Active Directory Replikation durch die Firewall ?!

Sofern es notwendig wird, dass Domänencontroller durch eine Firewall miteinander kommunizieren (replizieren) müssen, sollten folgende Dienste mit ihren entsprechenden Ports und Protokollen zu den Domänencontrollern durchgeleitet werden:

 

  • RPC: 135 TCP und UDP
  • Network Basic Input/Output System (NetBIOS) name service: 137 TCP und UDP, 138 UDP und 139 TCP
  • Dynamische RPC Portzuweisung: 1024-65535 TCP
  • Server Message Block (SMB) über IP / Microsoft-DS: 445 TCP und UDP
  • Lightweight Directory Access Protocol (LDAP): 389 TCP und UDP
  • LDAP über SSL: 636 TCP
  • Globaler Katalog (GC) LDAP: 3268 TCP
  • Globaler Katalog LDAP über SSL: 3269 TCP
  • Kerberos: 88 TCP und UDP
  • Domain Name Service (DNS): 53 TCP und UDP
  • Windows Internet Name Service (WINS): 1512 TCP und UDP
  • WINS Replikation (falls benötigt): 42 TCP und UDP

Dem aufmerksamen Administrator fällt nun auf, dass die „dynamische RPC Portzuweisung“ ein Problem darstellen könnte. In der Tat, möchte man nicht die Ports von 1024 bis 65535 öffnen, deshalb ist es ratsam zu prüfen, welche Ports an der Firewall geblockt werden, um nach und nach die Ports freizugeben und nicht alle auf einmal. Abgesehen davon, lieber einen Port zu wenig aufgemacht, als einen zuviel. Deshalb muss jedes Unternehmen vor dem öffnen der Ports genauestens prüfen, welche Ports für welche Active Directory Aufgaben notwendig sind.

Den meisten Verkehr durch eine Firewall, verursachen die Authentifizierungsanforderungen, als die wären:

  • Dateiserverzugriff
  • DNS Abfragen
  • Vertrauensstellungen
  • Benutzeranmeldung
  • Verbindung zwischen Mitgliedsservern und Domänencontrollern
  • Active Directory Replikation

Falls Memberserver wie z.B. Windows Exchange im Perimeter-Netzwerk, Verbindung mit dem internen Netzwerk haben sollen, ist es empfehlenswert die notwendigen Protokolle und Ports (für das Active Directory sowie die benötigten Dienste) von der jeweiligen IP-Adresse zum jeweiligen Domänencontroller auf der Firewall zu beschränken. 

Wenn Standorte (Niederlassungen) und somit ggf. Subdomänen erstellt werden, sind weitere Regeln auf der Firewall zu erstellen, um die Vertrauensstellung sowie Active Directory Replikation zuzulassen.

Weitere Informationen:
Active Directory Replication over Firewalls
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/confeat/adrepfir.mspx

Active Directory in Networks Segmented by Firewalls

http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en

How to configure a firewall for domains and trusts

http://support.microsoft.com/kb/179442/en-us

Restricting Active Directory replication traffic to a specific port
http://support.microsoft.com/kb/224196/en-us

Service overview and network port requirements for the Windows Server system
http://support.microsoft.com/kb/832017/en-us

TechNet Webcast: Kerberos-Interoperabilität – Authentifizierungstickets für heterogene Clients

http://www.microsoft.com/germany/technet/webcasts/eventdetail.aspx?EventID=1032311283

Advertisements

2 Responses to “Active Directory Replikation durch die Firewall ?!”

  1. Ramazan Says:

    Quelle Yusuf Dikmenoglu

  2. patio swings Says:

    I’m linking this webpage from my personal weblog . this has all of the usefull data necessary.

Any further thoughts? Let me know here

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s


%d bloggers like this: