Ace aici din nou. M-am gândit să curăț și să re-public blogul meu despre cerințele porturilor AD. Da, acestea sunt extinse, spre consternarea grupului de rețea din organizația dvs. Dar este ceea ce este, și este ceea ce trebuie să respectăm pentru a face AD să funcționeze.
Serverul RPC nu este disponibil? Erori de replicare în Event viewer? Vă sună familiar?
Dacă da, ați fost sucombat la faptul și la realizarea faptului că există probabil porturi necesare care sunt blocate și care cauzează aceste erori de comunicare AD familiare. Fie între locații cu blocaje de porturi de tuneluri firewall/VPN, Windows Firewall (care, de obicei, nu este vinovatul, deoarece acestea se vor configura automat pentru rolul mașinii și locația curentă a rețelei), sau chiar software de securitate sau aplicații antivirus cu un fel de funcție de „protecție a traficului de rețea” activată care cauzează problema.
Simplu vorbind, dacă există probleme de replicare sau alte probleme de comunicare AD și aveți un software antivirus instalat pe punctele finale sau instalat pe toate DC-urile dumneavoastră, dezactivați-l sau, mai bine, dezinstalați-l. Dezinstalarea acestuia este cea mai bună opțiune, astfel încât să știți că nu există urme ale altor subcomponente active care ar putea cauza în continuare blocajul. Dacă, după dezinstalare, constatați că replicarea funcționează acum, ei bine, asta este. În acel moment, va trebui să vă contactați furnizorul de antivirus pentru a-l întreba care este cea mai bună modalitate de a-l configura pentru a permite comunicațiile și replicarea AD.
Dacă nu este vorba de antivirusul sau aplicația de securitate, iar dezactivarea firewall-ului Windows nu rezolvă problema, atunci este evident că este un factor extern – firewall-urile dvs. de margine/perimetru.
De asemenea, pentru a sublinia, atunci când se testează blocarea porturilor, instrumente cum ar fi telnet nu este un instrument bun pentru a testa conectivitatea AD/DC la DC, și nici orice fel de scanare standard a porturilor, cum ar fi utilizarea nmap, sau un simplu ping, rezolvarea cu nslookup (deși rezolvarea înregistrărilor necesare este o condiție prealabilă), sau alte instrumente. Singurul test fiabil este utilizarea PortQry de la Microsoft, care testează porturile AD specifice și porturile efemere, precum și răspunsurile solicitate de la serviciile de pe porturile AD solicitate pe care le scanează în mod specific.
AD prin NAT? Nu. Punct.
Oh, și nu vă așteptați să faceți ca acest lucru să funcționeze printr-un NAT. NAT-urile nu pot traduce traficul RPC criptat, prin urmare, dezonorând comunicațiile LDAP.
Descrierea limitelor de suport pentru Active Directory prin NAT
http://support.microsoft.com/kb/978772
Cum să configurați alocarea dinamică a porturilor RPC pentru a funcționa cu firewall-uri”
Comunicațiile DA nu vor funcționa prin intermediul unei traduceri de porturi NAT, cum ar fi că nu puteți utiliza DCOM prin intermediul unui firewall NAT care efectuează traducerea adreselor (de ex.g. în cazul în care un client se conectează la adresa virtuală 198.252.145.1, pe care firewall-ul o mapează în mod transparent la adresa IP internă reală a serverului, de exemplu, 192.100.81.101). Acest lucru se datorează faptului că DCOM stochează adresele IP brute în pachetele de marshaling de interfață și, dacă clientul nu se poate conecta la adresa specificată în pachet, nu va funcționa.”
Citat din: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT Does Not Translate Netlogon Traffic (acest lucru se aplică la toate DC-urile)
Citat din:
Citat din: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT Does Not Translate Netlogon Traffic (acest lucru se aplică la toate DC-urile)
Citat: „Windows 2000 NAT nu suportă Netlogon și nu traduce Kerberos. Dacă aveți clienți care se află în spatele unui server NAT bazat pe Windows 2000 și care au nevoie de acces la resursele domeniului, luați în considerare crearea unui tunel de rețea privată virtuală (VPN) Routing and Remote Access pentru traficul Netlogon sau actualizați clienții la Windows 2000.”
Citat din: http://support.microsoft.com/kb/263293
*
Ok, hai să aflăm dacă porturile sunt blocate
Acum vă gândiți că inginerii de infrastructură de rețea știu ce fac și au deschis porturile necesare, așa că vă gândiți că acesta nu poate fi motivul… sau este? Ei bine, haideți să aflăm. Putem folosi PortQry pentru a testa acest lucru. Și nu, nu vreți să folosiți ping, nslookup, nmap sau orice alt scaner de porturi, pentru că acestea nu sunt proiectate să interogheze porturile AD necesare pentru a vedea dacă răspund sau nu.
Deci, haideți să rulăm PortQry:
În primul rând, descărcați-l:
PortQryUI – GUI – Version 2.0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
Apoi rulați opțiunea „Domains & Trusts” între DC-uri, sau între DC-uri și orice mașină (alte servere pe care doriți să le promovați, sau chiar de la o mașină client), sau de la capetele de pod din fiecare site către celălalt cap de pod din celălalt site…, cam oriunde doriți să testați dacă există porturi AD blocate.
Ideea este că veți dori să îl rulați în orice scenariu în care un DC trebuie să comunice cu un alt DC sau cu un client.
Dacă primiți erori cu „NOTLISTENING”, 0x00000001 și 0x00000002, înseamnă că există un port blocat. Rețineți despre ce porturi este vorba.
Puteți ignora mesajele UDP 389 și UDP 88. Dacă vedeți erori TCP 42, asta înseamnă doar că WINS nu rulează pe serverul țintă.
Referințe PortQry
Knock Knock Is That Port Open?
De Mark Morowczynski 18 Apr 2011, Tutorial rapid despre versiunea GUI a PortQry.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
„Uneori puteți vedea erori cum ar fi Serverul RPC este indisponibil sau Nu mai sunt mai multe puncte finale disponibile din endpoint mapper …”
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
Cum să utilizați Portqry pentru a depana problemele de conectivitate Active Directory
http://support.microsoft.com/kb/816103
Dacă doriți să utilizați versiunea doar în linie de comandă:
Detalii de descărcare: PortQry Command Line Only Port Scanner Version 2.0
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
Înțelegerea portqry și a ieșirii comenzii: Noi caracteristici și funcționalități în PortQry versiunea 2.0
http://support.microsoft.com/kb/832919
Descrierea utilitarului de linie de comandă Portqry.exe
http://support.microsoft.com/kb/310099
Observații Portqry
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
Comunicațiile de la DC la DC și de la DC la client necesită numeroase porturi
Nu există niciun secret în acest sens. Acesta este cel mai simplu mod în care o pot prezenta.
Și, lista de porturi necesare este lungă, spre disperarea echipelor de inginerie a infrastructurii de rețea care trebuie să ceară porturi pentru a permite AD să comunice, să se reproducă etc., aceste porturi trebuie deschise. Chiar nu se pot face prea multe în caz contrar.
Iată lista cu o explicație a fiecărui port:
|
Protocol și port
|
Utilizare AD și AD DS | Tip de trafic |
| TCP 25 | Replicare | SMTP |
| TCP 42 | Dacă se utilizează WINS într-un scenariu de încredere în domeniu care oferă rezoluția NetBIOS | WINS |
| TCP 135 | Replicare | RPC, EPM |
| TCP 137 | Rezoluție nume NetBIOS | Rezoluție nume NetBIOS |
| TCP 139 | Autentificare utilizator și calculator, Replicare | DFSN, NetBIOS Session Service, NetLogon |
| TCP și UDP 389 | Directorat, replicare, autentificare utilizatori și calculatoare, politică de grup, încredere | LDAP |
| TCP 636 | Directorat, replicare, autentificare utilizatori și calculatoare, Group Policy, Trusts | LDAP SSL |
| TCP 3268 | Directory, Replication, User and Computer Authentication, Group Policy, Trusts | LDAP GC |
| TCP 3269 | Directory, Replication, User and Computer Authentication, Group Policy, Trusts | LDAP GC SSL |
| TCP și UDP 88 | Autentificare utilizatori și calculatoare, Forest Level Trusts | Kerberos |
| TCP și UDP 53 | Autentificarea utilizatorilor și a calculatoarelor, rezolvarea numelor, încredere | DNS |
| TCP și UDP 445 | Replicare, Autentificarea utilizatorilor și a calculatoarelor, Group Policy, Trusts | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP 9389 | AD DS Web Services | SOAP |
| TCP 5722 | File Replication | RPC, DFSR (SYSVOL) |
| TCP și UDP 464 | Replicare, autentificare utilizator și calculator, Trusts | Kerberos change/set password |
| UDP 123 | Windows Time, Trusts | Windows Time |
| UDP 137 | Autentificare utilizatori și calculatoare | NetLogon, NetBIOS Name Resolution |
| UDP 138 | DFS, Group Policy, NetBIOS Netlogon, Browsing | DFSN, NetLogon, NetBIOS Datagram Service |
| UDP 67 și UDP 2535 | DHCP (Notă: DHCP nu este un serviciu AD DS de bază, dar aceste porturi pot fi necesare pentru alte funcții în afară de DHCP, cum ar fi WDS) | DHCP, MADCAP, PXE |
Și nu trebuie să uităm niciodată porturile efemere!!
Și mai presus de toate, porturile efemere, sau cunoscute și sub numele de „porturi de răspuns la servicii”, care sunt necesare pentru comunicații. Aceste porturi sunt create în mod dinamic pentru răspunsurile de sesiune pentru fiecare client care stabilește o sesiune, (indiferent care ar fi „clientul”), și nu numai pentru Windows, ci și pentru Linux și Unix.
Vezi mai jos, în secțiunea referințe, pentru a afla mai multe despre ce înseamnă „efemer”. sunt utilizate numai pentru acea sesiune. Odată ce sesiunea s-a dizolvat, porturile sunt puse înapoi în pool pentru reutilizare. Acest lucru este valabil nu numai pentru Windows, ci și pentru Linux, Unix și alte sisteme de operare. Vedeți mai jos, în secțiunea referințe, pentru a afla mai multe despre ce înseamnă „efemer”.
Graficul de mai jos arată care sunt porturile efemere în funcție de versiunea sistemului de operare și la ce sunt folosite.
| Window 2003, Windows XP, și Windows 2000 |
TCP & UDP |
1024-5000 | Porturi efemere de răspuns la servicii dinamice |
| Windows 2008/Vista și mai nou | TCP & UDP 49152-65535 | Porturi de răspuns la servicii dinamice efemere | |
| TCP Dynamic Ephemeral | Replicare, Autentificare utilizatori și calculatoare, Group Policy, Trust | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| UDP Dynamic Ephemeral | Group Policy | DCOM, RPC, EPM |
Dacă scenariul este un scenariu Mixed-Mode NT4 & Active Directory cu BDC-uri NT4, atunci trebuie să se deschidă următoarele:
| TCP & UDP 1024 – 65535 | NT4 BDC către Windows 2000 sau mai nou Comunicații PDC-E ale controlerului de domeniu | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
Vezi, nu-i așa că a fost simplu?
Lista scurtă fără explicații despre porturi:
| Protocol | Port |
| TCP | 25 |
| TCP | 42 |
| TCP | 135 |
| TCP | 137 |
| TCP | 139 |
| TCP și UDP | 389 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
| TCP și UDP | 88 |
| TCP și UDP | 53 |
| TCP și UDP | 445 |
| TCP | 9389 |
| TCP | 5722 |
| TCP și UDP | 464 |
| UDP | 123 |
| UDP | 137 |
| UDP | 138 |
| UDP | 67 |
| UDP | 2535 |
| TCP & UDP | 1024-5000 |
| TCP & UDP | 49152-65535 |
Dacă scenariul este un scenariu de tip Mixed-Mode NT4 & Active Directory cu NT4 BDC:
Trebuie deschise următoarele porturi efemere (da, este cam toată gama):
| TCP & UDP | 1024-65535 |
Restricționarea porturilor peste un firewall
Aveți, de asemenea, posibilitatea de a restricționa traficul de replicare de la DC la DC și comunicațiile de la DC la client, la un anumit port. Rețineți că depinde și de porturile și serviciile pe care doriți să le restricționați. Atunci când alegeți această opțiune, trebuie să specificați porturile corecte pentru serviciul corect.
Depinde de ce porturi și servicii doriți să restricționați?
Metoda 1
Aceasta se utilizează pentru a seta portul specific de replicare AD. În mod implicit, se utilizează portul dinamic pentru a replica datele de la DC dintr-un site la altul.
Acest lucru se aplică pentru restricționarea replicării AD la un anumit interval de porturi.
Procedură: Modificați registrul pentru a selecta un port static.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Restricția Active Directory replication traffic and client RPC traffic to a specific port
http://support.microsoft.com/kb/224196
Method 2
Aceasta este pentru configurarea intervalului (intervalelor) de porturi în Windows Firewall.
Netsh – utilizați următoarele exemple pentru a seta un interval de porturi de pornire, și numărul de porturi de după acesta pentru a fi utilizate
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
Lungimea implicită a porturilor dinamice pentru TCP/IP s-a schimbat în Windows Vista și în Windows Server 2008
http://support.microsoft.com/kb/929851
Modificați registrul
Acest lucru este pentru comunicațiile serviciilor Windows. Afectează, de asemenea, comunicațiile AD.
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Cum se configurează alocarea dinamică a porturilor RPC pentru a funcționa cu firewall-urile
http://support.microsoft.com/kb/154596/en-us
Iată câteva link-uri legate de restricționarea porturilor de replicare AD.
Subiecte de referință:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
RODC Firewall Port Requirements
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Active Directory Replication over Firewalls
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – „Read only Domain Controllers” au propriile cerințe de port
|
. Trafic
|
Tip de trafic |
| UDP 53 DNS | DNS |
| TCP 53 DNS | DNS |
| TCP 135 | RPC, EPM |
| TCP Static 53248 | FRsRpc |
| TCP 389 | LDAP |
| TCP și UDP Dynamic 1025 – 5000 |
Windows 2000, Windows 2003, Windows XP Porturi efemere |
| TCP și UDP Dynamic 49152 – 65535 | Windows 2008, Windows Vista și toate sistemele de operare mai noi Porturi efemere |
Designing RODCs in the Perimeter Network
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Restricționarea traficului de replicare Active Directory și a traficului RPC al clientului la un port specific
http://support.microsoft.com/kb/224196
Este necesară o discuție bună despre porturile RODC și firewall:
http://forums.techarena.in/active-directory/1303925.htm
Informații suplimentare despre modul în care funcționează autentificarea RODC vor ajuta la înțelegerea porturilor:
Înțelegerea autentificării „Read Only Domain Controller”
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
Cum se configurează un firewall pentru domenii și trusturi
http://support.microsoft.com/kb/179442
Active Directory and Active Directory Domain Services Port Requirements, Updated: 18 iunie 2009 (include noile porturi efemere actualizate pentru Windows Vista/2008 și mai noi). Aici se discută, de asemenea, despre cerințele privind porturile RODC. De asemenea, trebuie să vă asigurați că porturile efemere sunt deschise. Acestea sunt:
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Windows 2008, 2008 R2, Vista și Windows 7 Gama de porturi efemere s-a schimbat față de porturile utilizate de Windows 2003 Windows XP și Windows 2000. Porturile efemere implicite (porturile de răspuns dinamic ale serviciilor aleatorii) sunt UDP 1024 – 65535 (a se vedea KB179442 de mai jos), dar pentru Vista și Windows 2008 este diferit. Intervalul lor implicit de porturi de pornire este UDP 49152 – UDP 65535 (a se vedea KB929851 de mai jos).
Citat din KB929851 (link postat mai jos): „Pentru a respecta recomandările Internet Assigned Numbers Authority (IANA), Microsoft a mărit intervalul de porturi dinamice ale clienților pentru conexiunile de ieșire în Windows Vista și în Windows Server 2008. Noul port de început implicit este 49152, iar portul de sfârșit implicit este 65535. Aceasta este o schimbare față de configurația versiunilor anterioare ale Microsoft Windows, care foloseau un interval de porturi implicite de la 1025 la 5000.”
S-au schimbat porturile de răspuns la servicii (porturi efemere) ale Windows Vista, Windows 7, Windows 2008 și Windows 2008 R2 Service Response Ports (porturi efemere).
http://support.microsoft.com/?kbid=929851
Active Directory și porturile de firewall – Mi-a fost greu să găsesc o listă definitivă pe internet cu privire la porturile care trebuie deschise pentru ca Active Directory să se reproducă între firewall-uri. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Active Directory Replication over Firewalls, 31 ianuarie 2006. (include porturi efemere mai vechi de dinainte de Windows Vista/2008)
http://technet.microsoft.com/en-us/library/bb727063.aspx
Cum funcționează domeniile și pădurile
Mai arată și o listă de porturi necesare.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
Blogul lui Paul Bergson despre replicarea AD și porturile de firewall
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Porturile de acces la Exchange DS
Configurarea unui firewall de intranet pentru Exchange 2003, 14 aprilie 2006.
Porturi de protocol necesare pentru firewall-ul intranet și porturi necesare pentru comunicațiile Active Directory și Kerberos
http://technet.microsoft.com/en-us/library/bb125069.aspx
Lectură suplimentară
Restricționarea traficului de replicare Active Directory și a traficului RPC al clientului …Restricționarea traficului de replicare Active Directory și a traficului RPC al clientului la un … port unic și reporniți serviciul Netlogon pe controlerul de domeniu. …
http://support.microsoft.com/kb/224196
Cum să restricționați traficul de replicare FRS la un port static specific – Cum să restricționați traficul de replicare FRS la un port static specific … Controlorii de domeniu și serverele bazate pe Windows 2000 utilizează FRS pentru a replica politica de sistem …
http://support.microsoft.com/kb/319553
Câteva firewall-uri pot respinge traficul de rețea care provine de la computere bazate pe Windows Server 2003 Service Pack 1 sau Windows Vista
Acest KB indică faptul că firewall-urile Checkpoint au o problemă cu comunicațiile AD.
http://support.microsoft.com/?kbid=899148
Checkpoint Firewall și traficul de comunicații și replicare AD, DNS și RPC
Pasarele de foc Checkpoint au o problemă cunoscută dacă executați versiunea R55 sau mai veche. Va trebui să faceți o intrare în registru pentru a permite traficului să circule între cele 2 site-uri prin vpn. Soluția preferată este să actualizați firewall-ul Checkpoint.
Mai multe informații:
Câteva firewall-uri pot respinge traficul de rețea care provine de la computere bazate pe Windows Server 2003 Service Pack 1 sau Windows Vista
(Acest link se referă la și ajută la rezolvarea problemei Checkpoint)
http://support.microsoft.com/?kbid=899148
Note de la un poster de pe internet cu un firewall Checkpoint:
Pentru Windows 2003 R2 și controlerul de domeniu la distanță non-R2 am adăugat intrarea Server2003NegotiateDisable în
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
Știu că v-a făcut plăcere să citiți acest articol.
Bine, fie că ați făcut-o sau nu, cel puțin acum știți ce trebuie să faceți pentru a o face să funcționeze.
Comentariile, sugestiile și corecturile sunt binevenite!
==================================================================
Rezumat
Sper că acest lucru vă ajută!
Data publicării originale: 11/1/2011
Updated 11/4/2014
Ace Fekay
MVP, MCT, MCSE 2012, MCITP EA & MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
Lista completă a blogurilor tehnice: http://www.delawarecountycomputerconsulting.com/technicalblogs.php http://www.delawarecountycomputerconsulting.com/technicalblogs.php
Această postare este furnizată AS-IS, fără garanții și nu conferă drepturi.
.