Preámbulo

Ace aquí de nuevo. Pensé para limpiar y volver a publicar mi blog sobre los requisitos de puertos de AD. Sí, ellos son extensas, para consternación del grupo de la red de la organización. Pero es lo que es, y es lo que tenemos que seguir para hacer el trabajo de AD.

servidor RPC no está disponible? errores de replicación en el visor de eventos? ¿Suena familiar?

Si es así, has estado sucumbido al hecho y realización hay posiblemente puertos necesarios están bloqueados que causan estos errores de comunicación AD familiares. Ya sea entre localizaciones con / VPN bloquea el puerto de túnel de firewall, Firewall de Windows (que por lo general no es el culpable, ya que se auto-configure para el papel de la máquina y su ubicación actual de la red), o incluso de software de seguridad o antivirus aplicaciones con algún tipo de función de "protección del tráfico de red" activado que está causando el problema.

En pocas palabras, si hay problemas de replicación o de otro tipo de comunicación dC, y usted tiene un software antivirus instalado en los puntos finales o instalado en todos sus países en desarrollo, desactivarlo, o mejor aún, desinstalarlo. La desinstalación es la mejor apuesta, para que sepa que no hay trazas de otros subcomponentes que son activos que todavía puede estar causando el bloque. Si después de desinstalarlo, y usted encontrará la replicación ahora trabaja, así que ahí lo tienen. En ese momento, tendrá que ponerse en contacto con su proveedor de antivirus para pedirles que la mejor manera de configurarlo para permitir las comunicaciones con EA y la replicación.

Si no es tu antivirus o una aplicación de seguridad y desconectar el servidor de seguridad de Windows no hacer el truco, entonces es obvio que es un factor externo - los servidores de seguridad de borde / perímetro.

También señalar, cuando las pruebas de bloques de puerto, herramientas tales como telnet no es una buena herramienta para probar AD / DC para la conectividad de CC, ni tampoco cualquier tipo de escaneo de puertos estándar, tales como el uso de Nmap, o un ping simple, resolver con nslookup (aunque la resolución de expedientes que se requiere es un requisito previo), u otras herramientas. La única prueba fiable está utilizando PortQry de Microsoft, que pone a prueba los puertos específicos de AD y los puertos efímeros, y las respuestas correspondientes de los servicios en los puertos necesarios de los anuncios que analiza específicamente.

AD a través de un NAT? Nop. Período.

Ah, y no hay que esperar para conseguir que esto funcione a través de un NAT. NAT no puede traducir el tráfico RPC cifrada, por lo tanto bonking comunicaciones LDAP.

Descripción de los límites de apoyo para Active Directory a través de NAT

Cómo configurar asignación dinámica de puertos RPC para trabajar con servidores de seguridad "comunicaciones de AD no funcionarán a través de un puerto de traducción NAT, por ejemplo, no se puede utilizar DCOM a través de un cortafuegos NAT que realiza la traducción de direcciones (por ejemplo, cuando un cliente se conecta a 198.252.145.1 direcciones virtuales , que el servidor de seguridad se asigna de forma transparente a la dirección IP interna real del servidor de, por ejemplo, 192.100.81.101). Esto se debe a las direcciones de las tiendas DCOM prima IP en la interfaz de cálculo de referencias de los paquetes y si el cliente no puede conectarse a la dirección especificada en el paquete, no va a funcionar "Citado de.:

NAT de Windows 2000 no se traduce de sesión de tráfico (esto se aplica a todos los DC) Citado: "NAT de Windows 2000 no es compatible con sesión de red y traducir Kerberos. Si tiene clientes que se encuentran detrás de un servidor NAT basado en Windows 2000 y necesita acceso a los recursos del dominio, considere la creación de un túnel de acceso remoto de red privada virtual (VPN) de enrutamiento y para el tráfico de sesión de red, o actualizar los clientes a Windows 2000. "Citado de:

Ok, vamos a averiguar si los puertos están siendo bloqueados

Ahora usted está pensando que sus ingenieros de infraestructura de red saben lo que están haciendo y la apertura de los puertos necesarios, por lo que estás pensando, esto no puede ser la razón? ¿O es eso? Bueno, vamos a averiguar. Podemos utilizar PortQry para probarlo. Y no, usted no desea utilizar ping, nslookup, nmap o cualquier otro escáner de puertos, porque no están diseñados para consultar los puertos AD necesario para ver si responden o no.

Así que vamos a ejecutar PortQry:

En primer lugar, descargarlo:

PortQryUI - GUI - Versión 2.0 08/02/2004

A continuación, ejecute la opción "Dominios y confianzas" entre los países en desarrollo, o entre países en desarrollo y cualquier máquina (otros servidores que desea promover, o incluso desde una máquina cliente), o de las cabezas de puente en cada sitio para el otro puente en el otro sitio. , prácticamente en cualquier lugar que desee probar si hay puertos bloqueados AD.

