Ace her igen. Jeg tænkte at rydde op og genudgive min blog om AD-porte krav. Ja, de er omfattende, til stor forfærdelse for netværksgruppen i din organisation. Men det er hvad det er, og det er hvad vi er nødt til at følge for at få AD til at fungere.
RPC-server ikke tilgængelig? Replikationsfejl i hændelsesviseren? Lyder det bekendt?
Hvis det er tilfældet, er du blevet bukket under og indset, at der muligvis er nødvendige porte, der er blokeret, hvilket forårsager disse velkendte AD-kommunikationsfejl. Uanset om det er mellem steder med firewall/VPN-tunnelportblokeringer, Windows Firewall (som normalt ikke er synderen, fordi de vil automatisk konfigurere til maskinens rolle og dens aktuelle netværksplacering) eller endda sikkerhedssoftware eller antivirusprogrammer med en eller anden form for “netværkstrafikbeskyttelse”-funktion aktiveret, der forårsager problemet.
Simpelt sagt, hvis der er replikering eller andre AD-kommunikationsproblemer, og du har et antivirusprogram installeret på slutpunkterne eller installeret på alle dine DC’er, skal du deaktivere det, eller endnu bedre, afinstallere det. At afinstallere det er det bedste bud, så du ved, at der ikke er spor af andre delkomponenter, der er aktive, som stadig kan forårsage blokaden. Hvis du efter at have afinstalleret det, og du finder replikering nu virker, ja, så har du det. På det tidspunkt skal du kontakte din antivirusleverandør for at spørge dem om den bedste måde at konfigurere den på, så den tillader AD-kommunikation og replikering.
Hvis det ikke er dit antivirus- eller sikkerhedsprogram, og hvis det ikke hjælper at deaktivere Windows-firewallen, så er det indlysende, at det er en ekstern faktor – dine edge/perimeterfirewalls.
Også for at påpege, at når du tester for portblokeringer, er værktøjer som telnet ikke et godt værktøj til at teste AD/DC til DC-forbindelse, og det er heller ikke nogen form for standardportscanning, som f.eks. ved hjælp af nmap eller en simpel ping, opløsning med nslookup (selvom opløsning af nødvendige poster er en forudsætning) eller andre værktøjer. Den eneste pålidelige test er at bruge Microsofts PortQry, som tester specifikke AD-porte og de efemerale porte og de krævede svar fra tjenesterne på de krævede AD-porte, som den specifikt scanner efter.
AD gennem en NAT? Niks. Punktum.
Oh, og du skal ikke forvente at få det til at virke gennem en NAT. NAT’er kan ikke oversætte den krypterede RPC-trafik og dermed knække LDAP-kommunikationen.
Beskrivelse af supportgrænser for Active Directory over NAT
http://support.microsoft.com/kb/978772
Sådan konfigurerer du dynamisk RPC-porttildeling til at fungere med firewalls”
AD-kommunikation vil ikke fungere gennem en NAT-portoversættelse, ligesom du ikke kan bruge DCOM gennem en NAT-firewall, der udfører adresseoversættelse (f.eks.f.eks. hvor en klient opretter forbindelse til den virtuelle adresse 198.252.145.1, som firewall’en på gennemsigtig vis mapper til serverens faktiske interne IP-adresse på f.eks. 192.100.81.101). Dette skyldes, at DCOM gemmer rå IP-adresser i interface marshaling-pakkerne, og hvis klienten ikke kan oprette forbindelse til den adresse, der er angivet i pakken, vil det ikke fungere.”
Citeret fra: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT Does Not Translate Netlogon Traffic (this applies to all DCs)
Citeret fra: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT Does Not Translate Netlogon Traffic (this applies to all DCs)
Citeret: “Windows 2000 NAT understøtter ikke Netlogon og oversætter Kerberos. Hvis du har klienter, der befinder sig bag en Windows 2000-baseret NAT-server, og som har brug for adgang til domæneressourcer, skal du overveje at oprette en VPN-tunnel (Virtual Private Network) for Routing and Remote Access til Netlogon-trafik, eller opgradere klienterne til Windows 2000.”
