Znovu je tu Ace. Napadlo mě pročistit a znovu zveřejnit svůj blog o požadavcích na porty AD. Ano, jsou rozsáhlé, ke zděšení síťové skupiny ve vaší organizaci. Ale je to tak, jak to je, a je to to, co musíme dodržovat, aby služba AD fungovala.
Server RPC není k dispozici? Chyby replikace v Prohlížeči událostí? Zní vám to povědomě?“
Jestliže ano, podlehli jste skutečnosti a uvědomili jste si, že jsou možná blokovány potřebné porty, které způsobují tyto známé chyby komunikace AD. Ať už mezi lokalitami s blokováním portů firewallu/VPN tunelu, bránou Windows Firewall (která obvykle není viníkem, protože se automaticky nakonfiguruje pro roli počítače a jeho aktuální umístění v síti), nebo dokonce bezpečnostním softwarem či antivirovou aplikací s povolenou nějakou funkcí „ochrany síťového provozu“, která způsobuje problém.
Zjednodušeně řečeno, pokud dochází k problémům s replikací nebo jinou komunikací AD a máte na koncových bodech nebo na všech DC nainstalovaný antivirový software, zakažte ho nebo ještě lépe odinstalujte. Jeho odinstalování je nejlepší volbou, abyste věděli, že neexistují žádné stopy po dalších aktivních dílčích součástech, které mohou stále způsobovat blokování. Pokud po jeho odinstalování zjistíte, že replikace nyní funguje, tak to máte. V tu chvíli se budete muset obrátit na dodavatele antiviru a zeptat se ho, jak jej nejlépe nakonfigurovat, aby komunikaci a replikaci AD povolil.
Pokud to není vaším antivirem nebo bezpečnostní aplikací a vypnutí firewallu Windows nepomůže, pak je zřejmé, že jde o vnější faktor – vaše okrajové/perimetrické firewally.
Také upozorňuji, že při testování blokování portů nejsou nástroje jako telnet vhodným nástrojem pro testování konektivity mezi AD/DC a DC, stejně jako jakýkoli standardní sken portů, například pomocí nmap nebo jednoduchého pingu, řešení pomocí nslookup (i když řešení požadovaných záznamů je podmínkou) nebo jiných nástrojů. Jediným spolehlivým testem je použití nástroje PortQry společnosti Microsoft, který testuje konkrétní porty AD a efemerní porty a požadované odpovědi služeb na požadovaných portech AD, které konkrétně skenuje.
AD přes NAT? Ne. Tečka.
Oh, a nečekejte, že to bude fungovat přes NAT. Brány NAT nedokážou překládat šifrovaný provoz RPC, a proto vykostí komunikaci LDAP.
Popis hranic podpory pro Active Directory přes NAT
http://support.microsoft.com/kb/978772
Jak nakonfigurovat dynamické přidělování portů RPC, aby fungovalo s firewally“
Komunikace RPC nebude fungovat přes překlad portů NAT, například nelze použít DCOM přes firewall NAT, který provádí překlad adres (např.např. když se klient připojuje na virtuální adresu 198.252.145.1, kterou firewall transparentně mapuje na skutečnou vnitřní IP adresu serveru, např. 192.100.81.101). Je to proto, že DCOM ukládá surové adresy IP v paketech marshalingu rozhraní, a pokud se klient nemůže připojit k adrese uvedené v paketu, nebude fungovat.“
Citováno z: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT Does Not Translate Netlogon Traffic (this applies to all DCs)
Citováno: „NAT systému Windows 2000 nepodporuje Netlogon a překládá Kerberos. Pokud máte klienty, kteří jsou umístěni za serverem NAT se systémem Windows 2000 a potřebují přístup k doménovým prostředkům, zvažte vytvoření tunelu virtuální privátní sítě (VPN) pro směrování a vzdálený přístup pro provoz Netlogon nebo upgrade klientů na systém Windows 2000.“
Citováno z: http://support.microsoft.com/kb/263293
*
Ok, zjistíme, zda jsou porty blokovány
Teď si říkáte, že vaši inženýři síťové infrastruktury vědí, co dělají, a otevřeli potřebné porty, takže si říkáte, že to nemůže být důvod, nebo ano? No, pojďme to zjistit. Můžeme to otestovat pomocí nástroje PortQry. A ne, nechcete použít ping, nslookup, nmap ani žádný jiný skener portů, protože nejsou určeny k dotazování potřebných portů AD, abyste zjistili, zda odpovídají, nebo ne.
Spusťme tedy PortQry:
Nejprve si jej stáhněte:
PortQryUI – GUI – Version 2.0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
Poté spusťte volbu „Domains & Trusts“ mezi DC, nebo mezi DC a libovolným strojem (jinými servery, které chcete povýšit, nebo dokonce z klientského stroje), nebo z můstků v každé lokalitě do druhého můstku v druhé lokalitě, v podstatě kdekoli, kde chcete otestovat, zda nejsou zablokovány porty AD.
Jde o to, že to budete chtít spustit v jakémkoli scénáři, kdy DC musí komunikovat s jiným DC nebo s klientem.
Pokud se zobrazí nějaké chyby s „NOTLISTENING“, 0x00000001 a 0x00000002, znamená to, že je blokovaný port. Všimněte si, o které porty se jedná.
Zprávy UDP 389 a UDP 88 můžete ignorovat. Pokud se zobrazí chyby TCP 42, znamená to pouze, že na cílovém serveru neběží WINS.
PortQry Reference
Knock Knock Is That Port Open?
Od Marka Morowczynského 18. 4. 2011, Rychlý návod o grafické verzi PortQry.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
„Občas se mohou objevit chyby jako Server RPC je nedostupný nebo Nejsou k dispozici žádné další koncové body z mapovače koncových bodů …“
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
Jak používat Portqry k řešení problémů s připojením k Active Directory
http://support.microsoft.com/kb/816103
Pokud chcete používat pouze verzi pro příkazový řádek:
Podrobnosti ke stažení: PortQry pouze pro příkazový řádek verze 2.0
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
Pochopení portqry a výstupu příkazu: Nové vlastnosti a funkce ve verzi 2.0 nástroje PortQry
http://support.microsoft.com/kb/832919
Popis nástroje Portqry.exe pro příkazový řádek
http://support.microsoft.com/kb/310099
Poznámky k nástroji Portqry
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
Komunikace mezi DC a DC a klientem vyžaduje množství portů
Není to žádné tajemství. Takto to mohu vyjádřit nejjednodušeji.
A seznam požadovaných portů je dlouhý, ke zděšení týmů inženýrů síťové infrastruktury, kteří musí porty požadovat, aby umožnili komunikaci AD, replikaci atd. tyto porty musí být otevřeny. Jinak se toho opravdu moc dělat nedá.