El punto es, usted querrá ejecutarlo en cualquier escenario en el que un DC debe comunicar a otro CC o para un cliente.

Si obtiene algún error con "NOTLISTENING," 0x00000001 y 0x00000002, eso significa que hay un bloque de puertos. Tomar nota de qué puertos están.

Puede pasar por alto UDP 389 y UDP 88 mensajes. Si ve TCP 42 errores, eso sólo significa que WINS no se ejecuta en el servidor de destino.

PortQry Referencias

Knock Knock es que el puerto abierto? Por Mark Morowczynski [MSFT] 18 abr 2011, tutorial rápido sobre la versión PortQry interfaz gráfica de usuario.

"A veces es posible que vea errores como el servidor RPC no está disponible o No hay más extremos disponibles desde el asignador de extremos ..."

Cómo utilizar Portqry para solucionar problemas de conectividad de Active Directory

Si desea utilizar la línea de comandos única versión:

Detalles de la descarga: PortQry línea de comandos Versión 2.0 Port Scanner

La comprensión de portqry y la salida del comando: Nuevas características y funcionalidad en PortQry versión 2.0

Descripción de la utilidad de línea de comandos Portqry.exe

Observaciones portqry

CC a CC y de CC a las comunicaciones de cliente requieren numerosos puertos

No hay ningún secreto para esto. Esa es la más simple que puedo decirlo.

Y, la lista de los puertos necesarios es larga, para consternación de los equipos de ingeniería de infraestructura de red que debe legado puertos para permitir el AD para comunicarse, replicar, etc., estos puertos deben estar abiertos. Realmente no hay mucho que se pueda hacer de otra manera.

Aquí está la lista con una explicación de cada puerto:

Protocolo y puerto AD y AD DS Uso Tipo de tráfico TCP 25 replicación SMTP TCP 42 Si utiliza WINS en un escenario de confianza de dominio que ofrece una resolución de NetBIOS WINS TCP 135 Replicación de RPC, EPM TCP 137 de resolución de nombres NetBIOS NetBIOS de resolución de nombres TCP 139 de usuario y la autenticación de equipos, replicación DFSN, Servicio de sesión NetBIOS, NetLogon TCP y UDP 389 Directory, la replicación, el usuario y la autenticación de equipos, la directiva de grupo, Fideicomisos LDAP TCP 636 Directory, la replicación, el usuario y la autenticación de equipos, la directiva de grupo, Fideicomisos LDAP SSL TCP 3268 Directory, la replicación, usuario y la autenticación de equipos, la directiva de grupo, Fideicomisos LDAP GC TCP 3269 Directorio, replicación, usuario y la autenticación de equipos, la directiva de grupo, Fideicomisos LDAP GC SSL TCP y UDP 88 de usuario y la autenticación de equipos, Selva Nivel confianzas Kerberos TCP y UDP 53 de usuario y la autenticación de equipos, Resolución de nombres, Fideicomisos DNS TCP y UDP 445 replicación, usuario y la autenticación de equipos, la directiva de grupo, Fideicomisos SMB, CIFS, SMB2, DFSN, LSARPC,NbtSS, NetLogonR, SAMR, SrvSvc TCP 9389 AD DS de servicios web SOAP TCP 5722 de replicación de archivos RPC, DFSR (SYSVOL) TCP y UDP 464 replicación, usuario y la autenticación de equipos, el cambio confianzas Kerberos / set contraseña UDP Tiempo 123 de Windows, confianzas de Windows Tiempo UDP 137 usuario y de equipo de autenticación NetLogon, resolución de nombres NetBIOS UDP 138 DFS, la directiva de grupo, NetBIOS de sesión de red, navegación DFSN, NetLogon, NetBIOS servicio de datagramas UDP 67 y UDP 2535 DHCP (Nota: DHCP no es un servicio básico de AD DS, pero estos puertos pueden estar necesaria para otras funciones además de DHCP, como WDS) DHCP, MADCAP, PXE

Y nunca debemos olvidar los puertos efímeros !!

Y, sobre todo, los puertos efímeros, o también conocido como los "puertos de respuesta de servicio," que son necesarios para las comunicaciones. Estos puertos se crean de forma dinámica para las respuestas de sesión para cada cliente que se establece una sesión, (no importa cuál sea el "cliente"), y no sólo para Windows, pero a Linux y Unix también.

Véase más abajo en la sección de referencias para obtener más información sobre lo que 'efímera' means.are utiliza sólo para esa sesión. Una vez que la sesión ha disuelto, los puertos se ponen de nuevo en la piscina para su reutilización. Esto no sólo se aplica a Windows, pero a Linux, Unix y otros sistemas operativos, también. Véase más abajo en la sección de referencias para obtener más información sobre lo que significa 'efímera'.