Citeret fra: http://support.microsoft.com/kb/263293
*
Ok, lad os finde ud af, om portene er blokeret
Nu tænker du, at dine netværksinfrastrukturteknikere ved, hvad de gør, og har åbnet de nødvendige porte, så du tænker, at det kan ikke være årsagen? eller er det? Nå, lad os finde ud af det. Vi kan bruge PortQry til at teste det. Og nej, du skal ikke bruge ping, nslookup, nmap eller andre portscannere, for de er ikke designet til at forespørge på de nødvendige AD-porte for at se, om de svarer eller ej.
Så lad os køre PortQry:
Først skal du downloade det:
PortQryUI – GUI – Version 2.0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
Kør derefter indstillingen “Domains & Trusts” mellem DC’er, eller mellem DC’er og enhver maskine (andre servere, du ønsker at fremme, eller endda fra en klientmaskine), eller fra brohovederne på hvert sted til det andet brohoved på det andet sted.., stort set alle steder, hvor du ønsker at teste, om der er blokeret AD-porte.
Punktet er, at du ønsker at køre det i ethvert scenarie, hvor en DC skal kommunikere til en anden DC eller til en klient.
Hvis du får fejl med “NOTLISTENING”, 0x00000001 og 0x00000002, betyder det, at der er en portblokering. Vær opmærksom på, hvilke porte det drejer sig om.
Du kan ignorere UDP 389- og UDP 88-meddelelser. Hvis du ser TCP 42-fejl, betyder det bare, at WINS ikke kører på målserveren.
PortQry-referencer
Knock Knock Knock Is That Port Open?
Af Mark Morowczynski 18 Apr 2011, Hurtig vejledning om PortQry GUI-versionen.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
“Til tider kan du se fejl som The RPC server is unavailable or There are no more endpoints available from the endpoint mapper …”
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
Sådan bruger du Portqry til fejlfinding af Active Directory-forbindelsesproblemer
http://support.microsoft.com/kb/816103
Hvis du kun vil bruge kommandolinje-versionen:
Download detaljer: PortQry Command Line Only Port Scanner Version 2.0
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
Forstå portqry og kommandoens output: Nye funktioner og funktionalitet i PortQry version 2.0
http://support.microsoft.com/kb/832919
Beskrivelse af kommandolinjeværktøjet Portqry.exe
http://support.microsoft.com/kb/310099
Portqry Bemærkninger
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
Kommunikation mellem DC til DC og DC til klient kræver talrige porte
Der er ingen hemmelighed. Det er det enkleste, jeg kan sige det.
Og listen over de porte, der kræves, er lang, til stor forfærdelse for de tekniske teams for netværksinfrastruktur, der skal bequest porte for at give AD mulighed for at kommunikere, replikere osv. disse porte skal åbnes. Der er virkelig ikke meget, der kan gøres ellers.
