/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Port 135/tcp og WindXP Home Ed
Fra : Troels Arvin


Dato : 02-09-04 20:44

Hej,

Jeg har tidligere med held benyttet
home18.inet.tele.dk/madsen/winxp/Tjenester.pdf til at få lukket for
unødvendig port-lytteri.

Men forleden skulle jeg have nedbarberet port-lytteriet på en WindXP SP1a
Home Edition (+updates, men ikke SP2, da den ikke er kommet til dansk
WindXP endnu).

Selv efter at have kørt dcomcnfg og fjernet flueben ved "Aktiver DCOM på
denne computer" og "Forbindelsesorienteret TCP/IP" og systemgenstart,
lyttedes stadig på 0.0.0.0:135/TCP.

Hvad kan jeg have gjort galt?

--
Greetings from Troels Arvin, Copenhagen, Denmark


 
 
Martin Poulsen (03-09-2004)
Kommentar
Fra : Martin Poulsen


Dato : 03-09-04 22:11

Troels Arvin wrote:

> Selv efter at have kørt dcomcnfg og fjernet flueben ved "Aktiver DCOM på
> denne computer" og "Forbindelsesorienteret TCP/IP" og systemgenstart,
> lyttedes stadig på 0.0.0.0:135/TCP.
>
> Hvad kan jeg have gjort galt?

Aner det ikke. Alternativt kan du hente Windows Server 2003 Resource Kit
Tools* (som også er til Windows XP). Heri finder du RPC Configuration
Tool (rpccfg.exe), som kan bruges til at konfigurere RPC til kun at
lytte på loopback-interfacet.

Jeg har brugt det på en Windows Server 2003, hvor jeg endnu ikke har
fundet en løsning på at lukke for port 135 (fremgangsmåden i
Tjenester.pdf virker ikke), som jeg anser for den mest optimale løsning.

[*] http://shor.ter.dk/693144076

--
Martin

Thomas G. Madsen (04-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 04-09-04 13:09

Martin Poulsen skrev:

> Jeg har brugt det på en Windows Server 2003, hvor jeg endnu
> ikke har fundet en løsning på at lukke for port 135
> (fremgangsmåden i Tjenester.pdf virker ikke), som jeg anser
> for den mest optimale løsning.

Tricket med "Aktiver DCOM på denne computer" og "Forbindelses-
orienteret TCP/IP", skulle efter sigende også virke på Win2000
Server, men der er muligvis ændret en hel del i Windows Server
2003. Noget kunne tyde på det i hvert tilfælde.

--
Hilsen
Madsen

Thomas G. Madsen (04-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 04-09-04 13:07

Troels Arvin skrev:

> Selv efter at have kørt dcomcnfg og fjernet flueben ved
> "Aktiver DCOM på denne computer" og "Forbindelsesorienteret
> TCP/IP" og systemgenstart, lyttedes stadig på 0.0.0.0:135/TCP.

Er du sikker på, at du har gjort alt hvad der står i vejledningen
og var det en frisk installation af WinXP? Hvis det er tilfældet,
så undrer det mig en del og er nysgerrig på, hvad der kan være
årsagen til det.

--
Hilsen
Madsen

Martin Poulsen (05-09-2004)
Kommentar
Fra : Martin Poulsen


Dato : 05-09-04 11:36

Thomas G. Madsen wrote:

> Er du sikker på, at du har gjort alt hvad der står i vejledningen
> og var det en frisk installation af WinXP? Hvis det er tilfældet,
> så undrer det mig en del og er nysgerrig på, hvad der kan være
> årsagen til det.

Nu fik jeg så adgang til at afprøve det på en Windows XP Professional
(dansk), og der kan jeg heller ikke få guiden til at passe. Når jeg
fjernede "Aktiver DCOM på denne computer" samt "Forbindelsesorienteret
TCP/IP" og genstartede, så blev der stadig lyttet på port 135 (og 1025).

Stoppede jeg derimod servicen "DTC (Distributed Transaction
Coordinator)", blev der ikke længere lyttet på hverken port 135 eller 1025.

Jeg prøvede så nogle forskellige scenarier og kom frem til, at hvis jeg
undlod at fjerne "Aktiver DCOM på denne computer" og
"Forbindelsesorienteret TCP/IP", men stadig lod "DTC (Distributed
Transaction Coordinator)" være deaktiveret, så stoppede den kun med at
lytte på port 1025.

Kan dette bekræftes af andre?

--
Martin

Thomas G. Madsen (05-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 05-09-04 12:02

Martin Poulsen skrev:

> Stoppede jeg derimod servicen "DTC (Distributed Transaction
> Coordinator)", blev der ikke længere lyttet på hverken port
> 135 eller 1025.

Det undrer mig, at den tjeneste i det hele taget kører. Den står
til manuel som standard og går altså derfor kun igang når der er
behov for den. Jeg har endnu ikke oplevet, at den kører her og
har derfor ikke deaktiveret den, men jeg er spændt på om det
samme er tilfældet i Troels' tilfælde, for så skal det da vist
med i guiden.

--
Hilsen
Madsen

Troels Arvin (05-09-2004)
Kommentar
Fra : Troels Arvin


Dato : 05-09-04 12:22

On Sun, 05 Sep 2004 13:01:48 +0200, Thomas G. Madsen wrote:

> er spændt på om det
> samme er tilfældet i Troels' tilfælde, for så skal det da vist
> med i guiden.

Jeg får ikke adgang til pågældende installation lige foreløbig, men
vil prøve at huske at følge op på det.

