AD-Clients per VPN an Branch-Office AD-Server; Frage zu FW-Regelwerk

Diskutiere AD-Clients per VPN an Branch-Office AD-Server; Frage zu FW-Regelwerk im Windows Domain Management Forum im Bereich Server Systeme; Hallo, es geht darum, dass AD-Clients per VPN an ein anderes Netzwerk angebunden werden sollen. Die VPN Verbindung läuft auf einer Firewall auf...
N

naitsabes84

Threadstarter
Mitglied seit
18.05.2008
Beiträge
33
Standort
Hannover
Hallo,

es geht darum, dass AD-Clients per VPN an ein anderes Netzwerk angebunden werden sollen. Die VPN Verbindung läuft auf einer Firewall auf, die auch das entsprechende Regelwerk beinhaltet. Jetzt geht es darum, die Ports zu definieren, die notwendig sind, damit die Clíents mit dem AD kommunizieren können. Ich habe mir schon ein paar Technet Artikel angeschaut, dort stößt man immer wieder auf Protokolle wie Kerberos, diverse ldap, ntp, SMB, Netbios, RPC und natürlich DNS.

Jetzt möchte ich einfach mal aus der Erfahrung (sofern vorhanden) von euch hören, was wirklich minimal notwendig ist um nur Clients anzubinden, also keine Vertrauensstellung mit einem anderen DC.


Ich bin gespannt auf eure Antworten.


Schöne Grüße

naitsabes84
 
U

unst

Mitglied seit
15.03.2007
Beiträge
64
Das ist schwer zu definieren. am besten wäre es, du schneidest mal mit dem programm showtraffic oder einem anderen sniffer den traffic während der anmeldung mit.
wo ist denn das problem, die clients über vpn ins lan zu lassen?oder halt den DC voll freizugeben auf die vpn clients, kannst ja dann sowas wie rdp rausnehmen...
 
morpheus36

morpheus36

WB Wiki - Team
Mitglied seit
10.01.2008
Beiträge
700
Alter
48
Standort
Köln
Hi,

sofern die Firewall nur für Verbindungen aus dem Internet in das LAN bereitgestellt wurde, reicht normalerweise ein Ruleset für die VPN-Verbindung.
Welche VPN-Lösung kommt zum Einsatz? Bei PP2P z.B. muß nur Port 1723 sowie GRE (Protokoll 47) freigegeben werden.
 
Sascha_R

Sascha_R

Junior-Sponsoren
Mitglied seit
01.12.2007
Beiträge
2.676
Standort
MYK
Morgen,

schau dir mal das Windows Server 2003 Security Handbuch an. Dort sind einige Vorlagen drin enthalten und beschrieben. Irgendwo stehen auch die Ports drin die ein DC so verwendet bei seiner täglichen Arbeit.

Hab das mal rausgesucht und angehängt. Ich denke anhand der Aufzählung welche IPSec-Filter man für einen DC aktivieren sollte kannst du ersehen welche Ports für den Betrieb wichtig sind.
 

Anhänge

N

naitsabes84

Threadstarter
Mitglied seit
18.05.2008
Beiträge
33
Standort
Hannover
Danke für die Hilfe.

Es hat sich mitlerweile erledigt. Es gibt einige Artikel, in denen man dann mal so eben liest, dass nen MS DC alle Ports für die RPC Endpunktzuprdnung benötigt. Man kann die Ports zwar fest zuweisen, allerdings ist das quasi wieder eine Umstellung in der Domäne, mit nicht kalkulierbaren problemen.

Gruß
Sebastian
 
Thema:

AD-Clients per VPN an Branch-Office AD-Server; Frage zu FW-Regelwerk

AD-Clients per VPN an Branch-Office AD-Server; Frage zu FW-Regelwerk - Ähnliche Themen

  • Problem mit Win 10 V1903 - Startmenü stürzt ab, wenn Client in Domäne

    Problem mit Win 10 V1903 - Startmenü stürzt ab, wenn Client in Domäne: Hallo zusammen, wir haben in unserem Unternehmen folgendes Phänomen, wo uns bisher keiner hat helfen können und wir somit Win 10 Version 1903...
  • Fehler 0x80004005-0x00000b22-0x00000501 beim senden vom Mails über Outlook-Konto (mit Outlook 2019 Client)

    Fehler 0x80004005-0x00000b22-0x00000501 beim senden vom Mails über Outlook-Konto (mit Outlook 2019 Client): Ich kann ohne erkennbaren Grund plötzlich keine Mails mehr über mein Outlook Konto versenden. Es erscheint eine Systemadmin - Nachricht, dass...
  • Windows 10 Clients / Statusbericht WSUS

    Windows 10 Clients / Statusbericht WSUS: Hallo liebe Community, in unserer Firma fangen wir nun so langsam an, die PCs von Windows 7 auf Windows 10 zu aktualisieren. Nach zahlreichen...
  • Kein Zugriff per RDp auf einen Win7 Prof Client

    Kein Zugriff per RDp auf einen Win7 Prof Client: Hallo, ich habe folgendes Problem. Ein Netzwerk mit Win 7 Prof Clients von aussen über VPN erreichbar. Bis auf einen einzelnen PC. Er selbst...
  • Win2k Client per WLan an Domäne anmelden

    Win2k Client per WLan an Domäne anmelden: Hallo und ja ich wieder :wut Habe einen W2k Laptop welcher sich per WLan an die Domäne anmelden soll. Das Problem ist das WLan erst nach dem...
  • Ähnliche Themen

    Oben