LKBDE11275: Welche Ports sind für eine Active Directory Replikation notwendig, bzw. müssen offen sein?

Symptom

Replikation von Active Directory DC (domain controller) funktioniert nicht

Cause

Die Firewall ist zu restriktiv konfiguriert

Solution

Die RPC-basierte replikation benutzt standardmäßig dynamisches Port Mapping. Die RPC Runtime kontaktiert den "RPC endpoint mapper" des Servers auf dem "well-known port" 135.
Der Server fragt daraufhin den RPC endpoint mapper ab, um zu bestimmen, welcher Port für die Active Directory - Replikation auf dem Server zugewiesen wurde (Es handelt sich um eine dynamische Zuweisung). Diese Abfrage erfolgt auch, wenn die Portzuweisung statisch konfiguriert wurde.

Service      UDP    TCP
ldap  ´      389    389
ldap         636 (SSL)
ldap        3268 (Global catalog)
Kerberos      88     88
DNS           53     53
SMB over IP  445    445

FRS (file replication service) benutzt einen dynamischen RPC Port.

Für eine Firewallkonfiguration würde dies heißen, einen weiten Bereich an Ports zu öffnen. FRS kann zwar nicht auf einen festen Port gelegt werden, man kann aber den "Directory Replication Service"  über einen Registry Schlüssel auf einen statischen Port festlegen.
Die folgende REG-Datei erlaubt die Konfiguration:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"TCP/IP Port"=dword:0000c000

Dies setzt den Port fest auf C000 (Hex) oder 49152 (Dezimal). Es reicht nun, diesen Einzelport auf der betroffenen Firewall zu öffnen.

Disclaimer:

About the Author

Author: Wim Peeters - Keskon GmbH & Co. KG

Wim Peeters is electronics engineer with an additional master in IT and over 30 years of experience, including time spent in support, development, consulting, training and database administration. Wim has worked with SQL Server since version 6.5. He has developed in C/C++, Java and C# on Windows and Linux. He writes knowledge base articles to solve IT problems and publishes them on the Lubby Knowledge Platform.