Her er listen med en forklaring på hver port:
|
Protokol og port
|
AD og AD DS-anvendelse | Type af trafik |
| TCP 25 | Replikation | SMTP |
| TCP 42 | Ved brug af WINS i et domænetillidsscenarie, der tilbyder NetBIOS-opløsning | WINS |
| TCP 135 | Replikation | RPC, EPM |
| TCP 137 | NetBIOS-navnopløsning | NetBIOS-navnopløsning |
| TCP 139 | Autentifikation af brugere og computere, Replikation | DFSN, NetBIOS-sessionstjeneste, NetLogon |
| TCP og UDP 389 | Katalog, replikation, bruger- og computergodkendelse, gruppepolitik, tillid | LDAP |
| TCP 636 | Katalog, replikation, bruger- og computergodkendelse, Gruppepolitik, Tillid | LDAP SSL |
| TCP 3268 | Katalog, replikation, bruger- og computergodkendelse, Gruppepolitik, Tillid | LDAP GC |
| TCP 3269 | Katalog, replikation, bruger- og computergodkendelse, Gruppepolitik, Trusts | LDAP GC SSL |
| TCP og UDP 88 | Godkendelse af brugere og computere, Forest Level Trusts | Kerberos |
| TCP og UDP 53 | Bruger- og computergodkendelse, navneopløsning, Trusts | DNS |
| TCP og UDP 445 | Replikation, Bruger- og computergodkendelse, gruppepolitik, tillid | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP 9389 | AD DS Web Services | SOAP |
| TCP 5722 | File Replication | RPC, DFSR (SYSVOL) |
| TCP og UDP 464 | Replikation, bruger- og computergodkendelse, Trusts | Kerberos ændre/indstille adgangskode |
| UDP 123 | Windows Time, Trusts | Windows Time |
| UDP 137 | Godkendelse af brugere og computere | NetLogon, NetBIOS-navnopløsning |
| UDP 138 | DFS, Gruppepolitik, NetBIOS Netlogon, Browsing | DFSN, NetLogon, NetBIOS Datagramtjeneste |
| UDP 67 og UDP 2535 | DHCP (Bemærk: DHCP er ikke en central AD DS-tjeneste, men disse porte kan være nødvendige for andre funktioner ud over DHCP, f.eks. WDS) | DHCP, MADCAP, PXE |
Og vi må aldrig glemme de efemerale porte!!
Og vigtigst af alt, de efemerale porte, eller også kendt som “service response ports”, som er nødvendige for kommunikation. Disse porte oprettes dynamisk til sessionssvar for hver klient, der opretter en session (uanset hvilken “klient” der er tale om), og det gælder ikke kun for Windows, men også for Linux og Unix.
Se nedenfor i afsnittet om referencer for at få mere at vide om, hvad “ephemeral” betyder. kun bruges til den pågældende session. Når sessionen er opløst, lægges portene tilbage i puljen, så de kan genbruges. Dette gælder ikke kun for Windows, men også for Linux, Unix og andre operativsystemer. Se nedenfor i afsnittet om referencer for at få mere at vide om, hvad “ephemeral” betyder.
Den følgende tabel viser, hvad de ephemerale porte er afhængig af OS-versionen, og hvad de bruges til.
| Window 2003, Windows XP, og Windows 2000 |
TCP & UDP |
1024-5000 | Ephemeral Dynamic Service Response Ports |
| Windows 2008/Vista og nyere | TCP & UDP 49152-65535 | Ephemeral Dynamic Service Response Ports | |
| TCP Dynamic Ephemeral | Replikation, Bruger- og computergodkendelse, gruppepolitik, tillid | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| UDP Dynamisk Ephemeral | Gruppepolitik | DCOM, RPC, EPM |
Hvis scenariet er et Mixed-Mode NT4 & Active Directory-scenarie med NT4 BDC’er, så skal følgende åbnes:
| TCP & UDP 1024 – 65535 | NT4 BDC til Windows 2000 eller nyere domænecontroller PDC-E kommunikation | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, LDAP GC SSL, DNS, Kerberos, SMB |
See, var det ikke så enkelt?
Den korte liste uden portforklaringer:
| Protokol | Port |
| TCP | 25 |
| TCP | 42 |
| TCP | 135 |
| TCP | 137 |
| TCP | 137 |
| TCP | 139 |
| TCP og UDP | 389 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
| TCP og UDP | 88 |
| TCP og UDP | 53 |
| TCP og UDP | 445 |
| TCP | 9389 |
| TCP | 5722 |
| TCP og UDP | 464 |
| UDP | 123 |
| UDP | 137 |
| UDP | 138 |
| UDP | 67 |
| UDP | 2535 |
| TCP & UDP | 1024-5000 |
| TCP & UDP | 49152-65535 |
Hvis scenariet er et Mixed-Mode NT4 & Active Directory-scenarie med NT4 BDC:
De følgende Ephemeral-porte skal åbnes (ja, det er stort set hele området):
| TCP & UDP | 1024-65535 |
Begrænsning af porte på tværs af en firewall
Du har også mulighed for at begrænse DC til DC-replikationstrafik og DC til klientkommunikation til en bestemt port. Husk på, at det også afhænger af, hvilke porte og tjenester du ønsker at begrænse. Når du vælger denne mulighed, skal du angive de korrekte porte til den korrekte tjeneste.
Det afhænger af, hvilke porte og tjenester du vil begrænse?
Metode 1
Dette skal bruges til at indstille den specifikke AD-replikeringsport. Som standard bruger den dynamisk port til at replikere data fra DC på et sted til et andet.
Dette gælder for begrænsning af AD-replikering til et bestemt portområde.
Procedure: Ændre registreringsdatabasen for at vælge en statisk port.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametre
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parametre
Restriktion af aktiv Directory-replikeringstrafik og klient-RPC-trafik til en bestemt port
http://support.microsoft.com/kb/224196
Metode 2
Dette er til konfigurering af portområdet/portområderne i Windows Firewall.
Netsh – brug følgende eksempler til at indstille et startportområde, og antal porte efter det, der skal bruges
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
Det dynamiske standardportområde for TCP/IP er ændret i Windows Vista og i Windows Server 2008
http://support.microsoft.com/kb/929851
Modificer registreringsdatabasen
Dette er til kommunikation med Windows-tjenester. Det påvirker også AD-kommunikationen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Sådan konfigureres dynamisk RPC-porttildeling til at fungere med firewalls
http://support.microsoft.com/kb/154596/en-us
Her er nogle relaterede links til begrænsning af AD-replikatorporte.
Referencetråd:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
RODC Firewall-portkrav
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Active Directory Replication over firewalls
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – “Read only Domain Controllers” har deres egne portkrav
|
Trafik
|
Trafiktype | UDP 53 DNS | DNS | TCP 53 DNS | DNS |
| TCP 135 | RPC, EPM | TCP Statisk 53248 | FRsRpc | TCP 389 | LDAP |
| TCP og UDP Dynamisk 1025 – 5000 |
Windows 2000, Windows 2003, Windows XP Ephemeral Ports |
| TCP og UDP Dynamic 49152 – 65535 | Windows 2008, Windows Vista og alle nyere styresystemer Ephemeral Ports |
Designing RODCs in the Perimeter Network
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Begrænsning af Active Directory-replikeringstrafik og klient-RPC-trafik til en bestemt port
http://support.microsoft.com/kb/224196
God diskussion om RODC- og firewallporte påkrævet:
http://forums.techarena.in/active-directory/1303925.htm
Nærmere oplysninger om, hvordan RODC-godkendelse fungerer, vil hjælpe med at forstå portene:
Forståelse af “Read Only Domain Controller”-autentificering
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
Sådan konfigureres en firewall til domæner og trusts
http://support.microsoft.com/kb/179442
Active Directory og Active Directory Domain Services Portkrav, Opdateret:
18. juni 2009 (indeholder opdaterede nye efemerale porte til Windows Vista/2008 og nyere). Her behandles også RODC-portkrav. Du skal også sørge for, at de ephemerale porte er åbnet. De er:
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Windows 2008, 2008 R2, Vista og Windows 7 Ephemeral Port range har ændret sig i forhold til de porte, der blev brugt af Windows 2003 Windows XP og Windows 2000. Standardporte for ephemeral (random service dynamic response ports) er UDP 1024 – 65535 (se KB179442 nedenfor), men for Vista og Windows 2008 er det anderledes. Deres standardstartportområde er UDP 49152 til UDP 65535 (se KB929851 nedenfor).
Citat fra KB929851 (linket er vist nedenfor): “For at overholde IANA-anbefalingerne (Internet Assigned Numbers Authority) har Microsoft øget det dynamiske klientportområde for udgående forbindelser i Windows Vista og i Windows Server 2008. Den nye standardstartport er 49152, og standardslutporten er 65535. Dette er en ændring i forhold til konfigurationen i tidligere versioner af Microsoft Windows, hvor der blev anvendt et standardportområde på 1025 til 5000.”
Windows Vista, Windows 7, Windows 2008 og Windows 2008 R2 Service Response Ports (flygtige porte) er ændret.
http://support.microsoft.com/?kbid=929851
Active Directory og firewallporte – Jeg fandt det svært at finde en endelig liste på internettet over, hvilke porte der skal åbnes for Active Directory til replikering mellem firewalls. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Active Directory Replication over Firewalls, Jan 31, 2006. (indeholder ældre før-Windows Vista/2008 ephemeral ports)
http://technet.microsoft.com/en-us/library/bb727063.aspx
How Domains and Forests Work
Viser også en liste over de porte, der er nødvendige.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
Paul Bergsons blog om AD-replikering og firewallporte
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Exchange DS Access-porte
Konfigurering af en intranetfirewall til Exchange 2003, 14. april 2006.
Protokolporte, der kræves til intranetfirewallen, og porte, der kræves til Active Directory- og Kerberos-kommunikation
http://technet.microsoft.com/en-us/library/bb125069.aspx
Tillægslæsning
Begrænsning af Active Directory-replikationstrafik og klient-RPC …Begrænsning af Active Directory-replikationstrafik og klient-RPC-trafik til en … unik port, og du genstarter Netlogon-tjenesten på domænecontrolleren. …
http://support.microsoft.com/kb/224196
Sådan begrænser du FRS-replikatortrafik til en bestemt statisk port – Sådan begrænser du FRS-replikatortrafik til en bestemt statisk port … Windows 2000-baserede domænecontrollere og -servere bruger FRS til at replikere systempolitik …
http://support.microsoft.com/kb/319553
Somme firewalls afviser muligvis netværkstrafik, der stammer fra Windows Server 2003 Service Pack 1-baserede eller Windows Vista-baserede computere
Denne KB angiver Checkpoint-firewalls, der har et problem med AD-kommunikation.http://support.microsoft.com/?kbid=899148
Checkpoint Firewall og AD-, DNS- og RPC-kommunikation og replikeringstrafik
Checkpoint firewalls har et kendt problem, hvis du kører version R55 eller ældre. Du skal lave en post i registreringsdatabasen for at tillade trafikken at flyde mellem de 2 steder via vpn’en. Den foretrukne løsning er at opgradere Checkpoint-firewallen.
Mere info:
Nogle firewalls kan afvise netværkstrafik, der stammer fra Windows Server 2003 Service Pack 1-baserede eller Windows Vista-baserede computere
(Dette link relaterer til og hjælper med at løse Checkpoint-problemet)
http://support.microsoft.com/?kbid=899148
Note fra en plakat på internettet med en Checkpoint firewall:
For Windows 2003 R2 og ikke-R2 fjerndomænecontroller tilføjede vi posten Server2003NegotiateDisable i
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
Jeg ved, at du har haft glæde af at læse dette.
Og det gjorde du eller ej, så ved du i det mindste nu, hvad du skal gøre for at få det til at virke.
Kommentarer, forslag og rettelser er velkomne!
==================================================================
Summary
Jeg håber, at dette hjælper!
Original Publication Date: 11/1/2011
Opdateret 11/4/2014
Ace Fekay
MVP, MCT, MCSE 2012, MCITP EA & MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
Komplet liste over tekniske blogs: http://www.delawarecountycomputerconsulting.com/technicalblogs.php
Dette opslag leveres som det er uden garantier eller garantier og giver ingen rettigheder.