Ace hier weer. Ik dacht mijn blog over AD poorteisen op te ruimen en opnieuw te publiceren. Ja, ze zijn uitgebreid, tot ontsteltenis van de netwerkgroep in uw organisatie. Maar het is wat het is, en het is wat we moeten volgen om AD te laten werken.
RPC server niet beschikbaar? Replicatie fouten in de Event viewer? Klinkt dat bekend?
Als dat zo is, ben je er achter gekomen dat er mogelijk noodzakelijke poorten worden geblokkeerd die deze bekende AD communicatiefouten veroorzaken. Of het nu tussen locaties met firewall / VPN-tunnel poort blokkades, Windows Firewall (die meestal niet de boosdoener, omdat ze auto-configuratie voor de rol van de machine en het huidige netwerk locatie), of zelfs beveiligingssoftware of antivirus apps met een soort van “netwerkverkeer bescherming” functie ingeschakeld die is de oorzaak van het probleem.
Eenvoudig gezegd, als er replicatie of andere AD communicatie problemen zijn, en je hebt een antivirus software geïnstalleerd op de eindpunten of geïnstalleerd op al je DCs, schakel deze dan uit, of beter nog, verwijder deze. Deïnstalleren is de beste optie, zodat je weet dat er geen sporen zijn van andere subcomponenten die actief zijn en nog steeds de blokkade kunnen veroorzaken. Als je na het de-installeren merkt dat de replicatie nu werkt, dan heb je het. Op dat punt moet je contact opnemen met je antivirusleverancier om te vragen hoe je deze het beste kunt configureren om AD-communicatie en replicatie toe te staan.
Als het niet je antivirus of beveiligingsprogramma is, en het uitschakelen van de Windows firewall werkt niet, dan is het duidelijk dat het een externe factor is – je rand/perimeter firewalls.
Ook even om op te merken, bij het testen op poort blokkades, tools zoals telnet is geen goed gereedschap om AD/DC naar DC connectiviteit te testen, ook geen standaard poort scan, zoals met nmap, of een simpele ping, oplossen met nslookup (hoewel het oplossen van benodigde records een eerste vereiste is), of andere tools. De enige betrouwbare test is het gebruik van Microsoft’s PortQry, die specifieke AD poorten en de efemere poorten test, en de vereiste antwoorden van de diensten op de vereiste AD poorten waar het specifiek op scant.
AD door een NAT? Nope. Punt.
Oh, en verwacht niet dat dit werkt door een NAT. NAT’s kunnen het gecodeerde RPC-verkeer niet vertalen, waardoor de LDAP-communicatie wordt afgebroken.
Beschrijving van de ondersteuningsgrenzen voor Active Directory over NAT
http://support.microsoft.com/kb/978772
Hoe configureer ik dynamische poorttoewijzing voor RPC om te werken met firewalls”
AD-communicatie werkt niet door een NAT poortvertaling, zoals u DCOM niet kunt gebruiken door een NAT-firewall die adresvertaling uitvoert (bijv.Bijvoorbeeld wanneer een client verbinding maakt met het virtuele adres 198.252.145.1, dat door de firewall transparant wordt omgezet naar het eigenlijke interne IP adres van de server, bijvoorbeeld 192.100.81.101). Dit komt omdat DCOM ruwe IP adressen opslaat in de interface marshaling pakketten en als de client geen verbinding kan maken met het adres dat in het pakket staat, zal het niet werken.”
Gehaald uit: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT vertaalt Netlogon verkeer niet (dit geldt voor alle DC’s)
Gehaald uit: “Windows 2000 NAT biedt geen ondersteuning voor Netlogon en vertaalt Kerberos. Als u clients hebt die zich achter een Windows 2000-gebaseerde NAT-server bevinden en toegang nodig hebben tot domeinbronnen, overweeg dan een Routing and Remote Access virtual private network (VPN)-tunnel te maken voor Netlogon-verkeer, of upgrade de clients naar Windows 2000.”
Gehaald uit: http://support.microsoft.com/kb/263293
*
Ok, laten we eens uitzoeken of de poorten worden geblokkeerd
Nu denkt u dat uw netwerkinfrastructuur ingenieurs weten wat ze doen en de nodige poorten hebben geopend, dus u denkt, dit kan niet de reden zijn? of toch wel? Wel, laten we dat eens uitzoeken. We kunnen PortQry gebruiken om het te testen. En nee, je wilt niet ping, nslookup, nmap of een andere poort scanner gebruiken, omdat deze niet ontworpen zijn om de benodigde AD poorten te bevragen om te zien of ze reageren of niet.
Dus laten we PortQry draaien:
Download het eerst:
PortQryUI – GUI – Versie 2.0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
Draai dan de “Domains & Trusts” optie tussen DC’s, of tussen DC’s en elke machine (andere servers die je wilt promoten, of zelfs van een client machine), of van de bridgeheads in elke site naar het andere bridgehead in de andere site.., zo’n beetje overal waar je wilt testen of er geblokkeerde AD poorten zijn.
Het punt is, dat je het wilt uitvoeren in elk scenario waar een DC moet communiceren met een ander DC of met een client.
Als je fouten krijgt met “NOTLISTENING,” 0x00000001, en 0x00000002, dan betekent dat er een poortblokkade is. Noteer welke poorten dat zijn.
U kunt UDP 389 en UDP 88 berichten negeren. Als u TCP 42 fouten ziet, betekent dat alleen maar dat WINS niet draait op de doelserver.
PortQry Referenties
Knock Knock Is That Port Open?
Door Mark Morowczynski 18 Apr 2011, Snelle tutorial over PortQry GUI versie.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
“Soms ziet u fouten zoals The RPC server is unavailable of There are no more endpoints available from the endpoint mapper …”
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
Hoe Portqry te gebruiken om problemen met Active Directory-connectiviteit op te lossen
http://support.microsoft.com/kb/816103
Als u de versie met alleen de opdrachtregel wilt gebruiken:
Download details: PortQry Command Line Only Port Scanner Version 2.0
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
Uitleg van portqry en de uitvoer van de opdracht: Nieuwe functies en functionaliteit in PortQry versie 2.0
http://support.microsoft.com/kb/832919
Beschrijving van het opdrachtregelhulpprogramma Portqry.exe
http://support.microsoft.com/kb/310099
Portqry Opmerkingen
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
DC-naar-DC en DC-naar-client-communicatie vereisen talrijke poorten
Er is geen geheim voor dit. Dat is het eenvoudigste wat ik kan zeggen.
En, de lijst van vereiste poorten is lang, tot ontsteltenis van netwerk infrastructuur engineering teams die poorten moeten verloven om AD te laten communiceren, repliceren, etc., deze poorten moeten worden geopend. Er is echt niet veel dat anders gedaan kan worden.
Hier is de lijst met een uitleg van elke poort:
|
Protocol en poort
|
AD- en AD DS-gebruik | Type verkeer |
| TCP 25 | Replicatie | SMTP |
| TCP 42 | Bij gebruik van WINS in een domain trust scenario dat NetBIOS resolutie biedt | WINS |
| TCP 135 | Replicatie | RPC, EPM |
| TCP 137 | NetBIOS Naam resolutie | NetBIOS Naam resolutie |
| TCP 139 | Authenticatie van gebruikers en computers, Replicatie | DFSN, NetBIOS Session Service, NetLogon |
| TCP en UDP 389 | Directory, Replicatie, Gebruikers- en Computerauthenticatie, Groepsbeleid, Trusten | LDAP |
| TCP 636 | Directory, Replicatie, Gebruikers- en Computerauthenticatie, Groepsbeleid, Trusten | LDAP SSL |
| TCP 3268 | Directory, Replicatie, Gebruikers- en Computerauthenticatie, Groepsbeleid, Trusten | LDAP GC |
