Ace ismét itt van. Arra gondoltam, hogy kitakarítom és újra közzéteszem az AD portok követelményeiről szóló blogomat. Igen, ezek kiterjedtek, a szervezet hálózati csoportjának megdöbbenésére. De ez van, ami van, és ezt kell követnünk ahhoz, hogy az AD működjön.
RPC-kiszolgáló nem elérhető? Replikációs hibák az eseménynézőben? Ismerősen hangzik?
Ha igen, akkor önnek is beugrott a tény és a felismerés, hogy esetleg szükséges portok vannak blokkolva, amelyek ezeket az ismerős AD kommunikációs hibákat okozzák. Akár a tűzfal/VPN-alagút portblokkolással rendelkező helyek között, akár a Windows tűzfal (ami általában nem a bűnös, mert automatikusan beállítják a gép szerepének és az aktuális hálózati helynek megfelelően), vagy akár a biztonsági szoftverek vagy vírusirtó alkalmazások valamilyen “hálózati forgalomvédelmi” funkciót engedélyezve, ami a problémát okozza.
Egyszerűen szólva, ha replikációs vagy egyéb AD kommunikációs problémák vannak, és a végpontokra vagy az összes DC-re telepített vírusirtó szoftver van telepítve, tiltsa le, vagy még jobb, ha eltávolítja. Az eltávolítás a legjobb megoldás, így tudod, hogy nincs nyoma más aktív alkomponenseknek, amelyek még mindig blokkolást okozhatnak. Ha az eltávolítása után úgy találja, hogy a replikáció most már működik, nos, akkor meg is van. Ekkor fel kell vennie a kapcsolatot a vírusirtójával, hogy megkérdezze, hogyan lehet a legjobban beállítani, hogy engedélyezze az AD-kommunikációt és a replikációt.
Ha nem a vírusirtó vagy a biztonsági alkalmazás a hibás, és a Windows tűzfal letiltása nem segít, akkor nyilvánvaló, hogy külső tényező – a perem/perem tűzfalai.
Megjegyzendő még, hogy a portblokkok tesztelésekor az olyan eszközök, mint a telnet nem jó eszköz az AD/DC és a DC kapcsolat tesztelésére, ahogyan semmilyen szabványos portvizsgálat sem, például az nmap vagy egy egyszerű ping használata, az nslookup segítségével történő feloldás (bár a szükséges rekordok feloldása előfeltétel) vagy más eszközök használata. Az egyetlen megbízható teszt a Microsoft PortQry használata, amely konkrét AD portokat és az efemer portokat teszteli, valamint a szükséges válaszokat a szolgáltatásoktól a szükséges AD portokon, amelyeket kifejezetten vizsgál.
AD through a NAT? Nem. Pont.
Oh, és ne várd, hogy ez egy NAT-on keresztül is működni fog. A NAT-ok nem tudják lefordítani a titkosított RPC-forgalmat, ezért az LDAP-kommunikáció nem működik.
Description of Support boundaries for Active Directory over NAT
http://support.microsoft.com/kb/978772
How to configure RPC dynamic port allocation to work with firewalls”
AD-kommunikáció nem fog működni NAT portfordításon keresztül, például a DCOM nem használható olyan NAT tűzfalon keresztül, amely címfordítást végez (pl.pl. amikor egy ügyfél a 198.252.145.1 virtuális címre csatlakozik, amelyet a tűzfal átláthatóan leképez a kiszolgáló tényleges belső IP-címére, mondjuk 192.100.81.101-re). Ennek az az oka, hogy a DCOM a nyers IP-címeket tárolja az interface marshaling csomagokban, és ha az ügyfél nem tud csatlakozni a csomagban megadott címre, akkor nem fog működni.”
Az idézet: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT Does Not Translate Netlogon Traffic (this applies to all DCs)
Az idézet: “A Windows 2000 NAT nem támogatja a Netlogont és nem fordítja a Kerberost. Ha vannak olyan ügyfelei, amelyek Windows 2000-alapú NAT-kiszolgáló mögött helyezkednek el, és szükségük van a tartományi erőforrásokhoz való hozzáférésre, fontolja meg egy útválasztási és távoli hozzáférési virtuális magánhálózati (VPN) alagút létrehozását a Netlogon-forgalom számára, vagy frissítse az ügyfeleket Windows 2000-re.”
Az idézet: http://support.microsoft.com/kb/263293
*
Oké, nézzük meg, hogy a portok blokkolva vannak-e
Most azt gondolja, hogy a hálózati infrastruktúra mérnökei tudják, mit csinálnak, és megnyitották a szükséges portokat, ezért azt gondolja, ez nem lehet az oka, vagy mégis? Nos, derítsük ki. Használhatjuk a PortQry-t a teszteléshez. És nem, nem érdemes ping, nslookup, nmap vagy bármilyen más portolvasót használni, mert ezeket nem arra tervezték, hogy lekérdezzék a szükséges AD portokat, hogy lássák, válaszolnak-e vagy sem.
Tehát futtassuk a PortQry-t:
Először is töltsük le:
PortQryUI – GUI – Version 2.0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
Aztán futtassuk a “Domains & Trusts” opciót a DC-k között, vagy a DC-k és bármely gép között (más szerverek, amelyeket elő akarunk léptetni, vagy akár egy ügyfélgépről), vagy az egyes telephelyek hídfőpontjaitól a másik telephely másik hídfőpontjához.., nagyjából bárhol, ahol tesztelni szeretné, hogy vannak-e blokkolt AD-portok.
A lényeg az, hogy minden olyan forgatókönyvben futtatni kell, ahol egy DC-nek kommunikálnia kell egy másik DC-vel vagy egy ügyféllel.
Ha “NOTLISTENING”, 0x00000001 és 0x00000002 hibát kap, az azt jelenti, hogy van egy portblokkolás. Jegyezze meg, hogy melyik portokról van szó.
Az UDP 389 és UDP 88 üzeneteket figyelmen kívül hagyhatja. Ha TCP 42 hibákat lát, az csak azt jelenti, hogy a WINS nem fut a célkiszolgálón.
PortQry referenciák
Knock Knock Is That Port Open?
By Mark Morowczynski 18 Apr 2011, Gyors bemutató a PortQry GUI verziójáról.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
“Időnként olyan hibákat láthat, mint Az RPC-kiszolgáló nem elérhető vagy A végpont-leképezőből nem áll rendelkezésre több végpont …”
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
How to use Portqry to troubleshooting Active Directory connectivity problems
http://support.microsoft.com/kb/816103
How to use Portqry to troubleshooting Active Directory connection issues
http://support.microsoft.com/kb/816103
If you want to use the command line only version:
Download details: PortQry csak parancssoros portolvasó 2.0 verzió
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
A portqry és a parancs kimeneteinek megértése: Új funkciók és funkciók a PortQry 2.0 verziójában
http://support.microsoft.com/kb/832919
A Portqry.exe parancssori segédprogram leírása
http://support.microsoft.com/kb/310099
Portqry megjegyzések
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
A DC-DC és DC-ügyfél kommunikáció számos portot igényel
Nincs titok. Ez a legegyszerűbb, amit el tudok mondani.
És a szükséges portok listája hosszú, a hálózati infrastruktúra mérnöki csapatainak megdöbbenésére, akiknek meg kell hagyni a portokat, hogy az AD kommunikálhasson, replikálhasson stb. ezeket a portokat meg kell nyitni. Másképp tényleg nem sok mindent lehet tenni.
Itt a lista az egyes portok magyarázatával:
|
Protokoll és port
|
AD és AD DS használata | A forgalom típusa |
| TCP 25 | Replikáció | SMTP |
| TCP 42 | Ha a WINS-t NetBIOS feloldást kínáló tartományi bizalmi forgatókönyvben használja | WINS |
| TCP 135 | Replikáció | RPC, EPM |
| TCP 137 | NetBIOS névfeloldás | NetBIOS névfeloldás |
| TCP 139 | Felhasználó és számítógép hitelesítés, Replikáció | DFSN, NetBIOS Session Service, NetLogon |
| TCP és UDP 389 | Címtár, replikáció, felhasználói és számítógépes hitelesítés, csoportházirend, megbízások | LDAP |
| TCP 636 | Címtár, replikáció, felhasználói és számítógépes hitelesítés, Csoportházirend, megbízások | LDAP SSL |
| TCP 3268 | Címtár, replikáció, felhasználói és számítógépes hitelesítés, csoportházirend, megbízások | LDAP GC |
| TCP 3269 | Címtár, replikáció, felhasználói és számítógépes hitelesítés, csoportházirend, Bizalom | LDAP GC SSL |
| TCP és UDP 88 | Felhasználó és számítógép hitelesítés, Forest Level Trusts | Kerberos |
| TCP és UDP 53 | User and Computer Authentication, Name Resolution, Trusts | DNS |
| TCP és UDP 445 | Replication, Felhasználó- és számítógép-hitelesítés, csoportházirend, megbízások | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP 9389 | AD DS Web Services | SOAP |
| TCP 5722 | File Replication | RPC, DFSR (SYSVOL) |
| TCP és UDP 464 | Replikáció, felhasználói és számítógépes hitelesítés, Bizalom | Kerberos jelszó módosítása/beállítása |
| UDP 123 | Windows Time, Trusts | Windows Time |
| UDP 137 | User and Computer Authentication | NetLogon, NetBIOS Name Resolution |
| UDP 138 | DFS, Csoportházirend, NetBIOS Netlogon, Böngészés | DFSN, NetLogon, NetBIOS Datagram Service |
| UDP 67 és UDP 2535 | DHCP (Megjegyzés: A DHCP nem alapvető AD DS szolgáltatás, de ezek a portok a DHCP-n kívül más funkciókhoz, például a WDS-hez is szükségesek lehetnek) | DHCP, MADCAP, PXE |
És soha nem szabad megfeledkeznünk az efemer portokról!!
És legfőképpen az efemer portokat, vagy más néven a “szolgáltatási válaszportokat”, amelyek a kommunikációhoz szükségesek. Ezek a portok dinamikusan jönnek létre a munkamenet-válaszokhoz minden egyes ügyfél számára, aki munkamenetet hoz létre (függetlenül attól, hogy mi az “ügyfél”), és nem csak a Windows, hanem a Linux és a Unix számára is.
Az “efemer” jelentéssel kapcsolatban lásd lentebb a hivatkozások részben. csak az adott munkamenethez használatosak. A munkamenet feloldása után a portok visszakerülnek a poolba, hogy újra felhasználhatók legyenek. Ez nemcsak Windowsra, hanem Linuxra, Unixra és más operációs rendszerekre is vonatkozik. Az ‘ephemeral’ jelentéséről bővebben lásd alább a hivatkozások részben.
A következő táblázatban látható, hogy az ephemeral portok az operációs rendszer verziójától függően milyenek, és mire használják őket.
| Window 2003, Windows XP, és Windows 2000 |
TCP & UDP |
1024-5000 | Ephemeral Dynamic Service Response Ports |
| Windows 2008/Vista és újabbak | TCP & UDP 49152-65535 | Ephemeral Dynamic Service Response Ports | |
| TCP Dynamic Ephemeral | Replikáció, Felhasználó- és számítógép-hitelesítés, csoportházirend, bizalmi kapcsolatok | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| UDP Dinamikus efemer | Csoportházirend | DCOM, RPC, EPM |
Ha a forgatókönyv egy vegyes üzemmódú NT4 & Active Directory forgatókönyv NT4 BDC-kkel, akkor a következőket kell megnyitni:
| TCP & UDP 1024 – 65535 | NT4 BDC és Windows 2000 vagy újabb tartományvezérlő PDC-E közötti kommunikáció | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
Látja, nem volt egyszerű?
A rövid lista portmagyarázat nélkül:
| Protokoll | Port |
| TCP | 25 |
| TCP | 42 |
| TCP | 135 |
| TCP | 137 |
| TCP | 139 |
| TCP és UDP | 389 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
| TCP and UDP | 88 |
| TCP és UDP | 53 |
| TCP és UDP | 445 |
| TCP | 9389 |
| TCP | 5722 |
| TCP és UDP | 464 |
| UDP | 123 |
| UDP | 137 |
| UDP | 138 |
| UDP | 67 |
| UDP | 2535 |
| TCP & UDP | 1024-5000 |
| TCP & UDP | 49152-65535 |
Ha a forgatókönyv egy vegyes üzemmódú NT4 & Active Directory forgatókönyv NT4 BDC-vel:
A következő efemer portokat kell megnyitni (igen, nagyjából az egész tartományt):
A következő efemer portokat kell megnyitni:
| TCP & UDP | 1024-65535 |
Portok korlátozása a tűzfalon keresztül
A DC-DC replikációs forgalom és a DC-ügyfél kommunikáció korlátozása is lehetséges egy adott portra. Ne feledje, ez attól is függ, hogy milyen portokat és szolgáltatásokat szeretne korlátozni. Ha ezt a lehetőséget választja, meg kell adnia a megfelelő portokat a megfelelő szolgáltatáshoz.
Ez attól függ, hogy milyen portokat és szolgáltatásokat kíván korlátozni?
Módszer 1
Ezzel az adott AD-replikációs portot kell beállítani. Alapértelmezés szerint dinamikus portot használ az adatok replikálásához az egyik telephelyen lévő DC-ről a másikra.
Ez az AD-replikáció egy adott porttartományra történő korlátozására alkalmazható.
Eljárás: Módosítsa a beállításjegyzéket egy statikus port kiválasztásához.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Az aktív korlátozása. Directory replikációs forgalom és az ügyfél RPC forgalom egy adott portra
http://support.microsoft.com/kb/224196
Módszer 2
Ez a Windows tűzfal porttartomány(ok) konfigurálására szolgál.
Netsh – a következő példákkal állíthatja be a kezdő porttartományt, és az utána használandó portok számát
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
A Windows Vista és a Windows Server 2008 rendszerben
http://support.microsoft.com/kb/929851
A beállításjegyzék módosítása
Ez a Windows szolgáltatások kommunikációjára szolgál. Ez az AD-kommunikációt is érinti.
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Hogyan konfigurálható az RPC dinamikus portkiosztása a tűzfalakkal való együttműködéshez
http://support.microsoft.com/kb/154596/en-us
Itt van néhány kapcsolódó link az AD-replikációs portok korlátozásához.
Hivatkozási szál:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
RODC tűzfal portkövetelmények
http://technet.microsoft.com/en-us/library/dd772723(WS.10.).aspx
Active Directory replikáció tűzfalakon keresztül
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – “Csak olvasható tartományvezérlők” saját portkövetelményekkel rendelkeznek
|
Forgalom
|
Forgalom típusa |
| UDP 53 DNS | DNS |
| TCP 53 DNS | DNS |
| TCP 135 | RPC, EPM |
| TCP Statikus 53248 | FRsRpc |
| TCP 389 | LDAP |
| TCP és UDP Dinamikus 1025 – 5000 |
Windows 2000, Windows 2003, Windows XP efemer portok |
| TCP és UDP Dinamikus 49152 – 65535 | Windows 2008, Windows Vista és minden újabb operációs rendszer efemer portok |
RODC-k tervezése a peremhálózatban
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Az Active Directory replikációs forgalom és az ügyfél RPC forgalom korlátozása egy adott portra
http://support.microsoft.com/kb/224196
A RODC és a tűzfal portjainak jó megbeszélése szükséges:
http://forums.techarena.in/active-directory/1303925.htm
A portok megértéséhez további információ szükséges a RODC hitelesítés működéséről:
A “Read Only Domain Controller” hitelesítés megértése
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
How to configure a firewall for domains and trusts
http://support.microsoft.com/kb/179442
Active Directory and Active Directory Domain Services Port Requirements, Updated: 2009. június 18. (tartalmazza a frissített új efemer portokat a Windows Vista/2008 és újabb rendszerek számára). Ez a RODC portkövetelményeket is tárgyalja. Meg kell győződnie arról is, hogy az efemer portok nyitva vannak. Ezek a következők:
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
A Windows 2008, 2008 R2, Vista és Windows 7 efemer portok tartománya megváltozott a Windows 2003 Windows XP és Windows 2000 által használt portokhoz képest. Az alapértelmezett ephemeral (Random service dynamic response portok) az UDP 1024 – 65535 (lásd lentebb KB179442), de a Vista és a Windows 2008 esetében ez más. Az alapértelmezett indítóport-tartományuk UDP 49152 és UDP 65535 között van (lásd alább a KB929851-et).
A KB929851-ből idézve (az alább közzétett link): “Az Internet Assigned Numbers Authority (IANA) ajánlásainak való megfelelés érdekében a Microsoft a Windows Vista és a Windows Server 2008 rendszerben megnövelte a kimenő kapcsolatok dinamikus ügyfélport-tartományát. Az új alapértelmezett kezdőport 49152, az alapértelmezett végport pedig 65535. Ez változás a Microsoft Windows korábbi verzióinak konfigurációjához képest, amelyek az 1025 és 5000 közötti alapértelmezett porttartományt használták.”
A Windows Vista, Windows 7, Windows 2008 és Windows 2008 R2 Service Response Ports (efemer portok) megváltoztak.
http://support.microsoft.com/?kbid=929851
Active Directory és a tűzfalak portjai – Nehezen találtam az interneten végleges listát arról, hogy milyen portokat kell megnyitni az Active Directory tűzfalak közötti replikációjához. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Active Directory replikáció tűzfalakon keresztül, 2006. január 31. (tartalmazza a régebbi, Windows Vista/2008 előtti efemer portokat is)
http://technet.microsoft.com/en-us/library/bb727063.aspx
How Domains and Forests Work
Megmutatja a szükséges portok listáját is.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
Paul Bergson blogja az AD-replikációról és a tűzfal portjairól
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Exchange DS hozzáférési portok
Intranet tűzfal konfigurálása az Exchange 2003-hoz, 2006. április 14.
Az intranetes tűzfalhoz szükséges protokollportok, valamint az Active Directory és Kerberos kommunikációhoz szükséges portok
http://technet.microsoft.com/en-us/library/bb125069.aspx
Kiegészítő olvasmány
Az Active Directory replikációs forgalom és az ügyfél RPC …Active Directory replikációs forgalom és az ügyfél RPC forgalom korlátozása egy … egyedi portra, és újraindítja a Netlogon szolgáltatást a tartományvezérlőn. …
http://support.microsoft.com/kb/224196
How to restrict FRS replication traffic to a specific static port – Hogyan korlátozza az FRS replikációs forgalmat egy adott statikus portra … Windows 2000 alapú tartományvezérlők és kiszolgálók az FRS-t használják a rendszer házirend replikálására …
http://support.microsoft.com/kb/319553
Some firewalls may reject network traffic that originations from Windows Server 2003 Service Pack 1-based or Windows Vista-based computers
This KB indicates Checkpoint firewalls having an problem with AD communications.
http://support.microsoft.com/?kbid=899148
Checkpoint tűzfal és AD, DNS és RPC kommunikáció és replikációs forgalom
A Checkpoint tűzfalakon ismert probléma van, ha az R55-ös vagy régebbi verziót használja. Szükséged lesz egy registry bejegyzésre, amely lehetővé teszi a forgalom áramlását a 2 helyszín között a vpn-en keresztül. Az előnyös megoldás a Checkpoint tűzfal frissítése.
Bővebb információ:
Egyes tűzfalak elutasíthatják a Windows Server 2003 Service Pack 1 alapú vagy Windows Vista alapú számítógépekről érkező hálózati forgalmat
(Ez a link a Checkpoint problémához kapcsolódik és segít megoldani azt)
http://support.microsoft.com/?kbid=899148
Egy Checkpoint tűzfallal rendelkező internetes hozzászóló megjegyzése:
A Windows 2003 R2 és a nem R2 távoli tartományvezérlőhöz hozzáadtuk a Server2003NegotiateDisable bejegyzést a
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
Tudom, hogy élvezte az olvasást.
Hát, akár tetszett, akár nem, legalább most már tudod, mit kell tenned, hogy működjön.
Kommentárokat, javaslatokat és javításokat szívesen fogadok!
==================================================================
Összefoglaló
Remélem, ez segít!
Original Publication Date:
Original Publication Date: Fekay Alice
MVP, MCT, MCSE 2012, MCITP EA & MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
A technikai blogok teljes listája: http://www.delawarecountycomputerconsulting.com/technicalblogs.php
Ezt a bejegyzést AS-IS biztosítjuk, szavatosság vagy garancia nélkül, és nem biztosít semmilyen jogot.