در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

صباح فتحی

پورت های مربوط به دامین کنترلر

سلام من سرور هامو توی یک رنج جدا با سویچ مجزا گذاشتم ارتباط کلاینت  و تمامی سورس ها با سرور از  فایروال عبور میکنه . پیش فرض تموم درخواست ها به سمت سرور دراپ میشن به جز پورت هایی که سرویس میدن.مثلا برای انتی ویروس پادویش فقط 13911 اجازه عبور به سرور فارم داره .حالا 2 سرور دارم یکی اکتیو دایرکتوری و دامین کنترل و دی ان اس هست یکیشم ادیشنال هست . سوالم اینه اجازه بدم چه پورت هایی از فارم عبور کنه؟

لذت یادگیری با توسینسو
به عنوان شخصی که مدت هاست از سایت توسینسو استفاده می کنم باید بگم که واقعاً یکی از بهترین مرجع ها برای ارتقاء دانش شخصی هست. دوره های سایت، راهکارها و مطالب، همگی عالی هستند.

این لینک رو ببینید : Ports required for firewall communication between DC to DC and Client to DC

Amirhossein Karimpour
صباح فتحی

ممنونم

مهیار کباری

سلام و عرض خسته نباشید

پورت هایی که براي ارتباطات از کلاينت به سرورهاي Active Directory باید باز بشن به شرح زیر هستند:


TOSINSO

طبق مواردی که ذکر کردید اين طور برداشت میشه که اربتاطات بین DC اصلي و Additional از فایروال عبور نمي کنه. اگه اين طور نيست بفرمایید که پورت های مورد نیاز اربتاطات بین DC اصلي و Additional رو هم خدمتتون عرض کنم


صباح فتحی

بله مهندس کباری ارتباط سرور ها از فایروال عبور نمیکنه چون در یک فارم هستن

مهیار کباری

پورت 3389 رو هم (اگه از سمت کلاينت ها به سرور Remote Deskyop مي زنيد)، براي TCP و UDP باز بفرمایید.


اين نکته رو هم بگم خدمتتون، برخی باورهای قديمي غلط هستند که می گن DNS پورتش UDP 53 هست. خیر، براي اين سرویس هم TCP53 و هم UDP53 باید باز بشه.

پس فراموش نکنید طبق تصویر اون جاهايي که گفته هم TCP باز بشه هم UDP.

پورت هایی که برای برقراری ارتباط باید بین DC ها توی فایروال باز بشه تو لینکی که گذاشتم ذکر شده.

Amirhossein Karimpour
مهیار کباری

چه اتفاق جالبي افتاد، من و مهندس کریمی پور همزمان به سوال پاسخ دادیم.

پوزش مي طلبم. :)

صباح فتحی

پورت 3389 و سایر پورت هایی که سرویس ارائه نمیدن برای خودم فقط بازه

نمیخام کلاینت بتونه به ریموت یا فایل شیر دسترسی پیداکنه

به چه Shared Folder هایی میخواین یوزر ها دسترسی نداشته باشند ؟ از Permission ها و سطوح دسترسی چرا استفاده نمی کنید ؟

Amirhossein Karimpour
صباح فتحی

متاسفانه خیلی از باج گیر ها از پورت های فاایل شیرینگ استفاده میکنن برای همین محدود کردم

اگه از SMB 1.0 تو ویندوز هاتون استفاده می کنید حتما غیرفعالش کنید. چون Ransomware ها از باگ امنیتی SMB 1.0 استفاده می کنن. این لینک رو ببینید : چگونه SMB 1.0 را در ویندوز 10 و ویندوز سرور 2016 غیر فعال کنیم ؟

Amirhossein Karimpour
مهیار کباری

بله مطلبی که میگید کاملا درست هست و کار خوبی کردید.

بهتون پیشنهاد می کنم در مورد نقطه ضعف امنيتي سرویس SMB مايکروسافت که حدود یک سال یا یک سال و نیم پیش کشف شد هم مطالعه و بررسی بفرمایید. يه سری پچ امنيتي هم براي اين موضوع توسط مايکروسافت ارائه شد. اگر کلاينت يا سروری دارید که Update نیست، حداقل پچ هاي امنيتي مربوط به اين موضوع رو،  روی سرورها و کلاينت ها حتماً نصب بفرمایید.

صباح فتحی

بله این کارهم کردم

صباح فتحی

سلام من اون پورت هارو تو فایروال زدم.

یه بار سیستمو ریستارت کردم فایروال درخواست پورت 49155 و 49158 و123 رو رد کرد!

این پورت هارو فراموش کردیم!

مهیار کباری

پورت 123 فراموش شده، بله، براي ارتباطات NTP بین سرور و کلاينت هست. ولي پورتهای 49155 و 49158 توی لينک مهندس کریمی پور اورده شده بود:

TOSINSO و توی عکسی که من فرستاده بودم به عنوان رندم پورت معرفی شده بود ومقدارش اورده نشده بود.


منظورم اين هست که شما لازم دارید تا رنج پورت رو باز بفرمایید. يعني همه پورت هاي 49152 تا 65535.

صباح فتحی

یعنی برای هرکلاینت ممکنه یه پورت تعریف کنه؟!

مهیار کباری

دقیقا همین طور هست...

صباح فتحی

فکر کنم فقط 3389 رو ببندم بقیه رو باز بزارم معقول تره :)))))

مهیار کباری

:))))

متاسفانه یه سری سرویس ها هستند که تعداد استفاده از پورتهاشون انقد بالاست که توی رول های فایروال شلختگی ايجاد می کنن. سرویس Domain Controller، سرویس VoIP و در برخی موارد سرویس هاي File Sharing و FTP هم همین طور هستند.

صباح فتحی

بله همینطوره ممنون از راهنمایی هر دو مهندس عزیز

پاسخ شما
برای ارسال پاسخ خود وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....