--
Greetings from Troels Arvin, Copenhagen, Denmark


Martin Poulsen (05-09-2004)
Kommentar
Fra : Martin Poulsen


Dato : 05-09-04 12:25

Thomas G. Madsen wrote:

> Det undrer mig, at den tjeneste i det hele taget kører. Den står
> til manuel som standard og går altså derfor kun igang når der er
> behov for den. Jeg har endnu ikke oplevet, at den kører her og
> har derfor ikke deaktiveret den, men jeg er spændt på om det
> samme er tilfældet i Troels' tilfælde, for så skal det da vist
> med i guiden.

Det skal retfærdigvis siges, at den Windows XP jeg legede med ikke var
en standardinstallation - snarer tværtimod. Det er en Toshiba-computer,
der fungerer som hjemmearbejdsplads, og Windows bærer kraftigt præg af,
at være noget Toshiba har præ-installeret, samtidig med at IT-afdelingen
fra arbejdspladsen ikke har formået at sætte den sikkert op, inden den
er blevet udleveret.

Men det bør måske alligevel tilføjes til Tjenester.pdf, at man skal
sikre at DTC er deaktiveret.

--
Martin

Thomas G. Madsen (05-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 05-09-04 12:38

Martin Poulsen skrev:

> Det skal retfærdigvis siges, at den Windows XP jeg legede med
> ikke var en standardinstallation - snarer tværtimod.

Spørgsmålet er så, om de har installeret et eller andet, som
holder DTC kørende. Ham Black Viper-duden skriver følgende om
tjenesten:

| Automatically takes care of transactions that span multiple
| resources. This service is required if using Message Queuing.
| You may also see complaints in the Event Log if this service
| is disabled, but I have experienced no side effects.
| Microsoft's .NET may require this service in the future.

Jeg ved ikke hvad Message Queuing bruges til, men kunne det
måske tænkes, at de har installeret sådan noget på maskinen?
<http://www.blackviper.com/WinXP/service411.htm#Message_Queuing>

--
Hilsen
Madsen

Martin Poulsen (05-09-2004)
Kommentar
Fra : Martin Poulsen


Dato : 05-09-04 13:36

Thomas G. Madsen wrote:

> Spørgsmålet er så, om de har installeret et eller andet, som
> holder DTC kørende. Ham Black Viper-duden skriver følgende om
> tjenesten:

Det fremgik godt nok ikke af mit første indlæg, men jeg startede selv
DTC og et par andre services samt aktiverede DCOM og tilføjede
forbindelsesorienteret TCP/IP, i et forsøg på at finde frem til en
løsning, da jeg har oplevet andre der heller ikke har kunnet få stoppet
servicen på port 135. Min "netstat -an" var tom inden jeg begyndte at
pille ved tingene.

Men det kunne da være interessant at finde ud af, hvad der får DTC til
at starte. Ifølge Microsofts egen Service-beskrivelse[*] står følgende
om DTC:

| The Distributed Transaction Coordinator system service is necessary if
| transactional components are going to be configured through COM+.

Der findes både en COM+-hændelsessystem- og en
COM+-systemprogram-service. Det kunne måske være dem, der i givne
situationer får DTC startet?

[*] http://shor.ter.dk/897323386

Jeg synes Tjenester.pdf bør have en lille notits om, at deaktivere DTC,
da der tilsyneladende kan opstå situationer hvor den starter, og så er
man sådan set gået et skridt tilbage igen. Må jeg i øvrigt anbefale at
du også laver et link til Microsofts services-beskrivelser - de er som
regel lidt mere omfattende i deres beskrivelse end Black Vipers.

--
Martin

Thomas G. Madsen (05-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 05-09-04 12:38

Troels Arvin skrev:

> Jeg får ikke adgang til pågældende installation lige
> foreløbig, men vil prøve at huske at følge op på det.

Tak. Det må du meget gerne følge op på, når du engang får adgang
til installationen igen.

--
Hilsen
Madsen

Thomas G. Madsen (05-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 05-09-04 14:00

Martin Poulsen skrev:

> Jeg synes Tjenester.pdf bør have en lille notits om, at
> deaktivere DTC, da der tilsyneladende kan opstå situationer
> hvor den starter, og så er man sådan set gået et skridt
> tilbage igen.

Jeg må indrømme at jeg er lidt skeptisk ved at anbefale at
deaktivere den tjeneste siden jeg endnu ikke har set den køre
på en frisk installation af WinXP. Guiden er, som skrevet på
side 1, skrevet ud fra en frisk installation. Hvis man også
skal til at tage hensyn til, hvad folk evt. har installeret
og selv gjort efterfølgende, så bliver det meget svært at
lave en overskuelig guide.

> Må jeg i øvrigt anbefale at du også laver et link til
> Microsofts services-beskrivelser - de er som regel lidt mere
> omfattende i deres beskrivelse end Black Vipers.

Tak for det link. Det kendte jeg ikke og beskrivelserne ser
ud til at være mere omfattende end Black Vipers ja.

--
Hilsen
Madsen

Martin Poulsen (05-09-2004)
Kommentar
Fra : Martin Poulsen


Dato : 05-09-04 14:31

Thomas G. Madsen wrote:

> Jeg må indrømme at jeg er lidt skeptisk ved at anbefale at
> deaktivere den tjeneste siden jeg endnu ikke har set den køre
> på en frisk installation af WinXP. Guiden er, som skrevet på
> side 1, skrevet ud fra en frisk installation. Hvis man også
> skal til at tage hensyn til, hvad folk evt. har installeret
> og selv gjort efterfølgende, så bliver det meget svært at
> lave en overskuelig guide.

Du skriver i indledningen af Tjenester.pdf:

| Denne artikel er en kort gennemgang af de tjenester, man med fordel
| kan slå fra, for at sikre sin computer lidt bedre, inden den slippes
| løs på Internettet

Det lader altså til, at DTC spiller en væsentlig rolle i hvorvidt der
lyttes på port 135 eller ej, og så længe at Starttype står til Manuelt,
vil den altså starte hvis et program beder den om det. Hvis du f.eks.
åbner dcomcnfg (Komponenttjenester), så starter DTC faktisk op og du
udbyder pludseligt en services på port 135, og den stopper først igen
når computeren rebootes - det er ikke engang nok at stoppe DTC.

Spørgsmålet er, om det i andre situationer kan ske at DTC startes, og at
man således samtidigt uforvarende starter en service op på port 135.
Derfor undrer det mig, at du så til sidst skriver at du bl.a.
deaktiverer "Serienummer for bærbart medie" (SFBM) når du så ikke vil
gøre det samme med DTC. Så vidt jeg kan se, udgør DTC en væsentlig
større risiko end SFBM.

--
Martin


Thomas G. Madsen (05-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 05-09-04 14:59

Martin Poulsen skrev:

> Du skriver i indledningen af Tjenester.pdf:
>
>| Denne artikel er en kort gennemgang af de tjenester, man med
>| fordel kan slå fra, for at sikre sin computer lidt bedre,
>| inden den slippes løs på Internettet

Ja, men jeg gør også opmærksom på, at det drejer sig om en frisk
installation.

> Det lader altså til, at DTC spiller en væsentlig rolle i
> hvorvidt der lyttes på port 135 eller ej, og så længe at
> Starttype står til Manuelt, vil den altså starte hvis et
> program beder den om det.

Rigtigt, men som skrevet tidligere, så har jeg endnu ikke oplevet
at den gør det på en frisk installation og har ej heller set at
port 135 har været åbnet siden jeg fulgte guiden. Det er muligt
at det på visse konfigurationer kan ske, men jeg vil bare gerne
vide præcist hvornår det kan ske, så man ikke bare anbefaler
folk at deaktivere noget, som i langt de fleste tilfælde ikke er
nødvendigt at deaktivere.

> Hvis du f.eks. åbner dcomcnfg (Komponenttjenester), så starter
> DTC faktisk op og du udbyder pludseligt en services på port
> 135, og den stopper først igen når computeren rebootes - det
> er ikke engang nok at stoppe DTC.

Det er vel ikke det store problem når netstikket er rykket ud
og jeg kan ikke forestille mig at den type mennesker, som guiden
henvender sig til, bruger dcomcnfg andet end den ene gang, hvor
de deaktiverer DCOM og fjerner forbindelsesorienteret TCP/IP.

> Spørgsmålet er, om det i andre situationer kan ske at DTC
> startes, og at man således samtidigt uforvarende starter en
> service op på port 135.

Ja, det er det store spørgsmål som er svært at svare på, for
det er ikke nemt at vide, hvad folk har installeret og vælger
at starte op.

> Derfor undrer det mig, at du så til sidst skriver at du bl.a.
> deaktiverer "Serienummer for bærbart medie" (SFBM) når du så
> ikke vil gøre det samme med DTC. Så vidt jeg kan se, udgør DTC
> en væsentlig større risiko end SFBM.

Jeg har ikke noget imod at tilføje DTC som en tjeneste man kan
deaktivere til sidst. Jeg vil bare helst undgå at overfylde
guiden med "hvis du selv har startet den og den tjeneste, eller
installeret det og det program, så skal du være opmærksom på,
at det og det kan ske", for så bliver det forvirrende efter min
mening.

--
Hilsen
Madsen

Martin Poulsen (05-09-2004)
Kommentar
Fra : Martin Poulsen


Dato : 05-09-04 15:54

Thomas G. Madsen wrote:

> Ja, men jeg gør også opmærksom på, at det drejer sig om en frisk
> installation.

Jeg kan umiddelbart ikke se forskellen - "problemet" opstår øjensynligt
også på en frisk installation. Hvis du starter DTC, lytter den så ikke
på port 135?

> Rigtigt, men som skrevet tidligere, så har jeg endnu ikke oplevet
> at den gør det på en frisk installation og har ej heller set at
> port 135 har været åbnet siden jeg fulgte guiden. Det er muligt
> at det på visse konfigurationer kan ske, men jeg vil bare gerne
> vide præcist hvornår det kan ske, så man ikke bare anbefaler
> folk at deaktivere noget, som i langt de fleste tilfælde ikke er
> nødvendigt at deaktivere.

Det er netop det jeg finder problematisk. Man kan ikke vide hvornår ens
computer pludselig agere server. Det er muligt du ikke har set det, men
ved du at det ikke har været tilfældet?

> Det er vel ikke det store problem når netstikket er rykket ud
> og jeg kan ikke forestille mig at den type mennesker, som guiden
> henvender sig til, bruger dcomcnfg andet end den ene gang, hvor
> de deaktiverer DCOM og fjerner forbindelsesorienteret TCP/IP.

Det giver jeg dig ret i, men igen, vi ved ikke hvorvidt dcomcnfg er det
eneste program der får det startet.

> Ja, det er det store spørgsmål som er svært at svare på, for
> det er ikke nemt at vide, hvad folk har installeret og vælger
> at starte op.

Og derfor mener jeg at man bør tage det forbehold at stoppe DTC.

