Schlagwort-Archive: DC

NTP einrichten auf einem DC

Die Clients und Memberserver in einem Windows Active Directory haben es gut, sie werden von ihrem PDC immer mit der auf ihm eingestellten Zeit versorgt (müssen Sie auch, sonst würde Kerberos nicht funktionieren). Die Domaincontroller bzw. um genau zu sein DC mit der FSMO PDC werden in großen Unternehmen durch spezielle Hardware (Funkuhren) mir der richtigen Zeit versorgt. In kleinen oder privaten Netzen geht das leider nicht. Um für solche DC’s Zeitgeber aus dem Internet zu verwenden muß man bis heute noch die Komandozeile bemühen:

w32tm /config /syncfromflags:manual /manualpeerlist:xxx.xxx.xxx.xxx
w32tm /config /update
w32tm /resync

Die Zeichen xxx.xxx.xxx.xxx müssen dabei durch eine IP Adresse eines erreichbaren NTP Servers ersetzt werden (die Befehle funktionieren nur unter Win2k3 Server).

DC hinter einer Firewall

Hi,

um seine Infrastruktur gegen Angreifer innerhalb des eigenen Netzwerkes zu schützen, ist es sinnvoll die Server hinter einer internen DMZ aufzubauen. Leider ist es immer recht anstrengend herauszufinden, welche Ports für welchen Dienst / Anwendung benötigt werden. Insbesondere Domaincontroller (DC) machen einem das Leben bei dieser Aufgabenstellung zur Hölle. Daher nachfolgend alle Ports die man auf der (internen) Firewall freischalten muß um einen DC hinter einer Firewall betreiben zu können:

DNS: Port 53 TCP & UDP
Kerberos: Port 88 TCP & UDP
LDAP: Port 389 TCP & UDP
LDAP-SSL: Port 636 TCP & UDP
Global Catalog: Port 3268 TCP
SMB: Port 445 TCP & UDP
RPC: Port 135
TCP & UDP
NetBIOS Server: Port 137 TCP & UDP
NetBIOS Data
: Port TCP & UDP
NTP: Port 123 TCP
& UDP