jueves, marzo 06, 2008

Replicación de directorio activo a través de firewall. Fijando los puertos

Hace algún tiempo escribía este artículo sobre qué puertos había que abrir en un firewall para que funcionara la replicación en el directorio activo. La información la obtuve de un artículo en la web de Microsoft, cuya url ha cambiado, (ahora el artículo es Active Directory Replication over Firewalls.

El problema principal de pasar las replicaciones sobre los firewalls es que se utilizan RPC que usan puertos dinámicos en el rango 1024-65535. Sin embargo, existen dos entradas en el registro de Windows con las cuales se puede forzar a que el mecanismo de RPC use siempre el mismo puerto para comunicarse entre los sistemas. De esta manera se consigue mayor seguridad al no tener que abrir todo el rango. Los dos sistemas RPC implicados en la replicación de la información del directorio activo, el FRS y tráfico de replicación, puede restringirse a puertos específicos

Por otra parte existe una comunicación con el proceso netlogon - secure channel / NTLM - que también usa los puertos dinámicos. Se debe de fijar este proceso también.

Así por tanto, para fijar los puertos dinámicos que utiliza el directorio activo en replicación habría que fijar las entradas de registro:

Para el puerto de replicación del AD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registry value: TCP/IP Port
Value type: REG_DWORD
Value data: Puerto libre en formato decimal

Para el puerto de Netlogon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Registry value: DCTcpipPort
Value type: REG_DWORD
Value data: Puerto libre en formato decimal

Para la replicación FRS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters
Value name: RPC TCP/IP Port Assignment
Data type: REG_DWORD
Value data: Puerto libre en formato decimal.

Referencias (Inglés)

Technorati Tags: ,

No hay comentarios: