Hallo Leute
Welche Firewall Ports zwischen Domänenkontrollern (im WAN) sollten in der Regel geöffnet sein, damit die Replikation funktioniert und es auch sonst zu keinen Evt-Log-Fehlern kommt.
OS: 1xW2000 Standard Server, 2xW2003R2 Standard Server
Services / Protokolle: DNS, DHCP, WINS, Netbios over TCP/IP, etc
Einige. 
Schau mal hier rein:
http://support.microsoft.com/kb/179442/de
Kurz, in einer reinen 2000/2003 Umgebung ohne NT DCs:
Client-Port(s) Server-Port Dienst
1024-65535/TCP 135/TCP RPC *
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
Einige.
Schau mal hier rein:
http://support.microsoft.com/kb/179442/deKurz, in einer reinen 2000/2003 Umgebung ohne NT DCs:
1024-65535/TCP/UDP
Wow, mit den Ports für andere Software-Teile bedeutet das, man kann die FW gleich deaktivieren 
Wenn also der gleiche Wan-Link für öffentliches Internet und gleich auch noch für VPN-Wan-Links (zwischen den Servern) verwendet wird, dann ist das Netz (abgesehen vom NAT) praktisch ungeschützt.
Sehe ich das richtig ?
mfg
Es reicht ja, wenn die Ports für die anderen DCs erreichbar sind, die Clients kontaktieren bei richtiger Einstellung normalerweise eh nur die DCs an ihrem Standort.
Und 1024-65535 wird ja (fast) immer für ausgehende Verbindungen genutzt.
Wichtige wäre wohl den Verkehr zu verschlüsseln, aber das geht mit 2003 Server ja recht einfach, die haben ja schon alles eingebaut. Zertifikate ausstellen, das war’s im Prinzip (naja, fast ).
Oder Du liest mal weiter:
"
Weitere Informationen zu Active Directory und zur Konfiguration von Firewalls können Sie dem folgenden White Paper von Microsoft entnehmen:
http://www.microsoft.com/downloads/details.aspx?Fami… (http://www.microsoft.com/downloads/details.aspx?Fami…)
Alternativ können Sie auch eine Vertrauensstellung über den Pflichttunnel des Point-to-Point Tunneling Protocol (PPTP) herstellen. Dadurch lässt sich die Anzahl der Ports verringern, die von der Firewall geöffnet werden müssen. Für PPTP müssen folgende Ports geöffnet sein:
"
Es reicht ja, wenn die Ports für die anderen DCs erreichbar
Das verstehe ich nicht…
Wenn die Ports für die verschiedenen DCs (über VPN & Wan) erreichbar sind, dann sind sie doch wohl für alle Internet-User verfügbar ?
Die FW unterscheidet nicht zwischen Servern und Hosts (PCs), oder sehe ich da etwas falsch ?
verringern, die von der Firewall geöffnet werden müssen. Für
PPTP müssen folgende Ports geöffnet sein:
"
???
Du hast ja was von einer Firewall geschrieben. Jede Firewall ist so einstellbar, dass sie den Zugriff auf bestimmte Ports von bestimmten IPs aus zulässt und von anderen aus verbietet.
Du hast ja was von einer Firewall geschrieben. Jede Firewall
ist so einstellbar, dass sie den Zugriff auf bestimmte Ports
von bestimmten IPs aus zulässt und von anderen aus verbietet.
Es ist nur eine einfach Zyxel-Firewall mit Router. Wohl kann das
Ding NAT, VPN, Portsblockierung (FW) und hat noch paar wenige Optionen. Aber es ist so, dass das gleiche Gerät übers Internet VPNs (zu anderen Servern W2k und W2003) aufbaut, aber auch für den restlichen Internet-Traffic dient.
Wenn ich also Outgoin - Ingoing die Ports öffne (für VPN-Serververkehr) dann sind die natürlich auch für alle anderen Geräte hinter- respektive vor der Firewall offen.
Oder ?