El problema principal de pasar las replicaciones sobre los firewalls es que se utilizan RPC que usan puertos dinámicos en el rango 1024-65535. Sin embargo, existen dos entradas en el registro de Windows con las cuales se puede forzar a que el mecanismo de RPC use siempre el mismo puerto para comunicarse entre los sistemas. De esta manera se consigue mayor seguridad al no tener que abrir todo el rango. Los dos sistemas RPC implicados en la replicación de la información del directorio activo, el FRS y tráfico de replicación, puede restringirse a puertos específicos
Por otra parte existe una comunicación con el proceso netlogon - secure channel / NTLM - que también usa los puertos dinámicos. Se debe de fijar este proceso también.
Así por tanto, para fijar los puertos dinámicos que utiliza el directorio activo en replicación habría que fijar las entradas de registro:
Para el puerto de replicación del AD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registry value: TCP/IP Port
Value type: REG_DWORD
Value data: Puerto libre en formato decimal
Para el puerto de Netlogon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Registry value: DCTcpipPort
Value type: REG_DWORD
Value data: Puerto libre en formato decimal
Para la replicación FRS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters
Value name: RPC TCP/IP Port Assignment
Data type: REG_DWORD
Value data: Puerto libre en formato decimal.
Referencias (Inglés)
- How to restrict FRS replication traffic to a specific static port
- Restricting Active Directory replication traffic and client RPC traffic to a specific port
- Service overview and network port requirements for the Windows Server system
Technorati Tags: networking, windows
No hay comentarios:
Publicar un comentario