Ace hier wieder. Ich habe mir gedacht, meinen Blog über die Anforderungen an AD-Ports aufzuräumen und neu zu veröffentlichen. Ja, sie sind umfangreich, zum Leidwesen der Netzwerkgruppe in Ihrem Unternehmen. Aber es ist, was es ist, und es ist das, was wir befolgen müssen, damit AD funktioniert.
RPC-Server nicht verfügbar? Replikationsfehler in der Ereignisanzeige? Kommt Ihnen das bekannt vor?
Wenn ja, sind Sie der Tatsache erlegen, dass möglicherweise notwendige Ports blockiert werden, die diese bekannten AD-Kommunikationsfehler verursachen. Ob zwischen Standorten mit Firewall/VPN-Tunnel-Port-Blockierungen, Windows Firewall (die normalerweise nicht der Übeltäter ist, da sie sich automatisch für die Rolle des Rechners und seinen aktuellen Netzwerkstandort konfiguriert) oder sogar Sicherheitssoftware oder Antivirenanwendungen mit einer Art aktivierter „Netzwerkverkehrsschutz“-Funktion, die das Problem verursacht.
Einfach gesagt, wenn es Replikations- oder andere AD-Kommunikationsprobleme gibt und Sie eine Antivirensoftware auf den Endpunkten oder auf allen Ihren DCs installiert haben, deaktivieren Sie sie, oder besser noch, deinstallieren Sie sie. Die Deinstallation ist die beste Lösung, damit Sie sicher sein können, dass keine Spuren anderer aktiver Unterkomponenten vorhanden sind, die die Blockierung noch verursachen könnten. Wenn Sie nach der Deinstallation feststellen, dass die Replikation jetzt funktioniert, dann haben Sie es geschafft. An diesem Punkt müssen Sie sich an Ihren Antivirus-Anbieter wenden und ihn fragen, wie Sie ihn am besten konfigurieren, um AD-Kommunikation und -Replikation zuzulassen.
Wenn es nicht an Ihrem Antivirus- oder Sicherheitsprogramm liegt und das Deaktivieren der Windows-Firewall keine Abhilfe schafft, dann ist es offensichtlich, dass es ein äußerer Faktor ist – Ihre Edge-/Perimeter-Firewalls.
Zudem ist darauf hinzuweisen, dass beim Testen von Port-Blockierungen Tools wie Telnet nicht geeignet sind, um die AD/DC-zu-DC-Konnektivität zu testen, ebenso wenig wie jede Art von Standard-Port-Scan, z. B. mit nmap oder einem einfachen Ping, der mit nslookup aufgelöst wird (obwohl die Auflösung der erforderlichen Datensätze eine Voraussetzung ist), oder andere Tools. Der einzige zuverlässige Test ist die Verwendung von Microsofts PortQry, das spezifische AD-Ports und die ephemeren Ports sowie die erforderlichen Antworten der Dienste auf den erforderlichen AD-Ports, nach denen es speziell scannt, testet.
AD durch ein NAT? Nope. Punkt.
Oh, und erwarten Sie nicht, dass dies durch ein NAT funktioniert. NATs können den verschlüsselten RPC-Verkehr nicht übersetzen und brechen daher die LDAP-Kommunikation ab.
Beschreibung der Support-Grenzen für Active Directory über NAT
http://support.microsoft.com/kb/978772
Wie man die dynamische RPC-Port-Zuweisung so konfiguriert, dass sie mit Firewalls funktioniert“
AD-Kommunikation funktioniert nicht über eine NAT-Port-Übersetzung, so wie Sie DCOM nicht über eine NAT-Firewall verwenden können, die eine Adressübersetzung durchführt (z. B.z.B. wenn sich ein Client mit der virtuellen Adresse 198.252.145.1 verbindet, die die Firewall transparent auf die tatsächliche interne IP-Adresse des Servers, z.B. 192.100.81.101, abbildet). Das liegt daran, dass DCOM rohe IP-Adressen in den Schnittstellen-Marshaling-Paketen speichert, und wenn der Client keine Verbindung zu der im Paket angegebenen Adresse herstellen kann, funktioniert es nicht.“
Zitiert aus: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT übersetzt den Netlogon-Verkehr nicht (dies gilt für alle DCs)
Zitiert: „Windows 2000 NAT unterstützt Netlogon nicht und übersetzt Kerberos. Wenn Sie Clients haben, die sich hinter einem Windows 2000-basierten NAT-Server befinden und Zugriff auf Domänenressourcen benötigen, sollten Sie die Erstellung eines VPN-Tunnels (Routing and Remote Access Virtual Private Network) für Netlogon-Verkehr in Betracht ziehen oder die Clients auf Windows 2000 aktualisieren.“
Zitiert aus: http://support.microsoft.com/kb/263293
*
Ok, finden wir heraus, ob die Ports blockiert werden
Nun denken Sie, dass Ihre Netzwerkinfrastrukturtechniker wissen, was sie tun und die notwendigen Ports geöffnet haben, also denken Sie, das kann nicht der Grund sein… oder doch? Nun, lassen Sie es uns herausfinden. Wir können PortQry verwenden, um es zu testen. Und nein, du willst nicht ping, nslookup, nmap oder irgendeinen anderen Portscanner benutzen, weil sie nicht dafür gedacht sind, die notwendigen AD-Ports abzufragen, um zu sehen, ob sie antworten oder nicht.
