dynamische Portzuweisung einschränken

Discussion:

(zu alt für eine Antwort)

Robert Gerster

2010-02-22 15:14:44 UTC

Hallo.

Da hier einiges über Friewall läuft, ich aber auch nicht unnötig viele
Ports zwischen den verschiedenen Sub-Netzen offen haben möchte, bin ich
hergegangen und habe über die Firewall-Ereignisse die benutzen Ports
geflitert und dann entsprechend in der Firewall geöffnet, bzw. die nicht
benötigten geschlossen.

Leider kommt es sporadisch immer wieder dazu das Ports sich ändern und
es dadruch zu Störungen kommt. Um dem entgegen zu wirken habe ich laut
dieser Artikel

http://support.microsoft.com/kb/154596/de
http://support.microsoft.com/kb/224196/de

die dynamische Portzuweisung eingeschränkt. Leider funktioniert das
überhaupt nicht. Die DCs vergeben immer noch Ports wie sie wollen.

Eigentlich passt auf das Problem auch nur der zweite Artikel.

Hat jemand eine Idee woran das liegen könnte?

Ähnliches Porblem habe ich mit den dynamischen Ports für den Zugriff auf
den Exchange. Hier ändern sich auch immer mal wieder Ports und dann ist
Essig mit Outlook.

Gruss Robert

Mark Heitbrink [MVP]

2010-02-22 16:22:22 UTC

Permalink

Hi,

Post by Robert Gerster
http://support.microsoft.com/kb/154596/de
http://support.microsoft.com/kb/224196/de
die dynamische Portzuweisung eingeschränkt. Leider funktioniert das
überhaupt nicht. Die DCs vergeben immer noch Ports wie sie wollen.

... dann hast du etwas flasch gemacht ;-) Das klappt eigentlich,
wenn man AUF GAR KEINEN FALL DIE DEUTSCHEN KB ARTIKEL NIMMT!
"TCP/IP-Anschluss" wird nichts werden, drecks autom. Übersetzung.
Das die auch keinen Exclude für Schlüsselwörter im Artikel definiert
haben ist mehr als peinlich.

Du kennst diesen Artikel?
http://technet.microsoft.com/en-us/library/bb727063.aspx

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\
"TCP/IP Port"=Dword (verwendeter Port)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\
"RPC TCP/IP Port Assignment"=DWord (verwendeter Port)

Merke: immer /en-us in der Url verwenden :-)

Tschö
Mark

--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Robert Gerster

2010-02-22 19:10:00 UTC

Permalink

Hallo Mark.

Das mit dem Geschriebenen etwas nicht stimmt, habe ich schon zu spüren
bekommen. Eine Weile Später merkte ich das der RPC-Server nicht
verfügbar war. DNS-Server konnten über die MMC nicht mehr gesprochen
werden konnte. DHCP-Server startete nicht mehr, etc. ...

Hat mich wieder 2 Stunden Lebenszeit und eine Menge Nerven gekostet. Ist
echt der Hammer. Das so etwas übersetzt und veröffentlicht wird. Aber
ich habe es mir fast gedacht als ich TCP/IP-Anschluss las.

Danke für den Hinweis.

Gruss Robert

Mark Heitbrink [MVP]

2010-02-23 09:14:44 UTC

Permalink

Hi,

Post by Robert Gerster
Das mit dem Geschriebenen etwas nicht stimmt, habe ich schon zu spüren
bekommen.

:-) Freut mich, daß es letztlich so simpel war.

Post by Robert Gerster
Hat mich wieder 2 Stunden Lebenszeit und eine Menge Nerven gekostet. Ist
echt der Hammer. Das so etwas übersetzt und veröffentlicht wird.

Unterirdisch, peinlich, absolut inakzeptabel und vor allem traurig.

Aber im Ernst: Ich lese keinen deutschen KB Artikel. Das Deutsch ist so
grauenhaft, daß selbst ich als Eingeborener kein Wort verstehe.
Aber MS weicht nicht vom automatisierten Übersetzungsprogramm ab.
Das Thema ist erledigt. Schade.

Tschö
Mark

--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Robert Gerster

2010-02-24 07:45:40 UTC

Permalink

Hallo Mark.

Ich habe jetzt folgende Einträge auf den DCs gemacht.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]

"TCP/IP-Port"=dword:000034bc

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDFRS\Parameters]

"RPC TCP/IP-Port Assignment"=dword:000034bc

Wenn ich richtig liege müsste jetzt doch jeder Client der über Port 135
anklopft dieser (000034bc = 13500) übermittelt bekommen und da der Port
in der Firewall noch nicht freigeschaltet ist alles in der Firewall
hängen bleiben.

Tut es aber nicht.

Gedankenfehler?

Läuft wie es aussschaut alles noch über die bekannten Ports.

Gruss Ingo

Helmut Schneider

2010-02-26 15:19:04 UTC

Permalink

Post by Robert Gerster
Ich habe jetzt folgende Einträge auf den DCs gemacht.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"TCP/IP-Port"=dword:000034bc
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDFRS\Parameter
s]
"RPC TCP/IP-Port Assignment"=dword:000034bc
Wenn ich richtig liege müsste jetzt doch jeder Client der über Port
135 anklopft dieser (000034bc = 13500) übermittelt bekommen und da
der Port in der Firewall noch nicht freigeschaltet ist alles in der
Firewall hängen bleiben.
Tut es aber nicht.
Gedankenfehler?

Jop, Du hast die Ports für die Kommunikation der DCs untereinander
definiert. Du willst:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\

Und Du willst *dringend* eine Portrange angeben, und nicht nur einen
einzelnen Port!

Post by Robert Gerster
Gruss Ingo

Wer ist Ingo?!

Gruß, Helmut

--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn