Ace ici de nouveau. J’ai pensé à nettoyer et à republier mon blog sur les exigences des ports AD. Oui, ils sont étendus, à la consternation du groupe réseau de votre organisation. Mais c’est ce que c’est, et c’est ce que nous devons suivre pour faire fonctionner AD.
Serveur RPC non disponible ? Des erreurs de réplication dans l’observateur d’événements ? Cela vous semble familier ?
Si c’est le cas, vous avez succombé au fait et à la réalisation qu’il y a peut-être des ports nécessaires bloqués causant ces erreurs de communication familières. Que ce soit entre des emplacements avec des blocages de port de pare-feu / tunnel VPN, le pare-feu Windows (qui n’est généralement pas le coupable parce qu’ils se configureront automatiquement pour le rôle de la machine et son emplacement réseau actuel), ou même un logiciel de sécurité ou des applications antivirus avec une sorte de fonction de « protection du trafic réseau » activée qui cause le problème.
En clair, s’il y a des problèmes de réplication ou d’autres problèmes de communication AD, et que vous avez un logiciel antivirus installé sur les terminaux ou installé sur tous vos DC, désactivez-le, ou mieux encore, désinstallez-le. La désinstallation est le meilleur moyen de savoir qu’il n’y a pas de traces d’autres sous-composants actifs qui pourraient encore causer le blocage. Si, après l’avoir désinstallé, vous constatez que la réplication fonctionne à nouveau, c’est qu’il y a un problème. À ce moment-là, vous devrez contacter votre fournisseur d’antivirus pour lui demander la meilleure façon de le configurer pour permettre les communications et la réplication AD.
Si ce n’est pas votre antivirus ou votre application de sécurité, et que la désactivation du pare-feu Windows ne fait pas l’affaire, alors il est évident que c’est un facteur extérieur – vos pare-feu de bord/périmètre.
Au moment de tester les blocs de port, des outils tels que telnet ne sont pas un bon outil pour tester la connectivité AD/DC à DC, pas plus que toute sorte de scan de port standard, comme l’utilisation de nmap, ou un simple ping, la résolution avec nslookup (bien que la résolution des enregistrements requis soit un prérequis), ou d’autres outils. Le seul test fiable consiste à utiliser PortQry de Microsoft, qui teste des ports AD spécifiques et les ports éphémères, ainsi que les réponses requises des services sur les ports AD requis qu’il scanne spécifiquement.
AD à travers un NAT ? Non. Période.
Oh, et ne vous attendez pas à ce que cela fonctionne à travers un NAT. Les NATs ne peuvent pas traduire le trafic RPC crypté donc bonifier les communications LDAP.
Description des limites de support pour Active Directory sur NAT
http://support.microsoft.com/kb/978772
Comment configurer l’allocation dynamique de port RPC pour fonctionner avec les pare-feu »
Les communications AD ne fonctionneront pas à travers une traduction de port NAT, comme vous ne pouvez pas utiliser DCOM à travers un pare-feu NAT qui effectue une traduction d’adresse (par ex.par exemple, lorsqu’un client se connecte à l’adresse virtuelle 198.252.145.1, que le pare-feu mappe de manière transparente à l’adresse IP interne réelle du serveur, par exemple 192.100.81.101). C’est parce que DCOM stocke les adresses IP brutes dans les paquets de marshaling d’interface et si le client ne peut pas se connecter à l’adresse spécifiée dans le paquet, cela ne fonctionnera pas. »
Citation de : http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT ne traduit pas le trafic de Netlogon (cela s’applique à tous les DC)
Citation : « La NAT de Windows 2000 ne prend pas en charge Netlogon et ne traduit pas Kerberos. Si vous avez des clients qui sont situés derrière un serveur NAT basé sur Windows 2000 et qui ont besoin d’accéder aux ressources du domaine, envisagez de créer un tunnel de réseau privé virtuel (VPN) de routage et d’accès à distance pour le trafic Netlogon, ou mettez les clients à niveau vers Windows 2000. »
Citation de : http://support.microsoft.com/kb/263293
*
Ok, découvrons si les ports sont bloqués
Maintenant, vous pensez que vos ingénieurs d’infrastructure réseau savent ce qu’ils font et ont ouvert les ports nécessaires, donc vous vous dites, cela ne peut pas être la raison… ou si ? Eh bien, nous allons le découvrir. Nous pouvons utiliser PortQry pour le tester. Et non, vous ne voulez pas utiliser ping, nslookup, nmap ou tout autre scanner de port, parce qu’ils ne sont pas conçus pour interroger les ports AD nécessaires pour voir s’ils répondent ou non.
Donc, exécutons PortQry:
D’abord, téléchargez-le:
PortQryUI – GUI – Version 2.0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
Puis exécutez l’option « Domaines &Trusts » entre DCs, ou entre DCs et n’importe quelle machine (autres serveurs que vous voulez promouvoir, ou même depuis une machine cliente), ou depuis les têtes de pont de chaque site vers l’autre tête de pont de l’autre site…, à peu près partout où vous voulez tester s’il y a des ports AD bloqués.
Le point est, vous voudrez l’exécuter dans n’importe quel scénario où un DC doit communiquer à un autre DC ou à un client.
Si vous obtenez des erreurs avec « NOTLISTENING », 0x00000001, et 0x00000002, cela signifie qu’il y a un blocage de port. Prenez note sur quels ports ils sont.
Vous pouvez ignorer les messages UDP 389 et UDP 88. Si vous voyez des erreurs TCP 42, cela signifie simplement que WINS ne fonctionne pas sur le serveur cible.
Références PortQry
Knock Knock Is That Port Open?
Par Mark Morowczynski 18 avr 2011, Tutoriel rapide sur la version GUI de PortQry.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
« Parfois, vous pouvez voir des erreurs telles que Le serveur RPC est indisponible ou Il n’y a plus de points de terminaison disponibles à partir du mappeur de points de terminaison … »
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
Comment utiliser Portqry pour dépanner les problèmes de connectivité d’Active Directory
http://support.microsoft.com/kb/816103
Si vous voulez utiliser la version en ligne de commande uniquement:
Détails de téléchargement : Scanner de port PortQry en ligne de commande uniquement version 2.0
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
Comprendre portqry et la sortie de la commande : Nouvelles caractéristiques et fonctionnalités de PortQry version 2.0
http://support.microsoft.com/kb/832919
Description de l’utilitaire de ligne de commande Portqry.exe
http://support.microsoft.com/kb/310099
Remarques de Portqry
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
Les communications de DC à DC et de DC à client nécessitent de nombreux ports
Il n’y a pas de secret. C’est le plus simple que je puisse dire.
Et, la liste des ports requis est longue, au grand dam des équipes d’ingénierie de l’infrastructure réseau qui doivent quêter des ports pour permettre à AD de communiquer, de se répliquer, etc, ces ports doivent être ouverts. Il n’y a vraiment pas grand-chose qui puisse être fait autrement.
Voici la liste avec une explication de chaque port :
|
Protocole et port
|
Utilisation d’AD et d’AD DS | Type de trafic |
| TCP 25 | Réplication | SMTP |
| TCP 42 | Si on utilise WINS dans un scénario de confiance de domaine offrant une résolution NetBIOS | WINS |
| TCP 135 | Réplication | RPC, EPM |
| TCP 137 | Résolution de noms NetBIOS | Résolution de noms NetBIOS |
| TCP 139 | Authentification des utilisateurs et des ordinateurs, Réplication | DFSN, Service de session NetBIOS, NetLogon |
| TCP et UDP 389 | Annuaire, Réplication, Authentification des utilisateurs et des ordinateurs, Politique de groupe, Trusts | LDAP |
| TCP 636 | Annuaire, Réplication, Authentification des utilisateurs et des ordinateurs, Politique de groupe, Trusts | LDAP SSL |
| TCP 3268 | Répertoire, réplication, authentification des utilisateurs et des ordinateurs, Politique de groupe, Trusts | LDAP GC |
| TCP 3269 | Répertoire, réplication, authentification des utilisateurs et des ordinateurs, Politique de groupe, Trusts | LDAP GC SSL |
| TCP et UDP 88 | Authentification des utilisateurs et des ordinateurs, Trusts au niveau de la forêt | Kerberos |
| TCP et UDP 53 | Authentification des utilisateurs et des ordinateurs, résolution de noms, Trusts | DNS |
| TCP et UDP 445 | Réplication, Authentification des utilisateurs et des ordinateurs, politique de groupe, trusts | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP 9389 | Services Web AD DS | SOAP |
| TCP 5722 | Réplication de fichiers | RPC, DFSR (SYSVOL) |
| TCP et UDP 464 | Réplication, authentification des utilisateurs et des ordinateurs, Fait confiance à | Kerberos changement/réglage du mot de passe |
| UDP 123 | Temps Windows, Trusts | Windows Time |
| UDP 137 | Authentification des utilisateurs et des ordinateurs | NetLogon, résolution de noms NetBIOS |
| UDP 138 | DFS, Group Policy, NetBIOS Netlogon, Navigation | DFSN, NetLogon, NetBIOS Datagram Service |
| UDP 67 et UDP 2535 | DHCP (Note : DHCP n’est pas un service central d’AD DS mais ces ports peuvent être nécessaires pour d’autres fonctions que DHCP, comme le WDS) | DHCP, MADCAP, PXE |
Et nous ne devons jamais oublier les ports éphémères !!
Et surtout, les ports éphémères, ou également connus sous le nom de « ports de réponse aux services », qui sont nécessaires pour les communications. Ces ports sont créés dynamiquement pour les réponses de session pour chaque client qui établit une session, (peu importe ce que le ‘client’ peut être), et non seulement à Windows, mais aussi à Linux et Unix.
Voir ci-dessous dans la section des références pour en savoir plus sur ce que signifie ‘éphémère’.sont utilisés uniquement pour cette session. Une fois la session dissoute, les ports sont remis dans le pool pour être réutilisés. Ceci ne s’applique pas seulement à Windows, mais aussi à Linux, Unix et d’autres systèmes d’exploitation. Voir ci-dessous dans la section des références pour en savoir plus sur ce que signifie ‘éphémère’.
Le tableau suivant montre ce que sont les ports éphémères en fonction de la version du système d’exploitation, et à quoi ils sont utilisés.
| Windows 2003, Windows XP, et Windows 2000 |
TCP & UDP |
1024-5000 | Ports de réponse du service dynamique éphémère |
| Windows 2008/Vista et plus récent | TCP & UDP 49152-65535 | Ports de réponse du service dynamique éphémère | |
| TCP dynamique éphémère | Réplication, Authentification des utilisateurs et des ordinateurs, politique de groupe, trusts | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| UDP dynamique éphémère | Politique de groupe | DCOM, RPC, EPM |
Si le scénario est un scénario Active Directory en mode mixte NT4 & avec des BDC NT4, alors les éléments suivants doivent être ouverts :
| TCP & UDP 1024 – 65535 | NT4 BDC vers Windows 2000 ou plus récent Contrôleur de domaine communications PDC-E | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
Voyez, n’était-ce pas simple ?
La liste courte sans explications sur les ports :
| Protocole | Port |
| TCP | 25 |
| TCP. | 42 |
| TCP | 135 |
| TCP | 137 |
| TCP | 139 |
| TCP et UDP | 389 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
| TCP et UDP | 88 |
| TCP et UDP | 53 |
| TCP et UDP | 445 |
| TCP | 9389 |
| TCP | 5722 |
| TCP et UDP | 464 |
| UDP | 123 |
| UDP | 137 |
| UDP | 138 |
| UDP | 67 |
| UDP | 2535 |
| TCP & UDP | 1024-5000 |
| TCP & UDP | 49152-65535 |
Si le scénario est un scénario Active Directory en mode mixte NT4 & avec NT4 BDC :
Les ports éphémères suivants doivent être ouverts (oui, c’est à peu près toute la gamme) :
| TCP & UDP | 1024-65535 |
Restriction des ports à travers un pare-feu
Vous avez également la possibilité de restreindre le trafic de réplication DC à DC, et les communications DC à client, à un port spécifique. Gardez à l’esprit que cela dépend également des ports et des services que vous souhaiterez restreindre. Lorsque vous choisissez cette option, vous devez spécifier les ports corrects pour le service correct.
Cela dépend des ports et des services que vous voulez restreindre?
Méthode 1
Ceci est à utiliser pour définir le port de réplication AD spécifique. Par défaut, il utilise le port dynamique pour répliquer les données du DC d’un site à un autre.
Ceci est applicable pour la restriction de la réplication AD à une plage de port spécifique.
Procédure : Modifiez le registre pour sélectionner un port statique.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Restriction du trafic de réplication Active Directory et le trafic RPC des clients à un port spécifique
http://support.microsoft.com/kb/224196
Méthode 2
Il s’agit de configurer la ou les plages de ports dans le pare-feu Windows.
Netsh – utilisez les exemples suivants pour définir une plage de ports de départ, et le nombre de ports après celle-ci à utiliser
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
La plage de ports dynamiques par défaut pour TCP/IP a changé dans Windows Vista et dans Windows Server 2008
http://support.microsoft.com/kb/929851
Modifier le registre
Cela concerne les communications des services Windows. Il affecte également les communications AD.
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Comment configurer l’allocation dynamique des ports RPC pour fonctionner avec les pare-feu
http://support.microsoft.com/kb/154596/en-us
Voici quelques liens connexes à la restriction des ports de réplication AD.
Fil de référence:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
Exigences en matière de ports de pare-feu RPC
http://technet.microsoft.com/en-us/library/dd772723(WS.10.).aspx
Réplication Active Directory sur les pare-feu
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – Les « contrôleurs de domaine à lecture seule » ont leurs propres exigences en matière de port
|
. Trafic
|
Type de trafic |
| UDP 53 DNS | DNS |
| TCP 53 DNS | DNS |
| TCP 135 | RPC, EPM |
| TCP Statique 53248 | FRsRpc |
| TCP 389 | LDAP |
| TCP et UDP Dynamique 1025 – 5000 |
Windows 2000, Windows 2003, Windows XP Ports éphémères |
| TCP et UDP dynamiques 49152 – 65535 | Windows 2008, Windows Vista et tous les systèmes d’exploitation plus récents Ports éphémères |
Conception des RODC dans le réseau périphérique
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Restreindre le trafic de réplication Active Directory et le trafic RPC du client à un port spécifique
http://support.microsoft.com/kb/224196
Une bonne discussion sur le RODC et les ports du pare-feu est nécessaire:
http://forums.techarena.in/active-directory/1303925.htm
Des infos supplémentaires sur le fonctionnement de l’authentification RODC aideront à comprendre les ports :
Comprendre l’authentification « Read Only Domain Controller »
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
Comment configurer un pare-feu pour les domaines et les trusts
http://support.microsoft.com/kb/179442
Active Directory et les services de domaine Active Directory Port Requirements, Mise à jour : 18 juin 2009 (comprend les nouveaux ports éphémères mis à jour pour Windows Vista/2008 et plus récent). Cela traite également des exigences de port RODC. Vous devez également vous assurer que les ports éphémères sont ouverts. Ils sont:
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Windows 2008, 2008 R2, Vista et Windows 7 La gamme de ports éphémères a changé par rapport aux ports utilisés par Windows 2003 Windows XP, et Windows 2000. Les ports éphémères par défaut (ports de réponse dynamique des services aléatoires) sont UDP 1024 – 65535 (voir KB179442 ci-dessous), mais pour Vista et Windows 2008, c’est différent. Leur plage de ports de démarrage par défaut est UDP 49152 à UDP 65535 (voir KB929851 ci-dessous).
Citation de KB929851 (lien posté ci-dessous) : « Pour se conformer aux recommandations de l’Internet Assigned Numbers Authority (IANA), Microsoft a augmenté la plage de ports dynamiques des clients pour les connexions sortantes dans Windows Vista et dans Windows Server 2008. Le nouveau port de début par défaut est 49152, et le port de fin par défaut est 65535. Il s’agit d’un changement par rapport à la configuration des versions antérieures de Microsoft Windows qui utilisaient une plage de ports par défaut de 1025 à 5000. »
Les ports de réponse de service (ports éphémères) de Windows Vista, Windows 7, Windows 2008 et Windows 2008 R2 ont changé.
http://support.microsoft.com/?kbid=929851
Ports d’Active Directory et de pare-feu – J’ai eu du mal à trouver une liste définitive sur Internet pour savoir quels ports devaient être ouverts pour Active Directory pour la réplication entre les pare-feu. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Réplication d’Active Directory sur les pare-feu, 31 janvier 2006. (comprend les anciens ports éphémères antérieurs à Windows Vista/2008)
http://technet.microsoft.com/en-us/library/bb727063.aspx
Comment fonctionnent les domaines et les forêts
On trouve également une liste des ports nécessaires.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
Le blog de Paul Bergson sur la réplication AD et les ports de pare-feu
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Ports d’accès à Exchange DS
Configuration d’un pare-feu intranet pour Exchange 2003, 14 avril 2006.
Ports de protocole requis pour le pare-feu intranet et ports requis pour les communications Active Directory et Kerberos
http://technet.microsoft.com/en-us/library/bb125069.aspx
Lecture supplémentaire
Restriction du trafic de réplication Active Directory et du trafic RPC client …Restreindre le trafic de réplication Active Directory et le trafic RPC client à un … port unique, et vous redémarrez le service Netlogon sur le contrôleur de domaine. …
http://support.microsoft.com/kb/224196
Comment restreindre le trafic de réplication FRS à un port statique spécifique – Comment restreindre le trafic de réplication FRS à un port statique spécifique … Les contrôleurs de domaine et les serveurs basés sur Windows 2000 utilisent FRS pour répliquer la politique du système …
http://support.microsoft.com/kb/319553
Certains pare-feu peuvent rejeter le trafic réseau qui provient d’ordinateurs basés sur Windows Server 2003 Service Pack 1 ou Windows Vista
Cette KB indique que les pare-feu Checkpoint ont un problème avec les communications AD.
http://support.microsoft.com/?kbid=899148
Pare-feu Checkpoint et communications AD, DNS et RPC et trafic de réplication
Les pare-feu Checkpoint ont un problème connu si vous exécutez la version R55 ou antérieure. Vous devrez faire une entrée de registre pour permettre au trafic de circuler entre les 2 sites via le vpn. La solution privilégiée est de mettre à jour le pare-feu Checkpoint.
Plus d’infos:
Certains pare-feu peuvent rejeter le trafic réseau qui provient d’ordinateurs basés sur Windows Server 2003 Service Pack 1 ou Windows Vista
(Ce lien concerne et aide à résoudre le problème Checkpoint)
http://support.microsoft.com/?kbid=899148
Note d’une affiche sur internet avec un pare-feu Checkpoint :
Pour Windows 2003 R2 et le contrôleur de domaine distant non-R2, nous avons ajouté l’entrée Server2003NegotiateDisable dans
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
Je sais que vous avez apprécié cette lecture.
Bien, que ce soit le cas ou non, au moins vous savez maintenant ce qu’il faut faire pour que cela fonctionne.
Les commentaires, suggestions et corrections sont les bienvenus!
==================================================================
Summary
J’espère que cela vous aidera !
Date de publication originale : 11/1/2011
Mise à jour le 11/4/2014
Ace Fekay
MVP, MCT, MCSE 2012, MCITP EA & MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
Liste complète des blogs techniques : http://www.delawarecountycomputerconsulting.com/technicalblogs.php
Cet affichage est fourni TEL QUEL, sans garantie et ne confère aucun droit.