Capita abbastanza spesso di dover coprire con un solo Dominio Active Directory più locations geograficamente distanti e, a volte, possono essere presenti dei firewall che impediscono il funzionamento della Active Directory Replication.
Un firewall impatta sulle funzionalità di Active Directory in due situazioni:
- durante la promozione di un server a Controllore di Dominio
- durante la replica tra Controllori di dominio
Il problema nasce dal fatto che per la replica tra Controllori di Dominio Active Directory utilizza RPC e RPC nella sua forma nativa ha un comportamento “dinamico” nell’utilizzo delle porte. Per permettere alla replica di funzionare correttamente sono possibili tre approcci:
- Gestire il firewall in modo da permettere il funzionamento dinamico nativo di RPC
- Limitare le porte utilizzate da RPC ed aprire meno porte sul firewall
- Incapsulare in IPSec il traffico tra Controllori di Dominio
Ognuno di questi approcci ha i suoi pro ed i suoi contro, anche se in generale il secondo approccio è preferibile al primo ed il terzo sarebbe il migliore in assoluto.
Modalità Nativa Dinamica di RPC
Il principale vantaggio di questa soluzione consiste nel fatto che non richiede nessun intervento sui Controllori di Dominio ma si basa su una configurazione del firewall molto insicura.
Bisogna configurare il firewall in modo che permetta traffico sulle seguenti porte:
RPC endpoint mapper, 135/tcp, 135/udp
NetBIOS name service, 137/tcp, 137/udp
NetBIOS datagram service, 138/udp
NetBIOS session service, 139/tcp
RPC dynamic assignment, 1024-65535/tcp
SMB over IP (Microsoft-DS), 445/tcp, 445/udp
LDAP, 389/tcp
LDAP ping, 389/udp
LDAP over SSL, 636/tcp
Global catalog LDAP, 3268/tcp
Global catalog LDAP over SSL, 3269/tcp
Kerberos, 88/tcp-udp
DNS, 53/tcp-udp
WINS resolution, 1512/tcp, 1512/udp
WINS replication, 42/tcp, 42/udp
Limitare le Porte utilizzate da RPC
Il principale vantaggio di questa soluzione è che rende il firewall molto sicuro ma richiede modifiche da fare sui registri dei Controllori di Dominio.
Bisogna innanzitutto decidere quail porte “fissare” per la Replica di Active Directory e per il servizio di File Replication Services (FRS).
Aggiungere i seguenti valori di registro su tutti i Controllori di Dominio:
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\
Nome Valore: TCP/IP Port (spazi compresi)
Tipo: DWORD
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\
Nome Valore: RPC TCP/IP Port Assignment (spazi compresi)
Tipo: DWORD (6600)
Affinchè le modifiche abbiano effetto effettuare un Restart dei Controllori di Dominio.
Bisogna configurare il firewall in modo che permetta traffico sulle seguenti porte:
RPC endpoint mapper, 135/tcp, 135/udp
NetBIOS name service, 137/tcp, 137/udp
NetBIOS datagram service, 138/udp
NetBIOS session service, 139/tcp
RPC static port for AD replication, /TCP
RPC static port for FRS, /TCP
SMB over IP (Microsoft-DS), 445/tcp, 445/udp
LDAP, 389/tcp
LDAP ping, 389/udp
LDAP over SSL, 636/tcp
Global catalog LDAP, 3268/tcp
Global catalog LDAP over SSL, 3269/tcp
Kerberos, 88/tcp-udp
DNS, 53/tcp-udp
WINS resolution, 1512/tcp, 1512/udp
WINS replication, 42/tcp, 42/udp