Tady je seznam s vysvětlením jednotlivých portů:
|
Protokol a port
|
Používání AD a AD DS | Typ provozu | |
| TCP 25 | Replikace | SMTP | . |
| TCP 42 | Při použití WINS ve scénáři důvěryhodné domény nabízející NetBIOS překlad | WINS | |
| TCP 135 | Replikace | RPC, EPM | |
| TCP 137 | NetBIOS Name resolution | NetBIOS Name resolution | |
| TCP 139 | Autentizace uživatele a počítače, Replikace | DFSN, NetBIOS Session Service, NetLogon | |
| TCP a UDP 389 | Adresář, replikace, ověřování uživatele a počítače, skupinová politika, důvěryhodnost | LDAP | |
| TCP 636 | Adresář, replikace, ověřování uživatele a počítače, Zásady skupiny, důvěryhodnost | LDAP SSL | |
| TCP 3268 | Adresář, replikace, ověřování uživatele a počítače, zásady skupiny, důvěryhodnost | LDAP GC | |
| TCP 3269 | Adresář, replikace, ověřování uživatele a počítače, zásady skupiny, Trusty | LDAP GC SSL | |
| TCP a UDP 88 | Ověřování uživatelů a počítačů, Důvěryhodnost na úrovni lesa | Kerberos | |
| TCP a UDP 53 | Ověřování uživatele a počítače, překlad jmen, důvěryhodnost | DNS | |
| TCP a UDP 445 | Replikace, Ověřování uživatelů a počítačů, zásady skupiny, důvěryhodnost | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc | |
| TCP 9389 | Webové služby AD DS | SOAP | |
| TCP 5722 | Replikace souborů | RPC, DFSR (SYSVOL) | |
| TCP a UDP 464 | Replikace, autentizace uživatele a počítače, Trusty | Kerberos změna/nastavení hesla | |
| UDP 123 | Windows Time, Trusty | Windows Time | |
| UDP 137 | Ověřování uživatele a počítače | NetLogon, NetBIOS Name Resolution | |
| UDP 138 | DFS, Group Policy, NetBIOS Netlogon, Browsing | DFSN, NetLogon, NetBIOS Datagram Service | |
| UDP 67 a UDP 2535 | DHCP (Pozn: DHCP není základní službou AD DS, ale tyto porty mohou být nezbytné pro jiné funkce než DHCP, například WDS) | DHCP, MADCAP, PXE |
A nikdy nesmíme zapomenout na efemérní porty!!
A především na efemérní porty, nebo také známé jako „porty pro odezvu služby“, které jsou nutné pro komunikaci. Tyto porty jsou dynamicky vytvářeny pro odezvy relace pro každého klienta, který navazuje relaci, (bez ohledu na to, o jakého „klienta“ se jedná), a to nejen pro systém Windows, ale i pro Linux a Unix.
Podívejte se níže do sekce odkazy, kde se dozvíte více o tom, co znamená „efemérní“. jsou používány pouze pro danou relaci. Po rozpuštění relace se porty vrátí do fondu pro opětovné použití. To platí nejen pro Windows, ale i pro Linux, Unix a další operační systémy. Více informací o tom, co znamená „efemerní“, naleznete níže v části odkazy.
Následující tabulka ukazuje, jaké jsou efemerní porty v závislosti na verzi operačního systému a k čemu se používají.
| Windows 2003, Windows XP, a Windows 2000 |
TCP & UDP |
1024-5000 | Efemerní porty odezvy dynamických služeb |
| Windows 2008/Vista a novější | TCP & UDP 49152-65535 | Efemerní porty odezvy dynamických služeb | |
| TCP Dynamic Ephemeral | Replikace, Ověřování uživatelů a počítačů, Zásady skupiny, Trusty | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| UDP Dynamic Ephemeral | Zásady skupiny | DCOM, RPC, EPM |
Je-li scénářem scénář se smíšeným režimem NT4 & Active Directory s NT4 BDC, pak je třeba otevřít následující:
| TCP & UDP 1024 – 65535 | Komunikace NT4 BDC s řadičem domény PDC-E systému Windows 2000 nebo novějším | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
Vidíte, nebylo to jednoduché?
Krátký seznam bez vysvětlení portů:
| Protokol | Port |
| TCP | 25 |
| TCP | 42 |
| TCP | 135 |
| TCP | 137 |
| TCP | 139 |
| TCP a UDP | 389 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
| TCP a UDP | 88 |
| TCP a UDP | 53 |
| TCP a UDP | 445 |
| TCP | 9389 |
| TCP | 5722 |
| TCP a UDP | 464 |
| UDP | 123 |
| UDP | 137 |
| UDP | 138 |
| UDP | 67 |
| UDP | 2535 |
| TCP & UDP | 1024-5000 |
| TCP & UDP | 49152-65535 |
Pokud se jedná o scénář Mixed-Mode NT4 & Active Directory s NT4 BDC:
Následující efemerní porty musí být otevřeny (ano, je to téměř celý rozsah):
| TCP & UDP | 1024-65535 |
Omezení portů přes firewall
Máte také možnost omezit provoz replikace mezi DC a komunikaci mezi DC a klienty na určité porty. Mějte na paměti, že záleží také na tom, jaké porty a služby budete chtít omezit. Při výběru této možnosti musíte zadat správné porty pro správnou službu.
