Logo faq-o-matic.net
Logo faq-o-matic.net

Sind Vertrauensstellungen ohne NetBIOS-Namensauflösung möglich?

von veröffentlicht am1. Juli 2006, 16:13 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Migration, Netzwerk, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Sehr oft kommt in den Newsgroups die Diskussion auf, ob man für das korrekte Einrichten einer Vertrauensstellung zwischen zwei Windows-2000-Domänen eine funktionierende NetBIOS-Namensauflösung bzw. auch die Ports 137 bis 139 UDP/TCP benötigt oder nicht. In einer Teststellung habe ich zwei Windows-Domänen zwischen eine Firewall gestellt. Die Firewall ist ein Linux, das über IPtables die Ports 137 bis 139 für die Protokolle UDP und TCP blockt. Zusätzlich habe ich in den Eigenschaften des TCP/IP-Protokolls auf den Windows-2000-Servern auf der Registerkarte „Erweitert“ explizit NetBT deaktiviert.

Testaufbau

Organisation1

  • Domänenname: organisation1.de
  • Server: server1.organisation1.de
  • Subnetz: 192.168.1.0 /24

Organisation2

  • Domänenname: organisation2.de
  • Server: server2.organisation2.de
  • Subnetz: 192.168.2.0 /24

Firewall

  • Eth0: 192.168.1.250
  • Eth1: 192.168.2.254
  • Anfragen auf die Weiterleitung der Ports 137 bis 139 udp/tcp werden abgewiesen.
Ergebnis

Die Vertrauensstellung ist auch ohne eine NetBIOS-Namensauflösung funktionstüchtig. Administratoren, die aber gern mit der Netzwerkumgebung arbeiten, werden diese dann leider nicht mehr zur Verfügung haben. Aus technischer Sicht ist ein WINS-Server in einer Windows Domäne nie falsch. Ein installierter WINS-Dienst belastet einen Server nicht weiter und sorgt z.B. für eine IP-Subnetz übergreifende Netzwerkumgebung.

Flash-Film des Experiments

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!