پورت های مربوط به دامین کنترلر
سلام من سرور هامو توی یک رنج جدا با سویچ مجزا گذاشتم ارتباط کلاینت و تمامی سورس ها با سرور از فایروال عبور میکنه . پیش فرض تموم درخواست ها به سمت سرور دراپ میشن به جز پورت هایی که سرویس میدن.مثلا برای انتی ویروس پادویش فقط 13911 اجازه عبور به سرور فارم داره .حالا 2 سرور دارم یکی اکتیو دایرکتوری و دامین کنترل و دی ان اس هست یکیشم ادیشنال هست . سوالم اینه اجازه بدم چه پورت هایی از فارم عبور کنه؟
20 پاسخ
پورت هایی که برای برقراری ارتباط باید بین DC ها توی فایروال باز بشه تو لینکی که گذاشتم ذکر شده.
:))))
متاسفانه یه سری سرویس ها هستند که تعداد استفاده از پورتهاشون انقد بالاست که توی رول های فایروال شلختگی ايجاد می کنن. سرویس Domain Controller، سرویس VoIP و در برخی موارد سرویس هاي File Sharing و FTP هم همین طور هستند.
بله مهندس کباری ارتباط سرور ها از فایروال عبور نمیکنه چون در یک فارم هستن
متاسفانه خیلی از باج گیر ها از پورت های فاایل شیرینگ استفاده میکنن برای همین محدود کردم
یعنی برای هرکلاینت ممکنه یه پورت تعریف کنه؟!
سلام و عرض خسته نباشید
پورت هایی که براي ارتباطات از کلاينت به سرورهاي Active Directory باید باز بشن به شرح زیر هستند:
طبق مواردی که ذکر کردید اين طور برداشت میشه که اربتاطات بین DC اصلي و Additional از فایروال عبور نمي کنه. اگه اين طور نيست بفرمایید که پورت های مورد نیاز اربتاطات بین DC اصلي و Additional رو هم خدمتتون عرض کنم
پورت 3389 و سایر پورت هایی که سرویس ارائه نمیدن برای خودم فقط بازه
نمیخام کلاینت بتونه به ریموت یا فایل شیر دسترسی پیداکنه
پورت 123 فراموش شده، بله، براي ارتباطات NTP بین سرور و کلاينت هست. ولي پورتهای 49155 و 49158 توی لينک مهندس کریمی پور اورده شده بود:
و توی عکسی که من فرستاده بودم به عنوان رندم پورت معرفی شده بود ومقدارش اورده نشده بود.
منظورم اين هست که شما لازم دارید تا رنج پورت رو باز بفرمایید. يعني همه پورت هاي 49152 تا 65535.
بله همینطوره ممنون از راهنمایی هر دو مهندس عزیز
ممنونم
بله مطلبی که میگید کاملا درست هست و کار خوبی کردید.
بهتون پیشنهاد می کنم در مورد نقطه ضعف امنيتي سرویس SMB مايکروسافت که حدود یک سال یا یک سال و نیم پیش کشف شد هم مطالعه و بررسی بفرمایید. يه سری پچ امنيتي هم براي اين موضوع توسط مايکروسافت ارائه شد. اگر کلاينت يا سروری دارید که Update نیست، حداقل پچ هاي امنيتي مربوط به اين موضوع رو، روی سرورها و کلاينت ها حتماً نصب بفرمایید.
بله این کارهم کردم
اگه از SMB 1.0 تو ویندوز هاتون استفاده می کنید حتما غیرفعالش کنید. چون Ransomware ها از باگ امنیتی SMB 1.0 استفاده می کنن. این لینک رو ببینید : چگونه SMB 1.0 را در ویندوز 10 و ویندوز سرور 2016 غیر فعال کنیم ؟
چه اتفاق جالبي افتاد، من و مهندس کریمی پور همزمان به سوال پاسخ دادیم.
پوزش مي طلبم. :)
دقیقا همین طور هست...
پورت 3389 رو هم (اگه از سمت کلاينت ها به سرور Remote Deskyop مي زنيد)، براي TCP و UDP باز بفرمایید.
اين نکته رو هم بگم خدمتتون، برخی باورهای قديمي غلط هستند که می گن DNS پورتش UDP 53 هست. خیر، براي اين سرویس هم TCP53 و هم UDP53 باید باز بشه.
پس فراموش نکنید طبق تصویر اون جاهايي که گفته هم TCP باز بشه هم UDP.
فکر کنم فقط 3389 رو ببندم بقیه رو باز بزارم معقول تره :)))))
سلام من اون پورت هارو تو فایروال زدم.
یه بار سیستمو ریستارت کردم فایروال درخواست پورت 49155 و 49158 و123 رو رد کرد!
این پورت هارو فراموش کردیم!
به چه Shared Folder هایی میخواین یوزر ها دسترسی نداشته باشند ؟ از Permission ها و سطوح دسترسی چرا استفاده نمی کنید ؟