Also lass uns PortQry starten:
Lade es zuerst herunter:
PortQryUI – GUI – Version 2.0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
Dann führen Sie die Option „Domains & Trusts“ zwischen DCs oder zwischen DCs und beliebigen Rechnern (anderen Servern, die Sie fördern wollen, oder sogar von einem Client-Rechner) oder von den Brückenköpfen in jedem Standort zum anderen Brückenkopf im anderen Standort aus.., so ziemlich überall, wo Sie testen wollen, ob es blockierte AD-Ports gibt.
Der Punkt ist, dass Sie es in jedem Szenario ausführen sollten, in dem ein DC mit einem anderen DC oder einem Client kommunizieren muss.
Wenn Sie Fehler mit „NOTLISTENING“, 0x00000001 und 0x00000002 erhalten, bedeutet dies, dass ein Port blockiert ist. Notieren Sie sich, um welche Ports es sich handelt.
Die Meldungen UDP 389 und UDP 88 können Sie ignorieren. Wenn Sie TCP 42-Fehler sehen, bedeutet das nur, dass WINS auf dem Zielserver nicht läuft.
PortQry-Referenzen
Knock Knock Is That Port Open?
Von Mark Morowczynski 18 Apr 2011, Kurzes Tutorial über die PortQry GUI-Version.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
„Gelegentlich werden Fehler angezeigt wie The RPC server is unavailable or There are no more endpoints available from the endpoint mapper …“
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
Wie Sie Portqry verwenden, um Probleme mit der Active Directory-Konnektivität zu beheben
http://support.microsoft.com/kb/816103
Wenn Sie die reine Kommandozeilenversion verwenden möchten:
Download details: PortQry Command Line Only Port Scanner Version 2.0
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
Unterstanding portqry and the command’s output: Neue Features und Funktionen in PortQry Version 2.0
http://support.microsoft.com/kb/832919
Beschreibung des Kommandozeilenprogramms Portqry.exe
http://support.microsoft.com/kb/310099
Portqry Bemerkungen
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
DC zu DC und DC zu Client Kommunikation erfordert zahlreiche Ports
Es gibt kein Geheimnis. Einfacher kann ich es nicht ausdrücken.
Und die Liste der erforderlichen Ports ist lang, zum Leidwesen der Netzwerkinfrastruktur-Teams, die Ports anfordern müssen, damit AD kommunizieren, replizieren usw. kann, müssen diese Ports geöffnet werden. Es gibt wirklich nicht viel, was anders gemacht werden kann.
Hier ist die Liste mit einer Erklärung der einzelnen Ports:
|
Protokoll und Port
|
AD- und AD DS-Nutzung | Art des Datenverkehrs |
| TCP 25 | Replikation | SMTP |
| TCP 42 | Bei Verwendung von WINS in einem Domänenvertrauensszenario mit NetBIOS-Auflösung | WINS |
| TCP 135 | Replikation | RPC, EPM |
| TCP 137 | NetBIOS Namensauflösung | NetBIOS Namensauflösung |
| TCP 139 | Benutzer- und Computerauthentifizierung, Replikation | DFSN, NetBIOS Session Service, NetLogon |
| TCP und UDP 389 | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Trusts | LDAP |
| TCP 636 | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinie, Trusts | LDAP SSL |
| TCP 3268 | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinie, Trusts | LDAP GC |
| TCP 3269 | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinie, Vertrauensstellungen | LDAP GC SSL |
| TCP und UDP 88 | Benutzer- und Computerauthentifizierung, Forest Level Trusts | Kerberos |
| TCP und UDP 53 | Benutzer- und Computerauthentifizierung, Namensauflösung, Trusts | DNS |
| TCP und UDP 445 | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Trusts | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP 9389 | AD DS Web Services | SOAP |
| TCP 5722 | Dateireplikation | RPC, DFSR (SYSVOL) |
| TCP und UDP 464 | Replikation, Benutzer- und Computerauthentifizierung, Vertraut | Kerberos Passwort ändern/setzen |
| UDP 123 | Windows Time, Trusts | Windows Time |
| UDP 137 | Benutzer- und Computerauthentifizierung | NetLogon, NetBIOS Name Resolution |
| UDP 138 | DFS, Gruppenrichtlinien, NetBIOS NetLogon, Browsing | DFSN, NetLogon, NetBIOS Datagram Service |
| UDP 67 und UDP 2535 | DHCP (Hinweis: DHCP ist kein Kerndienst von AD DS, aber diese Ports können für andere Funktionen als DHCP erforderlich sein, z. B. WDS) | DHCP, MADCAP, PXE |
Und wir dürfen niemals die ephemeren Ports vergessen!!
Und vor allem die Ephemeral Ports, oder auch „Service Response Ports“ genannt, die für die Kommunikation benötigt werden. Diese Ports werden dynamisch für Sitzungsantworten für jeden Client erstellt, der eine Sitzung aufbaut (unabhängig davon, was der „Client“ sein mag), und zwar nicht nur für Windows, sondern auch für Linux und Unix.
Siehe weiter unten im Abschnitt „Referenzen“, um mehr darüber zu erfahren, was „ephemeral“ bedeutet.werden nur für diese Sitzung verwendet. Sobald die Sitzung aufgelöst ist, werden die Ports zur Wiederverwendung in den Pool zurückgelegt. Dies gilt nicht nur für Windows, sondern auch für Linux, Unix und andere Betriebssysteme. Was „ephemer“ bedeutet, erfahren Sie weiter unten im Abschnitt „Referenzen“.
Die folgende Tabelle zeigt, was die ephemeren Ports in Abhängigkeit von der Betriebssystemversion sind und wofür sie verwendet werden.
| Windows 2003, Windows XP, und Windows 2000 |
TCP & UDP |
1024-5000 | Ephemeral Dynamic Service Response Ports |
| Windows 2008/Vista und neuer | TCP & UDP 49152-65535 | Ephemeral Dynamische Dienstantwort-Ports | |
| TCP Dynamisch Ephemeral | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinie, Trusts | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| UDP Dynamisch kurzlebig | Gruppenrichtlinie | DCOM, RPC, EPM |
Wenn das Szenario ein Mixed-Mode NT4 & Active Directory Szenario mit NT4 BDCs ist, dann muss folgendes geöffnet werden:
| TCP & UDP 1024 – 65535 | NT4 BDC zu Windows 2000 oder neuer Domänencontroller PDC-E Kommunikation | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
Sehen Sie, war das nicht einfach?
Die kurze Liste ohne Port-Erklärungen:
| Protokoll | Port |
| TCP | 25 |
| TCP | 42 |
| TCP | 135 |
| TCP | 137 |
| TCP | 139 |
| TCP und UDP | 389 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
| TCP und UDP | 88 |
| TCP und UDP | 53 |
| TCP und UDP | 445 |
| TCP | 9389 |
| TCP | 5722 |
| TCP und UDP | 464 |
| UDP | 123 |
| UDP | 137 |
| UDP | 138 |
| UDP | 67 |
| UDP | 2535 |
| TCP & UDP | 1024-5000 |
| TCP & UDP | 49152-65535 |
Wenn das Szenario ein Mixed-Mode NT4 & Active Directory Szenario mit NT4 BDC ist:
Die folgenden Ephemeral Ports müssen geöffnet werden (ja, das ist so ziemlich die ganze Palette):
| TCP & UDP | 1024-65535 |
Einschränken von Ports über eine Firewall
Sie haben auch die Möglichkeit, den DC-zu-DC-Replikationsverkehr und die DC-zu-Client-Kommunikation auf bestimmte Ports zu beschränken. Beachten Sie, dass dies auch davon abhängt, welche Ports und Dienste Sie einschränken möchten. Wenn Sie diese Option wählen, müssen Sie die richtigen Ports für den richtigen Dienst angeben.
Es hängt davon ab, welche Ports und Dienste Sie einschränken möchten…
Methode 1
Dies wird verwendet, um den spezifischen AD-Replikationsport festzulegen. Standardmäßig wird der dynamische Port für die Replikation von Daten von einem DC an einem Standort zu einem anderen verwendet.
Dies gilt für die Beschränkung der AD-Replikation auf einen bestimmten Portbereich.
Vorgehensweise: Ändern Sie die Registrierung, um einen statischen Port auszuwählen.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameter
Einschränkung des Active Directory-Replikationsverkehr und Client-RPC-Verkehr auf einen bestimmten Port
http://support.microsoft.com/kb/224196
Methode 2
Dies dient zum Konfigurieren des Portbereichs/der Portbereiche in der Windows Firewall.
Netsh – verwenden Sie die folgenden Beispiele, um einen Anfangs-Portbereich festzulegen, und die Anzahl der zu verwendenden Ports danach
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
Der standardmäßige dynamische Portbereich für TCP/IP hat sich in Windows Vista und in Windows Server 2008 geändert
http://support.microsoft.com/kb/929851
Ändern Sie die Registrierung
Dies ist für die Kommunikation der Windows-Dienste. Sie wirkt sich auch auf die AD-Kommunikation aus.
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Wie Sie die dynamische RPC-Port-Zuweisung so konfigurieren, dass sie mit Firewalls funktioniert
http://support.microsoft.com/kb/154596/en-us
Hier sind einige verwandte Links zur Einschränkung von AD-Replikationsports.
Referenzthread:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
RODC Firewall Port Requirements
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Active Directory Replikation über Firewalls
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – „Read only Domain Controllers“ haben ihre eigenen Port-Anforderungen
|
Verkehr
|
Art des Verkehrs |
| UDP 53 DNS | DNS |
| TCP 53 DNS | DNS |
| TCP 135 | RPC, EPM |
| TCP Statisch 53248 | FRsRpc |
| TCP 389 | LDAP |
| TCP und UDP Dynamisch 1025 – 5000 |
Windows 2000, Windows 2003, Windows XP Ephemeral Ports |
| TCP und UDP Dynamisch 49152 – 65535 | Windows 2008, Windows Vista und alle neueren Betriebssysteme Ephemeral Ports |
Designing RODCs in the Perimeter Network
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Beschränkung des Active Directory-Replikationsverkehrs und des Client-RPC-Verkehrs auf einen bestimmten Port
http://support.microsoft.com/kb/224196
Gute Diskussion über RODC und Firewall-Ports erforderlich:
http://forums.techarena.in/active-directory/1303925.htm
Weitere Informationen darüber, wie die RODC-Authentifizierung funktioniert, helfen beim Verständnis der Ports:
Verstehen der „Read Only Domain Controller“-Authentifizierung
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
Wie man eine Firewall für Domänen und Trusts konfiguriert
http://support.microsoft.com/kb/179442
Anforderungen an die Ports von Active Directory und Active Directory-Domänendiensten, aktualisiert: 18. Juni 2009 (mit aktualisierten neuen ephemeren Ports für Windows Vista/2008 und neuer). Hier werden auch die Anforderungen für RODC-Ports behandelt. Sie müssen auch sicherstellen, dass die ephemeren Ports geöffnet sind. Diese sind:
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Windows 2008, 2008 R2, Vista und Windows 7 Ephemeral Ports haben sich gegenüber den von Windows 2003, Windows XP und Windows 2000 verwendeten Ports geändert. Die Standard-Ephemeral-Ports (Random Service Dynamic Response Ports) sind UDP 1024 – 65535 (siehe KB179442 unten), aber für Vista und Windows 2008 ist es anders. Ihr Standard-Startportbereich ist UDP 49152 bis UDP 65535 (siehe KB929851 unten).
