Ace znowu tutaj. Pomyślałem, aby wyczyścić i ponownie opublikować mój blog na temat wymagań portów AD. Tak, są one obszerne, ku przerażeniu grupy sieciowej w twojej organizacji. Ale to jest to, co jest, i to jest to, czego musimy przestrzegać, aby AD działał.
Serwer RPC nie jest dostępny? Błędy replikacji w przeglądarce zdarzeń? Brzmi znajomo?
Jeśli tak, zostałeś poddany faktowi i uświadomieniu sobie, że prawdopodobnie niezbędne porty są blokowane, powodując te znane błędy komunikacji AD. Czy to pomiędzy lokalizacjami z blokadami portów zapory sieciowej/VPN, zapory systemu Windows (która zwykle nie jest winowajcą, ponieważ automatycznie konfiguruje się do roli maszyny i jej bieżącej lokalizacji sieciowej), czy nawet oprogramowania zabezpieczającego lub aplikacji antywirusowych z włączoną jakąś funkcją „ochrony ruchu sieciowego”, która powoduje problem.
Prosto mówiąc, jeśli występuje replikacja lub inne problemy z komunikacją AD, i masz oprogramowanie antywirusowe zainstalowane na punktach końcowych lub zainstalowane na wszystkich DC, wyłącz je, lub jeszcze lepiej, odinstaluj je. Odinstalowanie go jest najlepszym rozwiązaniem, więc wiesz, że nie ma śladów innych podkomponentów, które są aktywne, które mogą nadal powodować blokadę. Jeśli po odinstalowaniu go, a znajdziesz replikacji teraz działa, dobrze, że masz to. W tym momencie należy skontaktować się ze sprzedawcą programu antywirusowego i zapytać o najlepszy sposób jego konfiguracji, aby umożliwić komunikację i replikację AD.
Jeśli nie jest to wina programu antywirusowego lub aplikacji zabezpieczającej, a wyłączenie zapory systemu Windows nie załatwia sprawy, to oczywiste jest, że jest to czynnik zewnętrzny – zapory brzegowe/perymetryczne.
Podkreślamy również, że podczas testowania bloków portów, narzędzia takie jak telnet nie są dobrym narzędziem do testowania łączności AD/DC z DC, ani żaden rodzaj standardowego skanowania portów, taki jak użycie nmap, lub prosty ping, rozwiązywanie za pomocą nslookup (chociaż rozwiązywanie wymaganych rekordów jest warunkiem wstępnym), lub innych narzędzi. Jedynym wiarygodnym testem jest użycie Microsoft’s PortQry, który testuje konkretne porty AD i porty efemeryczne, oraz wymagane odpowiedzi od usług na wymaganych portach AD, które konkretnie skanuje.
AD przez NAT? Nie. Kropka.
Oh, i nie spodziewaj się, że to zadziała przez NAT. NAT nie może przetłumaczyć zaszyfrowanego ruchu RPC, co powoduje zablokowanie komunikacji LDAP.
Opis granic wsparcia dla Active Directory przez NAT
http://support.microsoft.com/kb/978772
Jak skonfigurować dynamiczne przydzielanie portów RPC do pracy z zaporami ogniowymi”
Komunikacja AD nie będzie działać przez translację portów NAT, np. nie można używać DCOM przez zaporę ogniową NAT, która wykonuje translację adresów (np.np. gdy klient łączy się z wirtualnym adresem 198.252.145.1, który firewall mapuje transparentnie do rzeczywistego wewnętrznego adresu IP serwera, powiedzmy 192.100.81.101). Dzieje się tak dlatego, że DCOM przechowuje surowe adresy IP w pakietach marshalingowych interfejsu i jeśli klient nie może połączyć się z adresem podanym w pakiecie, nie zadziała.”
Cytowane z: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT Does Not Translate Netlogon Traffic (this applies to all DCs)
Cytowane: „Windows 2000 NAT nie obsługuje Netlogon i nie tłumaczy Kerberos. Jeśli masz klientów, którzy znajdują się za serwerem NAT opartym na systemie Windows 2000 i potrzebują dostępu do zasobów domeny, rozważ utworzenie tunelu wirtualnej sieci prywatnej (VPN) Routing and Remote Access dla ruchu Netlogon lub uaktualnij klientów do systemu Windows 2000.”
Cytowane z: http://support.microsoft.com/kb/263293
*
Ok, dowiedzmy się, czy porty są blokowane
Teraz myślisz, że twoi inżynierowie od infrastruktury sieciowej wiedzą, co robią i otworzyli niezbędne porty, więc myślisz, to nie może być powód? a może jest? Cóż, dowiedzmy się. Możemy użyć PortQry, aby to przetestować. I nie, nie chcesz używać ping, nslookup, nmap ani żadnego innego skanera portów, ponieważ nie są one zaprojektowane do odpytywania niezbędnych portów AD, aby sprawdzić, czy odpowiadają, czy nie.
Uruchommy więc PortQry:
Najpierw pobierz go:
PortQryUI – GUI – Version 2.0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
Następnie uruchom opcję „Domains & Trusts” między DC, lub między DC a dowolną maszyną (innymi serwerami, które chcesz promować, lub nawet z maszyny klienckiej), lub z przyczółków w każdej witrynie do drugiego przyczółka w drugiej witrynie.., prawie wszędzie, gdzie chcesz sprawdzić, czy są jakieś zablokowane porty AD.
Chodzi o to, że będziesz chciał uruchomić go w każdym scenariuszu, w którym DC musi komunikować się z innym DC lub klientem.
Jeśli otrzymasz jakiekolwiek błędy z „NOTLISTENING,” 0x00000001, i 0x00000002, oznacza to, że istnieje blokada portu. Zwróć uwagę na to, które to porty.
Możesz zignorować wiadomości UDP 389 i UDP 88. Jeśli widzisz błędy TCP 42, oznacza to tylko, że WINS nie jest uruchomiony na serwerze docelowym.
PortQry References
Knock Knock Is That Port Open?
By Mark Morowczynski 18 Apr 2011, Szybki tutorial o PortQry w wersji GUI.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
„Czasami możesz zobaczyć błędy takie jak The RPC server is unavailable lub There are no more endpoints available from the endpoint mapper …”
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
How to use Portqry to troubleshoot Active Directory connectivity issues
http://support.microsoft.com/kb/816103
Jeśli chcesz użyć wersji tylko z wierszem poleceń:
Szczegóły pobierania: PortQry Command Line Only Port Scanner Version 2.0
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
Zrozumienie portqry i danych wyjściowych polecenia: Nowe cechy i funkcje w PortQry w wersji 2.0
http://support.microsoft.com/kb/832919
Opis narzędzia wiersza poleceń Portqry.exe
http://support.microsoft.com/kb/310099
Uwagi dotyczące portqry
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
Komunikacja od DC do DC i od DC do klienta wymaga wielu portów
Nie ma w tym żadnej tajemnicy. To jest najprostsze, co mogę powiedzieć.
I, lista wymaganych portów jest długa, ku przerażeniu zespołów inżynierii infrastruktury sieciowej, które muszą zarezerwować porty, aby umożliwić AD komunikację, replikację, itp. porty te muszą być otwarte. Naprawdę niewiele można zrobić w inny sposób.
