Liste der für Active Directory und PKI erforderlichen Ports

Bei der Konfiguration der Netzwerksicherheit ist die Einrichtung von Active Directory (AD) unerlässlich. Ein kritischer Bestandteil ist die sichere Kommunikation zwischen AD-Server und Clients. Wenn Ihr Unternehmen beispielsweise AD zur Verwaltung der Benutzerauthentifizierung, Gruppenrichtlinien und des Zugriffs auf freigegebene Ressourcen einsetzt, ist die Konfiguration Ihrer Firewall zum Öffnen bestimmter Ports ein wichtiger Schritt. Ohne diese Ports können Benutzer Probleme beim Anmelden, beim Zugriff auf Dateien oder beim Empfang von Richtlinienaktualisierungen haben, was zu Störungen im Netzwerk führt.

Für die AD-Kommunikation erforderliche Ports

Active Directory fungiert als zentrales Repository für Benutzer-, Gruppen- und Computerkonten sowie für eine Vielzahl anderer Objekte, z. B. freigegebene Ressourcen und Sicherheitsrichtlinien. Für die ordnungsgemäße Kommunikation sind die folgenden Ports erforderlich:

• TCP/UDP-Port 53: Port 53 dient als Port für Domain Name Services (DNS). DNS-Server dienen der Kommunikation mit einem Webclient und der Übersetzung von Domänennamen in IP-Adressen. Die meisten Organisationen nutzen DNS, um den verschiedenen Benutzern den Zugriff auf Geräte zu erleichtern, ohne sich IP-Adressen merken zu müssen.
• TCP/UDP-Port 88: Port 88 wird verwendet, um Benutzern Zugriff auf das Kerberos-Authentifizierungsprotokoll zu gewähren. Dies ermöglicht den Zugriff auf privilegierte Netzwerkressourcen mithilfe von vom Server bereitgestellten Tickets.
• TCP/UDP-Port 135: Port 135 wird für Remote Procedure Calls (RPC) verwendet. RPC ist ein Windows-Dienst, auf den sich viele Dienste wie AD verlassen, um die Remote-Client-Server-Kommunikation zu ermöglichen.
• TCP/UDP-Port 137–139: Die Ports 137, 138 und 139 werden für verschiedene Funktionen des SMB-Protokolls über NetBIOS verwendet. Das SMB-Protokoll (Server Message Block) wird hauptsächlich für die gemeinsame Nutzung von Druckern und Dateien in einem Windows-basierten Netzwerk verwendet. Port 137 bietet Namensdienste über TCP oder UDP für SMB, Port 138 Diagrammdienste über UDP für SMB und Port 139 Sitzungsdienste über TCP oder UDP für SMB. Hinweis: Port 138 verwendet ausschließlich UDP und nicht TCP.
• TCP/UDP-Port 389: Port 389 konzentriert sich auf das Lightweight Directory Access Protocol (LDAP). LDAP ermöglicht Clients den Zugriff auf geschützte Netzwerkressourcen. Port 389 ermöglicht eine unverschlüsselte Verbindung zu LDAP.
• TCP-Port 445: Port 445, auch Microsoft-ds genannt, funktioniert sehr ähnlich wie die Ports 137-139, ermöglicht jedoch den Zugriff auf SMB ohne NetBIOS. Das bedeutet, dass die NetBIOS-Schicht nicht erforderlich ist und Port 445 hauptsächlich von Systemadministratoren zur Verwaltung von Objekten im Netzwerk verwendet wird.
• TCP/UDP-Port 464: Ähnlich wie Port 88 wird Port 464 für die Interaktion mit Kerberos verwendet. Port 464 wird jedoch speziell für Kennwortänderungen innerhalb von Microsoft Active Directory (auch bekannt als Entra) verwendet, da Kerberos das native Authentifizierungsprotokoll von Entra ist.
• TCP/UDP-Port 636: Port 636 ermöglicht Benutzern ebenfalls die Interaktion mit LDAP, verwendet jedoch eine verschlüsselte Verbindung. Diese Verschlüsselung wird durch SSL/TLS erzeugt, daher wird Port 636 häufig als Verbindung zu LDAPS angezeigt.
• TCP/UDP-Port 3268–3269: Die Ports 3268 und 3269 stellen ebenfalls eine Verbindung zu Diensten über LDAP her, sind jedoch spezifisch für den globalen Katalog. Port 3268 ist die unverschlüsselte Verbindung und Port 3269 ist für verschlüsselte Verbindungen vorgesehen.

Zusätzlich zu diesen Ports können je nach den spezifischen Komponenten und Funktionen Ihrer AD-Umgebung weitere Ports erforderlich sein. Wenn Sie beispielsweise Gruppenrichtlinien verwenden, sind auch die folgenden Ports erforderlich:

• TCP-Port 80: Port 80 wird speziell für die Kommunikation zwischen Webbrowsern und Servern über HTTP verwendet. Dieser Port überträgt Daten im Klartext an den Webbrowser, eine unverschlüsselte Methode zum Senden von Daten.
• TCP/UDP-Port 443: Port 443 übermittelt Nachrichten zwischen Webservern und Browsern über HTTPS, die verschlüsselte Verbindungsversion von HTTP.
• TCP-Port 445: Port 445 ermöglicht den Zugriff auf SMB, ohne dass NetBIOS erforderlich ist.

Wenn Sie ADFS (Active Directory Federation Services) für Single Sign-On verwenden, werden außerdem die folgenden Ports benötigt:

• TCP-Port 80
• TCP-Port 443
• TCP-Port 49443: Port 49443 wird speziell für Active Directory Federation Services (ADFS) verwendet. ADFS ist eine Methode zur Zertifikatsauthentifizierung innerhalb von Microsoft AD und daher ein kritischer Port in PKIs.

Für die PKI-Kommunikation erforderliche Ports

Damit a PKI Für eine ordnungsgemäße Funktion müssen bestimmte Ports in der Firewall geöffnet werden, um die Kommunikation zwischen den verschiedenen Komponenten des PKI-Systems zu ermöglichen. Zu diesen Ports gehören:

1. TCP-Port 80

   Dieser Port wird für die HTTP-Kommunikation verwendet, die für den Zugriff der Clients auf die Zertifikatsperrliste (CRL) und weitere Informationen aus der Zertifizierungsstelle (CA) Server.

2. TCP-Port 389

   Dieser Port wird für die LDAP-Kommunikation verwendet, die erforderlich ist, damit Clients auf die Zertifikatsdatenbank auf dem CA-Server zugreifen können.

3. TCP-Port 636

   Dieser Port wird für die LDAPS-Kommunikation verwendet, eine sichere Version von LDAP, die SSL / TLS für VerschlüsselungDies ist erforderlich, wenn Sie LDAP über ein öffentliches Netzwerk verwenden.

4. TCP-Port 9389

   Dieser Port wird für das WS-Management-Protokoll (Web Services for Management) verwendet, das erforderlich ist, damit Clients über das Zertifikat-Snap-In in der Microsoft Management Console (MMC) auf den CA-Server zugreifen können.

Zusätzlich zu diesen Ports müssen Sie möglicherweise auch andere Ports öffnen, abhängig von den spezifischen Komponenten und der Konfiguration Ihres PKI-Systems. Wenn Sie beispielsweise Online Certificate Status Protocol (OCSP) Um den Status der Zertifikate zu überprüfen, müssen Sie den TCP-Port 2560 öffnen.

Beheben von Firewall-Problemen mit PKI

Um häufige Firewall-Probleme mit einer PKI zu beheben, können Sie die folgenden Schritte ausführen:

• Überprüfen Sie, ob die erforderlichen Ports in der Firewall geöffnet sind. Dies können Sie mit dem netstat Befehl, um alle offenen Ports auf dem System aufzulisten und die Ergebnisse mit der Liste der Ports zu vergleichen, die für Ihr PKI-System erforderlich sind.
• Überprüfen Sie die Firewall-Protokolle auf Einträge im Zusammenhang mit dem PKI-System. So können Sie bestimmte Regeln oder Einstellungen identifizieren, die möglicherweise die erforderlichen Ports blockieren.
• Testen Sie die Konnektivität zwischen den PKI-Komponenten, um sicherzustellen, dass sie ordnungsgemäß kommunizieren. Verwenden Sie dazu die Ping, Telnet oder Tracert Befehle zum Testen der Konnektivität zwischen dem Client und dem CA-Server sowie zwischen anderen Komponenten des PKI-Systems.
• Sollten weiterhin Probleme mit der Firewall auftreten, deaktivieren Sie diese vorübergehend. So können Sie feststellen, ob das Problem durch die Firewall oder eine andere Komponente des PKI-Systems verursacht wird.

Einige häufig gestellte Fragen

Hier finden Sie eine Reihe von Fragen, die Sie stellen können, um die Ursache für AD-Fehlkonfigurationen und Verbindungsprobleme zu ermitteln. Diese sind speziell auf die Behebung potenzieller Probleme anhand realer Szenarien zugeschnitten:

Frage 1: Haben Sie überprüft, ob die wichtigsten Ports wie 389 (LDAP), 88 (Kerberos) und 445 (SMB) für die AD-Kommunikation richtig konfiguriert sind und nicht durch die Firewall blockiert werden?

Frage 2: Werden alle Domänencontroller über DNS aufgelöst und gibt es Abweichungen zwischen DNS-Einträgen und den tatsächlichen AD-Serverstandorten?

Frage 3: Gibt es in AD ein Replikationsproblem, das zu Inkonsistenzen zwischen Domänencontrollern und Clients führen könnte?

Frage 4: Gibt es Abweichungen in den Zeiteinstellungen zwischen AD-Komponenten, die zu Fehlern bei der Kerberos-Authentifizierung führen könnten?

Frage 5: Gibt es in den Ereignisprotokollen bestimmte Fehlercodes oder Warnmeldungen, die auf eine Fehlkonfiguration oder einen Dienstausfall hinweisen könnten?

Frage 6: Funktioniert das von wichtigen AD-Systemen wie Kerberos, DNS oder LDAP verwendete Konto noch ordnungsgemäß und verfügt es über die erforderlichen Berechtigungen?

Wie kann Encryption Consulting helfen?

Die PKI-Services und PKI-as-a-Service von Encryption Consulting unterstützen Sie bei der Verwaltung Ihrer PKI und der Sicherung des digitalen Netzwerks Ihres Unternehmens. Wir konzipieren, implementieren, verwalten und migrieren Ihre PKI-Systeme entsprechend Ihren spezifischen Anforderungen. Angesichts der zunehmenden Cyber-Bedrohungen kann die Verwaltung einer PKI eine Herausforderung darstellen. Sie können jedoch beruhigt sein: Unsere erfahrenen Mitarbeiter unterstützen Sie beim Aufbau und der Überwachung Ihrer PKI. Wir bewerten Ihre PKI anhand unseres maßgeschneiderten Frameworks und bieten Ihnen Best Practices für PKI- und HSM-Implementierungen.

Fazit

Die Wartung der Firewall-Konfiguration ist wichtig für die ordnungsgemäße Funktion Ihrer Active Directory- und PKI-Systeme. Indem Sie sicherstellen, dass die erforderlichen Ports geöffnet sind, und eventuell auftretende Firewall-Probleme beheben, tragen Sie zur Sicherheit und Zuverlässigkeit Ihrer Active Directory- und PKI-Systeme bei. Für Active Directory ist die Aufrechterhaltung offener Kommunikationskanäle für wichtige Ports wie LDAP, DNS und Kerberos entscheidend. Ebenso stellt die Aktivierung von Ports für HTTP, LDAP und Secure Communication Protocol für PKI sicher, dass der Zertifikatsdienst effektiv funktioniert und die Ausstellung, Sperrung und Statusprüfung von Zertifikaten unterstützt.