Pensei em limpar e republicar meu blog sobre os requisitos de portas do AD. Sim, eles são extensos, para desespero do grupo de rede da sua organização. Mas é o que é e é o que precisamos seguir para fazer o AD funcionar.
Nesse caso, você sucumbiu ao fato e percebeu que possivelmente há portas necessárias sendo bloqueadas, causando esses erros familiares de comunicação do AD. Seja entre locais com bloqueios de porta de firewall/túnel VPN, Firewall do Windows (que geralmente não é o culpado porque eles serão configurados automaticamente para a função da máquina e sua localização de rede atual), ou mesmo software de segurança ou aplicativos antivírus com algum tipo de recurso de “proteção de tráfego de rede” ativado que está causando o problema.
Simplesmente falando, se houver replicação ou outros problemas de comunicação do AD e você tiver um software antivírus instalado nos endpoints ou em todos os seus DCs, desative-o ou, melhor ainda, desinstale-o. Desinstalá-lo é a melhor aposta, para que você saiba que não há vestígios de outros subcomponentes ativos que ainda possam estar causando o bloqueio. Se depois de desinstalá-lo você descobrir que a replicação agora funciona, bem, aí está. Nesse ponto, você precisará entrar em contato com seu fornecedor de antivírus para perguntar a melhor maneira de configurá-lo para permitir comunicações e replicação de AD.
Se não for o seu antivírus ou aplicativo de segurança, e desabilitar o firewall do Windows não resolver o problema, então é óbvio que é um fator externo – seus firewalls de borda/perímetro.
Também é importante ressaltar que, ao testar blocos de portas, ferramentas como o telnet não são uma boa ferramenta para testar a conectividade AD/DC para DC, nem qualquer tipo de varredura de porta padrão, como o uso de nmap ou um simples ping, resolve com nslookup (embora a resolução dos registros necessários seja um pré-requisito) ou outras ferramentas. O único teste confiável é usar o PortQry da Microsoft, que testa portas AD específicas e as portas efêmeras, e as respostas necessárias dos serviços nas portas AD necessárias que ele verifica especificamente.
Ah, e não espere que isso funcione por meio de um NAT. Os NATs não podem traduzir o tráfego RPC criptografado, interrompendo assim as comunicações LDAP.
Descrição dos limites de suporte para Active Directory sobre NAT
http://support.microsoft.com/kb/978772
Como configurar a alocação dinâmica de portas RPC para funcionar com firewalls”
As comunicações AD não funcionarão por meio de uma tradução de porta NAT, como você não pode usar DCOM por meio de um firewall NAT que realiza tradução de endereços (por exemplo, onde um cliente se conecta ao endereço virtual 198.252.145.1, que o firewall mapeia de forma transparente para o IP interno real do servidor endereço de, digamos, 192.100.81.101). Isso ocorre porque o DCOM armazena endereços IP brutos nos pacotes de empacotamento da interface e se o cliente não conseguir se conectar ao endereço especificado no pacote, ele não funcionará.”
Citado de:http://support.microsoft.com/kb/154596/en-us
NAT do Windows 2000 não traduz tráfego de Netlogon(isso se aplica a todos os DCs)
Citado: “O NAT do Windows 2000 não suporta Netlogon e traduz Kerberos. Se você tiver clientes localizados atrás de um servidor NAT baseado no Windows 2000 e precisar de acesso aos recursos do domínio, considere criar um túnel de rede privada virtual (VPN) de roteamento e acesso remoto para tráfego de Netlogon ou atualizar os clientes para o Windows 2000.”
Citado de:http://support.microsoft.com/kb/263293
*
Agora você está pensando que seus engenheiros de infraestrutura de rede sabem o que estão fazendo e abriram as portas necessárias, então você está pensando: esse não pode ser o motivo? ou é? Bem, vamos descobrir. Podemos usar PortQry para testá-lo. E não, você não quer usar ping, nslookup, nmap ou qualquer outro scanner de porta, porque eles não foram projetados para consultar as portas AD necessárias para ver se estão respondendo ou não.
Primeiro, baixe-o:
PortQryUI – GUI – Versão 2.0 02/08/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
Em seguida, execute a opção “Domains & Trusts” entre DCs, ou entre DCs e qualquer máquina (outros servidores que você deseja promover, ou mesmo de uma máquina cliente), ou dos bridgeheads em cada site para outro bridgehead no outro site. , praticamente em qualquer lugar onde você deseja testar se há alguma porta AD bloqueada.
A questão é que você desejará executá-lo em qualquer cenário em que um controlador de domínio deva se comunicar com outro controlador de domínio ou com um cliente.
Se você receber algum erro com “NOTLISTENING”, 0x00000001 e 0x00000002, isso significa que há um bloqueio de porta. Anote quais portas elas estão.
Você pode ignorar as mensagens UDP 389 e UDP 88. Se você vir erros de TCP 42, isso significa apenas que o WINS não está em execução no servidor de destino.
Referências PortQry
Knock Knock Essa porta está aberta?
Por Mark Morowczynski [MSFT] 18 de abril de 2011, Tutorial rápido sobre a versão da GUI do PortQry.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
“Às vezes você pode ver erros como O servidor RPC não está disponível ou Não há mais endpoints disponíveis no mapeador de endpoint…”
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
Como usar o Portqry para solucionar problemas de conectividade do Active Directory
http://support.microsoft.com/kb/816103
Se você quiser usar a versão somente de linha de comando:
Detalhes do download: PortQry Command Line Only Port Scanner versão 2.0
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
Compreendendo o portqry e a saída do comando: Novos recursos e funcionalidades no PortQry versão 2.0
http://support.microsoft.com/kb/832919
Descrição do utilitário de linha de comando Portqry.exe
http://support.microsoft.com/kb/310099
Observações do Portqry
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
Não há segredo para isso. Isso é o mais simples que posso dizer.
E a lista de portas necessárias é longa, para desespero das equipes de engenharia de infraestrutura de rede que devem legar portas para permitir que o AD se comunique, replique, etc., essas portas devem ser abertas. Realmente não há muito que possa ser feito de outra forma.
Protocolo e Porta | Uso de AD e AD DS | Tipo de tráfego |
| TCP25 | Replicação | SMTP |
| TCP42 | Se estiver usando WINS em um cenário de confiança de domínio que ofereça resolução NetBIOS | GANHA |
| TCP 135 | Replicação | RPC, EPM |
| TCP 137 | Resolução de nomes NetBIOS | Resolução de nomes NetBIOS |
| TCP 139 | Autenticação de usuário e computador, replicação | DFSN, serviço de sessão NetBIOS, NetLogon |
| TCP e UDP 389 | Diretório, replicação, autenticação de usuário e computador, política de grupo, relações de confiança | LDAP |
| TCP636 | Diretório, replicação, autenticação de usuário e computador, política de grupo, relações de confiança | SSL LDAP |
| TCP3268 | Diretório, replicação, autenticação de usuário e computador, política de grupo, relações de confiança | GC LDAP |
| TCP3269 | Diretório, replicação, autenticação de usuário e computador, política de grupo, relações de confiança | SSL do GC LDAP |
| TCP e UDP 88 | Autenticação de usuário e computador, relações de confiança em nível de floresta | Cérbero |
| TCP e UDP 53 | Autenticação de usuários e computadores, resolução de nomes, relações de confiança | DNS |
| TCP e UDP 445 | Replicação, autenticação de usuário e computador, política de grupo, relações de confiança | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP 9389 | Serviços Web do AD DS | SABÃO |
| TCP5722 | Replicação de arquivos | RPC, DFSR (SYSVOL) |
| TCP e UDP 464 | Replicação, Autenticação de Usuário e Computador, Trusts | Kerberos alterar/definir senha |
| UDP 123 | Horário do Windows, relações de confiança | Hora do Windows |
| UDP 137 | Autenticação de usuário e computador | NetLogon, resolução de nomes NetBIOS |
| UDP 138 | DFS, Política de Grupo, NetBIOS Netlogon, Navegação | DFSN, NetLogon, serviço de datagrama NetBIOS |
| UDP 67 e UDP 2535 | DHCP (Nota: DHCP não é um serviço principal do AD DS, mas essas portas podem ser necessárias para outras funções além do DHCP, como WDS) | DHCP, MADCAP, PXE |
E acima de tudo, os portos Efêmeros, ou também conhecidos como “portas de resposta de serviço”,que são necessários para comunicações. Estas portas são criadas dinamicamente para respostas de sessão para cada cliente que estabelece uma sessão, (não importa qual seja o ‘cliente’), e não apenas para Windows, mas também para Linux e Unix.
Veja abaixo na seção de referências para saber mais sobre o que significa ‘efêmero’. São usados apenas para essa sessão. Depois que a sessão for dissolvida, as portas serão colocadas de volta no pool para reutilização. Isso se aplica não apenas ao Windows, mas também ao Linux, Unix e outros sistemas operacionais. Veja abaixo na seção de referências para saber mais sobre o que significa ‘efêmero’.
O gráfico a seguir mostra quais são as portas efêmeras dependendo da versão do sistema operacional e para que são usadas.
| Janela 2003, Windows XP e Windows 2000 | TCP e UDP | 1024-5000 | Portas de resposta de serviço dinâmico efêmero |
| Windows 2008/Vista e mais recente | TCP e UDP 49152-65535 | Portas de resposta de serviço dinâmico efêmero | |
| TCP Dinâmico Efêmero | Replicação, autenticação de usuário e computador, política de grupo, relações de confiança | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| UDP Dinâmico Efêmero | Política de grupo | DCOM, RPC, EPM |
Se o cenário for um cenário NT4 de modo misto e Active Directory com BDCs NT4, o seguinte deverá ser aberto:
| TCP e UDP 1024 – 65535 | Comunicações NT4 BDC para Windows 2000 ou controlador de domínio PDC-E mais recente | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
Veja, não foi tão simples?
| Protocolo | Porta |
| TCP | 25 |
| TCP | 42 |
| TCP | 135 |
| TCP | 137 |
| TCP | 139 |
| TCP e UDP | 389 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
| TCP e UDP | 88 |
| TCP e UDP | 53 |
| TCP e UDP | 445 |
| TCP | 9389 |
| TCP | 5722 |
| TCP e UDP | 464 |
| UDP | 123 |
| UDP | 137 |
| UDP | 138 |
| UDP | 67 |
| UDP | 2535 |
| TCP e UDP | 1024-5000 |
| TCP e UDP | 49152-65535 |
Se o cenário for um cenário NT4 de modo misto e Active Directory com NT4 BDC:
As seguintes portas Efêmeras devem ser abertas (sim, é praticamente toda a gama):
| TCP e UDP | 1024-65535 |
*
Você também tem a capacidade de restringir o tráfego de replicação de DC para DC e as comunicações de DC para cliente a portas específicas. Lembre-se de que isso também depende de quais portas e serviços você deseja restringir. Ao escolher esta opção, você deve especificar as portas corretas para o serviço correto.
Depende de quais portas e serviços você deseja restringir?
1. Método 1
Isso é usado para definir a porta de replicação específica do AD. Por padrão, ele usa porta dinâmica para replicar dados do DC de um site para outro.
Isso é aplicável para restringir a replicação do AD a um intervalo de portas específico.
Procedimento: Modifique o registro para selecionar uma porta estática.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parâmetros
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parâmetros
Restringindo o tráfego de replicação do Active Directory e o tráfego RPC do cliente para uma porta específica
http://support.microsoft.com/kb/224196
2. Método 2
Isto é para configurar o(s) intervalo(s) de portas no Firewall do Windows.
Netsh – use os exemplos a seguir para definir um intervalo de portas inicial e o número de portas depois dele para usar
netsh int ipv4 definir porta dinâmica tcp início = 10000 num = 1000
netsh int ipv4 definir porta dinâmica udp início = 10000 num = 1000
O intervalo de portas dinâmicas padrão para TCP/IP foi alterado no Windows Vista e no Windows Server 2008
http://support.microsoft.com/kb/929851
3. Modifique o registro
Isto é para comunicações de serviços do Windows. Também afeta as comunicações do AD.