> Jeg har ikke noget imod at tilføje DTC som en tjeneste man kan
> deaktivere til sidst. Jeg vil bare helst undgå at overfylde
> guiden med "hvis du selv har startet den og den tjeneste, eller
> installeret det og det program, så skal du være opmærksom på,
> at det og det kan ske", for så bliver det forvirrende efter min
> mening.

Det vil du jo også undgå - som det er nu, siger du jo noget i retning af
"hvis du starter dcomcnfg, skal du være opmærksom på...
Derudover kan der opstå andre situationer, hvor den service du netop har
stoppet kan starte af sig selv - jeg kan bare ikke yderligere præcisere
det".

--
Martin

Thomas G. Madsen (05-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 05-09-04 17:45

Martin Poulsen skrev:

> Jeg kan umiddelbart ikke se forskellen - "problemet" opstår
> øjensynligt også på en frisk installation. Hvis du starter
> DTC, lytter den så ikke på port 135?

Nej.
Godt nok har jeg ikke adgang til en helt frisk installation af
WinXP første udgave eller SP1 lige pt., men jeg har lige indlæst
min gamle SP1 Pro-installation, som er lukket af efter den
vejledning, da den i sin tid blev installeret.

Hvis jeg starter dcomcnfg op, sker der intet hvad åbning af
porte angår:
<http://home18.inet.tele.dk/madsen/winxp/tjenester/01_dcomcnfg.png>.
Det eneste der starter, er MMC.EXE ifølge joblisten.

Hvis jeg klikker på f.eks. Component Services og Computer, så
starter MSDTC.EXE (Distributed Transaction Coordinator) og
DLLHOST.EXE op med dette resultat:
<http://home18.inet.tele.dk/madsen/winxp/tjenester/02_component_service.png>.
Ifølge en tasklist /svc er svchost på PID:980 startet af RPC.

Når jeg lukker dcomcnfg, bliver MSDTC.EXE og RPC på SVCHOST
ved med at køre:
<http://home18.inet.tele.dk/madsen/winxp/tjenester/03_dcomcnfg_lukket.png>.

Hvis jeg deaktiverer Distributed Transaction Coordinator og
starter dcomcnfg efter genstarten, så sker dette:
<http://home18.inet.tele.dk/madsen/winxp/tjenester/04_dcomcnfg_DTC_off.png>.
MSDTC.EXE starter ikke, men det resulterer også i, at jeg ikke
længere kan se My Computer, når jeg klikker på Computers, så jeg
har ikke længere mulighed for at komme ind til de faneblade, hvor
f.eks. DCOM og Forbindelsesorienteret TCP/IP kobles til og fra.
<http://home18.inet.tele.dk/madsen/winxp/tjenester/05_dcomcnfg_DTC_off.png>.

Hvis jeg klikker på enten COM+ Applications, DCOM Config eller
Distributed Transaction Coordinator, udløser det en fejl fordi
tjenesten Distributed Transaction Coordinator ikke kan startes:
<http://home18.inet.tele.dk/madsen/winxp/tjenester/06_DTC_off.png>.

Der kommer også en fejl i logbogen med følgende melding:
| The run-time environment was unable to initialize for
| transactions required to support transactional components.
| Make sure that MS-DTC is running.
| (DtcGetTransactionManagerEx(): hr = 0x8004d01b)
|
| For more information, see Help and Support Center at
| http://go.microsoft.com/fwlink/events.asp.

Jeg kan i øvrigt se, at SP2 opfører sig på samme måde.

--
Hilsen
Madsen

Martin Poulsen (05-09-2004)
Kommentar
Fra : Martin Poulsen


Dato : 05-09-04 18:26

Thomas G. Madsen wrote:

> Nej.
> Godt nok har jeg ikke adgang til en helt frisk installation af
> WinXP første udgave eller SP1 lige pt., men jeg har lige indlæst
> min gamle SP1 Pro-installation, som er lukket af efter den
> vejledning, da den i sin tid blev installeret.

Okay, så forstår jeg din beslutning om ikke at tage det med i guiden.
Jeg må blot konstatere at DTC er udslagsgivende på den XP jeg har adgang
til her, om der kører en service på port 135 eller ej. Jeg vil prøve at
se, om det samme er gældende på dem vi har på arbejde, når jeg engang
kommer i nærheden af dem.

> Hvis jeg klikker på f.eks. Component Services og Computer, så
> starter MSDTC.EXE (Distributed Transaction Coordinator) og
> DLLHOST.EXE op med dette resultat:
> <http://home18.inet.tele.dk/madsen/winxp/tjenester/02_component_service.png>.
> Ifølge en tasklist /svc er svchost på PID:980 startet af RPC.

Det er det samme her - først når man vælger Egenskaber starter den.

> <http://home18.inet.tele.dk/madsen/winxp/tjenester/04_dcomcnfg_DTC_off.png>.
> MSDTC.EXE starter ikke, men det resulterer også i, at jeg ikke
> længere kan se My Computer, når jeg klikker på Computers, så jeg
> har ikke længere mulighed for at komme ind til de faneblade, hvor
> f.eks. DCOM og Forbindelsesorienteret TCP/IP kobles til og fra.

Du kan klikke på "Konfigurer denne computer"-ikonet længst til højre på
værktøjslinjen. Jeg gætter på, at du får et vindue frem uden en del af
de faneblad, der normalt er.

--
Martin

Martin Poulsen (05-09-2004)
Kommentar
Fra : Martin Poulsen


Dato : 05-09-04 18:31

Martin Poulsen wrote:

> Det er det samme her - først når man vælger Egenskaber starter den.

Vrøvl, den starter allerede når jeg markerer Komponenttjenester.