Záleží na tom, jaké porty a služby chcete omezit.
Způsob 1
Tento způsob slouží k nastavení konkrétního portu replikace AD. Ve výchozím nastavení se pro replikaci dat z DC v jedné lokalitě do druhé používá dynamický port.
Použije se pro omezení replikace AD na konkrétní rozsah portů.
Postup: Úprava registru pro výběr statického portu.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Omezení aktivního. Directory replication traffic a klientský RPC traffic na určitý port
http://support.microsoft.com/kb/224196
Metoda 2
Tato metoda slouží ke konfiguraci rozsahu portů v bráně Windows Firewall.
Netsh – pro nastavení počátečního rozsahu portů použijte následující příklady, a počet portů za ním, které se mají použít
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
V systému Windows Vista a v systému Windows Server 2008 se změnil výchozí dynamický rozsah portů pro protokol TCP/IP
http://support.microsoft.com/kb/929851
Úprava registru
Toto je pro komunikaci služeb systému Windows. Ovlivňuje také komunikaci AD.
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Jak nakonfigurovat dynamické přidělování portů RPC pro práci s firewally
http://support.microsoft.com/kb/154596/en-us
Zde jsou některé související odkazy na omezení portů replikace AD.
Vlákno odkazů:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
Požadavky na porty firewallu RDC
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Replikace služby Active Directory přes brány firewall
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – „řadiče domény pouze pro čtení“ mají vlastní požadavky na port
|
. Provoz
|
Typ provozu |
| UDP 53 DNS | DNS |
| TCP 53 DNS | DNS |
| TCP 135 | RPC, EPM |
| TCP Statický 53248 | FRsRpc |
| TCP 389 | LDAP |
| TCP a UDP Dynamický 1025 – 5000 |
Windows 2000, Windows 2003, Windows XP Efemérní porty |
| TCP a UDP Dynamické 49152 – 65535 | Windows 2008, Windows Vista a všechny novější operační systémy Efemérní porty |
Navržení RODC v obvodové síti
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Omezení provozu replikace služby Active Directory a klientského provozu RPC na určitý port
http://support.microsoft.com/kb/224196
Dobrá diskuse o RODC a potřebných portech brány firewall:
http://forums.techarena.in/active-directory/1303925.htm
Další informace o fungování ověřování RODC pomohou pochopit porty:
Pochopení ověřování „Read Only Domain Controller“
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
Jak nakonfigurovat bránu firewall pro domény a trusty
http://support.microsoft.com/kb/179442
Požadavky na porty služby Active Directory a Active Directory Domain Services, aktualizováno: června 2009 (obsahuje aktualizované nové efemerní porty pro Windows Vista/2008 a novější). Pojednává také o požadavcích na porty RODC. Musíte se také ujistit, že jsou otevřeny efemérní porty. Jsou to:
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Rozsah efemerálních portů systému Windows 2008, 2008 R2, Vista a Windows 7 se změnil oproti portům používaným v systémech Windows 2003 Windows XP a Windows 2000. Výchozí efemerní porty (porty dynamické odezvy náhodné služby) jsou UDP 1024 – 65535 (viz KB179442 níže), ale pro Windows Vista a Windows 2008 jsou jiné. Jejich výchozí rozsah startovacích portů je UDP 49152 – UDP 65535 (viz KB929851 níže).
