Нет возможности провести эксперимент, но интересует ответ на вопрос: пройдет ли авторизация в домене, в случае когда, на клиенте заблокированы 139 и 445 порты? (доменные профили статические).
13.10.2009 12:34:54
ответ - да
|
|
|
|
13.10.2009 15:13:39
Вопрос: А политики будут грузиться?
|
|
|
|
13.10.2009 15:40:32
конечно. порт ведь заблокирован не на контролере домена |
|||
|
|
13.10.2009 17:32:45
если исходящие соединения по Netbios/SMB резать, то GPO обновиться не сможет. авторизация в домене проходит с использованием kerberos, потому проблем с авторизацией не будет, если для домена не настроена жесткая групповая политика требований авторизации/аутентификации. а если, что-то такое есть, то можно на клиенте подправить локальную политику и тоже все будет работать... |
|||||
|
|
13.10.2009 17:37:16
|
|||
|
|
13.10.2009 21:20:34
Направление АРМ –> контролер домена
1 RPC endpoint mapper 135/tcp, 135/udp 2 Network basic input/output system (NetBIOS) name service 137/tcp, 137/udp 3 NetBIOS datagram service 138/udp 4 NetBIOS session service 139/tcp 7 Server message block (SMB) over IP (Microsoft-DS) 445/tcp, 445/udp 8 Lightweight Directory Access Protocol (LDAP) 389/tcp 9 LDAP ping 389/udp 10 LDAP over SSL 636/tcp 11 Global catalog LDAP 3268/tcp 12 Global catalog LDAP over SSL 3269/tcp 13 Kerberos 88/tcp, 88/udp 14 Domain Name Service (DNS) 53/tcp, 53/udp 15 Network Time Protocol 123/tcp, 123/udp 16 icmp 17 Если есть служба Wins 42/tcp, 42/udp Направление контролер домена –> АРМ 1. icmp --------------------------------------------------------------------- Можно порезать, но вполне может, что-то перестанет работать. 1 RPC endpoint mapper 135/tcp, 135/udp 2 Network basic input/output system (NetBIOS) name service 137/tcp, 137/udp 3 NetBIOS datagram service 138/udp 4 NetBIOS session service 139/tcp По большому счету 137, 138, 139 порты в домене особенно и не нужны, их можно зарезать. Если порезать еще 445 порт и icmp от контролера домена, то не будут распространяться групповые политики. |
|
|
|
14.10.2009 01:18:47
2 kutkh - c ИСА сервера выдрал?)))
Вопросы около темы: 1. DFS при выключенной службе SMB работать не будет? 2. DFS при закрытых портах 139 и 445, но включенной службе SMB, работать не будет?. 3. Много слышал "у нормальных админов SMB отключен" (чистая МС сетка) - они по ФТП все делают? П.С. И еще вопрос - бился около 2 месяцев (2 года назад) - не осилил ipsec, клиент никак не видел контроллер домена (хотя в доках МС там все вроде заложено, а может сервер не давал, 2003 + XP pro). Кто пробовал, все нормально работает? Это извилины мне гнуть надо? |
|
|
|
14.10.2009 02:14:30
нет
нет. через SMS и иже с ним.
делал такое. все отлично работало. |
|||||||
|
|
14.10.2009 02:50:20
2 Dmitry Evteev. DFS - чисто ярлычки с понтами?
SMS - Майкософт Сервайс Мєнеджмент? |
|
|
|
14.10.2009 14:27:45
А порты взяты с сайта микрософта. А порезать можно, что угодно и как угодно, только вопрос в том, что потом с этим делать и как поддерживать. Т.к. в случае возникновения каких-то проблем, Вас срузу ткнут лицом в журнал с ошибками и скажут, что это виноваты безопасники они порезали все, что можно. Для начала читаем и |
|||
|
|
14.10.2009 14:54:39
не понял Вас.
Systems Management Server
в том числе. ISA - firewall/proxy/vpn |
|||||||
|
|
14.10.2009 16:40:28
Поправлюсь: "папочка с ярлычками на указанные ресурсы, с возможностью зациклить юзера до потери вменяемости". И плюс с возможностью зациклить админа до потери вменяемости за счет настроек доступов к самой ДФС.
Изменено: H-Vost - 14.10.2009 16:51:56
|
|||||||
|
|
14.10.2009 17:47:44
ну да, ну да:) |
|||
|
|
14.10.2009 20:28:47
- а если серьезно, то не админы выбирают платформы( в большенстве случаев), а потом уже и деваться некуда, кроме как использовать встроенные возможности(а они, надо сказать, неплохие в прямых руках) в дополнении ко всем: если NetBT включен, то клиент соединяется с сервером по 139 и 445 вместе, если нет ответа по 445, то продолжает сессию по 139. Сервер, если 137, 138, 139 закрыты, тоесть NetBT запрещен, слушает по 445 порту.
|
|||||||
|
|
14.10.2009 22:12:22
Куда потянет? Правильно! В * . П.С. МС делает вещи только для патентов - заняли, приняли, ок - мы владельцы. По этому и в цене "Админы + Программисты (для доделки)" - тема рядом пробегала. |
|||
|
|
15.10.2009 00:52:03
H-Vost, занятно рассписал... , но я не соглашусь с "МС делает вещи только для патентов - заняли, приняли, ок - мы владельцы". А чем другие откличаются, ну взять тот же уважаемый Sun microsystem, с его Солярисами, да теже подходы к требованию, только ниша восстребования существенно ниже чем у майкрософт. Весь бизнес делается по одной и той же схеме и исключения нет ни у кого. А насчет линукса я так скажу, исключая серверные продукты, что конечно себя чувствовать с настоящим(пусть и бесплатным)линуксом комфортнее, чем с ломаным-переломаным пиратским виндусом. Тем более и другие плюсы есть...
P.S. модераторы простите за офтопик |
|
|
|
15.10.2009 01:52:32
П.С. Мне очень нравится ОпенБСД за чистоту и понятность. Но на ноуте, лучше убунты - не нашел вариантов. Не думаю что Сан вырвет свое "Я", даже с учетом ухода этого типа с дебиана. П.С. Сан или Оракл чето больше н(п)издат чем делают(((((((( |
|||
|
|
15.10.2009 03:02:26
|
||||
|
|
|||