Benötigte Firewallregeln für den Registrierungsdienst für Netzwerkgeräte (NDES)

Implementiert man einen Network Device Enrollment Service (NDES), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Clients zu NDES

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

NDES ist ein webbasierter Dienst, welcher per HTTP und HTTPS verwendet werden kann. Entsprechend müssen den TCP Ports 80 und 443 geöffnet werden. Die NDES-Administrations-Webseite sollte jedoch nur per HTTPS aufgerufen werden können.

NetzwerkprotokollZiel-PortProtokoll
TCP80Hypertext Transfer Protocol (HTTP, nicht empfohlen)
TCP443Hypertext Transfer Protocol Secure (HTTPS)

NDES zur Zertifizierungstelle

Ganz analog zu allen anderen Clients sind die Ports für die Zertifikatbeantragung zur Zertifizierungsstelle zu öffnen.

NetzwerkprotokollZiel-PortProtokoll
TCP135RPC Endpoint Mapper
TCP49152-65535RPC dynamische Ports

NDES zur Domäne

Der NDES Server ist üblicherweise ein Domänenmitglied, sodass hier die allgemeinen Regeln für die Domänenkommunikation zum Tragen kommen.

NetzwerkprotokollZiel-PortProtokoll
TCP und UDP53Domain Name System
TCP88Kerberos
UDP123NTP
TCP135RPC Endpoint Mapper
TCP und UDP389LDAP
TCP445Server Message Block
RPC Named Pipes
TCP636LDAP over SSL
TCP3268LDAP-GC
TCP3269LDAP-GC over SSL
TCP49152-65535RPC dynamische Ports

Wiederherstellen der Standard Windows-Firewall-Regeln

Enable-NetFirewallRule -Name "IIS-WebServerRole-HTTP-In-TCP"
Enable-NetFirewallRule -Name "IIS-WebServerRole-HTTPS-In-TCP"

Sonderfall Rollen-Installation von NDES

Während der Installation der NDES-Rolle ist es erforderlich, dass eine Kommunikation via RPC Named Pipes (TCP Port 445) zu den Root-Domänencontrollern der Gesamtstruktur möglich ist.

Siehe Artikel "Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"" für weitere Informationen.

Weiterführende Links:

9 Gedanken zu „Benötigte Firewallregeln für den Registrierungsdienst für Netzwerkgeräte (NDES)“

Kommentare sind geschlossen.

de_DEDeutsch