas o Exchange publicado através das portas necessárias.

    Para o seu entendimento, o Exchange recebe as solicitações de conexões com os Clientes e repassa ao DC, em momento algum essas conexões devem chegar ao DC através da Internet, entendeu?

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    sexta-feira, 20 de outubro de 2017 14:32
  • Olá Marcos,

    Entendi, tambem estava pensando em mudar a minha infra la para operar desta forma.

    Mas o que me deixa confuso é, o meu DC tem que ter um dominio publico .com.br para ser acessível os servicos do OWA e das conexoes dos Outlooks e Mobiles.

    Se eu retirar a internet do DC, como o dominio ficará acessivel ?

    Ai que está o ponto.

    Já montei os 3 servidores e já estou pronto para instalar o Exchange e o EDGE, mas essa duvida de como deixar o dominio online é que ta travando tudo.


    Silvio Tavares - Analista de Sistemas

    sexta-feira, 20 de outubro de 2017 15:28
  • Porque veja bem, la na registro.br eu preciso apontar os dois IPs fixos que apontam para o meu dominio .com.br

    Depois disso, no DNS preciso fazer todos os ajustes para que o dominio funcione com o meu Exchange.

    Se deixar apenas IP interno no DC, como montar essa infra ?


    Silvio Tavares - Analista de Sistemas

    sexta-feira, 20 de outubro de 2017 15:55
  • Então, sendo assim o que precisa ficar publicado é o serviço do DNS apenas, pois todas as requisições de nomes de domínio serão atendidas por ele, e os demais serviços serão atendidos pelos demais serviços tipo o Exchange.

    Att, 

    Marcos Roberto 

    sexta-feira, 20 de outubro de 2017 15:57
  • Então deixa eu ser bem didático:

    No meu DC teria que ter 02 NICs, uma com 2 IPs fixos e outra com 01 IP fixo interno.

    No firewall do Windows do meu DC eu fecho todas as conexoes de saida e entrada, vou deixar aberta apenas a porta 53 do DNS ?

    E no meu Exchange terei tambem 2 NICs, uma com 01 IP fixo e outra NIC com 1 IP interno.

    E já no meu EDGE terei apenas 01 NIC com 1 IP fixo, e ele estará fora do meu dominio.

    Seria isso ?


    Silvio Tavares - Analista de Sistemas

    sexta-feira, 20 de outubro de 2017 16:04
  • Olá,

    Vamos lá.

    O correto é voce filtrar todo esse acesso através de um Firewall e não ter mais de uma NIC em cada servidor, com tudo, vou tentar te ajudar.

    • DC

          1 NIC com endereço IP Publico + 1 NIC com Endereço IP Privado

    • Exchange

          1 NIC com endereço IP Publico + 1 NIC com Endereço IP Privado

    • Windows Firewall DC

    Nas Regras de Entrada, deve existir apenas uma regra que permita o acesso ao serviço de DNS de qualquer Origem na NIC da Internet

    Na NIC Privada, toda comunicação deve ser liberada.

    • Windows Firewall Exchange

    Nas regras de Entrada deve existir apenas uma regra que permita o acesso a todos os serviços do Exchange, sejam eles: MTA, OWA, SMTP e etc.

    Na REDE Privada o acesso é livre.

    Lembre-se, como estamos falando de Firewall antes de fazer qualquer alteração, configure o acesso remoto a esses servidores e além disso, crie regras que propiciem a configuração remota do Firewall e um segundo meio de acesso a essas maquinas, caso alguma regra seja configurada por engano.

    Além disso, no Exchange certifique-se que este servidor está fazendo o acesso ao DC através da REDE Privada e não através da Internet.

    Espero ter ajudado.

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    sexta-feira, 20 de outubro de 2017 16:28
  • Correto, entendi.

    Só que nesse cenário temos o EDGE, que vai estar fora do perimetro do dominio.

    Mas agora entendi como fazer, o cuidado que tenho que tomar é com as regras do firewall.

    Quando bater a requisição de www para o OWA no DC, a lista do DNS vai encaminhar o pedido para o IP do Exchange, esse encaminhamento vai ser pelo IP fixo do Exchange, porque tecnicamente falando é impossível fazer uma requisição de www e fazer o DNS resolver para um IP interno nao é ?

    Então vai haver restrições severas no firewall para as placas de redes com IP fixo, mas porem será livre o trafego nas placas de redes com IP interno, com isso a comunicação entre os 3 servidores terá mais segurança.

    Seria isso ou entendi algo errado ?


    Silvio Tavares - Analista de Sistemas

    sexta-feira, 20 de outubro de 2017 16:36
  • Olá,

    Isso mesmo!

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    sexta-feira, 20 de outubro de 2017 16:46
  • Ok, estou montando esta infra agora.

    Te aviso mais tarde sobre.

    No mais, obrigado mesmo por tudo.


    Silvio Tavares - Analista de Sistemas

    sexta-feira, 20 de outubro de 2017 16:47
  • Agora estou enfrentando um problema chato..

    Tenho que tirar a NIC interna do perfil publico e passar para o privado.

    Mas quem disse que vai ?

    Via powershell manda criar uma GPO especifica, mas desconheço esse metodo.

    Tens ideia ?



    Silvio Tavares - Analista de Sistemas

    • Editado Silvio AST segunda-feira, 23 de outubro de 2017 16:24
    sexta-feira, 20 de outubro de 2017 18:51
  • Isso nao deu certo, acredito so dar certo em maquina que nao seja DC.

    http://www.1337admin.org/windows-server/windows-server-2012-r2/change-network-location-using-powershell-in-windows/


    Silvio Tavares - Analista de Sistemas

    sexta-feira, 20 de outubro de 2017 18:52
  • Realmente nao vai dar certo, pois em DC nao é permitido alterar o local de rede por razoes de seguranca.

    Entao, ter duas placas de redes para dois perfis diferentes de regras do firewall é impossivel.

    Domain. The domain network location type is detected when the local computer is a member of an Active Directory domain, and the local computer can authenticate to a domain controller for that domain through one of its network connections. An administrator cannot manually assign this network location type. Because of the higher level of security and isolation from the Internet, domain profile firewall rules typically permit more network activity than either the private or public profile rule sets. On a computer that is running Windows 7 or Windows Server 2008 R2, if a domain controller is detected on any network adapter, then the Domain network location type is assigned to that network adapter. On computers that are running Windows Vista or Windows Server 2008, then the Domain network location type is applied only when a domain controller can be detected on the networks attached to every network adapter.

    https://technet.microsoft.com/en-us/library/cc753545(v=ws.10).aspx

    A unica saida que me resta é deixar apenas uma NIC com dois IPs fixos e tentar fechar todas as portas na unha pelo firewall e deixar aberta apenas as portas de consulta do DNS, para que os pedidos do WWW funcionem.

    Nao sei se isso vai dar certo, mas nao vejo outro caminho.


    Silvio Tavares - Analista de Sistemas

    sábado, 21 de outubro de 2017 13:02
  • Olá Silvio,

    Então, neste caso voce não precisa tratar as regras de Firewall necessariamente através do Perfil, existem inúmeras formas de tratar essa questão. Uma delas é através do IP de Origem, além disso é possível tratar as regras através de qual Interface de Rede a qual a Regra se aplica, entendeu?

    Posso muito bem ter placas de REDE, com endereços IP diferentes, sendo tratadas por Regras de Firewall diferentes, através do mesmo perfil de Firewall.

    Caso precise de mais alguma ajuda me chame.

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 23 de outubro de 2017 11:17
  • Ola Marcos,

    Mas tecnicamente falando é impossivel criar regras no Firewall por IP de origem e bloquear elas.

    Por exemplo, no servidor do DC terá 2 placas de redes, uma com dois IPs fixos e outra com um IP interno.

    Como proibir o acesso a porta 53 por exemplo por IP de origem ? Isso seria impossivel no ambito da internet entende.

    Se for por perfil, dai a coisa fica infinitamente mais facil, mas no DC o unico perfil possivel é o Domain Network.

    Tentei instalar o DC e o EXCHANGE com IPs internos, e no EXCHANGE eu coloquei duas placas de redes com um IP fixo, funcionou tudo e o EXCHANGE se comunicava com o DC apenas pela placa de rede interna. Mas o problema é que o EXCHANGE nao envia e nem recebe emails. No DC eu coloquei um dominio interno como contoso.com e já o dominio aceito la no EXCHANGE eu autorizei um dominio publico hospedado no Godady e mudei o MX para enviar para o IP fixo la do EXCHANGE, mas nao deu certo.

