2
Global Catalog over SSL
Hallo zusammen
Unsere DCs (Windows Server 2008 R2) stehen aus sicherheitsgründen in einem eigenen Subnetz, es sollen nur die notwendigen Ports in die anderen Subnetze geöffnet werden.
Wir setzen bei uns LDAP over SSL ein, funktioniert alles ohne Probleme. Port 389 wurde auf der Firewall geblockt und der ganze LDAP Verkehr läuft nur noch über 636. So weit so gut.
Wie sieht das jetzt bei LDAP Global Catalog SSL (Port 3269) aus? Wird dieses Protokoll automatisch mit dem LDAPS Zertifikat verschlüsselt und wir benötigen Port 3268 nicht mehr?
Merken die Clients automatisch, dass sie Abfragen nur noch über 3269 machen müssen?
Vielen Dank für eure Hilfe
Cheers
yearzero
Unsere DCs (Windows Server 2008 R2) stehen aus sicherheitsgründen in einem eigenen Subnetz, es sollen nur die notwendigen Ports in die anderen Subnetze geöffnet werden.
Wir setzen bei uns LDAP over SSL ein, funktioniert alles ohne Probleme. Port 389 wurde auf der Firewall geblockt und der ganze LDAP Verkehr läuft nur noch über 636. So weit so gut.
Wie sieht das jetzt bei LDAP Global Catalog SSL (Port 3269) aus? Wird dieses Protokoll automatisch mit dem LDAPS Zertifikat verschlüsselt und wir benötigen Port 3268 nicht mehr?
Merken die Clients automatisch, dass sie Abfragen nur noch über 3269 machen müssen?
Vielen Dank für eure Hilfe
Cheers
yearzero
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162926
Url: https://administrator.de/contentid/162926
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
welche Clients denn, und was sollen die machen?
Wenn es sich um Clients handelt, die Mitglieder der Domäne sein sollen, _muss_ ich dir leider sagen, dass das mit dem eigenen Subnetz (bzw. mit einer Firewall zwischen den Netzen) totaler Schwachsinn ist. AD ist darauf angewiesen, dass Clients mit den DCs vernünftig kommunizieren können. Und das tun sie über sehr, sehr viel mehr als über LDAP!
Ich kann dir davon nur ganz dringend abraten! Wenn du dir absolut sicher bist, dass du die DCs zusätzlich vor den Clients sichern musst (im Gegensatz zu 99,9% der deutschen Unternehmen, die Clients & DCs nicht mit Firewall trennen), dann solltest du RODCs verwenden.
Wenn es dir nicht um Domänenmitgliedschaft geht: dann hängt das wohl von der Applikation ab.
Gruß
Filipp
welche Clients denn, und was sollen die machen?
Wenn es sich um Clients handelt, die Mitglieder der Domäne sein sollen, _muss_ ich dir leider sagen, dass das mit dem eigenen Subnetz (bzw. mit einer Firewall zwischen den Netzen) totaler Schwachsinn ist. AD ist darauf angewiesen, dass Clients mit den DCs vernünftig kommunizieren können. Und das tun sie über sehr, sehr viel mehr als über LDAP!
Ich kann dir davon nur ganz dringend abraten! Wenn du dir absolut sicher bist, dass du die DCs zusätzlich vor den Clients sichern musst (im Gegensatz zu 99,9% der deutschen Unternehmen, die Clients & DCs nicht mit Firewall trennen), dann solltest du RODCs verwenden.
Wenn es dir nicht um Domänenmitgliedschaft geht: dann hängt das wohl von der Applikation ab.
Gruß
Filipp
Hallo Filipp
vielen Dank für die Antwort.
Bei den Client handelt es sich um normale Mitglieder der Domäne, dass dabei nicht nur LDAP benötigt wird ist mir völlig klar. Ich habe bereits alle benötigten Protokolle und Ports herausgefunden und diesen sind auf der Firewall geöffnet. Leider ist es bei uns aus sicherheitstechnischen Gründen nicht möglich die DCs im gleichen Subnetz zu haben wie die Clients.
Bis jetzt funktioniert es eigentlech wunderbar mit den getrennten Subnetzen, was mich aber immer noch Intressieren würde, wie es mit LDAP GC SSL aussieht?
Gruss
yearzero
vielen Dank für die Antwort.
Bei den Client handelt es sich um normale Mitglieder der Domäne, dass dabei nicht nur LDAP benötigt wird ist mir völlig klar. Ich habe bereits alle benötigten Protokolle und Ports herausgefunden und diesen sind auf der Firewall geöffnet. Leider ist es bei uns aus sicherheitstechnischen Gründen nicht möglich die DCs im gleichen Subnetz zu haben wie die Clients.
Bis jetzt funktioniert es eigentlech wunderbar mit den getrennten Subnetzen, was mich aber immer noch Intressieren würde, wie es mit LDAP GC SSL aussieht?
Gruss
yearzero
