Implementiert man einen Network Device Enrollment Service (NDES), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".
Clients zu NDES
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
NDES ist ein webbasierter Dienst, welcher per HTTP und HTTPS verwendet werden kann. Entsprechend müssen den TCP Ports 80 und 443 geöffnet werden. Die NDES-Administrations-Webseite sollte jedoch nur per HTTPS aufgerufen werden können.
| Netzwerkprotokoll | Ziel-Port | Protokoll |
|---|---|---|
| TCP | 80 | Hypertext Transfer Protocol (HTTP, nicht empfohlen) |
| TCP | 443 | Hypertext Transfer Protocol Secure (HTTPS) |
NDES zur Zertifizierungstelle
Ganz analog zu allen anderen Clients sind die Ports für die Zertifikatbeantragung zur Zertifizierungsstelle zu öffnen.
| Netzwerkprotokoll | Ziel-Port | Protokoll |
|---|---|---|
| TCP | 135 | RPC Endpoint Mapper |
| TCP | 49152-65535 | RPC dynamische Ports |
NDES zur Domäne
Der NDES Server ist üblicherweise ein Domänenmitglied, sodass hier die allgemeinen Regeln für die Domänenkommunikation zum Tragen kommen.
| Netzwerkprotokoll | Ziel-Port | Protokoll |
|---|---|---|
| TCP und UDP | 53 | Domain Name System |
| TCP | 88 | Kerberos |
| UDP | 123 | NTP |
| TCP | 135 | RPC Endpoint Mapper |
| TCP und UDP | 389 | LDAP |
| TCP | 445 | Server Message Block RPC Named Pipes |
| TCP | 636 | LDAP over SSL |
| TCP | 3268 | LDAP-GC |
| TCP | 3269 | LDAP-GC over SSL |
| TCP | 49152-65535 | RPC dynamische Ports |
Wiederherstellen der Standard Windows-Firewall-Regeln
Enable-NetFirewallRule -Name "IIS-WebServerRole-HTTP-In-TCP"
Enable-NetFirewallRule -Name "IIS-WebServerRole-HTTPS-In-TCP"
Sonderfall Rollen-Installation von NDES
Während der Installation der NDES-Rolle ist es erforderlich, dass eine Kommunikation via RPC Named Pipes (TCP Port 445) zu den Root-Domänencontrollern der Gesamtstruktur möglich ist.
Siehe Artikel "Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"" für weitere Informationen.
Weiterführende Links:
- Benötigte Firewallregeln für Active Directory Certificate Services
- Benötigte Firewallregeln für den Zertifikatregistrierungsrichtlinien-Webdienst (CEP)
- Benötigte Firewallregeln für den Zertifikatregistrierungs-Webdienst (CES)
- Benötigte Firewallregeln für den Onlineresponder (OCSP)
- Benötigte Firewallregeln für die Zertifizierungsstellen-Webregistrierung (CAWE)
- Secure Sockets Layer (SSL) für den Registrierungsdienst für Netzwerkgeräte (NDES) aktivieren
Deutsch 
English
9 Gedanken zu „Benötigte Firewallregeln für den Registrierungsdienst für Netzwerkgeräte (NDES)“
Kommentare sind geschlossen.