Iemand die weet welke poorten er op een firewall moeten opengezet zijn om AD authenticatie mogelijk te maken?
Langer verhaal:
Wij hebben een domein met veel PC's.
Een aantal PC's zullen verhuizen naar een untrusted zone.
Vanaf die zone wil ik zeer strikt zijn met poorten openzetten richting de AD servercluster.
Enige dat dus moet kunnen, is dat het mogelijk dat users kunnen inloggen.
De documentatie van Microsoft is zeer karig hiermee alvast.
AD authenticatie netwerk poorten
-
blaatpraat
- Elite Poster
- Berichten: 1279
- Lid geworden op: 10 jan 2014, 12:09
- Uitgedeelde bedankjes: 31 keer
- Bedankt: 101 keer
-
Sasuke
- Elite Poster
- Berichten: 4854
- Lid geworden op: 13 aug 2003, 20:25
- Locatie: Vlaanderen
- Uitgedeelde bedankjes: 153 keer
- Bedankt: 332 keer
- Contacteer:
135, 445, 88, 389,686, 3268,3269, 49152-65535
135 en de poort range zijn zowel tcp als udp nodig. Die grote Port range kan je kleiner maken, maar is niet supported of aan te raden. (Vereist reg changes op alle dc’s)
Niet vergeten dat je die poorten moet openzetten naar alle, of toch de meeste, dc’s aangezien niet alle AD operaties site aware zijn.
Opgelet, NAT of Multihomed IP op domain controllers of communicatie tussen cliënt en DC zijn niet supported en geven zeker issues.
Clients in DMZ to AD in Lan... not done
Betere oplossing is om een DC (geen readonly !) in die untrusted zone te zetten en je comms limiteren tot die DC. Zolang je geen oude NTLM authenticatie dingen doet werkt dat wel.
135 en de poort range zijn zowel tcp als udp nodig. Die grote Port range kan je kleiner maken, maar is niet supported of aan te raden. (Vereist reg changes op alle dc’s)
Niet vergeten dat je die poorten moet openzetten naar alle, of toch de meeste, dc’s aangezien niet alle AD operaties site aware zijn.
Opgelet, NAT of Multihomed IP op domain controllers of communicatie tussen cliënt en DC zijn niet supported en geven zeker issues.
Clients in DMZ to AD in Lan... not done
Betere oplossing is om een DC (geen readonly !) in die untrusted zone te zetten en je comms limiteren tot die DC. Zolang je geen oude NTLM authenticatie dingen doet werkt dat wel.
Who the fxxk is General Failure and why is he reading my hard disk ?
-
ITnetadmin
- Elite Poster
- Berichten: 8445
- Lid geworden op: 28 jan 2012, 18:22
- Uitgedeelde bedankjes: 164 keer
- Bedankt: 618 keer
Zou je niet beter een RODC (read only domain controller) opzetten in een speciale DMZ hiervoor?
Also, aub met VPNs werken, ook voor untrusted zones; niet zomaar poorten naar het internet openen.
Poorten voor auth openen is zee zeer exploiteerbaar.
Also, aub met VPNs werken, ook voor untrusted zones; niet zomaar poorten naar het internet openen.
Poorten voor auth openen is zee zeer exploiteerbaar.
-
Fatsie
- Pro Member
- Berichten: 342
- Lid geworden op: 29 dec 2010, 20:15
- Uitgedeelde bedankjes: 79 keer
- Bedankt: 36 keer
Het nadeel van een RODC is dat deze wel gewoon uw volledige AD database heeft.ITnetadmin schreef:Zou je niet beter een RODC (read only domain controller) opzetten in een speciale DMZ hiervoor?
-
profke
- Pro Member
- Berichten: 273
- Lid geworden op: 14 aug 2010, 23:42
- Uitgedeelde bedankjes: 14 keer
- Bedankt: 24 keer
cached credentials laten toe dat ze ook zonder AD-connectie kunnen inloggen
daarna vpn-tunnel laten opzetten naar je beveiligde zone
En dan kan men de company resources raadplegen.
(en hun paswoord wijzigen enzo)
daarna vpn-tunnel laten opzetten naar je beveiligde zone
En dan kan men de company resources raadplegen.
(en hun paswoord wijzigen enzo)
-
ITnetadmin
- Elite Poster
- Berichten: 8445
- Lid geworden op: 28 jan 2012, 18:22
- Uitgedeelde bedankjes: 164 keer
- Bedankt: 618 keer
Klopt wel.Fatsie schreef:Het nadeel van een RODC is dat deze wel gewoon uw volledige AD database heeft.
Alternatieven?
Zoiezo denk ik dat de gewone DC openzetten naar buiten toe nog erger is; dan hebben ze de volledige database én is ie nog ns writeable ook.
-
blaatpraat
- Elite Poster
- Berichten: 1279
- Lid geworden op: 10 jan 2014, 12:09
- Uitgedeelde bedankjes: 31 keer
- Bedankt: 101 keer
Ik had mogelijks het niet verwoord, maar de untrusted zone is geen DMZ zone, en staat niet open vanaf het internet.
Het is meer een zone waarop externe personen ook kunnen inprikken, zie het meer als een gastennetwerk waarop er een aantal corporate toestellen aangesloten zullen zitten.
Geen toegang tot 1 van de trusted zones, enkel naar het internet (op deze vraagstelling nu na).
Men heeft ook geen nood aan interne zaken op die machines, hetzij zaken die in de DMZ zitten (en dus vanaf elk toestel bereikbaar zijn).
Enige waarvoor men wel interne toegang nodig heeft, is om te kunnen inloggen met de corporate creds.
Mijns inziens is de ideale oplossing Azure AD, maar zover zijn we nog niet op dit moment.
Het is meer een zone waarop externe personen ook kunnen inprikken, zie het meer als een gastennetwerk waarop er een aantal corporate toestellen aangesloten zullen zitten.
Geen toegang tot 1 van de trusted zones, enkel naar het internet (op deze vraagstelling nu na).
Men heeft ook geen nood aan interne zaken op die machines, hetzij zaken die in de DMZ zitten (en dus vanaf elk toestel bereikbaar zijn).
Enige waarvoor men wel interne toegang nodig heeft, is om te kunnen inloggen met de corporate creds.
Mijns inziens is de ideale oplossing Azure AD, maar zover zijn we nog niet op dit moment.
Laatst gewijzigd door blaatpraat 03 maa 2021, 21:36, in totaal 1 gewijzigd.
-
Sasuke
- Elite Poster
- Berichten: 4854
- Lid geworden op: 13 aug 2003, 20:25
- Locatie: Vlaanderen
- Uitgedeelde bedankjes: 153 keer
- Bedankt: 332 keer
- Contacteer:
Zo doen wij het ook ... Network Access Controle op basis van computer certificates en de corporate WiFi overal doortrekken waar nodig. Geen corporate op guest of vice versa. Corporate owned smartphones hebben op alle locaties een aparte vlan/WiFi om 4G usage te verminderen waar mogelijk.
Heb je natuurlijk wel switchen en firewalls nodig die radius kunnen praten. De radius/nac zelf doen we via de Microsoft network protections services (nps / radius). Eens opgezet, geen issues meer (behalve bij cert changes )
Heb je natuurlijk wel switchen en firewalls nodig die radius kunnen praten. De radius/nac zelf doen we via de Microsoft network protections services (nps / radius). Eens opgezet, geen issues meer (behalve bij cert changes )
Who the fxxk is General Failure and why is he reading my hard disk ?
-
blaatpraat
- Elite Poster
- Berichten: 1279
- Lid geworden op: 10 jan 2014, 12:09
- Uitgedeelde bedankjes: 31 keer
- Bedankt: 101 keer
Omdat het netwerk waar die toestellen aan zullen komen te zitten niet gelijk is aan het netwerk waar de corporate devices zitten.
