Ace täällä taas. Ajattelin siivota ja julkaista uudelleen blogini AD-porttien vaatimuksista. Kyllä, ne ovat laajat, organisaation verkkoryhmän kauhistukseksi. Mutta ne ovat mitä ovat, ja niitä on noudatettava, jotta AD toimisi.
RPC-palvelin ei ole käytettävissä? Replikointivirheitä tapahtumailmoituksessa? Kuulostaa tutulta?
Jos näin on, olet joutunut alistumaan tosiasiaan ja oivaltamaan, että mahdollisesti tarpeelliset portit ovat estettyinä aiheuttaen näitä tuttuja AD:n tietoliikennevirheitä. Olipa kyseessä sitten sijaintien välillä palomuurin/VPN-tunnelin porttisulku, Windowsin palomuuri (joka ei yleensä ole syyllinen, koska ne konfiguroituvat automaattisesti koneen roolin ja sen hetkisen verkkoasennon mukaan) tai jopa tietoturvaohjelmisto tai virustorjuntasovellus, jossa on käytössä jonkinlainen ”verkkoliikenteen suojaus”-ominaisuus, joka aiheuttaa ongelman.
Yksinkertaisesti sanottuna, jos on replikaatio- tai muita AD-viestintäongelmia ja sinulla on päätepisteisiin asennettu virustorjuntaohjelmisto tai se on asennettu kaikkiin DC-tietokoneisiisi, poista se käytöstä, tai vielä parempi, poista se. Asennuksen poistaminen on paras vaihtoehto, jotta tiedät, ettei käytössä ole jälkiä muista aktiivisista osakomponenteista, jotka voivat edelleen aiheuttaa eston. Jos asennuksen poistamisen jälkeen huomaat, että replikointi toimii nyt, niin siinäpä se. Siinä vaiheessa sinun on otettava yhteyttä virustorjuntatoimittajaasi ja kysyttävä heiltä, miten se voidaan konfiguroida siten, että AD-viestintä ja replikointi sallitaan.
Jos se ei johdu virustorjunta- tai tietoturvasovelluksestasi eikä Windowsin palomuurin kytkeminen pois päältä auta asiaa, on ilmeistä, että kyse on ulkopuolisesta tekijästä, eli reuna- tai kehäpalomuuristasi.
Tarkennettakoon myös, että porttisulkujen testaamisessa telnetin kaltaiset työkalut eivät ole hyvä työkalu AD/DC:n ja DC:n välisen yhteyden testaamiseen, eikä myöskään minkäänlainen tavallinen porttiskannaus, kuten nmapin tai yksinkertaisen pingin käyttäminen, nslookupin avulla tapahtuva resoluutio (vaikkakin vaadittujen tietueiden resoluutio on ennakkoedellytys) tai muut työkalut. Ainoa luotettava testi on Microsoftin PortQry, joka testaa tietyt AD-portit ja ephemeral-portit sekä vaaditut vastaukset palveluilta vaadituissa AD-porteissa, joita se nimenomaan etsii.
AD NAT:n läpi? Ei. Piste.
Oh, äläkä odota saavasi tätä toimimaan NAT:n kautta. NAT:t eivät pysty kääntämään salattua RPC-liikennettä, joten LDAP-viestintä lyödään lyttyyn.
Description of Support boundaries for Active Directory over NAT
http://support.microsoft.com/kb/978772
Miten konfiguroida RPC:n dynaaminen porttijako toimimaan palomuurien kanssa?”
AD-tiedonsiirto ei toimi NAT:n porttikäännöksen välityksellä, esimerkiksi DCOM:ia ei voi käyttää NAT:n välityksellä NAT:n välityksellä palomuurin kautta, joka suorittaa osoitekäännöksen (mm.esim. kun asiakas muodostaa yhteyden virtuaaliosoitteeseen 198.252.145.1, jonka palomuuri kuvaa läpinäkyvästi palvelimen todelliseksi sisäiseksi IP-osoitteeksi, joka on esimerkiksi 192.100.81.101). Tämä johtuu siitä, että DCOM tallentaa raa’at IP-osoitteet rajapinnan marshaling-paketteihin, ja jos asiakas ei voi muodostaa yhteyttä paketissa määritettyyn osoitteeseen, se ei toimi.”
Lainattu osoitteesta: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT ei käännä Netlogon-liikennettä (tämä koskee kaikkia DC:itä)
Lainattu: ”Windows 2000 NAT ei tue Netlogon-liikennettä eikä käännä Kerberos-liikennettä”. Jos sinulla on asiakkaita, jotka sijaitsevat Windows 2000-pohjaisen NAT-palvelimen takana ja tarvitsevat pääsyä toimialueen resursseihin, harkitse VPN-tunnelin (Virtual Private Network, virtuaalinen yksityisverkko) luomista Netlogon-liikennettä varten tai päivitä asiakkaat Windows 2000:een.”