    Queria muito saber como criar regras que bloqueiam o acesso quase que total na minha placa de rede com os dois IPs fixos (mas elas tem que aceitar a entrada e saida do DNS senao os pedidos de WWW nao funcionaria) e fazer todo o trafego rodar sem bloqueios pela placa de rede interna para o EXCHANGE, claro que no EXCHANGE tambem teria duas placas de rede, uma com IP fixo e outra com IP interno.


    Silvio Tavares - Analista de Sistemas

    segunda-feira, 23 de outubro de 2017 11:38
  • Olá Silvio,

    Vamos lá.

    O Windows Firewall é uma ferramenta extremamente versátil, a qual é possível criar vários tipos de configurações, como dito uma delas é possível atrelar uma delas ao IP de Origem, IP de Destino ou até ambos. Neste caso, pode fazer o seguinte:

    IP de Origem: Any + IP de Destino: IP do seu Servidor: 200.200.200.1 + Porta TCP 53 Ação= Permite

    IP de Origem: Any + IP de Destino: IP do seu Servidor: 200.200.200.1 + Porta Any Ação= Block

    Com isso eu já resolvi o problema do DNS Externo, vamos ao Interno:

    IP de Origem: Any + IP de Destino: IP do seu Servidor: 172.16.0.1 + Porta Any Ação= Permite

    Com isso a comunicação Interna está Ok.

    Além disso, é possível criar regras com o Windows Firewall através de Interface, é possível dizer a qual Interface a qual essa regra se aplica.

    Por fim, existe uma configuração no Windows Firewall que poucas pessoas utilizam, o que eu pessoalmente acho errado. Quando falamos de comportamento padrão de um Firewall, o correto é: Nada sai e Nada entra se não houver regra, certo? É possível deixar o Windows Firewall desta maneira, conforme a imagem abaixo:

    Com esta configuração, voce não precisa se preocupar com regras de Bloqueio, pois toda e qualquer comunicação irá funcionar apenas se houver uma regra pré-configurada. Acho que com isso respondo a sua pergunta sobre bloqueio. Neste caso voce terá apenas que revisar as configurações das regras existentes, ou atrelar todas as atuais regras apenas a Interface de Rede Interna, entendeu?

    Com tudo, pensando no seu caso, já que voce está mexendo no ambiente, porque voce não cria uma Zona de DNS neste Exchange e faz a publicação dela? Desta forma voce deixa apenas este Exchange Publico com o DNS e faz a configuração as configurações de Firewall da forma que voce deseja. O que acha?

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    • Marcado como Resposta Silvio AST segunda-feira, 23 de outubro de 2017 16:23
    segunda-feira, 23 de outubro de 2017 12:05
  • Maravilha, acredito que agora estou comecando a entender o conceito do Firewall e a configuracao correta.

    Mas nao entendi isso aqui:

    "Com tudo, pensando no seu caso, já que voce está mexendo no ambiente, porque voce não cria uma Zona de DNS neste Exchange e faz a publicação dela? Desta forma voce deixa apenas este Exchange Publico com o DNS e faz a configuração as configurações de Firewall da forma que voce deseja. O que acha?"

    A zona publicada no meu DNS é o meu proprio dominio corporativo mesmo.


    Silvio Tavares - Analista de Sistemas

    segunda-feira, 23 de outubro de 2017 12:30
  • Estou tentando criar uma regra no Firewall para deixar dessa forma:

    "Por fim, existe uma configuração no Windows Firewall que poucas pessoas utilizam, o que eu pessoalmente acho errado. Quando falamos de comportamento padrão de um Firewall, o correto é: Nada sai e Nada entra se não houver regra, certo? É possível deixar o Windows Firewall desta maneira, conforme a imagem abaixo:"

    Mas quando faço isso, ele fecha tudo... por exemplo, a resposta do PING esta lista por default em inbound rules e ativa, quando crio a regra em Coonetion security roles, ele fecha a comunicacao, mas ela está listada e marcada como enable... Era para ele deixar aberto a resposta do ping, uma vez que ela esta listada e autorizada nao ?


    Silvio Tavares - Analista de Sistemas

    segunda-feira, 23 de outubro de 2017 13:12
  • Olá,

    Ok, eu havia pensando que este DNS estava sendo utilizado na Internet para fornecer os endereços IP Públicos dos seus Recursos na Internet, tipo: exchange.empresa.com.br

    Se for isso, crie uma Zona de DNS no seu Exchange apenas com os recursos que deve estar Públicos na Internet. E deixe o seu DNS com AD apenas para a REDE Interna, entendeu?

