Wenn es notwendig ist, dass Domänencontroller durch eine Firewall miteinander kommunizieren (replizieren) müssen, sollten folgende Dienste mit ihren entsprechenden Ports und Protokollen zu den Domänencontrollern durchgeleitet werden:
RPC: 135 TCP und UDP
Network Basic Input/Output System (NetBIOS) name service: 137 TCP und UDP, 138 UDP und 139 TCP
Dynamische RPC Portzuweisung: 1024-65535 TCP
Server Message Block (SMB) über IP / Microsoft-DS: 445 TCP und UDP
Lightweight Directory Access Protocol (LDAP): 389 TCP und UDP
LDAP über SSL: 636 TCP
Globaler Katalog (GC) LDAP: 3268 TCP
Globaler Katalog LDAP über SSL: 3269 TCP
Kerberos: 88 TCP und UDP
Domain Name Service (DNS): 53 TCP und UDP
Windows Internet Name Service (WINS): 1512 TCP und UDP
WINS Replikation (falls benötigt): 42 TCP und UDP
Dem aufmerksamen Administrator fällt nun auf, dass die „dynamische RPC Portzuweisung“ ein Problem darstellen könnte. In der Tat, möchte man nicht die Ports von 1024 bis 65535 öffnen, deshalb ist es ratsam zu prüfen, welche Ports an der Firewall geblockt werden, um nach und nach die Ports freizugeben und nicht alle auf einmal. Abgesehen davon, lieber einen Port zu wenig aufgemacht, als einen zuviel. Deshalb muss jedes Unternehmen vor dem öffnen der Ports genauestens prüfen, welche Ports für welche Active Directory Aufgaben notwendig sind.
Man kann aber auch eine gewisse Portanzahl für die „dynamische RPC Portzuweisung“ durch einen Registry-Eintrag fest vorgeben.
How to configure RPC dynamic port allocation to work with firewalls
Den meisten Verkehr durch eine Firewall, verursachen die Authentifizierungsanforderungen, als die wären:
- Dateiserverzugriff
- DNS Abfragen
- Vertrauensstellungen
- Benutzeranmeldung
- Verbindung zwischen Mitgliedsservern und Domänencontrollern
- Active Directory Replikation
Falls Memberserver wie z.B. Windows Exchange im Perimeter-Netzwerk, Verbindung mit dem internen Netzwerk haben sollen, ist es empfehlenswert die notwendigen Protokolle und Ports (für das Active Directory sowie die benötigten Dienste) von der jeweiligen IP-Adresse zum jeweiligen Domänencontroller auf der Firewall zu beschränken.
Wenn Standorte (Niederlassungen) und somit ggf. Subdomänen erstellt werden, sind weitere Regeln auf der Firewall zu erstellen, um die Vertrauensstellung sowie Active Directory Replikation zuzulassen.
Weitere Informationen:
Active Directory and Active Directory Domain Services Port Requirements
Active Directory Replication over Firewalls
Active Directory in Networks Segmented by Firewalls
How to configure Windows Server 2003 SP1 firewall for a Domain Controller
How to configure a firewall for domains and trusts
Restricting Active Directory replication traffic to a specific port
The default dynamic port range for TCP/IP has changed in Windows Vista and in Windows Server 2008
Exchange 2000 Windows 2000 connectivity through firewalls
Service overview and network port requirements for the Windows Server system
Comments are closed, but trackbacks and pingbacks are open.