Präambel

Ace hier wieder. Ich dachte, zu bereinigen und neu veröffentlichen meinem Blog auf AD-Ports Anforderungen. Ja, sie sind zum Schrecken der Netzwerkgruppe in der Organisation umfangreich,. Aber es ist, was es ist, und es ist das, was müssen wir folgen AD Arbeit zu machen.

RPC-Server nicht verfügbar? Replikationsfehler in der Ereignisanzeige? Klingt bekannt?

Wenn ja, haben Sie auf die Tatsache und Realisierung erlegen worden sind möglicherweise erforderlichen Ports verursacht diese vertrauten AD Fehler Kommunikation blockiert. Ob zwischen den Standorten mit Firewall / VPN-Tunnel-Port blockiert die Windows-Firewall (das ist in der Regel nicht der Täter, weil sie werden automatisch zu konfigurieren für die Rolle der Maschine und seiner aktuellen Speicherort im Netzwerk) oder sogar Sicherheits-Software oder Antiviren-Anwendungen mit irgendeiner Art von "Netzwerkverkehr Schutz" aktiviert, dass das Problem verursacht.

Einfach gesagt, wenn es die Replikation oder andere AD Kommunikationsprobleme sind, und Sie haben eine Antivirus-Software auf allen Ihren DCs auf den Endpunkten oder installiert installiert ist, deaktivieren Sie es, oder besser noch, deinstallieren Sie es. es Deinstallation ist die beste Wette, so dass Sie wissen, dass es keine Spuren von anderen Subkomponenten sind, die aktiv sind, die noch den Block verursachen können. Wenn nach der Deinstallation, und Sie die Replikation finden jetzt funktioniert, auch dort haben Sie es. An diesem Punkt müssen Sie Ihre Antivirus-Anbieter zu kontaktieren sie den besten Weg zu bitten, es zu konfigurieren, dass AD-Kommunikation und die Replikation ermöglichen.

Wenn es nicht Ihre Antiviren-oder Sicherheits-App ist, und die Windows-Firewall deaktivieren nicht den Trick tun, dann ist es offensichtlich, es ist ein externer Faktor - Ihr Rand / Perimeter-Firewalls.

Auch darauf hin, wenn für die Hafen Blöcke testen, Tools wie Telnet ist kein gutes Werkzeug AD / DC-DC-Konnektivität zu testen, noch ist irgendeine Art von Standard-Port-Scan, wie die Verwendung von nmap, oder ein einfaches Ping, die Lösung mit nslookup (obwohl erforderlichen Aufzeichnungen Lösung ist eine Voraussetzung) oder andere Werkzeuge. Die einzige zuverlässige Test wird mit Microsofts PortQry, die sie speziell für scannt bestimmte AD-Ports und die kurzlebigen Ports und die erforderlichen Antworten von den Dienstleistungen auf den erforderlichen AD-Ports prüft.

AD durch eine NAT? Nee. Periode.

Oh, und erwarten Sie nicht zu bekommen dies durch eine NAT zu arbeiten. NATs können die verschlüsselten RPC-Datenverkehr daher bonking LDAP-Kommunikation nicht übersetzen.

Beschreibung der Unterstützung Grenzen für Active Directory über NAT

Wie dynamischen RPC-Portzuordnung zu konfigurieren mit Firewalls "AD-Kommunikation arbeiten über einen NAT-Port Translation nicht zu arbeiten, wie Sie nicht DCOM über eine NAT-Firewall verwenden können, die Adressübersetzung führt (zB wenn ein Client auf virtuelle Adresse 198.252.145.1 verbindet , die die Firewall bildet transparent an die tatsächliche interne IP-Adresse des Servers von beispielsweise 192.100.81.101). Dies liegt daran, DCOM speichert Raw-IP-Adressen in der Interface-Pakete und Marshalling, wenn der Kunde nicht in dem Paket an die angegebene Adresse eine Verbindung herstellen können, wird es nicht funktionieren «Zitat von.:

Windows 2000 NAT übersetzt nicht Netlogon Verkehr (dies gilt für alle DCs) Zitat: "Windows 2000 NAT nicht Netlogon unterstützen und Kerberos übersetzen. Wenn Sie Kunden haben, die hinter einem Windows 2000-NAT-Server befinden und Zugriff auf Domänenressourcen benötigen, sollten Sie eine Routing und RAS virtuelles privates Netzwerk (VPN) Tunnel für Netlogon Traffic erstellen oder aktualisieren Sie die Clients auf Windows 2000 «Zitat von:

Ok, lassen Sie uns herausfinden, ob die Ports blockiert werden

Jetzt Sie denken, dass Ihr Netzwerk-Infrastruktur-Ingenieure wissen, was sie tun, und öffnete die erforderlichen Ports, so dass Sie denken, das ist nicht der Grund sein? oder ist es? Nun, lasst uns herausfinden. Wir können PortQry verwenden, es zu testen. Und nein, Sie nicht wollen, Ping zu verwenden, nslookup, nmap oder einen anderen Port-Scanner, weil sie nicht abfragen, die notwendigen AD-Ports ausgelegt, um zu sehen, ob sie reagieren oder nicht.

Also lassen Sie uns PortQry ausführen:

Zuerst laden Sie es:

PortQryUI - GUI - Version 2.0 2004.08.02

Führen Sie dann das "Domains & Trusts" Option zwischen DCs oder zwischen DCs und jeder Maschine (andere Server, die Sie fördern möchten, oder sogar von einem Client-Rechner) oder aus den Brückenköpfen an jedem Standort auf der anderen Brückenkopf in der anderen Seite. wenn es testen wollen, so ziemlich überall, dass Sie blockierten AD-Ports sind.

Der Punkt ist, Sie werden es in jedem Szenario ausgeführt werden soll, wenn ein DC auf einen anderen DC oder mit einem Client kommunizieren müssen.

Wenn Sie Fehler mit "NOTLISTENING" erhalten 0x00000001 und 0x00000002, bedeutet, dass ein Anschlussblock ist. Beachten Sie, auf die Häfen sie sind.

Sie können UDP 389 und UDP 88 Meldungen ignorieren. Wenn Sie TCP 42 Fehler zu sehen, bedeutet, dass nur ist WINS nicht auf dem Zielserver ausgeführt wird.

PortQry Referenzen

Knock Ist das Port offen? Von Mark Morowczynski [MSFT] 18. April 2011, Quick-Tutorial über PortQry GUI-Version.

"Manchmal können Fehler sehen wie der RPC-Server ist nicht verfügbar oder gibt es keine weiteren Endpunkte verfügbar in der Endpunktzuordnung ..."

Wie zu verwenden Portqry zu Active Directory-Verbindungsprobleme beheben

Wenn Sie die Befehlszeile nur Version zu verwenden:

Downloaddetails: PortQry Command Line Nur Port Scanner Version 2.0

Das Verständnis portqry und die Ausgabe des Befehls: Neue Features und Funktionen in PortQry Version 2.0

Beschreibung des Portqry.exe Befehlszeilenprogramm

Portqry Bemerkungen

DC-DC und DC-Client-Kommunikation erfordern zahlreiche Häfen

Es ist kein Geheimnis, zu diesem. Das ist die einfachste ich es kann.

Und, ist die Liste der Häfen erforderlich lang, zum Entsetzen von Netzwerk-Infrastruktur-Engineering-Teams, die Häfen müssen bequest AD zu ermöglichen, zu kommunizieren, zu replizieren, usw., müssen diese Ports geöffnet werden. Es gibt wirklich nicht viel, was sonst getan werden kann.

Hier ist die Liste mit einer Erläuterung der einzelnen Ports:

Protokoll und Port AD und AD DS Verwendungsart des Verkehrs TCP 25 Replication SMTP 42 TCP Wenn WINS in einem Domänen-Vertrauens Szenario bietet NetBIOS-Auflösung WINS TCP 135 Replication RPC, EPM TCP 137 NetBIOS-Namensauflösung NetBIOS-Namensauflösung TCP 139 Benutzer- und Computerauthentifizierung, Replikation DFSN, NetBIOS-Sitzungsdienst, NetLogon TCP und UDP 389 Directory-Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Trusts LDAP TCP 636 Directory Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Trusts LDAP SSL TCP 3268 Directory-Replikation, Benutzer und Computerauthentifizierung, Gruppenrichtlinien, Trusts LDAP GC TCP 3269 Directory-Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Trusts LDAP GC SSL TCP und UDP 88 Benutzer- und Computerauthentifizierung, Wald Ebene Trusts Kerberos TCP und UDP 53 Benutzer- und Computerauthentifizierung, Namensauflösung, Trusts DNS-TCP und UDP 445 Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Trusts SMB, CIFS, Smb2, DFSN, LSARPC,NbtSS, NetLogonR, SAMR, SrvSvc TCP 9389 AD DS Web Services SOAP TCP 5722 File Replication RPC, DFSR (SYSVOL) TCP und UDP 464 Replikation, Benutzer- und Computerauthentifizierung, Trusts Kerberos Änderung / set Passwort UDP 123 Windows-Zeit, Trusts Windows-Zeit UDP 137 Benutzer- und Computerauthentifizierung NetLogon, NetBIOS-Namensauflösung UDP 138 DFS, Gruppenrichtlinien, NetBIOS Netlogon, Browsing DFSN, NetLogon, NetBIOS-Datagrammdienst UDP 67 und UDP 2535 DHCP (Hinweis: DHCP ist kein Kern AD DS-Service, aber diese Ports können notwendig für andere Funktionen neben DHCP, wie WDS) DHCP, MADCAP, PXE

Und wir dürfen nie den ephemeren Ports vergessen !!

