Für manche Setups macht es Sinn einen Server, der grundsätzlich Mitglied der Domäne sein soll, in ein gesondertes Netzwerk hinter der Firewall zu stellen. Dies kann beispielsweise ein Management-Netzwerk sein, wo nur Server und Maschinen stehen (z. B. Produktionsmaschinen mit Netzwerkzugang) zu denen der „normale“ Anwender keinen Zugang benötigt. Dadurch minimiert man auch die potenzielle Gefahr, dass jemand oder ein Schad-Tool zu leicht an die Geräte dran kommt. Darum soll es hier aber nicht gehen. Sondern darum wie man den Zugriff auf die Domäne gewehrt. Natürlich könnte man auch zur Absicherung eines einzelnen Intranets auf dem Domänencontroller die Firewallregeln auf die wirklich „nötigen“ Ports einschränken.
Grundsätzlich hat man zwei Optionen um die reibungslose Kommunikation zwischen dem Domänencontroller und der Maschine in dem anderen Netzwerk zu gewährleisten.
Option 1:
Alle Ports in der Firewall für die Kommunikation zwischen dem Domänencontroller und dem betroffenen Server im anderen Netzwerk öffnen. Das ist die einfachste, aber auch unsinnigste Option, da dadurch zumindest für die Verbindung zwischen dem Domänencontroller und dem Server die Firewall nun unsinnig ist, da der gesamte Traffic durch geht. Allerdings ist bei dieser Option trotzdem der Zugriff durch normale Anwender und andere Geräte im Netzwerk nicht möglich. In Bezug darauf hat man also trotzdem an Sicherheit gewonnen.
Option 2:
Nur die benötigten Ports freischalten. Damit habe ich mich heute beschäftigt und bin letzt endlich bei der Freigabe der folgenden Ports angelangt. Diese habe ich sowohl von einer Support-Seite von Microsoft, wie auch durch Try & Error bzw. das Auswerten des Firewall-Logs herausgefunden.
Wenn man ein solches Setup einrichtet und eines der folgenden Fehlerbilder hat, dann liegt dies vermutlich daran, dass nicht alle benötigten Ports freigegeben wurden.
Fehler RCP
Nachdem Beitritt in die Domäne bekommt man direkt eine Fehlermeldung, dass der RCP-Dienst nicht verfügbar/erreichbar sei und deshalb tritt dann folgender Fehler auf:
Fehler beim Ändern des DNS-Namens für die primäre Domäne dieses Computers in „“. Name „XXX.YYY.LOCAL“ wird beibehalten.
Fehler: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.
Der Computer ist danach zwar Mitglied in der Domäne, aber so richtig funktionieren will es dann nicht.
Fehler bei der Benutzeranmeldung
Beim Versuch sich mit einem Benutzer aus der Domäne anzumelden bekommt man sofort folgende Meldung:
Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung
Die von Microsoft benannten Ports für die Domänen-Kommunikation:
Ports | Dienst |
---|---|
123 / UDP | W32Time |
135 / TCP | RPC Endpoint Mapper |
464 / TCP + UDP | Kerberos-Kennwort ändern |
49152-65535 / TCP | RPC für LSA, SAM, Netlogon |
389 / TCP + UDP | LDAP |
636 / TCP | LDAP SSL |
3268 / TCP | LDAP-GC |
3269 / TCP | LDAP-GC SSL |
53 / TCP + UDP | DNS |
49152 – 65535 / TCP | FRS RPC |
88 / TCP + UDP | Kerberos |
445 / TCP | SMB |
49152 – 65535 / TCP | DFSR RPC |
Da ich in der Firewall noch geblockte Requests auf den Ports 6009 und 6011 gesehen habe, habe ich diese ebenfalls in beide Richtungen sowohl als UDP wie auch als TCP-Port freigegegeben. Dafür habe ich einfach direkt den Port-Bereich 6009 bis 6011 definiert. Laut Recherche sind die Funktionsweisen nicht näher definiert, sondern lediglich mit „Windows Service“ angegeben.
Am einfachsten wird es, wenn man sich in der Firewall eine Dienstegruppe, z. B. „Windows Daomain“ anlegt und dort all diese Ports/Dienste hinterlegt.
Auf der Client-Seite werden laut der Microsoft-Vorgabe folgender Portbereich gefordert:
49152 – 65535 / TCP
Da diese bereits in den anderen Portfreigaben enthalten sind, hat man diese auch direkt abgedeckt, wenn man die entsprechende Gruppe für die Domänen-Dienste einfach in beide Richtungen (Server-zu-Client und Client-zu-Server) freigibt.
Da ich bereits einen Server in einem anderen Netzwerk aufgesetzt hatte, bei dem es aufgrund fehlender Portfreigaben zu den oben genannten Fehlermeldungen kam, habe ich noch folgendes machen müssen, damit insbesondere die Anmeldung eines Domänenbenutzers funktioniert:
- Computer wieder aus der Domäne nehmen
- Computerkonto auf dem Domänencontroller löschen
- Computer wieder zur Domäne hinzufügen