Replica Active Directory e Firewall

Nel caso vi siano dei domain controller che si trovano su reti diversi separate da firewall, è necessario che siano aperte alcune porte per permettere che la replica di active directory avvenga correttamente.

Le porte che devono esseere aperte sono

RPC endpoint mapper, 135/tcp, 135/udp

NetBIOS name service, 137/tcp, 137/udp

NetBIOS datagram service, 138/udp

NetBIOS session service, 139/tcp

RPC dynamic assignment, 1024-65535/tcp

SMB over IP (Microsoft-DS), 445/tcp, 445/udp

LDAP, 389/tcp

LDAP ping, 389/udp

LDAP over SSL, 636/tcp

Global catalog LDAP, 3268/tcp

Global catalog LDAP over SSL, 3269/tcp

Kerberos, 88/tcp-udp

DNS, 53/tcp-udp

WINS resolution, 1512/tcp, 1512/udp

WINS replication, 42/tcp, 42/udp

Se si vuole limitare le porte utilizzate da RPC in modo da diminuire i rischi legati alla sicurezza, è necessario fare delle modifiche sul registro di tutti i domain controller in modo da specificare le porte da utilizzare per la replica di active directory e per FRS.

Per specificare la porta utilizzata dalle repliche di Active Directory bisogna aggiungere nella chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
il valore di tipo DWORD TCP/IP Port assegnandogli il numero della porta desiderata.

Per specificare la porta utilizzata da FRS bisogna aggiungere nella chiave di registro  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters il valore di tipo DWORD RPC TCP/IP Port Assignment assegnandogli il numero della porta desiderata.

Se invece vogliamo limitare l’intervallo di porte assegnate dinamicamente d RPC, dobbiamo aggiungere nella chiave di registro  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet il valore di tipo REG_MULTI_SZ Ports assegnandogli l’intervallo di porte.
In generale è consigliato fare partire l’intervallo sopra la porta 5000 e includere almeno venti porte.
Per cui un intervallo possibile come valore per Ports è 5000-5020

Per rendere effettive le modifiche è necessario riavviare i domain controller.