Und vor allem, den ephemeren Ports oder auch als "Service-Response-Ports" bekannt, die für die Kommunikation erforderlich sind. Diese Ports werden dynamisch für die Sitzungs Antworten für jeden Kunden erstellt, die eine Sitzung herstellt, (egal, was der "Kunde" sein kann), und nicht nur für Windows, sondern auf Linux und Unix als auch.

Siehe unten im Abschnitt Referenzen um mehr zu erfahren, was 'vergänglich' verwendet means.are nur für diese Sitzung. Sobald die Sitzung aufgelöst hat, werden die Ports wieder in den Pool zur Wiederverwendung. Dies gilt nicht nur für Windows, sondern auf Linux, Unix und andere Betriebssysteme, wie gut. Siehe unten im Abschnitt Referenzen um mehr zu erfahren, was unter "ephemeren" bedeutet.

Die folgende Tabelle zeigt, was die kurzlebigen Ports auf der OS-Version abhängig sind, und was sie verwendet werden.

Windows 2003, Windows XP und Windows 2000 TCP & UDP 1024-5000 kurzlebige dynamische Service-Response-Ports Windows 2008 / Vista und neuere TCP & UDP 49152-65535 kurzlebige dynamische Service-Antwort-Ports Dynamische TCP Vergängliche Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien Trusts RPC, DCOM, EPM, DRSUAPI, NetLogonR, SAMR, FRS UDP Dynamische kurzlebige Gruppenrichtlinien DCOM RPC, EPM

Wenn das Szenario eine Mixed-Mode-NT4 & Active Directory-Szenario mit NT4 BDC ist, dann muss Folgendes geöffnet werden:

TCP & UDP 1024-65535 NT4 BDC auf Windows 2000 oder neuer Domain Controller PDC-E-Kommunikation RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB

Siehe, ist nicht so einfach war?

Die Kurzliste ohne Port-Erklärungen:

Protokoll Port TCP 25 TCP 42 TCP 135 TCP 137 TCP 139 TCP und UDP 389 TCP 636 TCP 3268 TCP 3269 TCP und UDP 88 TCP und UDP 53 TCP und UDP 445 TCP 9389 TCP 5722 TCP und UDP 464 UDP 123 UDP 137 UDP 138 UDP 67 UDP 2535 TCP & UDP 1024-5000 TCP & UDP 49152-65535

Wenn das Szenario ist ein Mixed-Mode-NT4 & Active Directory-Szenario mit NT4 BDC:

Die folgenden kurzlebige Ports geöffnet werden müssen (ja, es ist so ziemlich die ganze Palette):

TCP & UDP 1024-65535

Beschränken Ports über eine Firewall

Sie haben auch die Fähigkeit, DC-DC-Replikationsverkehr zu beschränken, und DC-Client-Kommunikation, auf eine bestimmte Ports. Denken Sie daran, es hängt auch davon ab, welche Ports und Dienste, die Sie wollen, werden zu beschränken. Wenn Sie diese Option wählen, müssen Sie die richtigen Ports für den richtigen Service angeben.

Es hängt davon ab, welche Ports und Dienste, die Sie beschränken möchten?

1. Methode 1

Dies ist zu verwendet, um die spezifische AD-Replikation Port einzustellen. Standardmäßig verwendet es dynamische Portdaten von DC zu einem anderen in einem Standort zu replizieren.

Dies gilt für die Beschränkung AD-Replikation auf einem bestimmten Port-Bereich.

Vorgehensweise: Ändern Registry einen statischen Port auszuwählen. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters

Active Directory-Replikation Einschränken des Verkehrs-und Client-RPC-Verkehr an einen bestimmten Port

2. Methode 2

Dies ist für die Konfiguration der Port-Bereich (s) in der Windows-Firewall.

Netsh - Verwenden Sie die folgenden Beispiele einen Startportbereich zu setzen, und die Anzahl der Ports, nachdem es zu benutzen

netsh int tcp ipv4 set Dynamic start = 10000 num = 1000netsh int IPv4- gesetzt Dynamic udp start = 10000 num = 1000

Der Standard dynamischen Portbereich für TCP / IP wurde in Windows Vista und in Windows Server 2008 geändert

3. Ändern Sie die Registrierung

Dies ist für Windows-Dienste-Kommunikation. Es wirkt sich auch AD-Kommunikation. HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc

So konfigurieren dynamischen RPC-Portzuweisung mit Firewalls arbeiten

Hier sind einige relevante Links AD-Replikation Ports zu beschränken.

