Wenn Ihre Firebox so konfiguriert ist, dass sie Benutzer mit einem Active Directory (AD)-Authentifizierungsserver authentifiziert, stellt sie standardmäßig eine Verbindung zum Active Directory-Server über den Standard-LDAP-Port her, d. h. TCP-Port 389. Wenn die Active Directory-Server, die Sie zu Ihrer Firebox-Konfiguration hinzufügen, als globale Active Directory-Katalogserver eingerichtet sind, können Sie die Firebox so konfigurieren, dass sie den globalen Katalog-Port (TCP-Port 3268) für die Verbindung mit dem Active Directory-Server verwendet.
Ein globaler Katalogserver ist ein Domänencontroller, der Informationen über alle Objekte in der Gesamtstruktur speichert. Dies ermöglicht es den Anwendungen, Active Directory zu durchsuchen, ohne auf spezifische Domänencontroller verweisen zu müssen, die die angeforderten Daten speichern. Wenn Sie nur eine Domäne haben, empfiehlt Microsoft, alle Domänencontroller als globale Katalogserver zu konfigurieren.
Wenn der primäre oder sekundäre Active Directory-Server, den Sie in Ihrer Firebox-Konfiguration verwenden, ebenfalls als globaler Katalogserver konfiguriert ist, können Sie den Port ändern, den das Gerät für die Verbindung mit dem Active Directory-Server verwendet, um die Geschwindigkeit der Authentifizierungsanforderungen zu erhöhen. Es wird jedoch nicht empfohlen, zusätzliche globale Active Directory-Katalogserver zu erstellen, nur um die Authentifizierungsanfragen zu beschleunigen. Die Replikation, die zwischen mehreren globalen Katalogservern stattfindet, kann eine erhebliche Bandbreite in Ihrem Netzwerk beanspruchen.
Wenn Sie eine zusätzliche Rolle auf Ihrem AD-Server aktivieren, um ihn zu einer Zertifizierungsstelle zu machen, und den Server für die Verwendung von LDAPS (Secure LDAP, mit Zertifikaten) konfigurieren, ist der AD-Port 636 und der Port für die globale Kategorieliste ist 3269.
Konfigurieren Sie die Firebox für die Verwendung des Ports des globalen Katalogs
Um das Gerät für die Verwendung des Ports des globalen Katalogs zu konfigurieren, wählen Sie in der Fireware Web UI:
- Authentifizierungsserver >aus.
Die Seite Authentifizierungsserver wird angezeigt. - Wählen Sie in der Liste Server die Option Active Directory.
Die Seite Active Directory wird mit der Liste der konfigurierten Server angezeigt. - Wählen Sie einen Server aus und klicken Sie auf Bearbeiten.
- Löschen Sie im Textfeld Port den Inhalt und geben Sie 3268 ein.
- Klicken Sie auf Speichern.
Um das Gerät so zu konfigurieren, dass es den globalen Katalogport aus dem Policy Manager verwendet:
- Klicken Sie auf
.
Oder wählen Sie Setup > Authentifizierung > Authentifizierungsserver.
Das Dialogfeld Authentifizierungsserver wird angezeigt. - Wählen Sie die Registerkarte Active Directory.
- Wählen Sie einen Server aus und klicken Sie auf Bearbeiten.
- Wählen Sie in der Liste IP-Adresse / DNS-Name den Eintrag aus, der den zu ändernden Port hat, und klicken Sie auf Entfernen.
- Klicken Sie auf Hinzufügen.
Das Dialogfeld IP- / DNS-Name hinzufügen wird angezeigt. - Wählen Sie aus der Dropdown-Liste Typ auswählen die Option IP-Adresse oder DNS-Name.
- Geben Sie im Textfeld Wert die IP-Adresse oder den DNS-Namen des Active Directory-Servers ein.
- Geben Sie im Textfeld Port den Wert 3268 ein.
- Klicken Sie auf OK.
- Speichern Sie die Konfigurationsdatei.
Finden Sie heraus, ob Ihr Active Directory-Server als globaler Katalogserver konfiguriert ist
- Wählen Sie Start > Verwaltung > Active Directory-Sites und -Dienste.
- Erweitern Sie die Baumstruktur Sites und suchen Sie den Namen Ihres Active Directory-Servers.
- Klicken Sie mit der rechten Maustaste auf NTDS-Einstellungen für Ihren Active Directory-Server und wählen Sie Eigenschaften.
Wenn das Kontrollkästchen Globaler Katalog aktiviert ist, ist der Active Directory-Server als globaler Katalogserver konfiguriert.
Siehe auch
Über Authentifizierungsserver von Drittanbietern
Konfigurieren Sie die Active Directory-Authentifizierung