AD-Clients per VPN an Branch-Office AD-Server; Frage zu FW-Regelwerk

Diskutiere AD-Clients per VPN an Branch-Office AD-Server; Frage zu FW-Regelwerk im Windows Domain Management Forum im Bereich Server Systeme; Hallo, es geht darum, dass AD-Clients per VPN an ein anderes Netzwerk angebunden werden sollen. Die VPN Verbindung läuft auf einer Firewall auf...

naitsabes84

Threadstarter
Dabei seit
18.05.2008
Beiträge
33
Ort
Hannover
Hallo,

es geht darum, dass AD-Clients per VPN an ein anderes Netzwerk angebunden werden sollen. Die VPN Verbindung läuft auf einer Firewall auf, die auch das entsprechende Regelwerk beinhaltet. Jetzt geht es darum, die Ports zu definieren, die notwendig sind, damit die Clíents mit dem AD kommunizieren können. Ich habe mir schon ein paar Technet Artikel angeschaut, dort stößt man immer wieder auf Protokolle wie Kerberos, diverse ldap, ntp, SMB, Netbios, RPC und natürlich DNS.

Jetzt möchte ich einfach mal aus der Erfahrung (sofern vorhanden) von euch hören, was wirklich minimal notwendig ist um nur Clients anzubinden, also keine Vertrauensstellung mit einem anderen DC.


Ich bin gespannt auf eure Antworten.


Schöne Grüße

naitsabes84
 

unst

Dabei seit
15.03.2007
Beiträge
64
Das ist schwer zu definieren. am besten wäre es, du schneidest mal mit dem programm showtraffic oder einem anderen sniffer den traffic während der anmeldung mit.
wo ist denn das problem, die clients über vpn ins lan zu lassen?oder halt den DC voll freizugeben auf die vpn clients, kannst ja dann sowas wie rdp rausnehmen...
 

morpheus36

WB Wiki - Team
Dabei seit
10.01.2008
Beiträge
700
Alter
50
Ort
Köln
Hi,

sofern die Firewall nur für Verbindungen aus dem Internet in das LAN bereitgestellt wurde, reicht normalerweise ein Ruleset für die VPN-Verbindung.
Welche VPN-Lösung kommt zum Einsatz? Bei PP2P z.B. muß nur Port 1723 sowie GRE (Protokoll 47) freigegeben werden.
 

Sascha_R

Junior-Sponsoren
Dabei seit
01.12.2007
Beiträge
2.676
Ort
MYK
Morgen,

schau dir mal das Windows Server 2003 Security Handbuch an. Dort sind einige Vorlagen drin enthalten und beschrieben. Irgendwo stehen auch die Ports drin die ein DC so verwendet bei seiner täglichen Arbeit.

Hab das mal rausgesucht und angehängt. Ich denke anhand der Aufzählung welche IPSec-Filter man für einen DC aktivieren sollte kannst du ersehen welche Ports für den Betrieb wichtig sind.
 

Anhänge

  • DC Ports.pdf
    7,9 KB · Aufrufe: 590

naitsabes84

Threadstarter
Dabei seit
18.05.2008
Beiträge
33
Ort
Hannover
Danke für die Hilfe.

Es hat sich mitlerweile erledigt. Es gibt einige Artikel, in denen man dann mal so eben liest, dass nen MS DC alle Ports für die RPC Endpunktzuprdnung benötigt. Man kann die Ports zwar fest zuweisen, allerdings ist das quasi wieder eine Umstellung in der Domäne, mit nicht kalkulierbaren problemen.

Gruß
Sebastian
 
Thema:

AD-Clients per VPN an Branch-Office AD-Server; Frage zu FW-Regelwerk

AD-Clients per VPN an Branch-Office AD-Server; Frage zu FW-Regelwerk - Ähnliche Themen

teste: Port Protocol Keyword Description 1 tcp tcpmux TCP Port Service Multiplexer [rfc-1078] 1 udp...
Oben