Lainattu osoitteesta: http://support.microsoft.com/kb/263293
*
Okei, selvitetään, onko portit estetty
Nyt ajattelet, että verkkoinfrastruktuurin insinöörit tietävät, mitä tekevät, ja ovat avanneet tarvittavat portit, joten ajattelet, että tämä ei voi olla syynä… vai onko? No, otetaanpa selvää. Voimme testata sen PortQryn avulla. Ja ei, et halua käyttää pingiä, nslookupia, nmapia tai mitään muutakaan porttiskanneria, koska niitä ei ole suunniteltu kyselemään tarvittavia AD-portteja nähdäkseen, reagoivatko ne vai eivät.
Käynnistetään siis PortQry:
Lataa se ensin:
PortQryUI – GUI – Versio 2.0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
Sitten suorita ”Domains & Trusts” -vaihtoehto DC:iden välillä, tai DC:iden ja minkä tahansa koneen välillä (muut palvelimet, joita haluat edistää, tai jopa asiakaskoneesta), tai kunkin sivuston siltapäistä toisen sivuston toiseen siltapäähän…, melkein missä tahansa, missä haluat testata, onko AD-portteja estetty.
Pointtina on, että haluat ajaa sen missä tahansa skenaariossa, jossa DC:n on kommunikoitava toiseen DC:hen tai asiakkaaseen.
Jos saat virheilmoituksia, joissa lukee ”NOTLISTENING”, 0x00000001 ja 0x00000002, se tarkoittaa, että portti on estetty. Ota huomioon, mitä portteja ne ovat.
Voit jättää huomiotta UDP 389- ja UDP 88-viestit. Jos näet TCP 42 -virheitä, se tarkoittaa vain sitä, että WINS ei ole käynnissä kohdepalvelimella.
PortQry-viittaukset
Knock Knock Is That Port Open?
Päällikkö: Mark Morowczynski 18.4.2011, Pikaopas PortQryn GUI-versiosta.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
”Toisinaan saatat nähdä virheitä, kuten The RPC server is unavailable (RPC-palvelin ei ole käytettävissä) tai There are no more endpoints available from the endpoint mapper (päätepisteen kartoittaja ei ole enää käytettävissä…”
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
How to use Portqry to troubleshooth Active Directory connectivity problems
http://support.microsoft.com/kb/816103
Jos haluat käyttää pelkkää komentorivillä toimivaa versiota:
Latausdetaljit: PortQry Vain komentorivillä toimiva porttiskanneri versio 2.0
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
Portqryn ja komennon tulosteen ymmärtäminen: Uudet ominaisuudet ja toiminnot PortQryn versiossa 2.0
http://support.microsoft.com/kb/832919
Komentorivillä toimivan Portqry.exe-apuohjelman kuvaus
http://support.microsoft.com/kb/310099
Portqryn huomautukset
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
DC:ltä DC:lle ja DC:ltä asiakkaalle tapahtuva tiedonsiirto vaatii lukuisia portteja
Ei ole mikään salaisuus. Tuo on yksinkertaisinta mitä voin sanoa.
Ja luettelo vaadittavista porteista on pitkä, verkkoinfrastruktuurin suunnitteluryhmien kauhuksi, joiden on pyydettävä portteja, jotta AD voi kommunikoida, replikoida jne. nämä portit on avattava. Muuten ei todellakaan voi tehdä paljoakaan.
Tässä on lista ja selitys jokaisesta portista:
|
Protokolla ja portti
|
AD:n ja AD DS:n käyttö | Liikennetyyppi |
| TCP 25 | Replikointi | SMTP |
| TCP 42 | Jos käytetään WINS:ää toimialueen luottamusskenaariossa, joka tarjoaa NetBIOS-resoluutiota | WINS |
| TCP 135 | Replikointi | RPC, EPM |
| TCP 137 | NetBIOS Nimenratkaisu | NetBIOS Nimenratkaisu |
| TCP 139 | Käyttäjän ja tietokoneen todennus, Replikointi | DFSN, NetBIOS-istuntopalvelu, NetLogon |
| TCP ja UDP 389 | Hakemisto, Replikointi, Käyttäjän ja tietokoneen todennus, Ryhmäkäytäntö, Luottamukset | LDAP |
| TCP 636 | Hakemisto, Replikointi, Käyttäjän ja tietokoneen todenn, Ryhmäkäytäntö, Luottamukset | LDAP SSL |
| TCP 3268 | Hakemisto, Replikointi, Käyttäjän ja tietokoneen todennus, Ryhmäkäytäntö, Luottamukset | LDAP GC |
| TCP 3269 | Hakemisto, Replikointi, Käyttäjän ja tietokoneen todennus, Luottamukset | LDAP GC SSL |
| TCP ja UDP 88 | Käyttäjän ja tietokoneen todennus, Metsätason luottamukset | Kerberos |
| TCP ja UDP 53 | Käyttäjän ja tietokoneen todennus, Nimenratkaisu, luottamukset | DNS |
| TCP ja UDP 445 | Replikointi, Käyttäjän ja tietokoneen todennus, ryhmäkäytäntö, luottamukset | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP 9389 | AD DS -verkkopalvelut | SOAP |
| TCP 5722 | Tiedostojen monistus | RPC, DFSR (SYSVOL) |
| TCP ja UDP 464 | Replikointi, käyttäjän ja tietokoneen tunnistus, Luottamukset | Kerberos vaihtaa/asettaa salasanan |
| UDP 123 | Windows Time, Luottamukset | Windows Time |
| UDP 137 | Käyttäjän ja tietokoneen todennus | NetLogon, NetBIOS Nimenratkaisu |
| UDP 138 | DFS, Ryhmäkäytäntö, NetBIOS Netlogon, Selaus | DFSN, NetLogon, NetBIOS Datagram Service |
| UDP 67 ja UDP 2535 | DHCP (Huom: DHCP ei ole AD DS:n ydinpalvelu, mutta nämä portit voivat olla välttämättömiä muissa toiminnoissa kuin DHCP:ssä, kuten WDS:ssä) | DHCP, MADCAP, PXE |
Emmekä saa koskaan unohtaa ephemeral-portteja!!
Ja ennen kaikkea Ephemeral-portit eli niin sanotut ”palvelun vastausportit”, joita tarvitaan viestintään. Nämä portit luodaan dynaamisesti istuntovastauksia varten jokaiselle istunnon perustavalle asiakkaalle (olipa ”asiakas” mikä tahansa), eikä vain Windowsille, vaan myös Linuxille ja Unixille.
Katso alta viitteet-osiosta lisätietoja siitä, mitä ’ephemeral’ tarkoittaa. käytetään vain kyseisessä istunnossa. Kun istunto on päättynyt, portit siirretään takaisin pooliin uudelleenkäyttöä varten. Tämä koskee Windowsin lisäksi myös Linuxia, Unixia ja muita käyttöjärjestelmiä. Katso lisätietoja siitä, mitä ’ephemeral’ tarkoittaa.
Seuraavasta taulukosta näet, mitä ephemeral-portit ovat käyttöjärjestelmäversiosta riippuen ja mihin niitä käytetään.
| Window 2003, Windows XP, ja Windows 2000 |
TCP & UDP |
1024-5000 | Ephemeral Dynamic Service Response Ports |
| Windows 2008/Vista ja uudemmat versiot | TCP & UDP 49152-65535 | Ephemeral Dynamic Service Response Ports | |
| TCP Dynamic Ephemeral | Replication, Käyttäjän ja tietokoneen todennus, ryhmäkäytäntö, luottamukset | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| UDP Dynaaminen Ephemeral | Ryhmäkäytäntö | DCOM, RPC, EPM |
Jos skenaario on Mixed-Mode NT4 & Active Directory -skenaario, jossa on NT4 BDC:t, on avattava seuraavat:
| TCP & UDP 1024 – 65535 | NT4 BDC:n ja Windows 2000:n tai uudemman toimialueohjaimen välinen PDC-E-viestintä | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
Näetkö, eikö se ollutkin niin yksinkertaista?
Lyhyt lista ilman porttien selityksiä:
| Protokolla | Portti | |
| TCP | 25 | |
| TCP | 42 | |
| TCP | 135 | |
| TCP | 137 | |
| TCP | 139 | |
| TCP ja UDP | 389 | |
| TCP | 636 | |
| TCP | 3268 | |
| TCP | 3269 | |
| TCP ja UDP | 88 | |
| TCP ja UDP | 53 | |
| TCP ja UDP | 445 | |
| TCP | 9389 | |
| TCP | 5722 | |
| TCP ja UDP | 464 | |
| UDP | 123 | |
| UDP | 137 | |
| UDP | 138 | |
| UDP | 67 | |
| UDP | 2535 | |
| TCP & UDP | 1024-5000 | |
| TCP & UDP | 49152-65535 |
Jos skenaario on Mixed-Mode NT4 & Active Directory -skenaario, jossa on NT4 BDC:
Seuraavat Ephemeral-portit on avattava (kyllä, se on melkein koko valikoima):
| TCP & UDP | 1024-65535 |
Porttien rajoittaminen palomuurin yli
Sinulla on myös mahdollisuus rajoittaa DC:n ja DC:n välinen replikaatioliikenne ja DC:n ja asiakkaan välinen viestintä tiettyihin portteihin. Pidä mielessä, että se riippuu myös siitä, mitä portteja ja palveluita haluat rajoittaa. Kun valitset tämän vaihtoehdon, sinun on määritettävä oikeat portit oikealle palvelulle.
Riippuu siitä, mitä portteja ja palveluita haluat rajoittaa?
Method 1
Tätä käytetään tietyn AD-replikointiportin määrittämiseen. Oletusarvoisesti se käyttää dynaamista porttia tietojen replikointiin DC:stä yhdestä sivustosta toiseen.
Tätä käytetään AD-replikoinnin rajoittamiseen tiettyyn porttialueeseen.
Menettely: Muokkaa rekisteriä staattisen portin valitsemiseksi.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Aktiivisen rajoittaminen. Directory-replikointiliikennettä ja asiakkaan RPC-liikennettä tiettyyn porttiin
http://support.microsoft.com/kb/224196
Metodi 2
Tässä määritetään porttialue(et) Windowsin palomuurissa.
Netsh – käytä seuraavia esimerkkejä aloittavan porttialueen määrittämiseen, ja sen jälkeen käytettävien porttien määrän
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
Tcp/IP:n oletusarvoinen dynaaminen porttialue on muuttunut Windows Vistassa ja Windows Server 2008:ssa
http://support.microsoft.com/kb/929851
Rekisterin muokkaaminen
Tämä koskee Windows-palveluiden tietoliikenneverkkoja. Se vaikuttaa myös AD-viestintään.
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Miten määritetään RPC:n dynaaminen porttijako toimimaan palomuurien kanssa
http://support.microsoft.com/kb/154596/en-us
Tässä on joitain aiheeseen liittyviä linkkejä, jotka liittyvät AD:n replikaatioporttien rajoittamiseen.
Viittaussäie:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
RODC:n palomuurin porttivaatimukset
http://technet.microsoft.com/en-us/library/dd772723(WS.10.).aspx
Active Directory Replication over Firewalls
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – ”Read only Domain Controllereilla” on omat porttivaatimukset
|
Liikenne
|
Liikennetyyppi |
| UDP 53 DNS | DNS |
| TCP 53 DNS | DNS |
| TCP 135 | RPC, EPM |
| TCP Staattinen 53248 | FRsRpc |
| TCP 389 | LDAP |
| TCP ja UDP Dynaaminen 1025 – 5000 |
Windows 2000, Windows 2003, Windows XP Ephemeral Ports |
| TCP ja UDP Dynamic 49152 – 65535 | Windows 2008, Windows Vista ja kaikki uudemmat käyttöjärjestelmät Ephemeral Ports |
Designing RODCs in the Perimeter Network
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Active Directoryn replikaatioliikenteen ja asiakkaan RPC-liikenteen rajoittaminen tiettyyn porttiin
http://support.microsoft.com/kb/224196
Hyvää keskustelua RODC:stä ja palomuurin porteista tarvitaan:
http://forums.techarena.in/active-directory/1303925.htm
Lisätietoa RODC:n autentikoinnin toiminnasta auttaa ymmärtämään portteja:
Understanding ”Read Only Domain Controller” authentication
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
How to configure a firewall for domains and trusts
http://support.microsoft.com/kb/179442
Active Directory and Active Directory Domain Services Port Requirements, Updated: 18. kesäkuuta 2009 (sisältää päivitetyt uudet ephemeral-portit Windows Vista/2008:lle ja uudemmille). Tässä käsitellään myös RODC-porttivaatimuksia. Sinun on myös varmistettava, että ephemeral-portit on avattu. Ne ovat:
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Windows 2008:n, 2008 R2:n, Vistan ja Windows 7:n ephemeral-porttien valikoima on muuttunut Windows 2003:n Windows XP:n ja Windows 2000:n käyttämistä porteista. Oletusarvoiset ephemeral-portit (satunnaispalvelun dynaamiset vastausportit) ovat UDP 1024 – 65535 (katso KB179442 alla), mutta Vistassa ja Windows 2008:ssa ne ovat erilaiset. Niiden oletusarvoinen käynnistysporttialue on UDP 49152 – UDP 65535 (katso KB929851 alla).
Lainattu KB929851:stä (linkki alla): ”IANA:n (Internet Assigned Numbers Authority) suositusten noudattamiseksi Microsoft on lisännyt lähtevien yhteyksien dynaamista asiakasporttialuetta Windows Vistassa ja Windows Server 2008:ssa. Uusi oletusarvoinen aloitusportti on 49152 ja oletusarvoinen loppuportti on 65535. Tämä on muutos aiempien Microsoft Windows -versioiden konfiguraatioon, jossa käytettiin oletusporttialuetta 1025-5000.”
Windows Vista, Windows 7, Windows 2008 ja Windows 2008 R2 Service Response Ports (ephemeral portit) ovat muuttuneet.”
http://support.microsoft.com/?kbid=929851
Active Directory ja palomuurin portit – Internetistä oli vaikea löytää lopullista listaa siitä, mitkä portit on avattava, jotta Active Directory voi replikoitua palomuurien välillä. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Active Directoryn replikointi palomuurien yli, 31.1.2006. (sisältää vanhemmat ennen Windows Vista/2008:a olevat ephemeral-portit)
http://technet.microsoft.com/en-us/library/bb727063.aspx
How Domains and Forests Work
Seuraa myös luetteloa tarvittavista porteista.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
Paul Bergsonin blogi AD-replikoinnista ja palomuurin porteista
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Exchange DS:n käyttöportit
Intranet-palomuurin konfigurointi Exchange 2003:lle, 14. huhtikuuta 2006.
Intranet-palomuurin edellyttämät protokollaportit sekä Active Directory- ja Kerberos-viestintään tarvittavat portit
http://technet.microsoft.com/en-us/library/bb125069.aspx
Lisälukemisto
Activen hakemiston replikaatioliikenteen ja asiakkaan RPC- …Active Directory -replikaatioliikenteen ja asiakkaan RPC-tiedonsiirtoliikenteen rajoittaminen yksilölliseen porttiin ja käynnistät toimialueen ohjaimen Netlogon-palvelun uudelleen. …
http://support.microsoft.com/kb/224196
FRS-replikointiliikenteen rajoittaminen tiettyyn staattiseen porttiin – FRS-replikointiliikenteen rajoittaminen tiettyyn staattiseen porttiin … Windows 2000-pohjaiset toimialueen ohjaimet ja palvelimet käyttävät FRS:ää järjestelmäkäytäntöjen replikointiin …
http://support.microsoft.com/kb/319553
Jotkut palomuurit saattavat hylätä verkkoliikennettä, joka on peräisin Windows Server 2003 Service Pack 1 -pohjaisilta Windows Vista -tietokoneilta tai tietokoneista, jotka ovat Windows Vista -pohjaisia
Tämä KB-tietue osoittaa, että Checkpointin palomuureilla on ongelma AD-yhteyksien kanssa.
http://support.microsoft.com/?kbid=899148
Checkpoint-palomuuri ja AD-, DNS- ja RPC-viestintä sekä replikaatioliikenne
Checkpointin palomuureissa on tunnettu ongelma, jos käytössä on versio R55 tai vanhempi. Sinun täytyy tehdä rekisterimerkintä, jotta liikenne voi kulkea 2 sivuston välillä vpn:n kautta. Suositeltava ratkaisu on päivittää Checkpoint-palomuuri.
Lisätietoa:
Jotkut palomuurit saattavat hylätä verkkoliikennettä, joka on peräisin Windows Server 2003 Service Pack 1 -pohjaisista tai Windows Vista -pohjaisista tietokoneista
(Tämä linkki liittyy Checkpoint-ongelmaan ja auttaa sen ratkaisemisessa)
http://support.microsoft.com/?kbid=899148
Huomautus eräältä Internetin postaajalta, jolla on Checkpoint-palomuuri:
Windows 2003 R2:lle ja muille kuin R2:n etätoimialueen ohjaimille lisäsimme Server2003NegotiateDisable-kirjauksen
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
Tiedän, että olet nauttinut tämän lukemisesta.
Noh, teitpä niin tai et, ainakin tiedät nyt, mitä tehdä, jotta se toimisi.
Kommentit, ehdotukset ja korjaukset ovat tervetulleita!
==================================================================
Yhteenveto
Toivottavasti tämä auttaa!
Original Publication Date: 01.11.2011
Päivitetty 4.11.2014
Ace Fekay
MVP, MCT, MCSE 2012, MCITP EA & MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
Täydellinen luettelo teknisistä blogeista: http://www.delawarecountycomputerconsulting.com/technicalblogs.php
Tämä julkaisu tarjotaan AS-IS ilman takuita tai takuita eikä anna mitään oikeuksia.