Logo faq-o-matic.net
Logo faq-o-matic.net

Sind Vertrauensstellungen ohne NetBIOS-Namensauflösung möglich?

1 Jul 2006
von veröffentlicht am1. Juli 2006, 16:13 Uhr Kurzlink http://faq-o-matic.net/?p=606 Zitatlink
Kategorie Kategorie: Active Directory, Migration, Netzwerk, Sicherheit   Translate with Microsoft Translator Translate EN

Sehr oft kommt in den Newsgroups die Diskussion auf, ob man für das korrekte Einrichten einer Vertrauensstellung zwischen zwei Windows-2000-Domänen eine funktionierende NetBIOS-Namensauflösung bzw. auch die Ports 137 bis 139 UDP/TCP benötigt oder nicht. In einer Teststellung habe ich zwei Windows-Domänen zwischen eine Firewall gestellt. Die Firewall ist ein Linux, das über IPtables die Ports 137 bis 139 für die Protokolle UDP und TCP blockt. Zusätzlich habe ich in den Eigenschaften des TCP/IP-Protokolls auf den Windows-2000-Servern auf der Registerkarte "Erweitert" explizit NetBT deaktiviert.


Testaufbau

Organisation1

  • Domänenname: organisation1.de
  • Server: server1.organisation1.de
  • Subnetz: 192.168.1.0 /24

Organisation2

  • Domänenname: organisation2.de
  • Server: server2.organisation2.de
  • Subnetz: 192.168.2.0 /24

Firewall

  • Eth0: 192.168.1.250
  • Eth1: 192.168.2.254
  • Anfragen auf die Weiterleitung der Ports 137 bis 139 udp/tcp werden abgewiesen.
Ergebnis

Die Vertrauensstellung ist auch ohne eine NetBIOS-Namensauflösung funktionstüchtig. Administratoren, die aber gern mit der Netzwerkumgebung arbeiten, werden diese dann leider nicht mehr zur Verfügung haben. Aus technischer Sicht ist ein WINS-Server in einer Windows Domäne nie falsch. Ein installierter WINS-Dienst belastet einen Server nicht weiter und sorgt z.B. für eine IP-Subnetz übergreifende Netzwerkumgebung.

Flash-Film des Experiments

Verwandte Beiträge:

  1. DHCP-Server autorisieren ohne Organisations-Admin-Rechte
    Um in einer Active-Directory-Umgebung einen auf Windows 2000/2003 basierenden DHCP-Server zu integrieren, muss man Organisationsadministratorrechte besitzen. Gerade in größeren Netzwerken...
  2. Servermigration mit Netbios-Aliases
    Sunday, 24 October 2004 Es gibt seit Windows NT die Möglichkeit, einem Server mehrere Netbios-Namen zuzuweisen. Die zusätzlichen Servernamen tauchen...
  3. Remote-Admintools für Windows 7 SP1 sind da
    Unter Windows 7 mit Service Pack 1 lassen sich die ursprünglichen Remote-Admintools (Remote Server Admin Tools, RSAT) nicht installieren. Diese...
  4. Wie kann ich überprüfen, welche Benutzer gesperrt oder deaktiviert sind?
    Das ist recht komplex. Es gibt zwar einen LDAP-Query, den du bei WS2003 in den Gespeicherten Abfragen verwenden kannst, der...
  5. RSAT für Windows 7 RTM sind RTW
    Wow, welch eine Überschrift. Die Remote Server Administration Tools für die fertige Fassung von Windows 7 stehen zum Download bereit....
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=606
<<
>>

© 2005-2012 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!