Wenn es notwendig ist, dass Domänencontroller durch eine Firewall miteinander kommunizieren (replizieren) müssen, sollten folgende Dienste mit ihren entsprechenden Ports und Protokollen zu den Domänencontrollern durchgeleitet werden:


 




  • RPC: 135 TCP und UDP


  • Network Basic Input/Output System (NetBIOS) name service: 137 TCP und UDP, 138 UDP und 139 TCP


  • Dynamische RPC Portzuweisung: 1024-65535 TCP


  • Server Message Block (SMB) über IP / Microsoft-DS: 445 TCP und UDP


  • Lightweight Directory Access Protocol (LDAP): 389 TCP und UDP


  • LDAP über SSL: 636 TCP


  • Globaler Katalog (GC) LDAP: 3268 TCP


  • Globaler Katalog LDAP über SSL: 3269 TCP


  • Kerberos: 88 TCP und UDP


  • Domain Name Service (DNS): 53 TCP und UDP


  • Windows Internet Name Service (WINS): 1512 TCP und UDP


  • WINS Replikation (falls benötigt): 42 TCP und UDP

 


Dem aufmerksamen Administrator fällt nun auf, dass die „dynamische RPC Portzuweisung“ ein Problem darstellen könnte. In der Tat, möchte man nicht die Ports von 1024 bis 65535 öffnen, deshalb ist es ratsam zu prüfen, welche Ports an der Firewall geblockt werden, um nach und nach die Ports freizugeben und nicht alle auf einmal. Abgesehen davon, lieber einen Port zu wenig aufgemacht, als einen zuviel. Deshalb muss jedes Unternehmen vor dem öffnen der Ports genauestens prüfen, welche Ports für welche Active Directory Aufgaben notwendig sind.


 


Man kann aber auch eine gewisse Portanzahl für die „dynamische RPC Portzuweisung“ durch einen Registry-Eintrag fest vorgeben.


How to configure RPC dynamic port allocation to work with firewalls


 


 


Den meisten Verkehr durch eine Firewall, verursachen die  Authentifizierungsanforderungen, als die wären:


 



  • Dateiserverzugriff
  • DNS Abfragen
  • Vertrauensstellungen
  • Benutzeranmeldung
  • Verbindung zwischen Mitgliedsservern und Domänencontrollern
  • Active Directory Replikation

 


Falls Memberserver wie z.B. Windows Exchange im Perimeter-Netzwerk, Verbindung mit dem internen Netzwerk haben sollen, ist es empfehlenswert die notwendigen Protokolle und Ports (für das Active Directory sowie die benötigten Dienste) von der jeweiligen IP-Adresse zum jeweiligen Domänencontroller auf der Firewall zu beschränken. 


 


Wenn Standorte (Niederlassungen) und somit ggf. Subdomänen erstellt werden, sind weitere Regeln auf der Firewall zu erstellen, um die Vertrauensstellung sowie Active Directory Replikation zuzulassen.


 


 


Weitere Informationen:
Active Directory and Active Directory Domain Services Port Requirements
Active Directory Replication over Firewalls


Active Directory in Networks Segmented by Firewalls


How to configure Windows Server 2003 SP1 firewall for a Domain Controller


How to configure a firewall for domains and trusts


Restricting Active Directory replication traffic to a specific port
The default dynamic port range for TCP/IP has changed in Windows Vista and in Windows Server 2008
Exchange 2000 Windows 2000 connectivity through firewalls


Service overview and network port requirements for the Windows Server system


 

Comments are closed, but trackbacks and pingbacks are open.