yearzero
Goto Top

Global Catalog over SSL

Hallo zusammen

Unsere DCs (Windows Server 2008 R2) stehen aus sicherheitsgründen in einem eigenen Subnetz, es sollen nur die notwendigen Ports in die anderen Subnetze geöffnet werden.

Wir setzen bei uns LDAP over SSL ein, funktioniert alles ohne Probleme. Port 389 wurde auf der Firewall geblockt und der ganze LDAP Verkehr läuft nur noch über 636. So weit so gut.

Wie sieht das jetzt bei LDAP Global Catalog SSL (Port 3269) aus? Wird dieses Protokoll automatisch mit dem LDAPS Zertifikat verschlüsselt und wir benötigen Port 3268 nicht mehr?
Merken die Clients automatisch, dass sie Abfragen nur noch über 3269 machen müssen?

Vielen Dank für eure Hilfe

Cheers

yearzero

Content-ID: 162926

Url: https://administrator.de/forum/global-catalog-over-ssl-162926.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

filippg
filippg 18.03.2011 um 20:37:58 Uhr
Goto Top
Hallo,

welche Clients denn, und was sollen die machen?

Wenn es sich um Clients handelt, die Mitglieder der Domäne sein sollen, _muss_ ich dir leider sagen, dass das mit dem eigenen Subnetz (bzw. mit einer Firewall zwischen den Netzen) totaler Schwachsinn ist. AD ist darauf angewiesen, dass Clients mit den DCs vernünftig kommunizieren können. Und das tun sie über sehr, sehr viel mehr als über LDAP!
Ich kann dir davon nur ganz dringend abraten! Wenn du dir absolut sicher bist, dass du die DCs zusätzlich vor den Clients sichern musst (im Gegensatz zu 99,9% der deutschen Unternehmen, die Clients & DCs nicht mit Firewall trennen), dann solltest du RODCs verwenden.

Wenn es dir nicht um Domänenmitgliedschaft geht: dann hängt das wohl von der Applikation ab.

Gruß

Filipp
yearzero
yearzero 28.03.2011 um 09:58:51 Uhr
Goto Top
Hallo Filipp

vielen Dank für die Antwort.
Bei den Client handelt es sich um normale Mitglieder der Domäne, dass dabei nicht nur LDAP benötigt wird ist mir völlig klar. Ich habe bereits alle benötigten Protokolle und Ports herausgefunden und diesen sind auf der Firewall geöffnet. Leider ist es bei uns aus sicherheitstechnischen Gründen nicht möglich die DCs im gleichen Subnetz zu haben wie die Clients.
Bis jetzt funktioniert es eigentlech wunderbar mit den getrennten Subnetzen, was mich aber immer noch Intressieren würde, wie es mit LDAP GC SSL aussieht?

Gruss

yearzero