mrene 10 Geschrieben 30. November 2005 Melden Teilen Geschrieben 30. November 2005 Hallo, ich habe eine Vertrauensstellung zwischen 2 Domänen in unterschiedlichen Gesamtstrukturen eingerichtet. Dazwischen befindet sich eine Firewall. Nun bin ich nicht ganz sicher welche Ports ich freischalten muss. In einem Buch habe ich gefunden, dass Ports für folgende Dienste freigeschalten werden müssen: DNS, Kerberos, RPC, LDAP (+SSL), SMB, LDAP globaler Katalog (+SSL). Microsoft behauptet aber, dass zusätzlich NetBIOS und WINS benötigt wird. siehe http://support.microsoft.com/default.aspx?scid=kb;de-de;179442 Ich habe nun die von Microsoft empfohlenen Ports freigeschaltet und es funktioniert nicht. Abfragen haben extrem lange gedauert usw. Dann habe ich die "gedropten" Pakete auf der Firewall mitprotokolliert und habe festgestellt, dass die Kommunikation zwischen Port 1025 und 4xxx geblockt wurde. Ich hab gelesen, dass RPC teilweise Ports >1024 nutzt. Nun meine Fragen: Wird NetBIOS und WINS zwischen zwei w2k3 Servern wirklich benötigt? Wie weit muss ich Ports >1024 öffnen? Danke im Voraus, lg Rene Zitieren Link zu diesem Kommentar
mover 10 Geschrieben 30. November 2005 Melden Teilen Geschrieben 30. November 2005 Hallo mrene entschuldige bitte den Einwand, aber wenn Du schon eine Vertrauensstellung zw. 2 Domänen herstellst, warum errichtest Du nicht eine VPN-Verbindung zwischen den beiden Netzwerken? Sind doch 2 Netzwerke, oder ? Moment, Du schreibst 1 Firewall. Was ist das für ein Netz? Nochmal Entschuldigun, dass ich frage und nicht antworte. Gruss mover Zitieren Link zu diesem Kommentar
mrene 10 Geschrieben 30. November 2005 Autor Melden Teilen Geschrieben 30. November 2005 Hallo, sorry, ich wollte nicht so sehr ins Detail gehen. Zwischen den beiden Domänen ist ein VPN eingerichtet (zwischen 2 VPN Gateways). Zuerst werden die IPSec Pakete gefiltert (ESP + IKE). Anschließend werden die "entpackten" Pakete bevor sie ins LAN eintreten nochmals gefiltert und deshalb fragte ich. Natürlich geschieht dies auf beiden Seiten, sodass eigentlich 2 Firewalls dazwischen sind... Danke für die Hilfe, lg Rene Zitieren Link zu diesem Kommentar
mover 10 Geschrieben 30. November 2005 Melden Teilen Geschrieben 30. November 2005 D.h. die Pakete dieser VPN-Verbindung werden von der (den) Firewall(s) gefiltert? Wozu dann eine VPN-Verbindung? Ansonsten, hast Du es schon mit der Board-Suche probiert? Da gibts einige Threads zum Thema Vertrauensstellung und Firewall. Funktioniert die V-Stellung denn ohne Paketfilterung (also durch den VPN-Tunnel dürfen alle Pakete)? Gruss mover Zitieren Link zu diesem Kommentar
mrene 10 Geschrieben 30. November 2005 Autor Melden Teilen Geschrieben 30. November 2005 Ja, die Pakete werden gefiltert. Aus Sicherheitsgründen auch die ausgepackten Pakete. Dadurch wird vermieden, dass unter dem "Deckmantel" des VPN's sämtlicher Datenverkehr zwischen beiden Netzen erlaubt wird. Ja die Vertrauensstellung funktioniert ohne Paketfilterung einwandfrei. Auch mit Paketfilter funktioniert sie, wenn ich die Kommunikation zwischen Ports >1024 und Ports >1024 erlaube. Ich wollte nur wissen ob ich wirklich alles >1024 aufmachen muss und ob wirklich NetBIOS und WINS benötigt wird. lg, Rene Zitieren Link zu diesem Kommentar
mover 10 Geschrieben 30. November 2005 Melden Teilen Geschrieben 30. November 2005 In dem von dir genannten KB-Artikel gibt es einen Link (http://support.microsoft.com/kb/154596/) zum Thema "Konfigurieren der dynamischen RPC-Portzuweisung für Firewall-Einsatz ". Was NetBios und WINS angeht, weiss ich leider nichts. WINS kann ich mir eigentlich gar nicht vorstellen. Aber man weiss ja nie... Gruss mover Zitieren Link zu diesem Kommentar
mrene 10 Geschrieben 1. Dezember 2005 Autor Melden Teilen Geschrieben 1. Dezember 2005 Danke nochmals, das mit RPC ist mir jetzt klar. Interessant wäre trotzdem ob NetBIOS und WINS benötigt wird... Hat jemand Erfahrung damit? lg, Rene Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.