AD-Clients per VPN an Branch-Office AD-Server; Frage zu FW-Regelwerk

Diskutiere AD-Clients per VPN an Branch-Office AD-Server; Frage zu FW-Regelwerk im Windows Domain Management Forum im Bereich Server Systeme; Hallo, es geht darum, dass AD-Clients per VPN an ein anderes Netzwerk angebunden werden sollen. Die VPN Verbindung läuft auf einer Firewall auf...
N

naitsabes84

Threadstarter
Mitglied seit
18.05.2008
Beiträge
33
Standort
Hannover
Hallo,

es geht darum, dass AD-Clients per VPN an ein anderes Netzwerk angebunden werden sollen. Die VPN Verbindung läuft auf einer Firewall auf, die auch das entsprechende Regelwerk beinhaltet. Jetzt geht es darum, die Ports zu definieren, die notwendig sind, damit die Clíents mit dem AD kommunizieren können. Ich habe mir schon ein paar Technet Artikel angeschaut, dort stößt man immer wieder auf Protokolle wie Kerberos, diverse ldap, ntp, SMB, Netbios, RPC und natürlich DNS.

Jetzt möchte ich einfach mal aus der Erfahrung (sofern vorhanden) von euch hören, was wirklich minimal notwendig ist um nur Clients anzubinden, also keine Vertrauensstellung mit einem anderen DC.


Ich bin gespannt auf eure Antworten.


Schöne Grüße

naitsabes84
 
U

unst

Mitglied seit
15.03.2007
Beiträge
64
Das ist schwer zu definieren. am besten wäre es, du schneidest mal mit dem programm showtraffic oder einem anderen sniffer den traffic während der anmeldung mit.
wo ist denn das problem, die clients über vpn ins lan zu lassen?oder halt den DC voll freizugeben auf die vpn clients, kannst ja dann sowas wie rdp rausnehmen...
 
morpheus36

morpheus36

WB Wiki - Team
Mitglied seit
10.01.2008
Beiträge
700
Alter
48
Standort
Köln
Hi,

sofern die Firewall nur für Verbindungen aus dem Internet in das LAN bereitgestellt wurde, reicht normalerweise ein Ruleset für die VPN-Verbindung.
Welche VPN-Lösung kommt zum Einsatz? Bei PP2P z.B. muß nur Port 1723 sowie GRE (Protokoll 47) freigegeben werden.
 
Sascha_R

Sascha_R

Junior-Sponsoren
Mitglied seit
01.12.2007
Beiträge
2.676
Standort
MYK
Morgen,

schau dir mal das Windows Server 2003 Security Handbuch an. Dort sind einige Vorlagen drin enthalten und beschrieben. Irgendwo stehen auch die Ports drin die ein DC so verwendet bei seiner täglichen Arbeit.

Hab das mal rausgesucht und angehängt. Ich denke anhand der Aufzählung welche IPSec-Filter man für einen DC aktivieren sollte kannst du ersehen welche Ports für den Betrieb wichtig sind.
 

Anhänge

N

naitsabes84

Threadstarter
Mitglied seit
18.05.2008
Beiträge
33
Standort
Hannover
Danke für die Hilfe.

Es hat sich mitlerweile erledigt. Es gibt einige Artikel, in denen man dann mal so eben liest, dass nen MS DC alle Ports für die RPC Endpunktzuprdnung benötigt. Man kann die Ports zwar fest zuweisen, allerdings ist das quasi wieder eine Umstellung in der Domäne, mit nicht kalkulierbaren problemen.

Gruß
Sebastian
 
Thema:

AD-Clients per VPN an Branch-Office AD-Server; Frage zu FW-Regelwerk

AD-Clients per VPN an Branch-Office AD-Server; Frage zu FW-Regelwerk - Ähnliche Themen

  • Mailprogramm eM Client versendet keine Mails von Live Konto

    Mailprogramm eM Client versendet keine Mails von Live Konto: Hallo Ich habe im eM Client mehrere Mailkonten eingepflegt (ganze Familie, alle auf live.com), doch bloss bei einem geht das Versenden von Mails...
  • Ich kann einen freigegebenen Outlook.com Kalender im Outlook Windows Client nicht bearbeiten

    Ich kann einen freigegebenen Outlook.com Kalender im Outlook Windows Client nicht bearbeiten: Letzte Aktualisierung: 2. Mai 2017 Aktuell können Sie Outlook unter Windows nicht verwenden, um Kalender zu bearbeiten, die für Ihr...
  • Rdp zu Windows 10 Client über vpn friert sehr oft ein.

    Rdp zu Windows 10 Client über vpn friert sehr oft ein.: Hallo Community, Ich connecte über eine vpn Verbindung zu einem Windows 10 Client, jedoch friert seit einigen Wochen die Verbindung recht oft...
  • Kein Zugriff per RDp auf einen Win7 Prof Client

    Kein Zugriff per RDp auf einen Win7 Prof Client: Hallo, ich habe folgendes Problem. Ein Netzwerk mit Win 7 Prof Clients von aussen über VPN erreichbar. Bis auf einen einzelnen PC. Er selbst...
  • Win2k Client per WLan an Domäne anmelden

    Win2k Client per WLan an Domäne anmelden: Hallo und ja ich wieder :wut Habe einen W2k Laptop welcher sich per WLan an die Domäne anmelden soll. Das Problem ist das WLan erst nach dem...
  • Ähnliche Themen

    Oben