Windows DatabaseebooksStatistical Information

LWG10058 : Welche Ports sind für eine Active Directory Replikation notwendig, bzw. müssen offen sein?

Symptom:

Replikation von Active Directory DC (domain controller) funktioniert nicht

Cause:

Die Firewall ist zu restriktiv konfiguriert

Solution:

Die RPC-basierte replikation benutzt standardmäßig dynamisches Port Mapping. Die RPC Runtime kontaktiert den "RPC endpoint mapper" des Servers auf dem "well-known port" 135.
Der Server fragt daraufhin den RPC endpoint mapper ab, um zu bestimmen, welcher Port für die Active Directory - Replikation auf dem Server zugewiesen wurde (Es handelt sich um eine dynamische Zuweisung). Diese Abfrage erfolgt auch, wenn die Portzuweisung statisch konfiguriert wurde.

Service      UDP    TCP
ldap  ´      389    389
ldap         636 (SSL)
ldap        3268 (Global catalog)
Kerberos      88     88
DNS           53     53
SMB over IP  445    445

FRS (file replication service) benutzt einen dynamischen RPC Port.

Für eine Firewallkonfiguration würde dies heißen, einen weiten Bereich an Ports zu öffnen. FRS kann zwar nicht auf einen festen Port gelegt werden, man kann aber den "Directory Replication Service"  über einen Registry Schlüssel auf einen statischen Port festlegen.
Die folgende REG-Datei erlaubt die Konfiguration:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"TCP/IP Port"=dword:0000c000

Dies setzt den Port fest auf C000 (Hex) oder 49152 (Dezimal). Es reicht nun, diesen Einzelport auf der betroffenen Firewall zu öffnen.

Disclaimer:

The information provided in this document is intended for your information only. Lubby makes no claims to the validity of this information. Use of this information is at own risk!
Copyright © 2004-2011 Lubby (V3.0.10 Aug 2011)
Sponsored by Keskon.
Statistical information by Google Analytics