- - PR -
DMZサーバを内部LANのADから管理する際のポート制限方法に関して
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2006-05-18 01:40
お世話になります。
題記の件、DMZにあるWEBサーバを、 社内LANにあるドメインコントローラ(ActiveDirectory)で管理したいのですが、 なるべくファイアーウォールのポート制限をかけたいのです。 何か理想的な方式はあるのでしょうか。 (具体的には、Kerberos認証等で1024 〜 65535等を開けたくない) 当初、IPSecを利用して、通信させようかと考えましたが、 KBに下記の記述がありました。
http://support.microsoft.com/kb/254949/ja 以上より、メンバサーバからドメインコントローラへのIPsecは あきらめようと考えております。 DMZのサーバをActiveDirectoryで管理したい理由: 台数が多い為、グループポリシーで一元管理したい為。 環境:(DC,WEBサーバ共に) Windows Server 2003 std SP1 以上となります。ご教授の程、宜しくお願い致します。 | ||||
|
投稿日時: 2006-05-18 02:19
こんばんわ.
「理想的」というのは何を指していますか? 必要な通信ができるように firewall で制限する以外に, 具体的に何がしたいのでしょう? kerberos5 や LDAP,DNS などが member server -> domain controller の方向で通信を許可してやる必要があるなど, 明確に「これを開ける」というのは明確だと思いますが? 利用する port はこの辺をはじめ http://www.atmarkit.co.jp/fwin2k/special/2003sp1_04/2003sp1_04_01.html 情報はたくさんあります. | ||||
|
投稿日時: 2006-05-18 02:24
ここら辺が参考になりませんか?
ドメインの信頼関係を使用するためのファイアウォールの構成方法 ファイアウォールで動作するように RPC の動的ポート割り当てを構成する方法 [追加]Active Directory in Networks Segmented by Firewalls ちなみに、RPC の port 制限を行った場合、session 数が多いと問題が発生することがあるようです。 [ メッセージ編集済み 編集者: ちゃっぴ 編集日時 2006-05-18 02:26 ] | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。