Zitiert aus KB929851 (Link unten): „Um den Empfehlungen der Internet Assigned Numbers Authority (IANA) zu entsprechen, hat Microsoft den dynamischen Client-Portbereich für ausgehende Verbindungen in Windows Vista und in Windows Server 2008 erhöht. Der neue Standardstartport ist 49152 und der Standardendport ist 65535. Dies ist eine Änderung gegenüber der Konfiguration früherer Versionen von Microsoft Windows, die einen Standardportbereich von 1025 bis 5000 verwendeten.“
Windows Vista, Windows 7, Windows 2008 und Windows 2008 R2 Service Response Ports (ephemere Ports) haben sich geändert.
http://support.microsoft.com/?kbid=929851
Active Directory und Firewall Ports – Ich fand es schwierig, eine definitive Liste im Internet zu finden, welche Ports für Active Directory geöffnet werden müssen, um zwischen Firewalls zu replizieren. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Active Directory Replikation über Firewalls, Jan 31, 2006. (enthält ältere ephemere Ports aus der Zeit vor Windows Vista/2008)
http://technet.microsoft.com/en-us/library/bb727063.aspx
Wie Domänen und Forests funktionieren
Zudem gibt es eine Liste der benötigten Ports.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
Paul Bergsons Blog über AD-Replikation und Firewall-Ports
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Exchange DS Access-Ports
Konfiguration einer Intranet-Firewall für Exchange 2003, 14. April 2006.
Protokoll-Ports, die für die Intranet-Firewall erforderlich sind, und Ports, die für die Active Directory- und Kerberos-Kommunikation erforderlich sind
http://technet.microsoft.com/en-us/library/bb125069.aspx
Zusätzliche Lektüre
Beschränken des Active Directory-Replikationsverkehrs und des Client-RPC …Beschränken des Active Directory-Replikationsverkehrs und des Client-RPC-Verkehrs auf einen … eindeutigen Port, und Sie starten den Netlogon-Dienst auf dem Domänencontroller neu. …
http://support.microsoft.com/kb/224196
Wie Sie den FRS-Replikationsverkehr auf einen bestimmten statischen Port einschränken – Wie Sie den FRS-Replikationsverkehr auf einen bestimmten statischen Port einschränken … Windows 2000-basierte Domänencontroller und Server verwenden FRS, um Systemrichtlinien zu replizieren …
http://support.microsoft.com/kb/319553
Einige Firewalls lehnen möglicherweise Netzwerkverkehr ab, der von Windows Server 2003 Service Pack 1-basierten oder Windows Vista-basierten Computern stammt
Dieser KB weist darauf hin, dass Checkpoint-Firewalls ein Problem mit AD-Kommunikation haben.
http://support.microsoft.com/?kbid=899148
Checkpoint Firewall und AD-, DNS- und RPC-Kommunikation sowie Replikationsverkehr
Checkpoint Firewalls haben ein bekanntes Problem, wenn Sie die Version R55 oder älter verwenden. Sie müssen einen Registrierungseintrag vornehmen, damit der Datenverkehr zwischen den beiden Standorten über den VPN fließen kann. Die bevorzugte Lösung ist ein Upgrade der Checkpoint-Firewall.
Weitere Informationen:
Einige Firewalls können Netzwerkverkehr ablehnen, der von Windows Server 2003 Service Pack 1-basierten oder Windows Vista-basierten Computern stammt
(Dieser Link bezieht sich auf das Checkpoint-Problem und hilft bei dessen Lösung)
http://support.microsoft.com/?kbid=899148
Hinweis von einem Poster im Internet mit einer Checkpoint-Firewall:
Für Windows 2003 R2 und nicht-R2 Remote Domain Controller haben wir den Eintrag Server2003NegotiateDisable in
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
Ich weiß, dass es Ihnen Spaß gemacht hat, dies zu lesen.
Nun, ob Sie es getan haben oder nicht, zumindest wissen Sie jetzt, was zu tun ist, damit es funktioniert.
Kommentare, Vorschläge und Korrekturen sind willkommen!
==================================================================
Zusammenfassung
Ich hoffe, das hilft!
Originalveröffentlichungsdatum: 11/1/2011
Aktualisiert 11/4/2014
Ace Fekay
MVP, MCT, MCSE 2012, MCITP EA & MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
Komplette Liste der technischen Blogs: http://www.delawarecountycomputerconsulting.com/technicalblogs.php
Dieser Beitrag wird im Ist-Zustand ohne Gewährleistungen oder Garantien bereitgestellt und verleiht keine Rechte.