Sind Vertrauensstellungen ohne NetBIOS-Namensauflösung möglich? 18. November 2009

Sehr oft kommt in den Newsgroups die Diskussion auf, ob man für das korrekte Einrichten einer Vertrauensstellung zwischen zwei Windows-2000-Domänen eine funktionierende NetBIOS-Namensauflösung bzw. auch die Ports 137 bis 139 UDP/TCP benötigt oder nicht. In einer Teststellung habe ich zwei Windows-Domänen zwischen eine Firewall gestellt. Die Firewall ist ein Linux, das über IPtables die Ports 137 bis 139 für die Protokolle UDP und TCP blockt. Zusätzlich habe ich in den Eigenschaften des TCP/IP-Protokolls auf den Windows-2000-Servern auf der Registerkarte “Erweitert” explizit NetBT deaktiviert.

Testaufbau

Organisation1

  • Domänenname: organisation1.de
  • Server: server1.organisation1.de
  • Subnetz: 192.168.1.0 /24

Organisation2

  • Domänenname: organisation2.de
  • Server: server2.organisation2.de
  • Subnetz: 192.168.2.0 /24

Firewall

  • Eth0: 192.168.1.250
  • Eth1: 192.168.2.254
  • Anfragen auf die Weiterleitung der Ports 137 bis 139 udp/tcp werden abgewiesen.

Ergebnis
Die Vertrauensstellung ist auch ohne eine NetBIOS-Namensauflösung funktionstüchtig. Administratoren, die aber gern mit der Netzwerkumgebung arbeiten, werden diese dann leider nicht mehr zur Verfügung haben. Aus technischer Sicht ist ein WINS-Server in einer Windows Domäne nie falsch. Ein installierter WINS-Dienst belastet einen Server nicht weiter und sorgt z.B. für eine IP-Subnetz übergreifende Netzwerkumgebung.

Flashfilm

Comments are closed.