Durch Firewalls getrennte Domänencontroller/Clients
Gültig für: Windows 2000 | Windows XP | Server 2003 | Windows Vista | Server 2008 | Windows 7 | Windows 8 | Windows 10
In bestimmten Konstellationen werden Domänencontroller untereinander durch Firewalls getrennt oder es befindet sich zwischen den Clients und den Domänencontrollern eine Firewall. Hier werden einige wichtige Informationen dazu beleuchtet.
Soll eine Kommunikation durch eine Firewall erfolgen, gibt es folgende Ansätze:
- Die Verbindung wird zwischen den Systemen - z.B. über IPsec - getunnelt. In diesem Fall müssen nur die Ports für IPsec in der Firewall geöffnet werden.
- Es wird direkt über TCP/IP kommuniziert, was in den folgenden Fällen durchaus nicht ungewöhnlich ist:
- Domänencontroller benutzen die Funktion der Internetverbindungsfirewall, was in kleinen Netzwerken durchaus vorkommt.
- Mitgliedsserver wie z.B. der Microsoft Exchange Server befinden sich in der DMZ, während die Domänencontroller im internen Netzwerk stehen.
- Die internen Netzwerke sich durch Firewalls segmentiert.
- Router mit aktivierter Port-Filterung werden eingesetzt.
In solchen Fällen müssen die benötigten Ports entsprechend freigeschaltet werden.
In der folgenden Tabelle finden Sie eine entsprechende Übersicht, welche Ports für die entsprechenden Aufgaben benötigt werden. Bei der Verwendung von IPsec müssen nur die IPsec-spezifischen Ports und die für DNS und Kerberos verwendeten Ports freigeschaltet werden.
| Bereich | Funktion | TCP-Port | UDP-Port |
|---|---|---|---|
| Benutzeranmeldung | Zugriff auf das Active Directory | 445 | 445 |
| Kerberos-Authentifizierung | 88 | 88 | |
| LDAP-pings | - | 389 | |
| DNS-Zugriffe | 53 | 53 | |
| Computeranmeldung | Zugriff auf das Active Directory | 445 | 445 |
| Kerberos-Authentifizierung | 88 | 88 | |
| LDAP-pings | - | 389 | |
| DNS-Zugriffe | 53 | 53 | |
| Vertrauensstellungen zwischen Domänen | Zugriff auf das Active Directory | 445 | 445 |
| LDAP-Zugriffe |
389 und 686 mit SSL |
- | |
| LDAP-pings | - | 389 | |
| Kerberos-Authentifizierung | 88 | 88 | |
| DNS-Zugriffe | 53 | 53 | |
| Authentifizierung von Vertauensstellungen | Zugriff auf das Active Directory | 445 | 445 |
| LDAP-Zugriffe |
389 und 686 mit SSL |
- | |
| LDAP-pings | - | 389 | |
| DNS | 88 | 88 | |
| Netzwerkanmeldung | 135 | - | |
| Dateiressourcen (Netlogon usw.) | Nutzung von SMB über TCP/IP | 445 | 445 |
| DNS-Lookups | 53 | 53 | |
| Active Directory Replikation | Directory-Service RPCs | Konfigurierbar | - |
| LDAP-Zugriffe |
389 und 686 mit SSL |
- | |
| LDAP-pings | - | 389 | |
| Kerberos-Authentifizierung | 88 | 88 | |
| DNS-Zugriffe | 53 | 53 | |
| Nutzung von SMB über TCP/IP | 445 | 445 | |
| IPsec | IPsec Encapsutated payload (ESP) über IP-Protokoll 50 | - | - |
| IKE | - | 500 | |
| Kerberos-Authentifizierung | 88 | 88 | |
| DNS-Zugriffe | 53 | 53 | |
| Bei Verwendung von IPsec AH (authentifizierte Header) noch IP-Protokoll 51 | - | - |
WinFAQ: Startseite | WinFAQ: HTMLMenü | WinFAQ: Java Version
Der Tipp enthält einen Fehler oder Sie haben noch eine Ergänzung dafür? Schreiben Sie uns über die Feedback-Seite an: Feedback-Formular
URL: http://www.winfaq.de/faq_html/Content/tip2500/onlinefaq.php?h=tip2661.htm
WinFAQ ® Version 9.01 Copyright © 1996/2016 by Frank Ullrich