NTMCP - Pensieri in libertà ...


Ora e Data
Archivio Posts
Anno 2012

Anno 2011

Anno 2010

Anno 2009

Anno 2008

Anno 2007

DOMAIN CONTROLLER, ACTIVE DIRECTORY REPLICATION & FIREWALL

Capita abbastanza spesso di dover coprire con un solo Dominio Active Directory più locations geograficamente distanti e, a volte, possono essere presenti dei firewall che impediscono il funzionamento della Active Directory Replication.

Un firewall impatta sulle funzionalità di Active Directory in due situazioni:

 

- durante la promozione di un server a Controllore di Dominio

- durante la replica tra Controllori di dominio

 

Il problema nasce dal fatto che per la replica tra Controllori di Dominio Active Directory utilizza RPC e RPC nella sua forma nativa ha un comportamento “dinamico” nell’utilizzo delle porte. Per permettere alla replica di funzionare correttamente sono possibili tre approcci:

 

- Gestire il firewall in modo da permettere il funzionamento dinamico nativo di RPC

- Limitare le porte utilizzate da RPC ed aprire meno porte sul firewall

- Incapsulare in IPSec il traffico tra Controllori di Dominio

 

Ognuno di questi approcci ha i suoi pro ed i suoi contro, anche se in generale il secondo approccio è preferibile al primo ed il terzo sarebbe il migliore in assoluto.

 

Modalità Nativa Dinamica di RPC

 

Il principale vantaggio di questa soluzione consiste nel fatto che non richiede nessun intervento sui Controllori di Dominio ma si basa su una configurazione del firewall molto insicura.

Bisogna configurare il firewall in modo che permetta traffico sulle seguenti porte:

 

RPC endpoint mapper, 135/tcp, 135/udp

NetBIOS name service, 137/tcp, 137/udp

NetBIOS datagram service, 138/udp

NetBIOS session service, 139/tcp

RPC dynamic assignment, 1024-65535/tcp

SMB over IP (Microsoft-DS), 445/tcp, 445/udp

LDAP, 389/tcp

LDAP ping, 389/udp

LDAP over SSL, 636/tcp

Global catalog LDAP, 3268/tcp

Global catalog LDAP over SSL, 3269/tcp

Kerberos, 88/tcp-udp

DNS, 53/tcp-udp

WINS resolution, 1512/tcp, 1512/udp

WINS replication, 42/tcp, 42/udp

 Limitare le Porte utilizzate da RPC

Il principale vantaggio di questa soluzione è che rende il firewall molto sicuro ma richiede modifiche da fare sui registri dei Controllori di Dominio.

Bisogna innanzitutto decidere quail porte “fissare” per la Replica di Active Directory e per il servizio di File Replication Services (FRS).

Aggiungere i seguenti valori di registro su tutti i Controllori di Dominio:

 

PathHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\

Nome Valore: TCP/IP Port (spazi compresi)

Tipo: DWORD

 

Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\

Nome Valore: RPC TCP/IP Port Assignment (spazi compresi)

Tipo: DWORD (6600)

 

Affinchè le modifiche abbiano effetto effettuare un Restart dei Controllori di Dominio.

Bisogna configurare il firewall in modo che permetta traffico sulle seguenti porte:

RPC endpoint mapper, 135/tcp, 135/udp

NetBIOS name service, 137/tcp, 137/udp

NetBIOS datagram service, 138/udp

NetBIOS session service, 139/tcp

RPC static port for AD replication,  /TCP

RPC static port for FRS,  /TCP

SMB over IP (Microsoft-DS), 445/tcp, 445/udp

LDAP, 389/tcp

LDAP ping, 389/udp

LDAP over SSL, 636/tcp

Global catalog LDAP, 3268/tcp

Global catalog LDAP over SSL, 3269/tcp

Kerberos, 88/tcp-udp

DNS, 53/tcp-udp

WINS resolution, 1512/tcp, 1512/udp

WINS replication, 42/tcp, 42/udp

Categoria: Active Directory
giovedì, 09 ago 2007 Ore. 14.28



Statistiche
  • Views Home Page: 136.770
  • Views Posts: 315.317
  • Views Gallerie: 73.573
  • n° Posts: 164
  • n° Commenti: 80


Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003