| TCP 3269 | Directory, Replicatie, Gebruikers- en Computerauthenticatie, Groepsbeleid, Trusts | LDAP GC SSL |
| TCP en UDP 88 | Gebruikers- en computerauthenticatie, Forest Level Trusts | Kerberos |
| TCP en UDP 53 | User and Computer Authentication, Name Resolution, Trusts | DNS |
| TCP en UDP 445 | Replication, Gebruikers- en computerauthenticatie, Groepsbeleid, Trusts | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP 9389 | AD DS Web Services | SOAP |
| TCP 5722 | File Replication | RPC, DFSR (SYSVOL) |
| TCP en UDP 464 | Replicatie, Gebruikers- en Computerauthenticatie, Vertrouwt | Kerberos wijzig/stel wachtwoord |
| UDP 123 | Windows Tijd, Trusts | Windows Tijd |
| UDP 137 | Authenticatie van gebruikers en computers | NetLogon, NetBIOS Naam Resolutie |
| UDP 138 | DFS, Group Policy, NetBIOS Netlogon, Browsing | DFSN, NetLogon, NetBIOS Datagram Service |
| UDP 67 en UDP 2535 | DHCP (Opmerking: DHCP is geen kerndienst van AD DS, maar deze poorten kunnen nodig zijn voor andere functies dan DHCP, zoals WDS) | DHCP, MADCAP, PXE |
En we mogen de Ephemeral Ports nooit vergeten!!
En bovenal, de Ephemeral poorten, of ook bekend als de “service response poorten,” die nodig zijn voor communicatie. Deze poorten worden dynamisch aangemaakt voor sessie-respons voor elke client die een sessie opzet, (ongeacht wat de ‘client’ is), en niet alleen voor Windows, maar ook voor Linux en Unix.
Zie hieronder in de referenties sectie om meer te weten te komen over wat ‘efemeer’ betekent.worden alleen gebruikt voor die sessie. Zodra de sessie is opgeheven, worden de poorten teruggezet in de pool voor hergebruik. Dit geldt niet alleen voor Windows, maar ook voor Linux, Unix en andere besturingssystemen. Zie hieronder in de referenties sectie om meer te weten te komen over wat “ephemeral” betekent.
De volgende grafiek laat zien wat de ephemeral ports zijn, afhankelijk van de OS versie, en waar ze voor gebruikt worden.
| Windows 2003, Windows XP, en Windows 2000 |
TCP & UDP |
1024-5000 | Ephemeral Dynamic Service Response Ports |
| Windows 2008/Vista en nieuwer | TCP & UDP 49152-65535 | Ephemeral Dynamic Service Response Ports | |
| TCP Dynamic Ephemeral | Replication, Gebruikers- en computerauthenticatie, Groepsbeleid, Trusts | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| UDP Dynamic Ephemeral | Groepsbeleid | DCOM, RPC, EPM |
Als het scenario een Mixed-Mode NT4 & Active Directory scenario is met NT4 BDC’s, dan moet het volgende worden geopend:
| TCP & UDP 1024 – 65535 | NT4 BDC naar Windows 2000 of nieuwer Domeincontroller PDC-E communicatie | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
Zie je, was dat niet eenvoudig?
De korte lijst zonder uitleg over poorten:
| Protocol | Poort |
| TCP | 25 |
| TCP | 42 |
| TCP | 135 |
| TCP | 137 |
| TCP | 139 |
| TCP en UDP | 389 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
| TCP en UDP | 88 |
| TCP en UDP | 53 |
| TCP en UDP | 445 |
| TCP | 9389 |
| TCP | 5722 |
| TCP en UDP | 464 |
| UDP | 123 |
| UDP | 137 |
| UDP | 138 |
| UDP | 67 |
| UDP | 2535 |
| TCP & UDP | 1024-5000 |
| TCP & UDP | 49152-65535 |
Als het scenario een Mixed-Mode NT4 & Active Directory scenario is met NT4 BDC:
De volgende Ephemeral poorten moeten worden geopend (ja, het is zo’n beetje de hele reeks):
| TCP & UDP | 1024-65535 |
Poorten over een firewall beperken
Je hebt ook de mogelijkheid om DC naar DC replicatieverkeer, en DC naar client communicatie, te beperken tot een specifieke poorten. Het hangt er ook van af welke poorten en diensten je wilt beperken. Als je deze optie kiest, moet je de juiste poorten voor de juiste service opgeven.
Het hangt er vanaf welke poorten en services je wilt beperken?
Methode 1
Dit wordt gebruikt om de specifieke AD replicatie poort in te stellen. Standaard wordt de dynamische poort gebruikt om gegevens te repliceren van de DC op de ene site naar de andere.
Dit is van toepassing voor het beperken van AD replicatie tot een specifiek poortbereik.
Procedure: Wijzig register om een statische poort te selecteren.
HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Services\NTDSParameters
HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Services\NetlogonParameters
Beperking van Active Directory-replicatieverkeer en client-RPC-verkeer beperken tot een specifieke poort
http://support.microsoft.com/kb/224196
Methode 2
Dit is voor het configureren van het poortbereik (de poorten) in de Windows Firewall.
Netsh – gebruik de volgende voorbeelden om een begin poortbereik in te stellen, en het aantal poorten erna om te gebruiken
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
Het standaard dynamische poortbereik voor TCP/IP is gewijzigd in Windows Vista en in Windows Server 2008
http://support.microsoft.com/kb/929851
Het register wijzigen
Dit is voor de communicatie van Windows services. Het heeft ook invloed op AD-communicatie.
HKEY_LOCAL_MACHINE\SoftwareMicrosoft\Rpc
Hoe configureer je dynamische poorttoewijzing voor RPC om te werken met firewalls
http://support.microsoft.com/kb/154596/en-us
Hier zijn enkele gerelateerde links voor het beperken van AD-replicatiepoorten.
Reference thread:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
RODC Firewall Port Requirements
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Active Directory Replication over Firewalls
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – “Read only Domain Controllers” hebben hun eigen poortvereisten
|
Verkeer
|
Type verkeer |
| UDP 53 DNS | DNS |
| TCP 53 DNS | DNS |
| TCP 135 | RPC, EPM |
| TCP Static 53248 | FRsRpc |
| TCP 389 | LDAP |
| TCP en UDP Dynamic 1025 – 5000 |
Windows 2000, Windows 2003, Windows XP Ephemeral Ports |
| TCP en UDP Dynamic 49152 – 65535 | Windows 2008, Windows Vista en alle nieuwere besturingssystemen Ephemeral Ports |
Designing RODCs in the Perimeter Network
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Restrictie van Active Directory-replicatieverkeer en client-RPC-verkeer tot een specifieke poort
http://support.microsoft.com/kb/224196
Goede discussie over RODC en firewallpoorten vereist:
http://forums.techarena.in/active-directory/1303925.htm
Meer informatie over hoe RODC-authenticatie werkt, helpt om de poorten te begrijpen:
Inzicht in “Read Only Domain Controller”-authenticatie
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
Hoe configureer je een firewall voor domeinen en trusts
http://support.microsoft.com/kb/179442
Active Directory en Active Directory Domain Services poortvereisten, bijgewerkt: 18 juni 2009 (bevat bijgewerkte nieuwe efemerische poorten voor Windows Vista/2008 en nieuwer). Hierin worden ook de poortvereisten voor RODC besproken. U moet er ook voor zorgen dat de efemerele poorten zijn geopend. Dit zijn:
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Windows 2008, 2008 R2, Vista en Windows 7 Ephemeral Port range is veranderd ten opzichte van de poorten die gebruikt worden door Windows 2003 Windows XP, en Windows 2000. Standaard efemerische (Random service dynamic response poorten) zijn UDP 1024 – 65535 (Zie KB179442 hieronder), maar voor Vista en Windows 2008 is het anders. Hun standaard start poort bereik is UDP 49152 tot UDP 65535 (zie KB929851 hieronder).
Verhaald uit KB929851 (link hieronder geplaatst): “Om te voldoen aan de aanbevelingen van de Internet Assigned Numbers Authority (IANA), heeft Microsoft het dynamische client-poortbereik voor uitgaande verbindingen in Windows Vista en in Windows Server 2008 verhoogd. De nieuwe standaardstartpoort is 49152, en de standaard-eindpoort is 65535. Dit is een verandering ten opzichte van de configuratie van eerdere versies van Microsoft Windows die een standaard poortbereik van 1025 tot 5000 gebruikten.”
Windows Vista, Windows 7, Windows 2008 en Windows 2008 R2 Service Response Ports (efemere poorten) zijn gewijzigd.
http://support.microsoft.com/?kbid=929851
Active Directory en Firewall Poorten – Ik vond het moeilijk om op internet een definitieve lijst te vinden voor welke poorten geopend moesten worden voor Active Directory om te repliceren tussen Firewalls. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Active Directory Replication over Firewalls, 31 jan 2006. (bevat oudere efemere poorten van voor Windows Vista/2008)
http://technet.microsoft.com/en-us/library/bb727063.aspx
How Domains and Forests Work
Biedt ook een lijst met benodigde poorten.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
Paul Bergson’s Blog on AD Replication and Firewall Ports
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Exchange DS Access ports
Configuring an Intranet Firewall for Exchange 2003, April 14, 2006.
Protocolpoorten die vereist zijn voor de intranetfirewall en poorten die vereist zijn voor Active Directory- en Kerberos-communicatie
http://technet.microsoft.com/en-us/library/bb125069.aspx
Aanvullend lezen
Beperken van Active Directory-replicatieverkeer en client-RPC-verkeer …Beperken van Active Directory-replicatieverkeer en client-RPC-verkeer tot een … unieke poort, en u start de Netlogon-service op de domeincontroller opnieuw op. …
http://support.microsoft.com/kb/224196
Hoe FRS-replicatieverkeer te beperken tot een specifieke statische poort …Windows 2000-gebaseerde domeincontrollers en servers gebruiken FRS om systeembeleid te repliceren …
http://support.microsoft.com/kb/319553
Sommige firewalls kunnen netwerkverkeer weigeren dat afkomstig is van Windows Server 2003 Service Pack 1-gebaseerde of Windows Vista-gebaseerde computers
Deze KB wijst erop dat Checkpoint-firewalls een probleem hebben met de AD-communicatie.
http://support.microsoft.com/?kbid=899148
Checkpoint Firewall en AD-, DNS- en RPC-communicatie en replicatieverkeer
Checkpoint firewalls hebben een bekend probleem als u versie R55 of ouder gebruikt. U zult een register entry moeten maken om verkeer tussen de 2 sites via de vpn te laten lopen. De beste oplossing is om de Checkpoint firewall te upgraden.
Meer info:
Sommige firewalls kunnen netwerkverkeer weigeren dat afkomstig is van Windows Server 2003 Service Pack 1-gebaseerde of Windows Vista-gebaseerde computers
(Deze link heeft betrekking op en helpt bij het oplossen van het Checkpoint-probleem)
http://support.microsoft.com/?kbid=899148
Note van een poster op het internet met een Checkpoint-firewall:
Voor Windows 2003 R2 en niet-R2 remote domain controller hebben we het item Server2003NegotiateDisable toegevoegd in
HKEY_LOCAL_MACHINE\SOFTWARE\PoliciesMicrosoftWindows NTRpc
Ik weet dat je dit met plezier hebt gelezen.
Wel, of u het nu leuk vond of niet, u weet nu in ieder geval wat u moet doen om het te laten werken.
Commentaar, suggesties en correcties zijn welkom!
==================================================================
Samenvatting
Ik hoop dat dit helpt!
Oorspronkelijke Publicatiedatum: 11/1/2011
Updated 11/4/2014
Ace Fekay
MVP, MCT, MCSE 2012, MCITP EA & MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
Complete lijst van technische blogs: http://www.delawarecountycomputerconsulting.com/technicalblogs.php
Dit bericht wordt AS-IS geleverd, zonder garanties en zonder dat er rechten aan kunnen worden ontleend.