    Também é possível utilizar o ambiente com o Firewall, agora que voce está conhecendo tudo de Windows Firewall!! :)

    Por favor, não se esqueça de "Marcar como Resposta" todos os Posts que te ajudaram neste caso, pois isso é o nosso reconhecimento por estarmos aqui dedicando o nosso tempo a Comunidade.

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    • Sugerido como Resposta Rafael Damásio segunda-feira, 23 de outubro de 2017 13:21
    • Marcado como Resposta Silvio AST segunda-feira, 23 de outubro de 2017 16:23
    segunda-feira, 23 de outubro de 2017 13:17
  •  Agora consegui, estava criando a regra errada, o certo é criar uma regra ISOLATION e em seguida REQUESTING AUTENTICATE FOR INBOUNDAND OUTBOUND CONNECTIONS depois em DEFAULT e em seguida deixar marcados os tres perfis de rede.

    Depois só ir no WINDOWS FIREWALL PROPERTIES e nos tres perfis deixar como BLOCK.


    Silvio Tavares - Analista de Sistemas

    segunda-feira, 23 de outubro de 2017 13:19
  • Olá Silvio,

    Fico feliz e ter ajudado na solução do seu caso.

    Veja o meu Post acima onde responde  a sua pergunta sobre o DNS.

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 23 de outubro de 2017 13:27
  • Quem me dera entender tudo do Firewall, mas breve me acostumo com ele.

    Mas agora estou tentando isolar as regras padroes que sao ENABLES por default, mas a opcao de escolher em qual NIC ela pode funcionar nao aparece.. pode me ajudar ?


    Silvio Tavares - Analista de Sistemas

    segunda-feira, 23 de outubro de 2017 13:37
  • Olá Silvio,

    Deixe-me fazer algumas citações:

    • Quanto aos Perfis de Firewall do Windows, de fato não será possível a alteração do Perfil, pois o Windows Firewall reconhece o Perfil de Domínio quando ele consegue comunicar com o Controlador de Domínio, só que no seu caso a própria maquina é o Controlador de Domínio. Sendo assim ele sempre irá ficar no Perfil de Domínio.
    • Quanto a utilização de Interfaces, a utilização é feita pelo Tipo de Interface, Local, Acesso Remoto ou Dial e Wireless.
    • Agora quanto as Regras, temos Regras de Entrada e Regras de Saída. Para fazer o Isolamento das Regras fazemos o seguinte: Em Regras de Entrada, na Guia Escope coloque em Local Address coloque o endereço IP da sua Interface Interna - Faça isso em todas as Regras de Entrada e Saida. Feito isso, todas as Regras padrão vão estar valendo apenas para a REDE Interna, agora basta voce criar Regras para a Internet, entendeu?

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.


    segunda-feira, 23 de outubro de 2017 14:18
  • Entendi,

    Mas fazendo desta forma, se eu nao digitar nada no SCOPE, o ping funciona normalmente tanto la no servidor do Exchange, quanto aqui remotamente.

    Mas se eu colocar o IP interno do servidor do Exhange, dai o ping tanto remoto quanto la no proprio servidor do Exchange nao funciona mais, é bloqueado.


    Silvio Tavares - Analista de Sistemas

    segunda-feira, 23 de outubro de 2017 15:34
  • Olá,

    Não é o IP do Exchange, é o IP Interno do DC, entendeu?

    Se voce quiser dedicar esse DC ao Exchange, voce pode colocar o IP do Exchange no Remote IP Address, pois quando estamos falando de uma conexão que está sendo Originada pelo Exchange, o Exchange é o Remote IP Addresse, entendeu?

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 23 de outubro de 2017 15:42
  • A sim, entendi.

    Olha agora, teste de ping da minha maquina local aqui no Brasil, da porta fechada aqui:

    Agora veja o teste de ping la nos EUA no Datacenter, apenas a propria maquina do Exchange recebe resposta do ping, no Firewall do DC coloquei o IP interno e fixo do Exchange, e com isso o resultado foi positivo:


    Silvio Tavares - Analista de Sistemas

    segunda-feira, 23 de outubro de 2017 15:46
  • Mas analisando agora o cenário e claro, conseguindo entender, a finalidade do IP interno perde sentido nao?

    Visto que o firewall somente aceitará conexao ao meu DC do proprio Exchange, que pode ser apenas o IP fixo publico.

    Apenas nos serviços de DNS é que vou deixar todos os IPs acessaram no meu AD.

    Estou certo ?


    Silvio Tavares - Analista de Sistemas

    segunda-feira, 23 de outubro de 2017 15:50
  • Olá Silvio,

    A resposta é depende! Tudo irá depende do seu cenário. Se você deseja liberar o acesso ao DC a toda REDE Interna o IP Local do DC diz que o DC irá receber conexões somente através deste IP de qualquer máquina que esteja nesta Rede, agora se você colocar o Remote IP do Exchange a regra diz que somente o Exchange pode chegar ao DC através de qualquer IP que o DC possua e finalmente se você configurar o endereço Local e Remoto você está sendo o mais específico possível, dizendo que a comunicação pode acontecer somente através destes dois endereços IP e nada mais, sendo que ainda seria possível configurar a porta do serviço, se fosse o caso.

    Quanto a Regra de DNS essa sim irá ficar um pouco mais aberta. 

    Att, 

    Marcos Roberto 

    segunda-feira, 23 de outubro de 2017 16:24
  • Entendi, mas o unico que pode chegar no meu DC é o EXCHANGE, ninguem mais pode chegar la.

    Por isso nao vejo mais a necessidade de deixar uma placa de rede com IP interno entende.

    Só o meu DNS que vou deixar o DC responder a todos na internet, para que os servicos online do Exchange funcione para todos na internet.


    Silvio Tavares - Analista de Sistemas

    segunda-feira, 23 de outubro de 2017 16:34
  • Olá Silvio,

    Perfeito!!

    Fico feliz que o seu caso foi resolvido. Disponha da Comunidade do Technet.

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    • Marcado como Resposta Silvio AST segunda-feira, 23 de outubro de 2017 16:48
    segunda-feira, 23 de outubro de 2017 16:40
  • Fico muito agradecido por ter me auxiliado.

    A tempos buscava uma solucao sobre a forma correta para proteger meu DC la no Datacenter.

    Obrigado mesmo Marcos.

    Grande abraco.


    Silvio Tavares - Analista de Sistemas

    segunda-feira, 23 de outubro de 2017 17:45
  • Olá Silvio,

    Imagina, não fiz nada de mais!! O mérito é todo seu que buscou o conhecimento e a solução para o seu caso, eu apenas dei o direcionamento que voce precisava. Tenho plena certeza que se eu não estivesse aqui para ajudar, outro colega iria ajudar.

    Conte sempre com a Comunidade do Technet

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 23 de outubro de 2017 18:28
  • Mais uma vez obrigado.

    Só para deixar documentado aqui para a comunidade sobre o meu problema.

    Tenho dois servidores alocados em um Datacenter, ambos com IPs fixos e publicos.

    Apesar da documantecao do AD deixar claro que nao é seguro deixar o AD com IP publico, mas eu nao tinha muito o que fazer.

    Entao meu AD foi atacado por DDDos na porta LDAP 389, e mesmo o meu AD tendo uma Certificadora interna instalada e todo o trafego passando pela porta LDAP over SSL, isso nao resolveu e continuei sendo atacado.

    POr isso o trafego gigante saindo do meu AD.

    A solucao era mais simples do que podia imaginar, apenas ativei o recurso de regra do Windows Firewall para fechar entrada/saida de qualquer porta que nao esteja listada nas regras, e em todas as regras deixei apenas o IP publico do meu Exchange e nos servicos de DNS e HTTP deixei aberto para ANY.

    Acabei de aplicar essas configs no servidor que está em plena producao e foi cortado toda a saida de trafego que estava constante em 4 a 8mbits por segundo...

    Agora só chega no meu AD o Exchange.

    E ainda falam mal do Firewall do Windows.....isso é a diferença entre o saber e o nao saber!

    Abraços a todos que me ajudaram nisso!


    Silvio Tavares - Analista de Sistemas

    segunda-feira, 23 de outubro de 2017 20:01
  • Muito bom Sílvio. Bom saber que as dicas de todos aqui lhe ajudaram na resolução do problema.

    Obrigado por explicar depois e deixar fácil para os próximos que consultarem esta thread.

    Abços,


    Bruno Lopes | MVP & Technical Trainer
    MCP Certification Profile | Linkedin | Facebook Page | http://blogdolopez.com

     

    quarta-feira, 25 de outubro de 2017 18:02