Da wir in meiner aktuellen Umgebung keine Firewall im Einsatz haben, welche mit den dynamischen RPC Ports (RPC Filter) umgehen kann,
\nwollten wir im Zuge der Umstrukturierung unsere Firewallregeln f\u00fcr die Au\u00dfenstellen auch die von RPC verwendeten Ports ein wenig eingrenzen.<\/p>\n
Hierzu sollte man noch wissen, dass sich die Standard Ports ab Windows 2008 ge\u00e4ndert haben.<\/p>\n
Standard f\u00fcr Windows Server 2003 sind die Ports 1024-5000 f\u00fcr TCP und UDP.
\nAb Windows Server 2008 wurde die Port-Range auf 49152-65535 f\u00fcr TCP und UDP ver\u00e4ndert. <\/p>\n
Die aktuellen Werte kann man sich seperat f\u00fcr IPV4\/6 und TCP\/UDP mit folgendem Befehl anzeigen lassen
\n<\/p>\n
netsh int ipv4 show dynamicport tcp\r\nnetsh int ipv4 show dynamicport udp\r\nnetsh int ipv6 show dynamicport tcp\r\nnetsh int ipv6 show dynamicport udp<\/pre>\nDiese Werte k\u00f6nnen mit folgenden Befehlen ver\u00e4ndert werden:<\/p>\n
netsh int ipv4 set dynamicport tcp start=20000 num=1000\r\nnetsh int ipv4 set dynamicport udp start=20000 num=1000\r\nnetsh int ipv6 set dynamicport tcp start=20000 num=1000\r\nnetsh int ipv6 set dynamicport udp start=20000 num=1000<\/pre>\nHierbei wird hinter „start=“ der Startport angegeben und hinter „num=“ die Anzahl der freizugebenden Ports.<\/p>\n
Hierbei gelten noch folgende Einschr\u00e4nkungen:
\nDie minimale Anzahl an Ports ist 255.
\nDer kleinste Startport ist 1025 und der Endport darf 65535 nicht \u00fcberschreiten.<\/p>\nIch pers\u00f6nlich w\u00fcrde nicht weniger als 1000 Ports nehmen (bei 300 funktioniert in unserer Testumgebung schon einiges nicht mehr).<\/p>\n
Was wir also jetzt ben\u00f6tigen ist eine Firewall Regel f\u00fcr den Portmapper (TCP 135) und zus\u00e4tzlich die oben festgelegte Range von Ports.
\nz.B.
\nClients -> AD-DCs TCP 135
\nClients -> AD-DCs TCP\/UDP 20000-21000<\/p>\nLinks:
\nMirosoft Support: The default dynamic port range for TCP\/IP has changed in Windows Vista and in Windows Server 2008<\/a><\/p>\nTechnet Blog: Dynamic Ports in Windows Server 2008 and Windows Vista<\/a><\/p>\n