Durch Firewalls getrennte Domänencontroller/Clients

In bestimmten Konstellationen werden Domänencontroller untereinander durch Firewalls getrennt oder es befindet sich zwischen den Clients und den Domänencontrollern eine Firewall. Hier werden einige wichtige Informationen dazu beleuchtet.

Soll eine Kommunikation durch eine Firewall erfolgen, gibt es folgende Ansätze:

Die Verbindung wird zwischen den Systemen - z.B. über IPsec - getunnelt. In diesem Fall müssen nur die Ports für IPsec in der Firewall geöffnet werden.
Es wird direkt über TCP/IP kommuniziert, was in den folgenden Fällen durchaus nicht ungewöhnlich ist:
- Domänencontroller benutzen die Funktion der Internetverbindungsfirewall, was in kleinen Netzwerken durchaus vorkommt.
- Mitgliedsserver wie z.B. der Microsoft Exchange Server befinden sich in der DMZ, während die Domänencontroller im internen Netzwerk stehen.
- Die internen Netzwerke sich durch Firewalls segmentiert.
- Router mit aktivierter Port-Filterung werden eingesetzt.

In solchen Fällen müssen die benötigten Ports entsprechend freigeschaltet werden.

In der folgenden Tabelle finden Sie eine entsprechende Übersicht, welche Ports für die entsprechenden Aufgaben benötigt werden. Bei der Verwendung von IPsec müssen nur die IPsec-spezifischen Ports und die für DNS und Kerberos verwendeten Ports freigeschaltet werden.

Bereich	Funktion	TCP-Port	UDP-Port
Benutzeranmeldung	Zugriff auf das Active Directory	445	445
	Kerberos-Authentifizierung	88	88
	LDAP-pings	-	389
	DNS-Zugriffe	53	53
Computeranmeldung	Zugriff auf das Active Directory	445	445
	Kerberos-Authentifizierung	88	88
	LDAP-pings	-	389
	DNS-Zugriffe	53	53
Vertrauensstellungen zwischen Domänen	Zugriff auf das Active Directory	445	445
	LDAP-Zugriffe	389 und 686 mit SSL	-
	LDAP-pings	-	389
	Kerberos-Authentifizierung	88	88
	DNS-Zugriffe	53	53
Authentifizierung von Vertauensstellungen	Zugriff auf das Active Directory	445	445
	LDAP-Zugriffe	389 und 686 mit SSL	-
	LDAP-pings	-	389
	DNS	88	88
	Netzwerkanmeldung	135	-
Dateiressourcen (Netlogon usw.)	Nutzung von SMB über TCP/IP	445	445
DNS-Lookups		53	53
Active Directory Replikation	Directory-Service RPCs	Konfigurierbar	-
	LDAP-Zugriffe	389 und 686 mit SSL	-
	LDAP-pings	-	389
	Kerberos-Authentifizierung	88	88
	DNS-Zugriffe	53	53
	Nutzung von SMB über TCP/IP	445	445
IPsec	IPsec Encapsutated payload (ESP) über IP-Protokoll 50	-	-
	IKE	-	500
	Kerberos-Authentifizierung	88	88
	DNS-Zugriffe	53	53
	Bei Verwendung von IPsec AH (authentifizierte Header) noch IP-Protokoll 51	-	-

WinFAQ: Startseite | WinFAQ: HTMLMenü | WinFAQ: Java Version

Der Tipp enthält einen Fehler oder Sie haben noch eine Ergänzung dafür? Schreiben Sie uns über die Feedback-Seite an: Feedback-Formular

URL: http://www.winfaq.de/faq_html/Content/tip2500/tip2661.htm