Active Directory Replikation durch die Firewall ?!
Sofern es notwendig wird, dass Domänencontroller durch eine Firewall miteinander kommunizieren (replizieren) müssen, sollten folgende Dienste mit ihren entsprechenden Ports und Protokollen zu den Domänencontrollern durchgeleitet werden:
- RPC: 135 TCP und UDP
- Network Basic Input/Output System (NetBIOS) name service: 137 TCP und UDP, 138 UDP und 139 TCP
- Dynamische RPC Portzuweisung: 1024-65535 TCP
- Server Message Block (SMB) über IP / Microsoft-DS: 445 TCP und UDP
- Lightweight Directory Access Protocol (LDAP): 389 TCP und UDP
- LDAP über SSL: 636 TCP
- Globaler Katalog (GC) LDAP: 3268 TCP
- Globaler Katalog LDAP über SSL: 3269 TCP
- Kerberos: 88 TCP und UDP
- Domain Name Service (DNS): 53 TCP und UDP
- Windows Internet Name Service (WINS): 1512 TCP und UDP
- WINS Replikation (falls benötigt): 42 TCP und UDP
Dem aufmerksamen Administrator fällt nun auf, dass die „dynamische RPC Portzuweisung“ ein Problem darstellen könnte. In der Tat, möchte man nicht die Ports von 1024 bis 65535 öffnen, deshalb ist es ratsam zu prüfen, welche Ports an der Firewall geblockt werden, um nach und nach die Ports freizugeben und nicht alle auf einmal. Abgesehen davon, lieber einen Port zu wenig aufgemacht, als einen zuviel. Deshalb muss jedes Unternehmen vor dem öffnen der Ports genauestens prüfen, welche Ports für welche Active Directory Aufgaben notwendig sind.
Den meisten Verkehr durch eine Firewall, verursachen die Authentifizierungsanforderungen, als die wären:
- Dateiserverzugriff
- DNS Abfragen
- Vertrauensstellungen
- Benutzeranmeldung
- Verbindung zwischen Mitgliedsservern und Domänencontrollern
- Active Directory Replikation
Falls Memberserver wie z.B. Windows Exchange im Perimeter-Netzwerk, Verbindung mit dem internen Netzwerk haben sollen, ist es empfehlenswert die notwendigen Protokolle und Ports (für das Active Directory sowie die benötigten Dienste) von der jeweiligen IP-Adresse zum jeweiligen Domänencontroller auf der Firewall zu beschränken.
Wenn Standorte (Niederlassungen) und somit ggf. Subdomänen erstellt werden, sind weitere Regeln auf der Firewall zu erstellen, um die Vertrauensstellung sowie Active Directory Replikation zuzulassen.
Weitere Informationen:
Active Directory Replication over Firewalls
https://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/confeat/adrepfir.mspx
Active Directory in Networks Segmented by Firewalls
How to configure a firewall for domains and trusts
https://support.microsoft.com/kb/179442/en-us
Restricting Active Directory replication traffic to a specific port
https://support.microsoft.com/kb/224196/en-us
Service overview and network port requirements for the Windows Server system
https://support.microsoft.com/kb/832017/en-us
TechNet Webcast: Kerberos-Interoperabilität - Authentifizierungstickets für heterogene Clients
https://www.microsoft.com/germany/technet/webcasts/eventdetail.aspx?EventID=1032311283
Comments
- Anonymous
February 14, 2007
Quelle Yusuf Dikmenoglu - Anonymous
January 17, 2011
I'm linking this webpage from my personal weblog . this has all of the usefull data necessary.