--
Martin

Thomas G. Madsen (05-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 05-09-04 19:00

Martin Poulsen skrev:

> Okay, så forstår jeg din beslutning om ikke at tage det med i
> guiden. Jeg må blot konstatere at DTC er udslagsgivende på den
> XP jeg har adgang til her, om der kører en service på port 135
> eller ej.

Hvis jeg nu havde brugt netstat i stedet for tcpview, ville jeg
have opdaget, at det også drejer sig om TCP:135 her. Den proces
som RPC starter op via svchost.exe kører ganske rigtigt på TCP:135
og den lukkes ikke når man lukker dcomcnfg og ikke engang hvis
man stopper Distributed Transaction Coordinator manuelt bagefter.

> Du kan klikke på "Konfigurer denne computer"-ikonet længst til
> højre på værktøjslinjen. Jeg gætter på, at du får et vindue
> frem uden en del af de faneblad, der normalt er.

Du har ret og det resulterer så tilsyneladende ikke i en fejl i
logbogen, hvis man går den vej.

Hmm, måske skulle man forsøge at få det proppet inde i guiden
på en eller anden måde. Jeg ved bare ikke hvordan jeg skal få
plads til det, for man skulle vel i så fald også have med, at
dcomcnfg ændrer sig, når Distributed Transaction Coordinator
ikke kører, eller hvad synes du?

--
Hilsen
Madsen

Martin Poulsen (05-09-2004)
Kommentar
Fra : Martin Poulsen


Dato : 05-09-04 20:58

Thomas G. Madsen wrote:

> Hmm, måske skulle man forsøge at få det proppet inde i guiden
> på en eller anden måde. Jeg ved bare ikke hvordan jeg skal få
> plads til det, for man skulle vel i så fald også have med, at
> dcomcnfg ændrer sig, når Distributed Transaction Coordinator
> ikke kører, eller hvad synes du?

Tjah, måske bare en note om at hvis DTC startes, og at dette kan ske
uforvarende sålænge starttypen er manuel, så lyttes der igen på porten,
og af den grund kan der være god mening i at deaktivere den.

At fanebladene ændrer sig som konsekvens af, at man deaktivere nogen
software, så man ikke længere kan konfigurere det, ser jeg ikke
umiddelbart som det store problem.

--
Martin

Thomas G. Madsen (05-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 05-09-04 21:03

Thomas G. Madsen skrev:

> Jeg ved bare ikke hvordan jeg skal få plads til det, for man
> skulle vel i så fald også have med, at dcomcnfg ændrer sig,
> når Distributed Transaction Coordinator ikke kører, eller hvad
> synes du?

Nu har jeg rodet rundt i snart alle ender og kanter af systemet
og har indtil videre ikke fundet noget, som har ændret sig eller
givet anledning til problemer ved at stille Distributed Transaction
Coordinator til deaktiveret, lige bortset fra det med dcomcnfg,
så den kommer med i guiden, som en tjeneste, man med fordel kan
deaktivere.

Tak for den konstruktive kritik.

--
Hilsen
Madsen

Thomas G. Madsen (05-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 05-09-04 21:08

Martin Poulsen skrev:

> Tjah, måske bare en note om at hvis DTC startes, og at dette
> kan ske uforvarende sålænge starttypen er manuel, så lyttes
> der igen på porten, og af den grund kan der være god mening i
> at deaktivere den.

Tja, mere behøver man vel egentlig ikke at nævne.
Godt nok tror jeg ikke, at særlig mange bruger dcomcnfg andet
end den ene gang, hvor de slår DCOM og Forbindelsesorienteret
TCP/IP fra, men det er nok en fordel at gøre folk opmærksom på,
at TCP:135 bliver åbnet hvis man kører dcomcnfg med DTC stillet
til manuelt.

--
Hilsen
Madsen

Thomas G. Madsen (05-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 05-09-04 22:01

Martin Poulsen skrev:

> Tjah, måske bare en note om at hvis DTC startes, og at dette
> kan ske uforvarende sålænge starttypen er manuel, så lyttes
> der igen på porten, og af den grund kan der være god mening i
> at deaktivere den.

Hmm, er du 100 % sikker på, at deaktivering af DTC resulterer
i, at TCP:135 ikke åbnes når du starter dcomcnfg og klikker på
f.eks. Component Services?

Jeg sidder med SP2 igen og har deaktiveret DTC, men når jeg
starter dcomcnfg, bliver der stadig startet en svchost-proces
af RPC på TCP:135, som ikke lukkes før efter en genstart og
nu sidder jeg selvfølgelig og kommer i tvivl, om det samme
var tilfældet på SP1. Det screenshot jeg tog tidligere, tyder
dog på det.
<http://home18.inet.tele.dk/madsen/winxp/tjenester/05_dcomcnfg_DTC_off.png>.
Som du ser, så kører svchost.exe også dér, selvom DTC ikke
kørte.

Som jeg ser det, så er det ikke DTC der åbner TCP:135.
Det er RPC (Remote Procedure Call-tjenesten).
Jeg har lige kørt dcomcnfg og har derfor fået en svchost.exe
mere med PID nr.:1032. Hvis jeg kører en Tasklist /svc i en
kommandoprompt får jeg: svchost.exe 1032 RpcSs. RpcSs er
Remote Procedure Call-tjenesten.

--
Hilsen
Madsen

Martin Poulsen (05-09-2004)
Kommentar
Fra : Martin Poulsen


Dato : 05-09-04 22:14

Thomas G. Madsen wrote:

> Hmm, er du 100 % sikker på, at deaktivering af DTC resulterer
> i, at TCP:135 ikke åbnes når du starter dcomcnfg og klikker på
> f.eks. Component Services?

