Re: Domänencontroller hinter einer Firewall

From: Thorsten Pickhan (anonymous_at_discussions.microsoft.com)
Date: 05/18/04

• Next message: Joachim Meyer: "Re: Firewall für Web Edition 2003"
• Previous message: Thorsten Pickhan: "Re: Domänencontroller hinter einer Firewall"
• In reply to: Thomas Krug: "Re: Domänencontroller hinter einer Firewall"
• Next in thread: Thomas Krug: "Re: Domänencontroller hinter einer Firewall"
• Reply: Thomas Krug: "Re: Domänencontroller hinter einer Firewall"
• Messages sorted by: [ date ] [ thread ]

---

Date: Mon, 17 May 2004 22:25:46 -0700

Ich werde mir die Beiträge in der Knowdlege Base mal
anschauen.
Allerdings weiß ich jetzt immer noch nicht so ganz, ob
diese Ports in Richtung der Clients ebenfalls geschaltet
werden müssen.
Die Clients dürfen grundsätzlich alles, daß heißt dort ist
keine Port oder Protokollbeschränkung konfiguriert.
Die Frage die sich mir jetzt halt stellt, ist, ob die DCs
aktiv eine Verbindung zum Client suchen oder die
Verbindung des Clients nutzen, die beim Anmelden vom
Client zum Server aufgebaut wird.
Ich hoffe ich habe mich einigermaßen verständlich
ausgedrückt.
Aber wie gesagt, werde mir die Beiträge auf jeden Fall
anschauen, vielleicht finde ich dort ja schon eine Lösung.
>-----Originalnachricht-----
>Thorsten Pickhan <anonymous@discussions.microsoft.com>
wrote:
>> Leider bin ich da nicht der Entscheidungsträger.
>> Der Domänencontroller an sich steht im
>> Verwaltungsnetzwerk und ist auch dort problemlos
>> erreichbar für alle Mitarbeiter.
>> Die Personabteilung allerdings liegt in einem anderen IP
>> Adressbereich hinter einer Firewall.
>> Diese sollen jetzt ebenfalls an die Domäne mit Exchange
>> Server angebunden werden.
>> Da der Personalrat aber auf die zweite Firewall ( eine
>> Firewall schützt das gesamte Netz gegen Angriffe aus dem
>> Internet) zwischen dem LAN und der Personalabteilung (
>> aus Datenschutzgründen) nicht verzichten will, habe ich
>> keine andere Möglichkeit.
>> Ich weiß selber, daß das nicht gerade die beste Lösung
>> ist für ein Domänenkonzept, aber wie gesagt, die
>> Spielregeln stelle ich nicht auf.
>> Kann mir wer noch ein paar Tipps gegeben. Auf solche
>> Beiträge wie "Dein Konzept ist kaputt" kann ich im
>> übrigen verzichten.
>> Danke Vorab für alle ernstgemeinten Beiträge...
>
>
>
>
>Hallo Thorsten,
>
>Ihr könntet Euch Beratung ins Haus holen, um Sinn und
Unsinn der
>hausinternen Firewall zu überdenken; im Prinzip kann man
sowas machen, ja -
>die Frage ist nur, ob man sich dadurch nicht ein falsches
Schutzgefühl
>verschafft.
>
>
>Ok, nun zu Deinem Problem:
>
>Die Clients benötigen Zugriff auf den DC und müssen
diesen auch finden
>können.
>Schau mal an der Firewall in die Logs, welche Ports
angemeckert werden, wenn
>Du von einem bestimmten Client "gewünschte" Aktionen
startest. Ggf. dort die
>Protokollierung für die DENY-Regel(n) einschalten, damit
Du siehst, welche
>Packerl verworfen werden.
>
>
>Interessant dürften sein (wenn nix dabei steht tcp)
>
>#53, #53/udp, #88, #389, #445, #464, #3268
>evtl. auch #1025 (oder #1026 je nach System), #135, #137,
#138 #139
>
>XCCC: Exchange 2000 Windows 2000 Connectivity Through
Firewalls
>http://support.microsoft.com/default.aspx?scid=kb;en-
us;280132
>
>A List of the Windows Server Domain Controller Default
Ports
>http://support.microsoft.com/default.aspx?scid=kb;en-
us;289241
>
>Port Requirements for the Microsoft Windows Server System
>http://support.microsoft.com/default.aspx?scid=kb;en-
us;832017
>
>
>Viele Grüße
>Thomas.
>
>--
>Thomas Krug, Dipl.Ing.(FH)
>MCSE+I (NT4), MCSE:Security (Win2000/Win2003),
>MCSE:Messaging (Win2000/Win2003),
>MCSD, MCDBA, MCT, CCNA, CCDA
>www.netzprisma.de
>
>
>
>
>.
>

---

• Next message: Joachim Meyer: "Re: Firewall für Web Edition 2003"
• Previous message: Thorsten Pickhan: "Re: Domänencontroller hinter einer Firewall"
• In reply to: Thomas Krug: "Re: Domänencontroller hinter einer Firewall"
• Next in thread: Thomas Krug: "Re: Domänencontroller hinter einer Firewall"
• Reply: Thomas Krug: "Re: Domänencontroller hinter einer Firewall"
• Messages sorted by: [ date ] [ thread ]

---

Relevant Pages Re: IPTables Blocking Outbound by destination port. ... # firewall Firewall startup/shutdown script ... echo "firewall: ... # for each additional server running from 6000 to 6063. ... Clients may access remote POP-3 servers" ... (comp.security.firewalls) Use or Not to use ISA ... I am looking for advice on the best way to protect my web server. ... I currently sit behind a Symantec Gateway 360 security appliance firewall ... Win2k3 with IIS installed. ... small number of clients as well as my own. ... (microsoft.public.isa) Use or Not to use ISA ... I am looking for advice on the best way to protect my web server. ... I currently sit behind a Symantec Gateway 360 security appliance firewall ... Win2k3 with IIS installed. ... small number of clients as well as my own. ... (microsoft.public.security) Re: Outlook 2003 hangs during manual send receive on Exchange 2003 ... firewall turned off. ... the server or the clients. ... patches have been applied to the server or clients. ... I have an Exchange monitoring program and everything ... (microsoft.public.exchange.connectivity) RE: Users Cant Access Documents on Server ... Thanks for using the SBS newsgroup. ... As well as we know, if a workstation would not access network shares, then ... Leave the Default Gateway of the internal NIC blank of the server box. ... Clients That Require SMB Signing ... (microsoft.public.windows.server.sbs)

---

• Windows
• Science
• Usenet

• Archive
• About
• Privacy
• Search
• Imprint

www.tech-archive.net  > Archive  > German  > Server  > microsoft.public.de.german.windows.server.networking  > 2004-05