Referenz thread:

RODC Firewall-Port-Anforderungen

Active Directory-Replikation über Firewalls

RODC - "nur Domain Controllers Lesen" haben ihre eigenen Port-Anforderungen

Verkehr Art des Datenverkehrs UDP 53 DNS DNS TCP 53 DNS DNS TCP 135 RPC, EPM TCP Static 53248 FRsRpc TCP 389 LDAP-TCP und UDP Dynamic1025 - 5000 Windows 2000, Windows 2003, Windows XP kurzlebige Ports TCP und UDP Dynamische 49.152-65.535 Windows 2008, Windows Vista und alle neueren Betriebssystemen kurzlebige Ports

Entwerfen RODC im Umkreisnetzwerk

Active Directory-Replikation Einschränken des Verkehrs-und Client-RPC-Verkehr an einen bestimmten Port

Gute Diskussion über RODC und Firewall-Ports erforderlich:

Weitere Informationen darüber, wie RODC Authentifizierung Arbeiten werden dazu beitragen, die Ports zu verstehen: Verstehen "Read Only Domain Controller" Authentifizierung

Referenzen

Wie eine Firewall für Domänen und Vertrauens konfigurieren

Active Directory und Active Directory-Domänendienste-Port-Anforderungen, Aktualisiert: 18. Juni 2009 (enthält neue temporäre Ports für Windows Vista / 2008 aktualisiert und neuer). Dies geht auch Port-Anforderungen RODC. Sie müssen auch sicherstellen, dass die temporären Ports geöffnet sind. Es sind dies: TCP und UDP 1025-5000 TCP & UDP 49152-65535

Windows 2008, 2008 R2, Windows Vista und Windows 7 kurzlebige Port-Bereich von den Häfen, die von Windows 2003 Windows XP und Windows 2000 Standard ephemeren (Random Service Dynamik Ports) sind UDP 1024 geändert hat - 65535 (siehe KB179442 unten), aber für Vista und Windows 2008 ist es anders. Ihre Standardstartportbereich ist UDP 49.152-65.535 UDP (siehe KB929851 unten).

Zitat von KB929851 (Link unten geschrieben): "Um mit Internet Assigned Numbers Authority (IANA) Empfehlungen nachzukommen, hat Microsoft die dynamische Client-Portbereich für abgehende Verbindungen in Windows Vista und Windows Server 2008. Die neue Standard-Start Port ist 49152 erhöht, und die Standard-End-Port ist 65535. Dies ist eine Änderung der Konfiguration von früheren Versionen von Microsoft Windows, die einen Standardportbereich von 1025 bis 5000. verwendet "

Windows Vista, Windows 7, Windows 2008 und Windows 2008 R2 Service Response-Ports (ephemeren Ports) haben sich geändert.

Active Directory und Firewall-Ports - Ich fand es schwer, eine endgültige Liste im Internet zu finden, welche Ports benötigt Öffnung für Active Directory-Replikation zwischen Firewalls. ...

Active Directory-Replikation über Firewalls, 31. Jan. 2006. (enthält ältere vor Windows Vista / 2008 ephemeren Ports)

Wie Domains und Wälder WorkAlso zeigt eine Liste von Ports benötigt.

Paul Bergsons Blog auf AD Replication und Firewall-Ports

Tauschen Sie DS-Zugriff Ports

Konfigurieren einer Intranetfirewall für Exchange 2003, 14. April 2006 erforderlich Protokoll-Ports für das Intranet-Firewall und Ports, die für Active Directory und Kerberos-Kommunikation

Weiterführende Literatur

Active Directory-Replikation Einschränken des Verkehrs-und Client-RPC ... Einschränken von Active Directory-Replikationsverkehr und Client-RPC-Verkehr zu einem ... einzigartigen Hafen, und Sie starten Sie den Netlogon-Dienst auf dem Domänencontroller. ...

Wie FRS-Replikationsverkehr auf einem bestimmten statischen Port zu beschränken - Wie FRS-Replikationsverkehr auf einem bestimmten statischen Port ... Windows 2000-Domänencontroller und Server zu beschränken verwenden FRS Systemrichtlinie zu replizieren ...

Nun, ob du getan hast oder nicht, zumindest wissen Sie jetzt, was es Arbeit zu tun zu machen.