Replicar el directorio activo con firewalls por medio

He tenido que enfrentarme un par de veces a este problema. Hace algún tiempo me pasaron una referencia sobre el tema que me ha sido bastante útil. Resumiendo. El directorio activo necesita que se comuniquen:

• RPC endpoint mapper 135/tcp, 135/udp
• NetBIOS name service 137/tcp, 137/udp
• NetBIOS datagram service 138/udp
• NetBIOS session service 139/tcp
• RPC dynamic assignment 1024-65535/tcp
• SMB over IP (Microsoft-DS) 445/tcp, 445/udp
• LDAP 389/tcp
• LDAP over SSL 636/tcp
• Global catalog LDAP 3268/tcp
• Global catalog LDAP over SSL 3269/tcp
• Kerberos 88/tcp, 88/udp
• DNS 53/tcp, 53/udp
• WINS resolution (opcional) 1512/tcp, 1512/udp
• WINS replication (opcional) 42/tcp, 42/udp
• Network time protocol (NTP) 123/udp

Lo más problemático es que las RPC usan puertos dinámicos. En estas condiciones, habría que dejar el firewall abierto practicamente a todo el tráfico. Sin embargo, el puerto usado para RPC con el controlador de dominio, puede fijarse, como comentan el artículo con la clave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Tcp/IP Port

(un valor DWORD especificando el puerto)

Otra solución que propone el artículo es configurar IPSEC o PPTP. Lo cual, puede dar quebraderos de cabeza con si existe NAT (network address traslation) por medio.