چه جوری می تونم access-list ای بنویسم که با سرور active dirctory به مشکل بر نخورم؟

با سلام به اساتید محترم

من می خواستم کل شبکه رو با access-list ببندم بجز پورت 80 و یه سری پورتهای ضروری ولی اینجا به یک مشکلی برخورد کردم و آن مورد اینکه وقتی می خوام به اکتیو دایرکتوری join بشم و یا group policy هایی که اعمال کردم به مشکل بر می خورم یعنی چون پورتهای مربوط به سرور active directory بسته هستند نمی تونم عملا join بشم و یا group policy اعمال بکنم. می خواستم ببینم چه پورتهایی رو باید در access-list فعال کنم تا این عملیات رو انجام بدم. البته یکی از راهها اینه که به کل سرور اکتیو دایرکتوری permit بدم ولی این روش رو نمی خوام و می خوام محدودترش کنم.

با تشکر

شما پورتهای مربوط به dns رو هم بستید؟

[QUOTE=nahvi18;419510]شما پورتهای مربوط به dns رو هم بستید؟[/QUOTE]

نه پورت مربوط به DNS یعنی 53 بازه ولی بقیه پورتها که مربوط به JOIN , GROUP POLICY , ... رو نمیدونم چیه که بهشون permit بدم

[QUOTE=majid_da57;419526]نه پورت مربوط به DNS یعنی 53 بازه ولی بقیه پورتها که مربوط به JOIN , GROUP POLICY , ... رو نمیدونم چیه که بهشون permit بدم[/QUOTE]

این کار شما به مرور مشکلات زیادی رو برای شما در پیش خواهد داشت چون در صورتی که اتوماسیون دارید و یا هر نرم افزار دیگه در بک گروند دارن از یکسری پورت ها استفاده می کنن راه حل هم اینه با استفاده از یک ترافیک انالایز توی یک پریود زمانی پورت های مورد استفاده در شبکتون رو مانیتور کنید و بعد از اون اقدام به نوشتن اکسس لیست کنید
{
موفق باشید

کلا در بحث امنیت و نوشتن ACL به دو صورت میتونیم رفتار کنیم :
1-همه پورت ها رو ببندیم و اون پورت هایی که مورد استفاده است رو دستی باز کنیم .
2-اون پورت هایی رو که نیاز نداریم و میتونن خطر ساز باشند رو فقط ببندیم و بقیه رو باز کنیم .

شما مورد اول رو پیاده سازی کردید در این صورت باید دید کاملی در مورد نرم افزار ها و پورت هایی که در شبکه استفاده میشه داشته باشین .

لینک زیر احتمالا کمکت خواهد کرد . اواسط صفحه بسیاری از پورت ها ذکر شده اند
[url=http://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx]Active Directory and Active Directory Domain Services Port Requirements[/url]