La siguiente tabla muestra lo que los puertos efímeros son dependiendo de la versión del sistema operativo, y lo que se utilizan.

Windows 2003, Windows XP y Windows 2000 TCP y UDP 1024-5000 servicio dinámico efímero Puertos de respuesta de Windows 2008 / Vista y versiones posteriores de TCP y UDP 49152-65535 servicio dinámico efímero puertos TCP de respuesta dinámica de replicación efímero, y autentificación del usuario del ordenador, la directiva de grupo, fideicomisos RPC, DCOM, EPM, DRSUAPI, NetLogonR, SAMR, política FRS UDP efímero Grupo dinámico DCOM, RPC, EPM

Si el escenario es un modo mixto NT4 y escenario de Active Directory con NT4 BDC, a continuación, se debe abrir la siguiente:

TCP y UDP 1024 - 65535 NT4 BDC a Windows 2000 o más reciente controlador de dominio RPC comunicaciones PDC-E, LSA RPC, LDAP, LDAP SSL, LDAP GC, GC LDAP SSL, DNS, Kerberos, SMB

A ver, no era tan simple?

La lista corta y sin explicaciones de puerto:

Protocolo Puerto TCP 25 TCP 42 TCP 135 TCP 137 TCP 139 TCP y UDP 389 TCP 636 TCP 3268 TCP 3269 TCP y UDP 88 TCP y UDP 53 TCP y UDP 445 TCP 9389 TCP 5722 TCP y UDP 464 UDP 123 UDP 137 UDP 138 UDP 67 UDP 2535 TCP y UDP 1024-5000 TCP y UDP 49152-65535

Si el escenario es un escenario de modo mixto NT4 y Active Directory con NT4 BDC:

Los siguientes puertos efímeros deben abrirse (sí, es prácticamente toda la gama):

TCP y UDP 1024-65535

Restricción de puertos través de un cortafuegos

También tiene la capacidad de restringir DC para el tráfico de replicación DC y DC para las comunicaciones del cliente, a unos puertos específicos. Tenga en cuenta, que también depende de qué puertos y servicios que usted desea restringir. Al elegir esta opción, debe especificar los puertos correctos para el servicio correcto.

Depende de qué puertos y servicios que desea restringir?

1. Método 1

Este es usado para establecer el puerto de replicación de AD específica. Por defecto se utiliza el puerto dinámico para replicar los datos de CC en un sitio a otro.

Esto es aplicable para la replicación de restricción anuncio a un rango de puertos específicos.

Procedimiento: Modificar registro para seleccionar un puerto estático. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters

Restringir el tráfico de replicación de Active Directory y el tráfico de RPC de cliente a un puerto específico

2. Método 2

Esto es para configurar el intervalo (s) de puerto en el Firewall de Windows.

Netsh - utilizar los siguientes ejemplos para establecer un rango de puerto inicial, y el número de puertos después de usar

netsh int tcp set dynamicport IPv4 start = 10000 num = int 1000netsh IPv4 conjunto dynamicport inicio UDP = 10000 num = 1000

El intervalo de puertos dinámicos para TCP / IP ha cambiado en Windows Vista y en Windows Server 2008

3. Modificar el registro

Esto es para comunicaciones de los servicios de Windows. También afecta a las comunicaciones de AD. HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc

Cómo configurar asignación dinámica de puertos RPC para trabajar con servidores de seguridad

Estos son algunos enlaces relacionados con la restricción de los puertos de replicación de AD.

hilo de referencia:

Requisitos RODC Firewall de puerto

La replicación de Active Directory a través de servidores de seguridad

RODC - "Leer sólo controladores de dominio" tiene sus propios requisitos de puerto

Tipo de tráfico de tráfico UDP 53 DNS DNS TCP 53 DNS DNS TCP 135 RPC, EPM TCP estático 53248 FRsRpc TCP 389 LDAP TCP y UDP Dynamic1025 - 5000 Windows 2000, Windows 2003, Windows XP efímero puertos TCP y UDP dinámico de 49152 - 65535 Windows 2008, windows Vista y todos los sistemas operativos más recientes puertos efímeros

El diseño de los RODC en la red perimetral

Restringir el tráfico de replicación de Active Directory y el tráfico de RPC de cliente a un puerto específico

Buena discusión sobre RODC y los puertos de firewall requiere:

Más información sobre cómo funciona la autenticación RODC ayudan a comprender los puertos: Understanding "Read Only Domain Controller" de autenticación

referencias

Cómo configurar un servidor de seguridad para dominios y fideicomisos

Active Directory y de Active Directory Requisitos de los Servicios de dominio de puerto, actualizado: June 18, 2009 (incluye actualización de nuevos puertos efímeros para Windows Vista / 2008 y posteriores). Esto también se analizan los requisitos de puerto de RODC. También debe asegurarse de que los puertos efímeros se abren. Ellos son: TCP y UDP 1025-5000 TCP y UDP 49152-65535

Windows 2008, 2008 R2, Vista y Windows 7 efímero Puerto gama ha cambiado desde los puertos usados ​​por Windows 2003 Windows XP y Windows efímeras (servicio aleatoria los puertos de respuesta dinámica) 2000. defecto son UDP 1024 - 65535 (Ver KB179442 abajo), pero para Vista y Windows 2008 es diferente. Su rango de puertos de inicio por defecto es UDP 49152 a 65535 UDP (ver KB929851 abajo).

Citado de KB929851 (enlace publica a continuación): "Para cumplir con Internet Assigned Numbers Authority (IANA) recomendaciones, Microsoft ha aumentado el rango de puerto dinámico del cliente para conexiones salientes en Windows Vista y en Windows Server 2008. El nuevo puerto de inicio por defecto es 49152, y el puerto final predeterminado es 65535. Este es un cambio de la configuración de versiones anteriores de Microsoft Windows que utilizan una gama de puerto predeterminado de 1025 y 5000. "

Windows Vista, Windows 7, Windows 2008 y Windows 2008 R2 Puertos Servicio de Respuesta (puertos efímeros) han cambiado.

Active Directory y de puertos del cortafuegos - He encontrado que es difícil encontrar una lista definitiva en el Internet para abrir los puertos que necesitan para Active Directory para la replicación entre servidores de seguridad. ...

La replicación de Active Directory a través de servidores de seguridad, Jan 31, 2006 (incluye / 2008 puertos efímeros Vista previa de Windows más antiguas)

¿Cómo de dominios y bosques WorkAlso muestra una lista de los puertos necesarios.

Blog de Pablo Bergson sobre la replicación de AD y de puertos del cortafuegos

Intercambiar los puertos de acceso DS

Configuración de un servidor de seguridad Intranet para Exchange 2003, 14 de abril de 2006. Los puertos de los protocolos necesarios para el servidor de seguridad de la intranet y los puertos necesarios para las comunicaciones de Kerberos y Active Directory

lectura adicional

Restringir el tráfico de replicación de Active Directory y RPC cliente ... Restringir el tráfico de replicación de Active Directory y el tráfico de RPC de cliente a un puerto exclusivo ..., y reiniciar el servicio de Inicio de sesión en el controlador de dominio. ...

Cómo restringir el tráfico de replicación FRS a un puerto estático específico - Cómo restringir el tráfico de replicación FRS a un puerto estático específico ... controladores de dominio y servidores basados ​​en Windows 2000 utilizan FRS para replicar directivas del sistema ...

Algunos servidores de seguridad pueden rechazar el tráfico de red que se origina a partir de Windows Server 2003 Service Pack 1-basado o basado en Windows Vista computersThis KB indica cortafuegos Checkpoint que tienen un problema con las comunicaciones de AD.

Puesto de control de Firewall y AD, DNS y Comunicaciones RPC y el tráfico de replicación

servidores de seguridad de punto de control tienen un problema conocido si está ejecutando la versión R55 o más. Tendrá que hacer una entrada del registro para permite que el tráfico fluya entre los 2 sitios a través de la VPN. La solución preferida es actualizar el servidor de seguridad Checkpoint.

Más información:

Algunos servidores de seguridad pueden rechazar el tráfico de red que se origina desde los ordenadores 2003 Service Pack 1-basado o basados ​​en Windows Vista de Windows Server (Este enlace se relaciona con y ayuda a resolver el problema Checkpoint)

Nota de un cartel en el Internet con un servidor de seguridad Punto de control: Para Windows 2003 R2 y el controlador de dominio remoto no R2 hemos añadido la entrada Server2003NegotiateDisable en HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ Rpc

Sé que usted ha disfrutado de la lectura de este.

Bueno, si lo hizo o no, al menos ahora sabe qué hacer para que funcione.

Comentarios, sugerencias y correcciones son bienvenidas!

Resumen

¡Espero que esto ayude!

Fecha de publicación original: 11/1 / 2011Updated 04/11/2014

Ace FekayMVP, MCT, MCSE, MCITP 2012 EA y MCTS Windows 2008 / R2, Exchange 2013, 2010 y 2007, EA y MCSE MCSA 2003/2000, MCSA mensajería certificada 2003Microsoft TrainerMicrosoft MVP - Servicios de directorio

Lista completa de los blogs técnicas:

Se proporciona esta fijación como se encuentra, sin garantías o garantías y confiere ningún derecho.