Tutaj jest lista z wyjaśnieniem każdego portu:
|
Protokół i port
|
AD i AD DS Użytkowanie | Typ ruchu |
| TCP 25 | Replikacja | SMTP |
| TCP 42 | W przypadku korzystania z WINS w scenariuszu zaufania do domeny oferującym rozdzielczość NetBIOS | WINS |
| TCP 135 | Replikacja | RPC, EPM |
| TCP 137 | Rozdzielczość nazw NetBIOS | Rozdzielczość nazw NetBIOS |
| TCP 139 | Uwierzytelnianie użytkowników i komputerów, Replikacja | DFSN, NetBIOS Session Service, NetLogon |
| TCP i UDP 389 | Directory, Replication, User and Computer Authentication, Group Policy, Trusts | LDAP |
| TCP 636 | Directory, Replication, User and Computer Authentication, Group Policy, Trusts | LDAP SSL |
| TCP 3268 | Directory, Replication, User and Computer Authentication, Group Policy, Trusts | LDAP GC |
| TCP 3269 | Directory, Replication, User and Computer Authentication, Group Policy, Zaufania | LDAP GC SSL |
| TCP i UDP 88 | Uwierzytelnianie użytkowników i komputerów, Forest Level Trusts | Kerberos |
| TCP i UDP 53 | User and Computer Authentication, Name Resolution, Trusts | DNS |
| TCP i UDP 445 | Replication, Uwierzytelnianie użytkowników i komputerów, Polityka Grupy, Zaufanie | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP 9389 | AD DS Web Services | SOAP |
| TCP 5722 | Replikacja plików | RPC, DFSR (SYSVOL) |
| TCP i UDP 464 | Replikacja, uwierzytelnianie użytkowników i komputerów, Ufa | Kerberos change/set password |
| UDP 123 | Windows Time, Trusts | Windows Time |
| UDP 137 | Uwierzytelnianie użytkowników i komputerów | NetLogon, NetBIOS Name Resolution |
| UDP 138 | DFS, Group Policy, NetBIOS Netlogon, Browsing | DFSN, NetLogon, NetBIOS Datagram Service |
| UDP 67 i UDP 2535 | DHCP (Uwaga: DHCP nie jest podstawową usługą AD DS, ale te porty mogą być niezbędne dla innych funkcji poza DHCP, takich jak WDS) | DHCP, MADCAP, PXE |
And We Must Never Forget the Ephemeral Ports!!
I przede wszystkim, porty efemeryczne, lub znane również jako „porty odpowiedzi usługi”, które są wymagane do komunikacji. Te porty są dynamicznie tworzone dla odpowiedzi sesji dla każdego klienta, który ustanawia sesję, (bez względu na to, co to jest „klient”), i nie tylko dla Windows, ale także dla Linux i Unix.
Zobacz poniżej w sekcji referencji, aby dowiedzieć się więcej o tym, co oznacza 'ephemeral’. są używane tylko dla tej sesji. Gdy sesja zostanie rozwiązana, porty są umieszczane z powrotem w puli do ponownego użycia. Odnosi się to nie tylko do Windows, ale także do Linux, Unix i innych systemów operacyjnych. Zobacz poniżej w sekcji referencji aby dowiedzieć się więcej o tym co oznacza 'ephemeral’.
Następujący wykres pokazuje czym są porty ephemeral w zależności od wersji OS, i do czego są używane.
| Windows 2003, Windows XP, i Windows 2000 |
TCP & UDP |
1024-5000 | Porty odpowiedzi efemerycznej usługi dynamicznej |
| Windows 2008/Vista i nowsze | TCP & UDP 49152-65535 | Porty odpowiedzi usług dynamicznych efemerycznych | |
| TCP Dynamiczne efemeryczne | Replikacja, User and Computer Authentication, Group Policy, Trusts | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| UDP Dynamic Ephemeral | Group Policy | DCOM, RPC, EPM |
Jeśli scenariusz jest scenariuszem Mixed-Mode NT4 & Active Directory z NT4 BDC, to należy otworzyć następujące elementy:
| TCP & UDP 1024 – 65535 | NT4 BDC do Windows 2000 lub nowszego Kontroler domeny Komunikacja PDC-E | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
Widzicie, czy to nie było proste?
Krótka lista bez objaśnień portów:
| Protokół | Port |
| TCP | 25 |
| TCP. | 42 |
| TCP | 135 |
| TCP | 137 |
| TCP | 139 |
| TCP i UDP | 389 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
| TCP i UDP | 88 |
| TCP i UDP | 53 |
| TCP i UDP | 445 |
| TCP | 9389 |
| TCP | 5722 |
| TCP i UDP | 464 |
| UDP | 123 |
| UDP | 137 |
| UDP | 138 |
| UDP | 67 |
| UDP | 2535 |
| TCP & UDP | 1024-.5000 |
| TCP & UDP | 49152-65535 |
Jeśli scenariusz jest scenariuszem Mixed-Mode NT4 & Active Directory z NT4 BDC:
Następujące porty Efemeryczne muszą być otwarte (tak, to całkiem spory zakres):
| TCP & UDP | 1024-65535 |
Restricting Ports Across a Firewall
Masz również możliwość ograniczenia ruchu replikacyjnego DC to DC, oraz komunikacji DC to klient, do określonych portów. Należy pamiętać, że zależy to również od tego, jakie porty i usługi chcesz ograniczyć. Przy wyborze tej opcji, musisz określić właściwe porty dla właściwej usługi.
To zależy od tego, jakie porty i usługi chcesz ograniczyć?
Metoda 1
To jest używane do ustawienia konkretnego portu replikacji AD. Domyślnie używa on portu dynamicznego do replikacji danych z DC w jednej witrynie do innej.
To ma zastosowanie do ograniczenia replikacji AD do określonego zakresu portów.
Procedura: Zmodyfikuj rejestr, aby wybrać statyczny port.
HKEY_LOCAL_MACHINE\SYSTEM}Parametry kontroli bieżącej
HKEY_LOCAL_MACHINE\SYSTEM>Parametry kontroli bieżącej
Ograniczenie ruchu replikacji Active Directory i ruchu RPC klienta do określonego portu
http://support.microsoft.com/kb/224196
Metoda 2
Służy do konfigurowania zakresu portów w zaporze systemu Windows.
Netsh – użyj następujących przykładów, aby ustawić początkowy zakres portów, i liczbę portów po nim do użycia
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
Domyślny zakres portów dynamicznych dla TCP/IP zmienił się w systemie Windows Vista i Windows Server 2008
http://support.microsoft.com/kb/929851
Modyfikacja rejestru
Dotyczy to komunikacji w usługach systemu Windows. Ma to również wpływ na komunikację AD.
HKEY_LOCAL_MACHINE\Microsoft\Rpc
Jak skonfigurować dynamiczne przydzielanie portów RPC, aby działało z zaporami ogniowymi
http://support.microsoft.com/kb/154596/en-us
Tutaj znajdują się linki związane z ograniczaniem portów replikacji AD.
Wątek referencyjny:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
RODC Firewall Port Requirements
http://technet.microsoft.com/en-us/library/dd772723(WS.10.).aspx
Replikacja Active Directory przez firewalle
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – „Read only Domain Controllers” mają własne wymagania dotyczące portów
|
. Ruch
|
Rodzaj ruchu |
| UDP 53 DNS | DNS |
| TCP 53 DNS | DNS |
| TCP 135 | RPC, EPM |
| TCP Static 53248 | FRsRpc |
| TCP 389 | LDAP |
| TCP i UDP Dynamic 1025 – 5000 |
Windows 2000, Windows 2003, Windows XP Porty efemeryczne |
| TCP i UDP Dynamiczne 49152 – 65535 | Windows 2008, Windows Vista i wszystkie nowsze systemy operacyjne Porty efemeryczne |
Designing RODCs in the Perimeter Network
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Restrykcja ruchu replikacji Active Directory i ruchu RPC klienta do określonego portu
http://support.microsoft.com/kb/224196
Wymagana dobra dyskusja na temat portów RODC i zapory sieciowej:
http://forums.techarena.in/active-directory/1303925.htm
Dalsze informacje na temat działania uwierzytelniania RODC pomogą zrozumieć porty:
Zrozumienie uwierzytelniania „Read Only Domain Controller”
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
Jak skonfigurować zaporę sieciową dla domen i trustów
http://support.microsoft.com/kb/179442
Active Directory i Active Directory Domain Services Port Requirements, Updated: 18 czerwca 2009 (zawiera zaktualizowane nowe porty efemeryczne dla systemów Windows Vista/2008 i nowszych). Omówiono tu również wymagania dotyczące portów RODC. Należy również upewnić się, że porty efemeryczne są otwarte. Są to:
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Windows 2008, 2008 R2, Vista i Windows 7 Zakres portów efemerycznych zmienił się z portów używanych przez Windows 2003 Windows XP i Windows 2000. Domyślne porty efemeryczne (porty dynamicznej odpowiedzi usługi losowej) to UDP 1024 – 65535 (Zobacz KB179442 poniżej), ale dla Vista i Windows 2008 jest inaczej. Ich domyślny zakres portów startowych to UDP 49152 do UDP 65535 (patrz KB929851 poniżej).
Cytat z KB929851 (link zamieszczony poniżej): „Aby zachować zgodność z zaleceniami Internet Assigned Numbers Authority (IANA), firma Microsoft zwiększyła zakres dynamicznych portów klienta dla połączeń wychodzących w systemie Windows Vista i w systemie Windows Server 2008. Nowy domyślny port początkowy to 49152, a domyślny port końcowy to 65535. Jest to zmiana w stosunku do konfiguracji wcześniejszych wersji systemu Microsoft Windows, w których używano domyślnego zakresu portów od 1025 do 5000.”
Windows Vista, Windows 7, Windows 2008 i Windows 2008 R2 Service Response Ports (porty efemeryczne) uległy zmianie.
http://support.microsoft.com/?kbid=929851
Active Directory i porty zapory sieciowej – Trudno było mi znaleźć w Internecie ostateczną listę portów, które należało otworzyć, aby Active Directory mogło replikować między zaporami sieciowymi. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Active Directory Replication over Firewalls, Jan 31, 2006. (zawiera starsze porty efemeryczne sprzed Windows Vista/2008)
http://technet.microsoft.com/en-us/library/bb727063.aspx
How Domains and Forests Work
Also shows a list of ports needed.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
Paul Bergson’s Blog on AD Replication and Firewall Ports
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Exchange DS Access ports
Configuring an Intranet Firewall for Exchange 2003, April 14, 2006.
Protokoły wymagane przez zaporę intranetową oraz porty wymagane do komunikacji Active Directory i Kerberos
http://technet.microsoft.com/en-us/library/bb125069.aspx
Dodatkowa lektura
Ograniczenie ruchu replikacji Active Directory i ruchu RPC klienta …Ograniczenie ruchu replikacji Active Directory i ruchu RPC klienta do … unikalnego portu, a następnie ponownie uruchom usługę Netlogon na kontrolerze domeny. …
http://support.microsoft.com/kb/224196
Jak ograniczyć ruch replikacyjny FRS do określonego portu statycznego – Jak ograniczyć ruch replikacyjny FRS do określonego portu statycznego …Kontrolery domeny i serwery oparte na Windows 2000 używają FRS do replikacji zasad systemowych …
http://support.microsoft.com/kb/319553
Niektóre zapory sieciowe mogą odrzucać ruch sieciowy pochodzący z komputerów opartych na Windows Server 2003 Service Pack 1 lub Windows Vista
Ten KB wskazuje na zapory sieciowe Check Point mające problem z komunikacją AD.
http://support.microsoft.com/?kbid=899148
Checkpoint Firewall a komunikacja AD, DNS i RPC oraz ruch replikacyjny
Zapory Checkpointa mają znany problem, jeśli używasz wersji R55 lub starszej. Będziesz musiał dokonać wpisu w rejestrze, aby umożliwić przepływ ruchu między 2 witrynami przez vpn. Preferowanym rozwiązaniem jest aktualizacja firewalla Checkpointa.
Więcej informacji:
Niektóre zapory sieciowe mogą odrzucać ruch sieciowy pochodzący z komputerów opartych na Windows Server 2003 Service Pack 1 lub Windows Vista
(Ten link dotyczy i pomaga rozwiązać problem Checkpointa)
http://support.microsoft.com/?kbid=899148
Uwaga jednego z użytkowników Internetu posiadających zaporę sieciową Checkpointa:
Dla systemu Windows 2003 R2 i zdalnego kontrolera domeny innego niż R2 dodaliśmy wpis Server2003NegotiateDisable w
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
Wiem, że czytanie tego sprawiło Ci przyjemność.
Czy tak, czy nie, przynajmniej teraz wiesz, co zrobić, aby to zadziałało.
Komentarze, sugestie i poprawki są mile widziane!
==================================================================
Podsumowanie
Mam nadzieję, że to pomoże!
Original Publication Date: 11/1/2011
Updated 11/4/2014
Ace Fekay
MVP, MCT, MCSE 2012, MCITP EA & MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
Kompletna lista blogów technicznych: http://www.delawarecountycomputerconsulting.com/technicalblogs.php
Ten post jest dostarczany AS-IS bez żadnych gwarancji i rękojmi i nie przyznaje żadnych praw.
.