Port | Protokoll | Anwendung |
Notwendige Dienste fÃ14r einen Domaincontroller | ||
88 | tcp/udp | Kerberos |
389 | tcp | LDAP-Standardport |
464 | tcp/udp | Kerberos V5 Passwortdaemon |
636 | tcp | LDAP (SSL-verschlüsselt) |
3268 | tcp | globaler Katalog (LDAP-Protokoll) |
3269 | tcp | globaler Katalog (SSL-verschlüsselt) |
Um WinNT-, Win9x-, WinME-Clienten bedienen und | ||
die Windows-Netzwerkumgebung bereitstellen zu können | ||
135 | tcp/udp | RPC-Portmapper |
137 | tcp/udp | NetBIOS Name Server |
138 | udp | NetBIOS Datagramm |
139 | tcp | NetBIOS Session Services |
445 | tcp/udp | SMB-Protokoll (Freigaben) |
Weiterhin sinnvoller Dienst | ||
3389 | tcp | Remote Desktop Protocol |
Um diesen Umstand gerecht werden zu können, ist es mit Hilfe von
Manipulationen an der Registry möglich, alle RPC-Aufrufe auf einen
fest vereinbarten Port abzubilden, wodurch nur noch dieser erreichbar
sein muss, um die volle Funktionalität zu gewährleisten. Dazu muss der
entsprechend gewählte Port unter
als DWORD-Wert namens eingetragen werden. In der Folge wird der RPC-Portmapper auf
Port 135 nur noch diesen einen Port als Konnektivitätsmöglichkeit
melden. Entsprechend muss die obige Liste der Ports für die Firewall
nur noch um diesen einen Port ergänzt werden.
Alternativ kann auch die Windows-Firewall beeinflusst werden, einen
eingeschränkten Bereich zur weiterhin dynamischen Nutzung freizugeben.
Dazu werden auch Registry-Keys erzeugt, die die Firewall entsprechend
konfigurieren. Genaueres dazu und Weiterführendes kann im Kapitel
"`Active Directory und Firewalls"' bei [KT04] nachgelesen werden.
In der Folge des Kapitels finden sich ebenfalls Ausführungen über eine
weitere Sicherungsmöglichkeit mittels VPN beziehungsweise mittels
PPP sowie Zertifikaten. Ersteres kann nur zur Replikation und zum
Datenverkehr zwischen Domaincontrollern genutzt werden, ist
Kerberosbasiert und daher nicht für den Beitritt eines DCs in eine
Domäne realisierbar. Letzteres zieht die Notwendigkeit zum Aufbau
einer Zertifikatstruktur nach sich, kann dann allerdings zur Sicherung
jeglichen Traffics zwischen Domaincontrollern genutzt werden. Zur
Einführung in die beiden Themen soll an dieser Stelle auf
[KT04] verwiesen sein, sprengt aber in voller Breite selbst
deren Rahmen und wäre hier weit ab vom Themenkern.