Hmm, also meine Meinung ist, dass ein Domänencontroller aber auch mal gar nichts in der DMZ zu suchen hat. Wozu hast Du denn dann eine DMZ?
Microsoft sagt:
Öffnen Sie die folgenden Ports für eingehenden Netzwerkverkehr, um für Computer mit dem Betriebssystem Windows 2000 Server eine Anmeldung bei der Domäne durch eine Firewall zu ermöglichen:• 53 (Transmission Control Protocol [TCP], User Datagram Protocol [uDP]) - Domain Name System (DNS) zu allen DNS-Servern, die in der IP-Konfiguration des Frontend-Servers aufgeführt sind.
• 80 (TCP) - Wird von Exchange 2000 Outlook Web Access für den Zugriff auf die Kommunikation zwischen Exchange-Frontend- und -Backend-Servern benötigt.
• 88 (Transmission Control Protocol [TCP], UDP) - Kerberos-Authentifizierung zu allen Domänencontrollern, die sich im selben Active Directory-Standort befinden wie der Exchange-Frontend-Server.
• 123 (UDP) - Windows Time Synchronization Protocol (NTP) zu allen Domänencontrollern, die sich im selben Active Directory-Standort befinden wie der Exchange-Frontend-Server. Dieses Protokoll wird für Windows 2000-Anmeldefunktionen nicht benötigt, kann jedoch durch den Netzwerkadministrator gefordert oder konfiguriert werden.
• 135 (TCP) - EndPointMapper (Endpunktzuordnung) zu allen Domänencontrollern, die sich im selben Active Directory-Standort befinden wie der Exchange-Frontend-Server.
• 389 (TCP, UDP) - Lightweight Directory Access Protocol (LDAP) zu allen Domänencontrollern, die sich im selben Active Directory-Standort befinden wie der Exchange-Frontend-Server.
• 445 (TCP) - Server Message Block (SMB) für Netlogon, LDAP-Konvertierung und die Erkennung für das verteilte Dateisystem (Distributed File System, DFS) von Microsoft zu allen Domänencontrollern, die sich im selben Active Directory-Standort befinden wie der Exchange-Frontend-Serverr.
• 3268 (TCP) - LDAP zu globalen Katalogservern.