Uhm, nej, det er jeg ikke sikker på. Nu sidder jeg dog ikke længere ved
en Windows XP - jeg kan tidligst checke det næste weekend.

> Som jeg ser det, så er det ikke DTC der åbner TCP:135.
> Det er RPC (Remote Procedure Call-tjenesten).
> Jeg har lige kørt dcomcnfg og har derfor fået en svchost.exe
> mere med PID nr.:1032. Hvis jeg kører en Tasklist /svc i en
> kommandoprompt får jeg: svchost.exe 1032 RpcSs. RpcSs er
> Remote Procedure Call-tjenesten.

Hm, jeg ved at hvis jeg manuelt gik ind i services.msc og startede DTC
og derefter kørte en netstat, så blev der lyttet på omtalte port.

--
Martin

Thomas G. Madsen (06-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 06-09-04 00:02

Martin Poulsen skrev:

> Hm, jeg ved at hvis jeg manuelt gik ind i services.msc og
> startede DTC og derefter kørte en netstat, så blev der lyttet
> på omtalte port.

Jeg bliver vist lige nødt til at smide SP1 ind igen senere så,
for det sker ikke her på SP2, men jeg fik ikke prøvet nøjagtig
den fremgangsmåde på SP1. D'OH!

Her er et screenshot fra SP2:
<http://home18.inet.tele.dk/madsen/winxp/sp2/dtc.png>.

--
Hilsen
Madsen

Thomas G. Madsen (06-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 06-09-04 14:12

Thomas G. Madsen skrev:

> Her er et screenshot fra SP2:
> <http://home18.inet.tele.dk/madsen/winxp/sp2/dtc.png>.

Nå, men SP2 opfører sig åbenbart ikke som tidligere versioner
på det punkt heller. På SP2 åbner Distributed Transaction
Coordinator (DTC) ingen porte, når den startes.

Har prøvet med WinXP Pro SP1 igen og er indtil videre kommet
frem til følgende.

Når DTC startes via services.msc starter MSDTC.EXE (som er DTC).
Den fik tildelt TCP:1025 i mit tilfælde, men får vist normalt
tildelt en port umiddelbart højere end TCP:1023, så portnummeret
kan variere. Samtidig starter RPC en SVCHOST.EXE, som åbner
TCP:135. Hvis DTC-tjenesten stoppes igen, lukkes MSDTC.EXE og
TCP:1025, men RPC bliver ved med at holde TCP:135 åben indtil
næste genstart.

Hvis DTC står til standardindstillingen (manuel og stoppet) og
dcomcnfg startes, vil DTC også starte. RPC får en SVCHOST.EXE
til at åbne TCP:135, MSDTC.EXE åbner TCP:1025 og MMC.EXE åbner
TCP:1026 (portnummeret for MSDTC.EXE og MMC.EXE kan også variere).
Når dcomcnfg lukkes, lukker MSDTC.EXE og MMC.EXE igen og dermed
TCP:1025 og TCP:1026, men RPC bliver ved med at holde TCP:135
åben indtil næste genstart.

Hvis DTC deaktiveres og dcomcnfg startes, så starter MSDTC.EXE
af gode grunde ikke, men RPC får stadig en SVCHOST.EXE til at
åbne TCP:135 og MMC.EXE åbner TCP:1026. Når dcomcnfg lukkes,
lukker MMC.EXE og TCP:1026, men RPC bliver ved med at holde
TCP:135 åben indtil næste genstart.

RPC vil altså stadig åbne TCP:135 selvom man har valgt at
deaktivere DTC og derefter starter dcomcnfg. Det er ikke
lykkedes mig at finde andre funktioner inde i f.eks. computer-
administrationen, som vil åbne TCP:135 bortset fra dcomcnfg
(komponenttjenester) og det er heller ikke lykkedes mig at
finde andet end dcomcnfg, som starter DTC, hvis denne er sat
til manuel.

Det ideelle ville nok være, hvis man kunne få RPC til kun at
lytte på loopback-interfacet, men jeg kan ikke få det til at
fungere på WinXP. Man skulle efter sigende kunne tilføje en
strengværdi (REG_SZ) ved navn ListenOnInternet og stille den
til 'N' inde i [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RpcSs], men det har ingen effekt her på XP Pro SP1.

Jeg kan bruge rpccfg.exe og bede om, at RPC kun skal lytte
på loopback-interfacet og det resulterer også i, at DTC kun
lytter på 127.0.0.1 når den startes, men der står ikke
127.0.0.1 ud for den SVCHOST.EXE, som RPC starter på TCP:135,
så det virker tilsyneladende heller ikke efter hensigten på
WinXP. Det gør formentlig på Win2000, men jeg ved det ikke.

--
Hilsen
Madsen

Martin Poulsen (06-09-2004)
Kommentar
Fra : Martin Poulsen


Dato : 06-09-04 14:31

Thomas G. Madsen wrote:

> Det ideelle ville nok være, hvis man kunne få RPC til kun at
> lytte på loopback-interfacet, men jeg kan ikke få det til at
> fungere på WinXP. Man skulle efter sigende kunne tilføje en
> strengværdi (REG_SZ) ved navn ListenOnInternet og stille den
> til 'N' inde i [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
> Services\RpcSs], men det har ingen effekt her på XP Pro SP1.

Prøv, som denne MSDN-artikel beskriver, at sætte PortsInternetAvailable
og UseInternetPorts til 'N' under [HKEY_LOCAL_MACHINE\
Software\Microsoft\Rpc\Internet\].

