Global Catalog over SSL
Hallo zusammen
Unsere DCs (Windows Server 2008 R2) stehen aus sicherheitsgründen in einem eigenen Subnetz, es sollen nur die notwendigen Ports in die anderen Subnetze geöffnet werden.
Wir setzen bei uns LDAP over SSL ein, funktioniert alles ohne Probleme. Port 389 wurde auf der Firewall geblockt und der ganze LDAP Verkehr läuft nur noch über 636. So weit so gut.
Wie sieht das jetzt bei LDAP Global Catalog SSL (Port 3269) aus? Wird dieses Protokoll automatisch mit dem LDAPS Zertifikat verschlüsselt und wir benötigen Port 3268 nicht mehr?
Merken die Clients automatisch, dass sie Abfragen nur noch über 3269 machen müssen?
Vielen Dank für eure Hilfe
Cheers
yearzero
Unsere DCs (Windows Server 2008 R2) stehen aus sicherheitsgründen in einem eigenen Subnetz, es sollen nur die notwendigen Ports in die anderen Subnetze geöffnet werden.
Wir setzen bei uns LDAP over SSL ein, funktioniert alles ohne Probleme. Port 389 wurde auf der Firewall geblockt und der ganze LDAP Verkehr läuft nur noch über 636. So weit so gut.
Wie sieht das jetzt bei LDAP Global Catalog SSL (Port 3269) aus? Wird dieses Protokoll automatisch mit dem LDAPS Zertifikat verschlüsselt und wir benötigen Port 3268 nicht mehr?
Merken die Clients automatisch, dass sie Abfragen nur noch über 3269 machen müssen?
Vielen Dank für eure Hilfe
Cheers
yearzero
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162926
Url: https://administrator.de/forum/global-catalog-over-ssl-162926.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
welche Clients denn, und was sollen die machen?
Wenn es sich um Clients handelt, die Mitglieder der Domäne sein sollen, _muss_ ich dir leider sagen, dass das mit dem eigenen Subnetz (bzw. mit einer Firewall zwischen den Netzen) totaler Schwachsinn ist. AD ist darauf angewiesen, dass Clients mit den DCs vernünftig kommunizieren können. Und das tun sie über sehr, sehr viel mehr als über LDAP!
Ich kann dir davon nur ganz dringend abraten! Wenn du dir absolut sicher bist, dass du die DCs zusätzlich vor den Clients sichern musst (im Gegensatz zu 99,9% der deutschen Unternehmen, die Clients & DCs nicht mit Firewall trennen), dann solltest du RODCs verwenden.
Wenn es dir nicht um Domänenmitgliedschaft geht: dann hängt das wohl von der Applikation ab.
Gruß
Filipp
welche Clients denn, und was sollen die machen?
Wenn es sich um Clients handelt, die Mitglieder der Domäne sein sollen, _muss_ ich dir leider sagen, dass das mit dem eigenen Subnetz (bzw. mit einer Firewall zwischen den Netzen) totaler Schwachsinn ist. AD ist darauf angewiesen, dass Clients mit den DCs vernünftig kommunizieren können. Und das tun sie über sehr, sehr viel mehr als über LDAP!
Ich kann dir davon nur ganz dringend abraten! Wenn du dir absolut sicher bist, dass du die DCs zusätzlich vor den Clients sichern musst (im Gegensatz zu 99,9% der deutschen Unternehmen, die Clients & DCs nicht mit Firewall trennen), dann solltest du RODCs verwenden.
Wenn es dir nicht um Domänenmitgliedschaft geht: dann hängt das wohl von der Applikation ab.
Gruß
Filipp