L'argomento di questo post è una cosa ormai abbastanza conosciuta e documentata...... è più che altro un promemoria per me ed i miei colleghi!

Il caso che analizziamo è quello in cui il server Front-End è posizionato in DMZ.

Di seguito le informazioni per la configurazione dei firewall in questo tipo di topologia:

- Porte utilizzate dal client per connettersi al server Front-End:

- Porte utilizzate dal server Front-End per collegarsi al server Back-End: Porte per i protocolli di messaggistica

- Porte utilizzate dal server Front-End per collegarsi al server Back-End: Porte LDAP e Kerberos. Il server Front-End deve poter comunicare con i Controllori di Dominio e con i Global Catalog utilizzando LDAP ed autenticandosi tramite Kerberos.

- Porte utilizzate dal server Front-End per collegarsi al server Back-End: Porte DNS. Il server Front-End deve poter risolvere i nomi dei server presenti sulla rete privata

- Porte utilizzate dal server Front-End per collegarsi al server Back-End: Porte RPC. Il server Front-End utilizza RPC per l’autenticazione verso il Global Catalog

Si osservi come il servizio RPC service ports prevede che siano aperte, verso i Global Catalog, tutte le porte TCP superiori alla 1024 (comprese tra 1024 e 65536). Questa esigenza rende, ovviamente, estremamente vulnerabile il firewall tra la DMZ e la rete “privata”. Per evitare questo inconveniente è possibile, sui Global Catalog, fissare queste porte staticamente.

Il procedimento è il seguente:

- Start Registry Editor

- Posizionarsi sulla seguente chiave: “HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \Services \ NTDS \ Parameters”

- Aggiungere il seguente valore di registro:

Value Name: TCP/IP Port
Value Type: REG_DWORD
Base: Decimal
Value Data: <Valore della porta in formato decimale e superiore a 1024>

- Restart il Global Catalog