[*] http://shor.ter.dk/361813969

--
Martin

Thomas G. Madsen (06-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 06-09-04 15:02

Martin Poulsen skrev:

> Prøv, som denne MSDN-artikel beskriver, at sætte
> PortsInternetAvailable og UseInternetPorts til 'N' under
> [HKEY_LOCAL_MACHINE\ Software\Microsoft\Rpc\Internet\].

Det gør desværre ikke nogen forskel.
Hvis jeg indsætter de to værdier uden at have kørt rpccfg, får jeg
dette: <http://home18.inet.tele.dk/madsen/winxp/sp1/rpc_internet.png>.
Altså ingen ændring overhovedet.

Hvis jeg kører rpccfg og stiller den til, at RPC kun skal lytte på
loopback-interfacet, så får jeg dette:
<http://home18.inet.tele.dk/madsen/winxp/sp1/rpc_loopback.png> og
det er det samme der sker, hvis de to værdier ikke er tilføjet til
registreringsdatabasen og man kun har brugt rpccfg. Som jeg ser det,
så er det kun DTC på TCP:1027 som lytter på loopback-interfjæset.
RPC på TCP:135 er stadig på Internettet.

--
Hilsen
Madsen

Martin Poulsen (06-09-2004)
Kommentar
Fra : Martin Poulsen


Dato : 06-09-04 15:15

Thomas G. Madsen wrote:

> Det gør desværre ikke nogen forskel.

Bare lige for at være sikker, men er det den rigtige sti? Det skal være
[HKEY_LOCL_MACHINE\Software\Microsoft\Rpc\Internet\] og ikke
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs]. Det er
ikke til at se det ud fra billedet, men umiddelbart kunne det faktisk
godt ligne sidstnævnte. Det ser heller ikke ud til, at Rpc-nøglen har
har nogle sub-nøgler - der skal jo være den der hedder Internet.

--
Martin

Thomas G. Madsen (06-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 06-09-04 15:36

Martin Poulsen skrev:

> Bare lige for at være sikker, men er det den rigtige sti? Det
> skal være [HKEY_LOCL_MACHINE\Software\Microsoft\Rpc\Internet\]

Det er også inde under den værdi jeg har tilføjet det. Det ses
ikke på det første screenshot, men du kan se det på:
<http://home18.inet.tele.dk/madsen/winxp/sp1/rpc_loopback.png>.
Internet-nøglen skal i øvrigt også oprettes for den findes ikke
som standard på WinXP.

På linket hos MS står der i øvrigt også:
| For Windows 2000 and later versions, a utility in the Windows
| Resource Kit called Rpccfg.exe should be used to set bindings.
| For more information, consult the Windows Resource Kit for the
| appropriate operating system version.
|
| For versions of windows prior to Windows 2000, the registry
| keys in the following table specify the system defaults for
| dynamic port allocation and for binding to NICs on multihomed
| computers. You must first create these keys and then specify
| the appropriate settings.

Altså bør man tilsyneladende bruge rpccfg på Win2000 og fremefter.

Nu har jeg prøvet noget andet med ret sære resultater. :)
Har fjernet Internet-nøglen igen inde i registreringsdatabasen
og har resettet RPC med rpccfg -r, som stiller RPC tilbage til
standardindstillingen.

Derefter (efter en genstart), har jeg kørt rpccfg -d 1, som
resulterer i, at RPC som standard vil vælge porte på intranettet
i stedet for internettet.

Efter endnu en genstart bliver der ikke åbnet porte når DTC
startes og ej heller når dcomcnfg startes. Det sære er bare,
at jeg ikke kan få den tilbage til standardindstillingen igen.
rpccfg -r og en genstart gør ingen forskel og rpccfg -d 0, som
skulle få RPC tilbage til at vælge porte på internettet, får
den heller ikke til at åbne TCP:135 igen, så man undres.

--
Hilsen
Madsen

Martin Poulsen (06-09-2004)
Kommentar
Fra : Martin Poulsen


Dato : 06-09-04 16:53

Thomas G. Madsen wrote:

> Internet-nøglen skal i øvrigt også oprettes for den findes ikke
> som standard på WinXP.

Det skal den også på Windows Server 2003. Og ved at oprette de to
strenge, fik jeg lukket munden på port 1025 som jeg ellers endnu ikke
havde fundet en løsning på. Men der var stadig gang i port 135.

Nu opdagede jeg så lige at [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\]
havde en streng ved navn "DCOM Protocols" med værdien ncacn_ip_tcp. Jeg
fjernede så indholdet af DCOM Protocols, rebootede og lavede en "netstat
-an" og for første gang er det lykkes mig at få lukket port 135, så jeg
nu har en helt tom netstat på WS2k3. Jeg slettede også Internet-nøglen,
da den ikke længere influerede på resultatet.

Hvad sker du hvis du fjerner indholdet af "DCOM Protocols" - altså ikke
sletter strengen, men blot rydder dens værdi?

http://users.cybercity.dk/~dsl85798/regedit.png

--
Martin

Thomas G. Madsen (06-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 06-09-04 17:26

Martin Poulsen skrev:

> Hvad sker du hvis du fjerner indholdet af "DCOM Protocols" -
> altså ikke sletter strengen, men blot rydder dens værdi?

Det vil jeg lige prøve senere, men i mellemtiden er jeg kommet
frem til noget andet, som også ser ud til at virke på XP SP1.
Om det så også virker på Win2000, ved jeg ikke.

