Ace aqui novamente. Eu pensei em limpar e publicar novamente o meu blog sobre os requisitos de portas AD. Sim, eles são extensos, para o desânimo do grupo de rede da sua organização. Mas é o que é, e é o que precisamos seguir para que o AD funcione.
Servidor RPC não disponível? Erros de replicação no Visualizador de Eventos? Parece familiar?
Se assim for, você foi sucumbido ao fato e à realização de que possivelmente há portas necessárias sendo bloqueadas causando esses erros de comunicação do AD familiar. Seja entre locais com bloqueio de portas de túnel firewall/VPN, Windows Firewall (que normalmente não é o culpado porque eles irão auto-configurar para o papel da máquina e sua localização atual na rede), ou até mesmo software de segurança ou aplicativos antivírus com algum tipo de “proteção de tráfego de rede” ativado que está causando o problema.
Simplesmente falando, se houver replicação ou outros problemas de comunicação AD, e você tiver um software antivírus instalado nos endpoints ou instalado em todos os seus CDs, desabilite-o, ou melhor ainda, desinstale-o. Desinstalá-lo é a melhor aposta, então você sabe que não há vestígios de outros subcomponentes ativos que ainda possam estar causando o bloqueio. Se depois de o desinstalar, e você achar que a replicação agora funciona, bem aí você o tem. Nesse ponto, você precisará entrar em contato com o seu fornecedor de antivírus para perguntar a melhor maneira de configurá-lo para permitir comunicações AD e replicação.
Se não é o seu antivírus ou aplicativo de segurança, e desativar o firewall do Windows não faz o truque, então é óbvio que é um fator externo – suas firewalls de borda/perímetro.
Apontando também, ao testar blocos de portas, ferramentas como o telnet não é uma boa ferramenta para testar a conectividade AD/DC para DC, nem qualquer tipo de varredura de porta padrão, como o uso do nmap, ou um simples ping, resolvendo com nslookup (embora a resolução de registros necessários seja um pré-requisito), ou outras ferramentas. O único teste confiável é usar o PortQry da Microsoft, que testa portas AD específicas e as portas efêmeras, e as respostas necessárias dos serviços nas portas AD necessárias que ele escaneia especificamente.
AD através de um NAT? Não. Período.
Oh, e não espere fazer isso funcionar através de um NAT. NATs não podem traduzir o tráfego RPC criptografado, portanto, não podem fazer comunicações LDAP.
Descrição dos limites de suporte para Active Directory sobre NAT
http://support.microsoft.com/kb/978772
Como configurar a alocação de portas dinâmicas RPC para trabalhar com firewalls”
A comunicação não funcionará através da tradução de uma porta NAT, como você não pode usar DCOM através de um firewall NAT que realiza a tradução de endereços (e.por exemplo, onde um cliente se conecta ao endereço virtual 198.252.145.1, que o firewall mapeia transparentemente para o endereço IP interno real do servidor de, digamos, 192.100.81.101). Isto é porque o DCOM armazena endereços IP brutos nos pacotes de marshaling da interface e se o cliente não conseguir conectar-se ao endereço especificado no pacote, ele não funcionará”
Quoted from: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT Does Not Translate Netlogon Traffic (isto se aplica a todos os DCs)
Quoted: “Windows 2000 NAT não suporta Netlogon e traduz Kerberos. Se tens clientes que estão localizados atrás de um servidor NAT baseado em Windows 2000 e precisas de acesso a recursos de domínio, considera criar um túnel de rede privada virtual (VPN) de Routing e Acesso Remoto para o tráfego da Netlogon, ou actualizar os clientes para Windows 2000.”
Citado de: http://support.microsoft.com/kb/263293
*
Ok, vamos descobrir se as portas estão sendo bloqueadas
Agora você está pensando que seus engenheiros de infraestrutura de rede sabem o que estão fazendo e abriram as portas necessárias, então você está pensando, esta não pode ser a razão? ou é? Bem, vamos descobrir. Podemos usar o PortQry para o testar. E não, você não quer usar ping, nslookup, nmap ou qualquer outro scanner de portas, porque eles não são projetados para consultar as portas AD necessárias para ver se eles estão respondendo ou não.
Então vamos executar PortQry:
Primeiro, baixe-o:
PortQryUI – GUI – Versão 2.0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
Em seguida, execute a opção “Domínios & Trusts” entre CDs, ou entre CDs e qualquer máquina (outros servidores que você queira promover, ou mesmo a partir de uma máquina cliente), ou a partir das cabeças de ponte em cada site para a outra cabeça de ponte no outro site.., praticamente em qualquer lugar que você queira testar se há alguma porta AD bloqueada.
O ponto é, você vai querer executá-lo em qualquer cenário onde um DC deve se comunicar com outro DC ou com um cliente.
Se você obtiver algum erro com “NOTLISTENING”, 0x00000001, e 0x00000002, isso significa que há um bloqueio de portas. Anote em quais portas eles são.
Você pode ignorar as mensagens UDP 389 e UDP 88. Se você vir erros TCP 42, isso só significa que WINS não está rodando no servidor alvo.
Referências do PortQry
Knock Knock Is That Port Open?
Por Mark Morowczynski 18 Abr 2011, Quick tutorial sobre a versão do PortQry GUI.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
“Às vezes você pode ver erros como O servidor RPC está indisponível ou Não há mais endpoints disponíveis a partir do mapeador de endpoints …”
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
Como usar Portqry para solucionar problemas de conectividade do Active Directory
http://support.microsoft.com/kb/816103
Se você quiser usar apenas a versão de linha de comando:
Download details: PortQry Versão 2.0 apenas de linha de comando Scanner de portas
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
Comportaqry e a saída do comando: Novas características e funcionalidades no PortQry versão 2.0
http://support.microsoft.com/kb/832919
Descrição do utilitário de linha de comando Portqry.exe
http://support.microsoft.com/kb/310099
Portqry Observações
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
DC para DC e DC para comunicações com o cliente Requer inúmeras portas
Não há segredo para isto. Isso é o mais simples que posso dizer.
E, a lista de portas requeridas é longa, para desespero das equipes de engenharia de infraestrutura de rede que devem possuir portas que permitam ao AD comunicar, replicar, etc., estas portas devem ser abertas. Não há realmente muito que possa ser feito de outra forma.
Aqui está a lista com uma explicação de cada porta:
|
Protocolo e Porta
|
AD e Utilização AD DS | Tipo de tráfego |
| TCP 25 | Replicação | SMTP |
| TCP 42 | Se usar WINS num cenário de confiança de domínio oferecendo resolução NetBIOS | WINS |
| TCP 135 | Replicação | RPC, EPM |
| TCP 137 | Resolução do nome NetBIOS | Resolução do nome NetBIOS |
| TCP 139 | Autenticação de utilizadores e computadores, Replicação | DFSN, NetBIOS Session Service, NetLogon |
| TCP e UDP 389 | Diretório, Replicação, Autenticação de Usuário e Computador, Política de Grupo, Trusts | LDAP |
| TCP 636 | Diretório, Replicação, Autenticação de Usuário e Computador, Política de Grupo, Trusts | LDAP SSL |
| TCP 3268 | Diretório, Replicação, Autenticação de Usuário e Computador, Política de Grupo, Trusts | LDAP GC |
| TCP 3269 | Diretório, Replicação, Autenticação de Usuário e Computador, Política de Grupo, Trusts | LDAP GC SSL |
| TCP e UDP 88 | Autenticação de utilizadores e computadores, Forest Level Trusts | Kerberos |
| TCP e UDP 53 | Autenticação de Usuário e Computador, Resolução de Nome, Trusts | DNS |
| TCP e UDP 445 | Replicação, Autenticação de usuário e computador, Política de Grupo, Trusts | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP 9389 | AD DS Web Services | SOAP |
| TCP 5722 | Replicação de ficheiros | RPC, DFSR (SYSVOL) |
| TCP e UDP 464 | Replicação, Autenticação de Utilizador e Computador, Trusts | Kerberos alterar / definir senha |
| UDP 123 | Tempo Windows, Trusts | Tempo do Windows |
| UDP 137 | Autenticação de utilizadores e computadores | NetLogon, NetBIOS Name Resolution |
| UDP 138 | DFS, Política de Grupo, NetBIOS Netlogon, Navegação | DFSN, NetLogon, Serviço de Datagramas NetBIOS |
| UDP 67 e UDP 2535 | DHCP (Nota: DHCP não é um serviço AD DS central, mas estas portas podem ser necessárias para outras funções além do DHCP, tais como WDS) | DHCP, MADCAP, PXE |
E Nunca Devemos Esquecer os Portos Efémeros!!
E acima de tudo, as portas efémeras, ou também conhecidas como as “portas de resposta de serviço”, que são necessárias para as comunicações. Estas portas são criadas dinamicamente para respostas de sessão para cada cliente que estabelece uma sessão, (não importa qual seja o ‘cliente’), e não apenas para Windows, mas também para Linux e Unix.
Ver abaixo na secção de referências para saber mais sobre o que significa ‘efémero’.são usados apenas para aquela sessão. Uma vez a sessão dissolvida, as portas são colocadas de volta no pool para reutilização. Isto aplica-se não só ao Windows, mas também ao Linux, Unix e outros sistemas operativos. Veja abaixo na seção de referências para saber mais sobre o que significa ‘efêmero’.
O gráfico seguinte mostra o que são as portas efêmeras dependendo da versão do SO, e para que elas são usadas.
| Window 2003, Windows XP, e Windows 2000 |
TCP & UDP |
1024-5000 | Portas de resposta efémera de serviço dinâmico |
| Windows 2008/Vista e mais recentes | TCP & UDP 49152-65535 | Portas de Resposta Efêmera do Serviço Dinâmico | |
| TCP Efêmero Dinâmico | Replicação, Autenticação de usuário e computador, Política de grupo, Trusts | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| Efêmero Dinâmico UDP | Política de grupo | DCOM, RPC, EPM |
Se o cenário for um cenário de modo misto NT4 & Cenário Active Directory com NT4 BDCs, então o seguinte deve ser aberto:
| TCP & UDP 1024 – 65535 | NT4 BDC para Windows 2000 ou controlador de domínio mais recente comunicações PDC-E | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
See, não foi assim tão simples?
A lista curta sem explicações de portas:
| Protocolo | Porta |
| TCP | 25 |
| TCP | 42 |
| TCP | 135 |
| TCP | 137 |
| TCP | 139 |
| TCP e UDP | 389 |
| TCP | 636 |
| TCP | 3268> |
| TCP | 3269 |
| TCP e UDP | 88 |
| TCP e UDP | 53 |
| TCP e UDP | 445 |
| TCP | 9389 |
| TCP | 5722 |
| TCP e UDP | 464 |
| UDP | 123 |
| UDP | 137 |
| UDP | 138 |
| UDP | 67 |
| UDP | 2535 |
| TCP & UDP | 1024-5000 |
| TCP & UDP | 49152-65535 |
Se o cenário for um modo misto NT4 & Cenário Active Directory com NT4 BDC:
As seguintes portas efémeras devem ser abertas (sim, é praticamente todo o intervalo):
| TCP & UDP | 1024-65535 |
Restringir portas através de um Firewall
Você também tem a capacidade de restringir o tráfego de replicação DC para DC, e as comunicações DC para cliente, para uma porta específica. Tenha em mente que também depende de quais portas e serviços você vai querer restringir. Ao escolher esta opção, você deve especificar as portas corretas para o serviço correto.
Depende de quais portas e serviços você quer restringir?
Método 1
Isso é usado para definir a porta de replicação AD específica. Por padrão, ele usa a porta dinâmica para replicar dados de DC em um site para outro.
Isso é aplicável para restringir a replicação do AD para um intervalo de portas específico.
Procedimento: Modificar o registro para selecionar uma porta estática. Tráfego de replicação de diretório e tráfego RPC cliente para uma porta específica
http://support.microsoft.com/kb/224196
Método 2
Para configurar o intervalo de portas no Firewall do Windows.
Netsh – use os seguintes exemplos para definir um intervalo de portas inicial, e número de portas após ele para usar
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
A gama de portas dinâmicas padrão para TCP/IP mudou no Windows Vista e no Windows Server 2008
http://support.microsoft.com/kb/929851
Modificar o registro
Esta é para comunicações de serviços do Windows. Também afecta as comunicações AD.
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Como configurar a alocação de portas dinâmicas RPC para trabalhar com firewalls
http://support.microsoft.com/kb/154596/en-us
Aqui estão alguns links relacionados com a restrição de portas de replicação AD.
Fio de referência:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
Requisitos da porta de Firewall do RODC
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Replicação Diretório Ativo sobre Firewalls
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – “Read only Domain Controllers” têm seus próprios requisitos de porta
|
Tráfego
|
Tipo de tráfego |
| UDP 53 DNS | DNS |
| TCP 53 DNS | DNS |
| TCP 135 | RPC, EPM |
| TCP Static 53248 | FRsRpc |
| TCP 389 | LDAP |
| TCP e UDP Dynamic 1025 – 5000 |
Windows 2000, Windows 2003, Portos Efémeros Windows XP |
| TCP e UDP Dynamic 49152 – 65535 | Windows 2008, Windows Vista e todos os sistemas operativos mais recentes Portos Efémeros |
Desenho de RODCs na Rede Perimetral
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Restrição do tráfego de replicação do Active Directory e tráfego RPC do cliente para uma porta específica
http://support.microsoft.com/kb/224196
Bom discussão sobre portas RODC e firewall necessárias:
http://forums.techarena.in/active-directory/1303925.htm
Outras informações sobre como a autenticação RODC funciona ajudarão a entender as portas:
Entendendo autenticação “Read Only Domain Controller”
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
Como configurar um firewall para domínios e trusts
http://support.microsoft.com/kb/179442
Requisitos de portas de serviços de domínios Active Directory e Active Directory, Atualizado: 18 de junho de 2009 (inclui novas portas efêmeras atualizadas para Windows Vista/2008 e mais recentes). Isto também discute os requisitos de portas RODC. Você também deve ter certeza de que as portas efêmeras estão abertas. Elas são:
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Windows 2008, 2008 R2, Vista e Windows 7 A gama de portas efémeras mudou em relação às portas usadas pelo Windows 2003 Windows XP, e Windows 2000. O efêmero padrão (portas de resposta dinâmica de serviço aleatória) são UDP 1024 – 65535 (Veja KB179442 abaixo), mas para Vista e Windows 2008 é diferente. O intervalo de portas de arranque por defeito é de UDP 49152 a UDP 65535 (ver KB929851 abaixo).
Quoted from KB929851 (link afixado abaixo): “Para cumprir as recomendações da Internet Assigned Numbers Authority (IANA), a Microsoft aumentou o intervalo de portas dinâmicas do cliente para conexões de saída no Windows Vista e no Windows Server 2008. A nova porta de início padrão é 49152, e a porta de fim padrão é 65535. Esta é uma mudança da configuração das versões anteriores do Microsoft Windows que usavam um intervalo de portas padrão de 1025 a 5000.”
Windows Vista, Windows 7, Windows 2008 e Windows 2008 R2 Service Response Ports (portas efêmeras) foram alteradas.
http://support.microsoft.com/?kbid=929851
Active Directory and Firewall Ports – Achei difícil encontrar uma lista definitiva na Internet para quais portas precisavam ser abertas para o Active Directory para replicação entre Firewalls. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Active Directory Replication over Firewalls, 31 de Janeiro de 2006. (inclui portas efémeras anteriores ao Windows Vista/2008)
http://technet.microsoft.com/en-us/library/bb727063.aspx
Como Funcionam Domínios e Florestas
Abém mostra uma lista de portas necessárias.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
>
Blog de Paul Bergson sobre as Portas de Replicação e Firewall AD
http://www.pbbergs.com/windows/articles/FirewallReplication.html
>
Mudar portas de Acesso DS
>
Configurando um Firewall de Intranet para Exchange 2003, 14 de abril de 2006.
Portas de protocolo necessárias para o firewall da intranet e portas necessárias para comunicações Active Directory e Kerberos
http://technet.microsoft.com/en-us/library/bb125069.aspx
Leitura adicional
Restrição do tráfego de replicação Active Directory e cliente RPC …Restringindo o tráfego de replicação Active Directory e cliente RPC a uma … porta única, e você reinicia o serviço Netlogon no controlador de domínio. …
http://support.microsoft.com/kb/224196
Como restringir o tráfego de replicação FRS para uma porta estática específica – Como restringir o tráfego de replicação FRS para uma porta estática específica …Os controladores de domínio e servidores baseados no Windows 2000 usam FRS para replicar a política do sistema …
http://support.microsoft.com/kb/319553
Algumas firewalls podem rejeitar o tráfego de rede originado de computadores baseados no Windows Server 2003 Service Pack 1 ou baseados no Windows Vista
Este KB indica que as firewalls Checkpoint têm um problema com comunicações AD.
http://support.microsoft.com/?kbid=899148
Checkpoint Firewall e tráfego de Comunicações e Replicação AD, DNS e RPC
Checkpoint firewalls têm um problema conhecido se você estiver executando a versão R55 ou mais antiga. Você precisará fazer uma entrada de registro para permitir que o tráfego flua entre os 2 sites através do vpn. A solução preferida é actualizar o firewall Checkpoint.
Mais informações:
Alguns firewalls podem rejeitar o tráfego de rede originado de computadores baseados no Windows Server 2003 Service Pack 1 ou baseados no Windows Vista
(Este link diz respeito e ajuda a resolver o problema do Checkpoint)
http://support.microsoft.com/?kbid=899148
Nota de um poster na Internet com um firewall Checkpoint:
Para o controlador de domínio remoto Windows 2003 R2 e não-R2 adicionámos a entrada Server2003NegociateDisable em
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
Eu sei que gostaste de ler isto.
Bem, quer tenha ou não, pelo menos agora sabe o que fazer para que funcione.
Comentários, sugestões e correcções são bem-vindos!
==================================================================
Sumário
Espero que isto ajude!
Data de publicação original: 11/1/2011
Actualizado 11/4/2014
Ace Fekay
MVP, MCT, MCSE 2012, MCITP EA &MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
Lista Completa de Blogs Técnicos: http://www.delawarecountycomputerconsulting.com/technicalblogs.php
Este post é fornecido como está sem garantias e não confere direitos.