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Como configurar a alocação dinâmica de portas RPC para funcionar com firewalls
http://support.microsoft.com/kb/154596/en-us
Tópico de referência:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
Requisitos de porta do firewall RODC
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Replicação do Active Directory por firewalls
http://technet.microsoft.com/en-us/library/bb727063.aspx
Tráfego | Tipo de tráfego |
| DNS UDP53 | DNS |
| TCP53DNS | DNS |
| TCP 135 | RPC, EPM |
| TCP Estático 53248 | FRsRpc |
| TCP 389 | LDAP |
| TCP e UDP dinâmicos 1025 – 5000 | Windows 2000, Windows 2003, Windows XP Portas Efêmeras |
| TCP e UDP dinâmicos 49152 – 65535 | Windows 2008, Windows Vista e todos os sistemas operacionais mais recentes Portas Efêmeras |
Projetando RODCs na Rede Perimetral
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Restringindo o tráfego de replicação do Active Directory e o tráfego RPC do cliente para uma porta específica
http://support.microsoft.com/kb/224196
É necessária uma boa discussão sobre RODC e portas de firewall:
http://forums.techarena.in/active-directory/1303925.htm
Mais informações sobre como funciona a autenticação RODC ajudarão a entender as portas:
Compreendendo a autenticação “Controlador de domínio somente leitura”
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
Como configurar um firewall para domínios e relações de confiança
http://support.microsoft.com/kb/179442
Requisitos de porta do Active Directory e dos serviços de domínio do Active Directory, atualizados: 18 de junho de 2009 (inclui novas portas efêmeras atualizadas para Windows Vista/2008 e mais recentes). Isto também discute os requisitos da porta RODC. Você também deve certificar-se de que as portas efêmeras estejam abertas. Eles são:
TCP e UDP 1025-5000
TCP e UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
O intervalo de portas efêmeras do Windows 2008, 2008 R2, Vista e Windows 7 mudou em relação às portas usadas pelo Windows 2003, Windows XP e Windows 2000. As portas efêmeras padrão (portas de resposta dinâmica de serviço aleatório) são UDP 1024 – 65535 (consulte KB179442 abaixo), mas para Vista e Windows 2008 é diferente. O intervalo de portas iniciais padrão é UDP 49152 a UDP 65535 (consulte KB929851 abaixo).
Citado em KB929851 (link postado abaixo): “Para cumprir as recomendações da Internet Assigned Numbers Authority (IANA), a Microsoft aumentou o intervalo dinâmico de portas do cliente para conexões de saída no Windows Vista e no Windows Server 2008. A nova porta inicial padrão é 49152, e a porta final padrão é 65535. Esta é uma alteração da configuração de versões anteriores do Microsoft Windows que usavam um intervalo de portas padrão de 1025 a 5000.”
As portas de resposta de serviço do Windows Vista, Windows 7, Windows 2008 e Windows 2008 R2 (portas efêmeras) foram alteradas.
http://support.microsoft.com/?kbid=929851
Portas do Active Directory e Firewall – Achei difícil encontrar uma lista definitiva na Internet de quais portas precisavam ser abertas para o Active Directory replicar entre Firewalls. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Replicação do Active Directory sobre firewalls, 31 de janeiro de 2006. (inclui portas efêmeras anteriores ao Windows Vista/2008)
http://technet.microsoft.com/en-us/library/bb727063.aspx
Como funcionam os domínios e as florestas
Também mostra uma lista de portas necessárias.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
Blog de Paul Bergson sobre replicação de AD e portas de firewall
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Configurando um Firewall de Intranet para Exchange 2003, 14 de abril de 2006.
Portas de protocolo necessárias para o firewall da intranet e portas necessárias para comunicações do Active Directory e Kerberos
http://technet.microsoft.com/en-us/library/bb125069.aspx
Restringindo o tráfego de replicação do Active Directory e RPC do cliente…Restringindo o tráfego de replicação do Active Directory e o tráfego RPC do cliente a uma… porta exclusiva e reinicie o serviço Netlogon no controlador de domínio. …
http://support.microsoft.com/kb/224196
Como restringir o tráfego de replicação do FRS para uma porta estática específica – Como restringir o tráfego de replicação do FRS para uma porta estática específica… Controladores de domínio e servidores baseados no Windows 2000 usam FRS para replicar a política do sistema…
http://support.microsoft.com/kb/319553
Alguns firewalls podem rejeitar o tráfego de rede originado de computadores baseados no Windows Server 2003 Service Pack 1 ou no Windows Vista
Esta KB indica que os firewalls do Checkpoint estão tendo problemas com as comunicações do AD.
http://support.microsoft.com/?kbid=899148
Os firewalls de checkpoint têm um problema conhecido se você estiver executando a versão R55 ou anterior. Você precisará fazer uma entrada no registro para permitir que o tráfego flua entre os 2 sites por meio da VPN. A solução preferida é atualizar o firewall do Checkpoint.
Mais informações:
Alguns firewalls podem rejeitar o tráfego de rede originado de computadores baseados no Windows Server 2003 Service Pack 1 ou no Windows Vista
(Este link está relacionado e ajuda a resolver o problema do Checkpoint)
http://support.microsoft.com/?kbid=899148