Artikel-ID: 179442 - Geändert am: Mittwoch, 12. Dezember 2007 - Version: 12.1

Konfigurieren einer Firewall für Domänen und Vertrauensstellungen

Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D179442
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
179442  (http://support.microsoft.com/kb/179442/EN-US/ ) How to configure a firewall for domains and trusts
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Alles erweitern | Alles schließen

Zusammenfassung

In diesem Artikel wird beschrieben, wie Sie eine Firewall für Domänen und Vertrauensstellungen konfigurieren.
Zum Anfang

Weitere Informationen

Zum Einrichten einer Domänenvertrauensstellung oder eines sicheren Kanals über eine Firewall hinweg müssen folgende Ports geöffnet sein. Beachten Sie dabei, dass es Hosts geben kann, die zu beiden Seiten der Firewall sowohl als Clients als auch als Server fungieren. Deshalb müssen die Regeln für die Ports möglicherweise gespiegelt werden.
Zum Anfang

Windows NT

In dieser Umgebung ist eine Seite der Vertrauensstellung eine Windows NT 4.0-Vertrauensstellung, oder die Vertrauensstellung wurde mithilfe der NetBIOS-Namen erstellt.
Tabelle minimierenTabelle vergrößern
Client-Port(s)Server-PortDienst
137/UDP137/UDPNetBIOS-Namensdienst
138/UDP138/UDPNetBIOS-Anmelde- und Suchdienst
1024-65535/TCP139/TCPNetBIOS-Sitzungsdienst
1024-65535/TCP42/TCPWINS-Replikationsdienst
Zum Anfang

Windows Server 2003 und Windows 2000 Server

In einer heterogenen Domäne mit Windows NT-Domänencontrollern oder Legacy-Clients kann es durch die Vertrauensstellung zwischen zwei Windows 2003- oder Windows 2000 Server-Domänencontrollern erforderlich sein, dass zusätzlich zu den in der obigen Tabelle aufgeführten Ports für Windows NT auch noch folgende Ports geöffnet werden.

Hinweis: Die beiden Domänencontroller können zur selben Gesamtstruktur gehören oder sich in jeweils getrennten Gesamtstrukturen befinden. Bei den Vertrauensstellungen in der Gesamtstruktur handelt es sich um Vertrauensstellungen zu Windows 2003 oder einer späteren Version.
Tabelle minimierenTabelle vergrößern
Client-Port(s)Server-PortDienst
1024-65535/TCP135/TCPRPC
1024-65535/TCP1024-65535/TCPLSA RPC-Dienste (*)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
(*) Informationen zur Definition von RPC-Serverports, die von den LSA RPC-Diensten verwendet werden, erhalten Sie im Abschnitt "Domänencontroller und Active Directory" im folgenden Microsoft Knowledge Base-Artikel:
832017  (http://support.microsoft.com/kb/832017/DE/ ) Dienste und Port-Anforderungen für das Microsoft Windows-Serversystem
Damit Active Directory über eine Firewall hinweg ordnungsgemäß funktioniert, muss ICMP (Internet Control Message Protocol) durch die Firewall von den Clients zu den Domänencontrollern freigegeben sein, sodass die Clients Informationen zu Gruppenrichtlinien empfangen können.

Mithilfe von ICMP wird festgelegt, ob es sich bei der Verbindung um eine langsame oder schnelle Verbindung handelt. ICMP ist ein legitimes Protokoll, das von Active Directory zur Erkennung von Gruppenrichtlinien und der MTU (Maximum Transfer Unit) verwendet wird. Der Windows-Redirector verwendet ICMP auch, um zu überprüfen, ob eine Server-IP-Adresse von dem DNS-Dienst aufgelöst wird, bevor eine Verbindung hergestellt wird.

Wenn Sie den ICMP-Verkehr möglichst gering halten möchten, können Sie hierfür die folgende Beispielregel für die Firewall verwenden: 
<any> ICMP -> DC IP addr = allow

Im Gegensatz zur TCP- und UDP-Protokollschicht gibt es bei ICMP keine Portnummer. Dies hängt damit zusammen, dass ICMP direkt von der IP-Schicht gehostet wird.

Standardmäßig verwenden Windows Server 2003- und Windows 2000 Server-DNS-Server ständig wechselnde clientseitige Ports, wenn sie Anfragen bei anderen DNS-Servern stellen. Dieses Verhalten lässt sich jedoch über einen speziellen Eintrag in der Registrierung ändern, der in dem folgenden Artikel der Microsoft Knowledge Base beschrieben ist:
260186  (http://support.microsoft.com/kb/260186/DE/ ) SendPort DNS Registrierungsschlüssel fungiert als erwartet nicht

Weitere Informationen zu Active Directory und zur Konfiguration von Firewalls können Sie dem Whitepaper "Active Directory in Networks Segmented by Firewalls" von Microsoft entnehmen. Besuchen Sie hierzu die folgende Website:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)
Alternativ können Sie auch eine Vertrauensstellung über den Pflichttunnel des Point-to-Point Tunneling Protocol (PPTP) herstellen. Dadurch lässt sich die Anzahl der Ports verringern, die von der Firewall geöffnet werden müssen. Für PPTP müssen folgende Ports geöffnet sein:
Tabelle minimierenTabelle vergrößern
Client-PortsServer-PortProtokoll
1024-65535/TCP1723/TCPPPTP
Darüber hinaus müssten Sie das IP PROTOCOL 47 (GRE) aktivieren.

Hinweis: Wenn Sie einer Ressource in einer vertrauenden Domäne Berechtigungen für Benutzer in einer vertrauenswürdigen Domäne hinzufügen, gibt es einige Unterschiede im Verhalten von Windows 2000 und Windows NT 4.0. Wenn der Computer nicht in der Lage ist, eine Liste der Benutzer der Remotedomäne bereitzustellen, gilt Folgendes:
  • Windows NT 4.0 versucht, manuell eingegebene Namen aufzulösen, indem es eine Verbindung zum PDC für die Domäne des Remotebenutzers herstellt (UDP 138). Wenn diese Verbindung scheitert, stellt ein Windows NT 4.0-Computer eine Verbindung zum eigenen PDC her und fordert dann die Namensauflösung an.
  • Windows 2000 und Windows Server 2003 versuchen ebenfalls, eine Verbindung zum PDC des Remotebenutzers zur Auflösung über UDP 138 herzustellen, greifen jedoch nicht auf den eigenen PDC zurück. Stellen Sie sicher, dass alle Windows 2000- und Windows Server 2003-Mitgliedsserver, die Zugriff auf Ressourcen gewähren, UDP 138-Verbindungen zum Remote-PDC haben.
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Zum Anfang
Keywords: 
kbhowto kbenv kbnetwork KB179442
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN