Ace är här igen. Jag tänkte rensa upp och återpublicera min blogg om AD ports krav. Ja, de är omfattande, till förtret för nätverksgruppen i din organisation. Men det är vad det är, och det är vad vi måste följa för att få AD att fungera.
RPC-server inte tillgänglig? Replikeringsfel i händelsevisaren? Låter det bekant?
Om så är fallet har du fått försaka faktum och insikt att det möjligen är nödvändiga portar som blockeras och orsakar dessa bekanta AD-kommunikationsfel. Oavsett om det är mellan platser med portblockeringar i brandväggar/VPN-tunnlar, Windows-brandväggar (som vanligtvis inte är den skyldige eftersom de automatiskt konfigureras för maskinens roll och den aktuella nätverksplatsen) eller till och med säkerhetsprogram eller antivirusprogram med någon form av ”skydd för nätverkstrafik”-funktion som är aktiverad som orsakar problemet.
Simpelt uttryckt, om det finns replikerings- eller andra AD-kommunikationsproblem och du har ett antivirusprogram installerat på slutpunkterna eller installerat på alla dina DC:er, inaktivera det, eller ännu bättre, avinstallera det. Att avinstallera det är det bästa sättet, så att du vet att det inte finns några spår av andra aktiva underkomponenter som fortfarande kan orsaka blockeringen. Om du efter att ha avinstallerat den finner att replikeringen nu fungerar, ja då har du det. Då måste du kontakta din antivirusleverantör och fråga hur du bäst konfigurerar den för att tillåta AD-kommunikation och replikering.
Om det inte är ditt antivirus- eller säkerhetsprogram, och om det inte hjälper att inaktivera Windows-brandväggen, är det uppenbart att det är en yttre faktor – dina brandväggar i kanten/perimetern.
Också för att påpeka att när man testar portblockeringar är verktyg som telnet inte ett bra verktyg för att testa AD/DC-till-DC-anslutningen, och det är inte heller någon form av standardportskanning, t.ex. med hjälp av nmap, eller en enkel ping, upplösning med nslookup (även om det är en förutsättning att man löser upp nödvändiga poster), eller andra verktyg. Det enda tillförlitliga testet är att använda Microsofts PortQry, som testar specifika AD-portar och efemära portar, och de svar som krävs från tjänsterna på de AD-portar som den specifikt söker efter.
AD genom en NAT? Nej. Punkt.
Oh, och förvänta dig inte att få detta att fungera genom en NAT. NAT kan inte översätta den krypterade RPC-trafiken, vilket gör att LDAP-kommunikationen inte fungerar.
Beskrivning av stödgränser för Active Directory över NAT
http://support.microsoft.com/kb/978772
Hur man konfigurerar dynamisk portallokering för RPC så att den fungerar med brandväggar”
AD-kommunikationen fungerar inte genom en NAT-portöversättning, till exempel kan du inte använda DCOM genom en NAT-brandvägg som gör en adressöversättning (t.ex.t.ex. när en klient ansluter till den virtuella adressen 198.252.145.1, som brandväggen kartlägger på ett transparent sätt till serverns faktiska interna IP-adress, t.ex. 192.100.81.101). Detta beror på att DCOM lagrar råa IP-adresser i interface marshaling-paketen och om klienten inte kan ansluta till den adress som anges i paketet kommer det inte att fungera.”
Citat från: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT Does Not Translate Netlogon Traffic (this applies to all DCs)
Citat: ”Windows 2000 NAT stöder inte Netlogon och översätter Kerberos. Om du har klienter som befinner sig bakom en Windows 2000-baserad NAT-server och behöver tillgång till domänresurser kan du överväga att skapa en VPN-tunnel (virtuellt privat nätverk) för Netlogon-trafik eller uppgradera klienterna till Windows 2000.”
Citat från: http://support.microsoft.com/kb/263293
*
Okej, låt oss ta reda på om portarna blockeras
Nu tänker du att dina nätverksinfrastrukturingenjörer vet vad de gör och har öppnat upp de nödvändiga portarna, så du tänker att detta kan inte vara orsaken, eller är det? Låt oss ta reda på det. Vi kan använda PortQry för att testa det. Och nej, du vill inte använda ping, nslookup, nmap eller någon annan portscanner, eftersom de inte är utformade för att fråga de nödvändiga AD-portarna för att se om de svarar eller inte.
Så låt oss köra PortQry:
Först laddar du ner den:
PortQryUI – GUI – Version 2.0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
Kör sedan alternativet ”Domains & Trusts” mellan DC:er, eller mellan DC:er och vilken maskin som helst (andra servrar som du vill främja, eller till och med från en klientmaskin), eller från brohuvudena på varje plats till det andra brohuvudet på den andra platsen .., i stort sett överallt där du vill testa om det finns några blockerade AD-portar.
Punkten är att du vill köra det i alla scenarier där en DC måste kommunicera med en annan DC eller med en klient.
Om du får några fel med ”NOTLISTENING”, 0x00000001 och 0x00000002 betyder det att det finns en portblockering. Notera vilka portar det rör sig om.
Du kan ignorera UDP 389- och UDP 88-meddelanden. Om du ser TCP 42-fel betyder det bara att WINS inte körs på målservern.
PortQry-referenser
Knock Knock Knock Is That Port Open?
By Mark Morowczynski 18 Apr 2011, Snabb handledning om PortQry GUI-versionen.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
”Ibland kan du se fel som The RPC server is unavailable or There are no more endpoints available from the endpoint mapper …”
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
Hur du använder Portqry för att felsöka anslutningsproblem i Active Directory
http://support.microsoft.com/kb/816103
Om du vill använda kommandoradsversionen:
Hämtningsuppgifter: PortQry Command Line Only Port Scanner Version 2.0
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
Förstå portqry och kommandots utdata: Nya egenskaper och funktioner i PortQry version 2.0
http://support.microsoft.com/kb/832919
Beskrivning av kommandoradsverktyget Portqry.exe
http://support.microsoft.com/kb/310099
Portqry Anmärkningar
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
Kommunikationen mellan DC och DC och mellan DC och klient kräver ett stort antal portar
Det är ingen hemlighet. Det är det enklaste jag kan säga.
Och listan över portar som krävs är lång, till stor förskräckelse för de tekniker som arbetar med nätverksinfrastruktur och som måste lämna portar för att AD ska kunna kommunicera, replikera etc. Dessa portar måste öppnas. Det finns egentligen inte mycket som kan göras på annat sätt.
Här finns listan med en förklaring av varje port:
|
Protokoll och port
|
AD- och AD DS-användning | Typ av trafik |
| TCP 25 | Replikering | SMTP |
| TCP 42 | Om WINS används i ett scenario med domänförtroende som erbjuder NetBIOS-upplösning | WINS |
| TCP 135 | Replikering | RPC, EPM |
| TCP 137 | Upplösning av NetBIOS-namn | Upplösning av NetBIOS-namn |
| TCP 139 | Autentisering av användare och datorer, Replikering | DFSN, NetBIOS Session Service, NetLogon |
| TCP och UDP 389 | Katalog, replikering, autentisering av användare och datorer, grupprinciper, förtroenden | LDAP |
| TCP 636 | Katalog, replikering, autentisering av användare och datorer, Grupprincip, Förtroende | LDAP SSL |
| TCP 3268 | Katalog, replikering, autentisering av användare och datorer, Grupprincip, Förtroende | LDAP GC |
| TCP 3269 | Katalog, replikering, autentisering av användare och datorer, Grupprincip, Trusts | LDAP GC SSL |
| TCP och UDP 88 | Autentisering av användare och datorer, Förtroende på skogsnivå | Kerberos |
| TCP och UDP 53 | Autentisering av användare och datorer, namnupplösning, förtroende | DNS |
| TCP och UDP 445 | Replikering, Autentisering av användare och datorer, grupprinciper, förtroende | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP 9389 | AD DS Web Services | SOAP |
| TCP 5722 | Filreplikering | RPC, DFSR (SYSVOL) |
| TCP och UDP 464 | Replikering, autentisering av användare och datorer, Trusts | Kerberos change/set password |
| UDP 123 | Windows Time, Trusts | Windows Time |
| UDP 137 | Autentisering av användare och datorer | NetLogon, NetBIOS-namensupplösning |
| UDP 138 | DFS, Grupprincip, NetBIOS Netlogon, Browsing | DFSN, NetLogon, NetBIOS Datagramtjänst |
| UDP 67 och UDP 2535 | DHCP (Obs: DHCP är inte en av de viktigaste AD DS-tjänsterna, men dessa portar kan vara nödvändiga för andra funktioner än DHCP, t.ex. WDS) | DHCP, MADCAP, PXE |
Och vi får aldrig glömma de kortvariga portarna!!
Och framför allt de Ephemeral ports, eller även kända som ”service response ports”, som krävs för kommunikation. Dessa portar skapas dynamiskt för sessionssvar för varje klient som upprättar en session, (oavsett vilken ”klient” det är), och inte bara för Windows, utan även för Linux och Unix.
Se nedan i avsnittet referenser för att få veta mer om vad ”ephemeral” innebär.används endast för den sessionen. När sessionen har upplösts läggs portarna tillbaka i poolen för återanvändning. Detta gäller inte bara Windows utan även Linux, Unix och andra operativsystem. Se nedan i avsnittet referenser för att få veta mer om vad ”ephemeral” betyder.
Nedan visas vad de ephemerala portarna är beroende på operativsystemets version och vad de används till.
| Window 2003, Windows XP, och Windows 2000 |
TCP & UDP |
1024-5000 | Ephemeral Dynamic Service Response Ports |
| Windows 2008/Vista och nyare | TCP & UDP 49152-65535 | Ephemeral Dynamic Service Response Ports | |
| TCP Dynamic Ephemeral | Replication, Autentisering av användare och datorer, grupprinciper, förtroenden | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| UDP Dynamisk Ephemeral | Grupprinciper | DCOM, RPC, EPM |
Om scenariot är ett scenario med blandat läge NT4 & Active Directory med NT4 BDC:er måste följande öppnas:
| TCP & UDP 1024 – 65535 | NT4 BDC till Windows 2000 eller senare Domänkontrollant PDC-E-kommunikation | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
Såg du, var inte det enkelt?
Den korta listan utan portförklaringar:
| Protokoll | Port |
| TCP | 25 |
| TCP | 42 |
| TCP | 135 |
| TCP | 137 |
| TCP | 139 |
| TCP och UDP | 389 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
| TCP och UDP | 88 |
| TCP och UDP | 53 |
| TCP och UDP | 445 |
| TCP | 9389 |
| TCP | 5722 |
| TCP och UDP | 464 |
| UDP | 123 |
| UDP | 137 |
| UDP | 138 |
| UDP | 67 |
| UDP | 2535 |
| TCP & UDP | 1024-5000 |
| TCP & UDP | 49152-65535 |
Om scenariot är ett scenario med blandat läge NT4 & Active Directory med NT4 BDC:
Följande Ephemeral-portar måste öppnas (ja, det är i stort sett hela intervallet):
| TCP & UDP | 1024-65535 |
Begränsning av portar över en brandvägg
Du kan också begränsa DC-till-DC-replikeringstrafik och DC-till-klientkommunikation till specifika portar. Tänk på att det också beror på vilka portar och tjänster du vill begränsa. När du väljer det här alternativet måste du ange rätt portar för rätt tjänst.
Det beror på vilka portar och tjänster du vill begränsa?
Metod 1
Detta används för att ställa in den specifika AD-replikeringsporten. Som standard används dynamisk port för att replikera data från DC på en plats till en annan.
Detta gäller för begränsning av AD-replikering till ett visst portområde.
Procedur: Ändra registret för att välja en statisk port.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Restricting Active Directory-replikeringstrafik och klient-RPC-trafik till en specifik port
http://support.microsoft.com/kb/224196
Metod 2
Detta är för att konfigurera portområdet/portområdena i Windows-brandväggen.
Netsh – använd följande exempel för att ställa in ett startportområde, och antal portar efter det som ska användas
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
Det dynamiska portintervallet för TCP/IP som är standard för TCP/IP har ändrats i Windows Vista och i Windows Server 2008
http://support.microsoft.com/kb/929851
Modifiera registret
Detta gäller för kommunikation med Windows-tjänster. Det påverkar även AD-kommunikationen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Hur du konfigurerar dynamisk RPC-portallokering så att den fungerar med brandväggar
http://support.microsoft.com/kb/154596/en-us
Här finns några relaterade länkar till begränsning av AD-replikeringsportar.
Referenstråd:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
RODC Firewall Port Requirements
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Active Directory Replication over Firewalls
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – ”Read only Domain Controllers” (skrivskyddade domänkontrollanter) har sina egna portkrav
|
Trafik
|
Typ av trafik | UDP 53 DNS | DNS | TCP 53 DNS | DNS |
| TCP 135 | RPC, EPM | TCP Statisk 53248 | FRsRpc | TCP 389 | LDAP |
| TCP och UDP Dynamisk 1025 – 5000 |
Windows 2000, Windows 2003, Windows XP Ephemeral Ports |
| TCP och UDP Dynamic 49152 – 65535 | Windows 2008, Windows Vista och alla nyare operativsystem Ephemeral Ports |
Designing RODCs in the Perimeter Network
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Begränsning av Active Directory-replikeringstrafik och klient-RPC-trafik till en specifik port
http://support.microsoft.com/kb/224196
Det krävs en bra diskussion om RODC- och brandväggsportar:
http://forums.techarena.in/active-directory/1303925.htm
Den som vill förstå portarna kan få mer information om hur autentiseringen av RODC:s fungerar:
Förstå autentisering av ”Read Only Domain Controller”
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
Hur man konfigurerar en brandvägg för domäner och förtroenden
http://support.microsoft.com/kb/179442
Krav på portar för Active Directory och Active Directory Domain Services, uppdaterad: 18 juni 2009 (innehåller uppdaterade nya tillfälliga portar för Windows Vista/2008 och nyare). Här diskuteras även RODC-portkrav. Du måste också se till att de tillfälliga portarna är öppna. De är:
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Windows 2008, 2008 R2, Vista och Windows 7 Ephemeral Port range har ändrats från de portar som användes av Windows 2003 Windows XP och Windows 2000. Standardportarna för efemära portar (slumpmässiga dynamiska svarsportar för tjänster) är UDP 1024 – 65535 (se KB179442 nedan), men för Vista och Windows 2008 är det annorlunda. Deras standardstartportintervall är UDP 49152 till UDP 65535 (se KB929851 nedan).
Citat från KB929851 (länk nedan): ”För att följa rekommendationerna från IANA (Internet Assigned Numbers Authority) har Microsoft utökat det dynamiska klientportområdet för utgående anslutningar i Windows Vista och Windows Server 2008. Den nya standardstartporten är 49152 och standardslutporten är 65535. Detta är en förändring från konfigurationen i tidigare versioner av Microsoft Windows som använde ett standardportintervall på 1025 till 5000.”
Windows Vista, Windows 7, Windows 2008 och Windows 2008 R2 Service Response Ports (efemära portar) har ändrats.
http://support.microsoft.com/?kbid=929851
Active Directory och brandväggsportar – Det var svårt att hitta en slutgiltig lista på internet över vilka portar som behövde öppnas för att Active Directory skulle kunna replikeras mellan brandväggar. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Active Directory Replication over Firewalls, Jan 31, 2006. (inkluderar äldre portar före Windows Vista/2008)
http://technet.microsoft.com/en-us/library/bb727063.aspx
How Domains and Forests Work
Har också en lista över de portar som behövs.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
Paul Bergsons blogg om AD-replikering och brandväggsportar
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Exchange DS Access-portar
Konfigurering av en intranätbrandvägg för Exchange 2003, 14 april 2006.
Protokollportar som krävs för intranätbrandväggen och portar som krävs för Active Directory- och Kerberos-kommunikation
http://technet.microsoft.com/en-us/library/bb125069.aspx
Tillkommande läsning
Begränsning av Active Directory-replikationstrafik och klient-RPC …Begränsning av Active Directory-replikationstrafik och klient-RPC-trafik till en … unik port, och du startar om Netlogontjänsten på domänkontrollanten. …
http://support.microsoft.com/kb/224196
Hur man begränsar FRS-replikeringstrafik till en specifik statisk port – Hur man begränsar FRS-replikeringstrafik till en specifik statisk port … Windows 2000-baserade domänkontrollanter och servrar använder FRS för att replikera systempolicyn …
http://support.microsoft.com/kb/319553
Vissa brandväggar kan avvisa nätverkstrafik som kommer från Windows Server 2003 Service Pack 1-baserade eller Windows Vista-baserade datorer
Denna KB indikerar att Checkpoint-brandväggar har ett problem med AD-kommunikation.http://support.microsoft.com/?kbid=899148
Checkpoint Firewall och AD-, DNS- och RPC-kommunikation samt replikeringstrafik
Checkpoint brandväggar har ett känt problem om du kör version R55 eller äldre. Du måste göra en registerpost så att trafiken kan flöda mellan de två platserna via vpn. Den bästa lösningen är att uppgradera Checkpoint-brandväggen.
Mer info:
Vissa brandväggar kan avvisa nätverkstrafik som kommer från Windows Server 2003 Service Pack 1-baserade eller Windows Vista-baserade datorer
(Den här länken relaterar till och hjälper till att lösa Checkpoint-problemet)
http://support.microsoft.com/?kbid=899148
Notis från en postare på internet som har en Checkpoint brandvägg:
För Windows 2003 R2 och icke-R2 fjärrdomänkontrollanter har vi lagt till posten Server2003NegotiateDisable i
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
Jag vet att du har tyckt om att läsa detta.
Oavsett om du gjorde det eller inte vet du nu åtminstone vad du ska göra för att få det att fungera.
Kommentarer, förslag och korrigeringar är välkomna!
==================================================================
Sammanfattning
Jag hoppas att det här hjälper!
Original Publication Date: Uppdaterad 2014-11-04
Ace Fekay
MVP, MCT, MCSE 2012, MCITP EA & MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
En fullständig lista över tekniska bloggar: http://www.delawarecountycomputerconsulting.com/technicalblogs.php
Detta inlägg tillhandahålls i befintligt skick utan några garantier och ger inga rättigheter.