Laat ons gerust stellen: het is geen alledaags netwerk, en dat zal het ook nooit worden.
Enige koppeling gebeurt dmv een aantal firewalls.
Ik heb het nu opgelost via een andere weg, die "goed genoeg" is:
Vxlan tunnel tussen alle switches, waar deze devices zitten, gemaakt, uitbreken op de poorten waar die toestellen zitten, en aan de andere kant op een firewall laten termineren op een Q-tag, waarbij dat die tunnel toegang heeft tot de AD-controller.
Een poging om de usecase toe te lichten zonder de bedrijfskrititsche details vrij te geven:
Op een aantal plaatsen in het land staan er machines, vanwaar waar men supersnel moet kunnen bestanden overzetten naar een storage server die in onze DMZ staat.
Zie het dus als: het enige dat er nodig is, is supersnel internet, en meer is er ook niet voorzien. De bottleneck is momenteel de NIC van die machines die maar 1Gbps kan.
Maar nu kwam er opeens bericht dat er machines geïnstalleerd zijn, die zijn AD joined en de procedure naar de gebruikers is dat ze kunnen inloggen met hun eigen account... En dan begin je te denken naar oplossingen.
In plaats van lokale non-admin accounts te maken, en enkel de transfersoftware te installeren hierop bijvoorbeeld, moeten we dus opeens ervoor zorgen dat die toestellen aan de AD kunnen (dit is niet meer onderhandelbaar met de business)...
Laat ons gerust stellen: het is geen alledaags netwerk, en dat zal het ook nooit worden.
Enige koppeling gebeurt dmv een aantal firewalls.
Ik heb het nu opgelost via een andere weg, die "goed genoeg" is:
Vxlan tunnel tussen alle switches, waar deze devices zitten, gemaakt, uitbreken op de poorten waar die toestellen zitten, en aan de andere kant op een firewall laten termineren op een Q-tag, waarbij dat die tunnel toegang heeft tot de AD-controller.
Een poging om de usecase toe te lichten zonder de bedrijfskrititsche details vrij te geven:
Op een aantal plaatsen in het land staan er machines, vanwaar waar men supersnel moet kunnen bestanden overzetten naar een storage server die in onze DMZ staat.
Zie het dus als: het enige dat er nodig is, is supersnel internet, en meer is er ook niet voorzien. De bottleneck is momenteel de NIC van die machines die maar 1Gbps kan.
Maar nu kwam er opeens bericht dat er machines geïnstalleerd zijn, die zijn AD joined en de procedure naar de gebruikers is dat ze kunnen inloggen met hun eigen account... En dan begin je te denken naar oplossingen.
In plaats van lokale non-admin accounts te maken, en enkel de transfersoftware te installeren hierop bijvoorbeeld, moeten we dus opeens ervoor zorgen dat die toestellen aan de AD kunnen (dit is niet meer onderhandelbaar met de business)...
-
Fatsie
- Pro Member
- Berichten: 342
- Lid geworden op: 29 dec 2010, 20:15
- Uitgedeelde bedankjes: 79 keer
- Bedankt: 36 keer
Apart domain voor die 'DMZ' zone met een trust naar binnen toe; Die poorten moet je toch openzetten voor een RODC of regular DC ook. Die DC die dan in de afgebakende zone staat is dan eigenlijk min of meer maar een doorgeefluik voor authenticatie & als die zijn DB moest uitgelezen worden zit er in feite niks in.ITnetadmin schreef: Klopt wel.
Alternatieven?
Zoiezo denk ik dat de gewone DC openzetten naar buiten toe nog erger is; dan hebben ze de volledige database én is ie nog ns writeable ook.
Is dat de ideale oplossing, welllicht niet, maar het is een stapje beter dan uw basis AD domain uitbreiden naar een niet vertrouwde zone.