Jeg har hentet Regmon fra Sysinternals og den afslører, at
det eneste der bliver ændret i registreringsdatabasen når
man kører rpccfg -d 1 er en ny nøgle ved navn Internet under
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\].
Inde i den nøgle, bliver der oprettet en streng-værdi (REG_SZ)
ved navn UseInternetPorts, som stilles til N. Når den er
oprettet, bliver der ikke åbnet en eneste port, hverken når
dcomcnfg eller DTC startes.

Kører man en rpccfg -r, bliver den nøgle ikke ændret, hvilket
man ellers skulle tro, da -r skulle resette RPC, så det var
årsagen til, at jeg ikke kunne resette skidtet igen vha. rpccfg.

Kører man en rpccfg -d 0, bliver UseInternetPorts ændret til
Y, men underligt nok så resulterer det stadig i, at ingen
porte bliver åbnet, hvis man efter en genstart kører DTC eller
starter dcomcnfg igen. Den eneste måde jeg kan få den til
igen at åbne porte er at slette hele Internet-nøglen inde i
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\].

Nu er spørgsmålet så bare, om der er grumme bivirkninger ved
at køre med UseInternetPorts = N på RPC, men indtil videre
har det kørt fint her.

--
Hilsen
Madsen

Thomas G. Madsen (06-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 06-09-04 18:09

Martin Poulsen skrev:

> Hvad sker du hvis du fjerner indholdet af "DCOM Protocols" -
> altså ikke sletter strengen, men blot rydder dens værdi?

Hvis jeg fjerner indholdet af "DCOM Protocols" inde under
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc], så åbner både
TCP:1025 (DTC) og TCP:135 (RPC), når jeg starter DTC på
WinXP Pro SP1.

--
Hilsen
Madsen

Thomas G. Madsen (06-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 06-09-04 18:29

Martin Poulsen skrev:

> Bare lige for at være sikker, men er det den rigtige sti? Det
> skal være [HKEY_LOCL_MACHINE\Software\Microsoft\Rpc\Internet\]
> og ikke [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs].

Jeg er et fjog!
Det var under den forkerte nøgle ja. Det skete fordi jeg lige havde
prøvet med ListenOnInternet-værdien, som jo skal indsættes under
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Internet]
så jeg havde indsat UseInternetPorts og PortsInternetAvailable = N
under samme nøgle, men dér har de ingen effekt. De skal ind under:
[HKEY_LOCL_MACHINE\Software\Microsoft\Rpc\Internet\] og når de
kommer det, virker det også, men det er så altså tilstrækkeligt med
UseInternetPort = N, som skrevet i <news:chia3a.2a0.1@tgm.dyndns.dk>.

Det er ærgerligt at det ikke er tilstrækkeligt på Windows Server 2003.
Jeg vil senere prøve om det virker på Win2000 Pro (SP4), som jeg har
liggende en frisk installation af på en DVD et sted.

--
Hilsen
Madsen

Thomas G. Madsen (07-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 07-09-04 17:16

Martin Poulsen skrev:

> Men det bør måske alligevel tilføjes til Tjenester.pdf, at man
> skal sikre at DTC er deaktiveret.

Nu er den ændret, men det krævede en side mere for at få plads
til det hele.

--
Hilsen
Madsen

Erik Dan (07-09-2004)
Kommentar
Fra : Erik Dan


Dato : 07-09-04 17:28


"Thomas G. Madsen" <nospam@madsen.tdcadsl.dk> wrote in message
news:chktt9.3r8.1@tgm.dyndns.dk...
> Martin Poulsen skrev:
>
>> Men det bør måske alligevel tilføjes til Tjenester.pdf, at man
>> skal sikre at DTC er deaktiveret.
>
> Nu er den ændret, men det krævede en side mere for at få plads
> til det hele.
> --------
Lyder godt ,hvor får man fat i den ?

/ Dan



Thomas G. Madsen (07-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 07-09-04 17:46

Erik Dan skrev:

> Lyder godt ,hvor får man fat i den ?

http://home18.inet.tele.dk/madsen/winxp/Tjenester.pdf

--
Hilsen
Madsen

Thomas G. Madsen (07-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 07-09-04 18:03

Erik Dan skrev:

> Lyder godt ,hvor får man fat i den ?

Måske skulle man nævne i overskriften på side 1, at den er skrevet
til den første udgave af WinXP og SP1?.
Du kører tilsyneladende med SP2. Godt nok kan man også bruge guiden
på SP2, men der er nogle tjenester i guiden, som ikke kører på SP2.
Messenger-tjenesten f.eks. og RPC lytter kun på lokalnettet, men
som jeg forstår det, så er det firewallen der sørger for det.
Spørgsmålet er hvad der sker den dag, hvor firewallen ikke kører...

RPC godtager vist heller ikke længere anonyme forbindelsesforsøg,
men jeg kan heller ikke gennemskue, om det er firewallen der sørger
for det, eller om det er indbygget i RPC. Jeg har derfor valgt at
deaktivere alle de tjenester, som jeg ikke har behov for på SP2 også.
Alt andet lige, så må det resultere i et mere sikkert system og det
bliver også hurtigere, hvilket vel ikke er så ringe endda.

--
Hilsen
Madsen

Thomas G. Madsen (10-09-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 10-09-04 20:01

Thomas G. Madsen skrev:

[UseInternetPorts = No]
> Om det så også virker på Win2000, ved jeg ikke.

Det gør det, så nu er guiden til Win2000 også opdateret.
<http://home18.inet.tele.dk/madsen/win2000/Tjenester.pdf>.

--
Hilsen
Madsen

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste