RPC Portmapper / dynamische RPC Ports an der Firewall

Da wir in meiner aktuellen Umgebung keine Firewall im Einsatz haben, welche mit den dynamischen RPC Ports (RPC Filter) umgehen kann,
wollten wir im Zuge der Umstrukturierung unsere Firewallregeln für die Außenstellen auch die von RPC verwendeten Ports ein wenig eingrenzen.

Hierzu sollte man noch wissen, dass sich die Standard Ports ab Windows 2008 geändert haben.

Standard für Windows Server 2003 sind die Ports 1024-5000 für TCP und UDP.
Ab Windows Server 2008 wurde die Port-Range auf 49152-65535 für TCP und UDP verändert.

Die aktuellen Werte kann man sich seperat für IPV4/6 und TCP/UDP mit folgendem Befehl anzeigen lassen

netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
netsh int ipv6 show dynamicport tcp
netsh int ipv6 show dynamicport udp

Diese Werte können mit folgenden Befehlen verändert werden:

netsh int ipv4 set dynamicport tcp start=20000 num=1000
netsh int ipv4 set dynamicport udp start=20000 num=1000
netsh int ipv6 set dynamicport tcp start=20000 num=1000
netsh int ipv6 set dynamicport udp start=20000 num=1000

Hierbei wird hinter „start=“ der Startport angegeben und hinter „num=“ die Anzahl der freizugebenden Ports.

Hierbei gelten noch folgende Einschränkungen:
Die minimale Anzahl an Ports ist 255.
Der kleinste Startport ist 1025 und der Endport darf 65535 nicht überschreiten.

Ich persönlich würde nicht weniger als 1000 Ports nehmen (bei 300 funktioniert in unserer Testumgebung schon einiges nicht mehr).

Was wir also jetzt benötigen ist eine Firewall Regel für den Portmapper (TCP 135) und zusätzlich die oben festgelegte Range von Ports.
z.B.
Clients -> AD-DCs TCP 135
Clients -> AD-DCs TCP/UDP 20000-21000

Links:
Mirosoft Support: The default dynamic port range for TCP/IP has changed in Windows Vista and in Windows Server 2008

Technet Blog: Dynamic Ports in Windows Server 2008 and Windows Vista

Wikipedia: Remote Procedure Call

Rating: 3.5/5. From 1 vote.
Please wait...

Tags: , , , , , , , ,

Hinterlasse eine Antwort