Citováno z KB929851 (odkaz zveřejněn níže): „V systému Windows Vista a v systému Windows Server 2008 společnost Microsoft zvýšila rozsah dynamických klientských portů pro odchozí připojení, aby vyhověla doporučením úřadu IANA (Internet Assigned Numbers Authority). Nový výchozí počáteční port je 49152 a výchozí koncový port je 65535. Jedná se o změnu oproti konfiguraci dřívějších verzí systému Microsoft Windows, které používaly výchozí rozsah portů 1025 až 5000.“
U systémů Windows Vista, Windows 7, Windows 2008 a Windows 2008 R2 se změnily porty pro odezvu na služby (efemerní porty).
http://support.microsoft.com/?kbid=929851
Porty služby Active Directory a brány firewall – na internetu jsem těžko hledal jednoznačný seznam portů, které je třeba otevřít pro replikaci služby Active Directory mezi branami firewall. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Replikace služby Active Directory přes brány Firewall, 31. ledna 2006. (zahrnuje i starší efemerní porty před systémem Windows Vista/2008)
http://technet.microsoft.com/en-us/library/bb727063.aspx
Jak fungují domény a lesy
Také uvádí seznam potřebných portů.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
Blog Paula Bergsona o replikaci AD a portech brány firewall
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Porty přístupu k Exchange DS
Konfigurace brány firewall intranetu pro Exchange 2003, 14. dubna 2006.
Porty protokolů vyžadované pro intranetový firewall a porty vyžadované pro komunikaci Active Directory a Kerberos
http://technet.microsoft.com/en-us/library/bb125069.aspx
Další čtení
Omezení provozu replikace Active Directory a klientského RPC …Omezení provozu replikace Active Directory a klientského RPC na … jedinečný port a restartujete službu Netlogon na řadiči domény. …
http://support.microsoft.com/kb/224196
Jak omezit provoz replikace FRS na konkrétní statický port – Jak omezit provoz replikace FRS na konkrétní statický port … Řadiče domény a servery se systémem Windows 2000 používají FRS k replikaci systémových zásad …
http://support.microsoft.com/kb/319553
Některé brány firewall mohou odmítat síťový provoz pocházející z počítačů se systémem Windows Server 2003 Service Pack 1 nebo Windows Vista
Tento KB označuje brány firewall Checkpoint, které mají problém s komunikací AD.
http://support.microsoft.com/?kbid=899148
Brána firewall Checkpoint a komunikace a replikace AD, DNS a RPC
Brány firewall Checkpoint mají známý problém, pokud používáte verzi R55 nebo starší. Budete muset vytvořit položku v registru, která umožní tok provozu mezi 2 weby prostřednictvím vpn. Preferovaným řešením je aktualizace firewallu Checkpoint.
Další informace:
Některé brány firewall mohou odmítat síťový provoz, který pochází z počítačů se systémem Windows Server 2003 Service Pack 1 nebo Windows Vista
(Tento odkaz se týká a pomáhá řešit problém s bránou Checkpoint)
http://support.microsoft.com/?kbid=899148
Poznámka od jednoho z přispěvatelů na internetu s bránou firewall Checkpoint:
Pro Windows 2003 R2 a vzdálený řadič domény jiný než R2 jsme přidali položku Server2003NegotiateDisable do
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
Vím, že jste si to rádi přečetli.
Ať už ano nebo ne, alespoň už víte, co udělat, aby to fungovalo.
Komentáře, návrhy a opravy jsou vítány!
==================================================================
Souhrn
Doufám, že to pomůže!
Datum původního zveřejnění: 11/1/2011
Aktualizováno 11/4/2014
Ace Fekay
MVP, MCT, MCSE 2012, MCITP EA & MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
Úplný seznam technických blogů: http://www.delawarecountycomputerconsulting.com/technicalblogs.php
Tento příspěvek je poskytován tak, jak je, bez jakýchkoli záruk nebo garancí a nezakládá žádná práva.