科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道通过防火墙进行 Active Directory复制

通过防火墙进行 Active Directory复制

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Active Directory 依靠远程过程调用 (RPC) 进行域控制器之间的复制。(简单邮件传输协议 [SMTP] 虽可用于架构、配置及全局编录复制等环境,但却无法用于域命名上下文。)

来源:IT试验室 2008年4月8日

关键字: 活动目录 微软 操作系统 Windows

  • 评论
  • 分享微博
  • 分享邮件

    在部署分布式 Active Directory™ 目录服务架构时,防火墙会带来两个困难:

  最初将服务器升级为域控制器。

  在域控制器之间复制通信。

  Active Directory 依靠远程过程调用 (RPC) 进行域控制器之间的复制。(简单邮件传输协议 [SMTP] 虽可用于架构、配置及全局编录复制等环境,但却无法用于域命名上下文,使其用途受到了限制。)在一个目录林分布于内部网络、非军事区 (DMZ)、外部(即面向 Internet)网络的环境中,要使复制顺利进行,并非易事。有三种可能的解决方法:

  放松防火墙的限制,允许 RPC 的本机动态行为。
  限制 RPC 使用 TCP 端口,仅略微开放防火墙。
  将域控制器(DC 到 DC)通信封装在 IP 安全协议 (IPSec) 内,并为此开放防火墙。

  每种方法各有优缺点。总的来说,列在前面的方法缺点多于优点,而列在后面的则优点多于缺点。因此,尽管本文对这三种方法都会加以介绍,但因 IPSec 优于另外两种方法,所以将着重介绍它。

  完全动态的 RPC
  优点:无需特殊的服务器配置
  缺点:使防火墙变成了“瑞士干酪”(不堪一击),随机引入高端口连接,防火墙配置不安全

  您当然可以以该方式配置工作环境,但有足够的理由弃之不用,最重要的原因是它会导致网络不安全。不过,这种方法所需的配置工作量最少。

  若要通过动态 RPC 启动复制,则应配置防火墙,使其允许:
  服务 端口/协议
  RPC 终结点映射器 135/TCP, 135/UDP
  网络基本输入/输出系统 (NetBIOS) 名称服务 137/TCP, 137/UDP
  NetBIOS 数据文报服务 138/UDP
  
  NetBIOS 会话服务 139/TCP
  
  RPC 动态分配 1024-65535/TCP
  
  IP 上的服务器消息块 (SMB),即 Microsoft-DS 445/TCP, 445/UDP
  
  轻量目录访问协议 (LDAP) 389/TCP
  
  SSL 上的 LDAP 636/TCP
  
  全局编录 LDAP 3268/TCP
  
  SSL 上的全局编录 LDAP 3269/TCP
  
  Kerberos 88/TCP, 88/UDP
  
  域名服务 (DNS) 53/TCP1 , 53/UDP
  
  Windows Internet Naming
  Service (WINS) 解析(如果需要) 1512/TCP, 1512/UDP
  
  WINS 复制(如果需要) 42/TCP, 42/UDP
  
  “RPC 动态分配”规则是造成这种方案不安全的原因。该规则有时称为“TCP 高端口”,它要求准许入站通信从任何高于 1023 的端口通过。如果防火墙允许这样做,那这个防火墙也就没有存在的必要了。
  
  如果不想让 DNS 或 WINS 通过,则可用 HOSTS(用于 DNS)和 LMHOSTS(用于 WINS)文件进行名称解析。这些文件存储于 %SystemRoot%\system32\drivers\etc。可查看这些文件,以了解如何使用它们。

    RPC 工作原理
  
  每项 RPC 服务都会在注册表中为自己配置一个通用的唯一标识符 (UUID)(类似于全局唯一标识符 GUID)。UUID 是一种常用标识符,各项服务都有一个唯一的 UUID,且在所有平台上通用。当一项 RPC 服务启动时,它会获得一个可用的高端口,并以其 UUID 在该端口注册。有些服务随机使用高端口;而有些服务却每次都尽量使用相同的高端口(如果这些高端口可用)。在服务的生存期内,端口的分配是静态的。
  
  当一个客户端要与某特定 RPC 服务通讯时,它无法事先确定该服务在哪个端口上运行。该客户端会先建立一个到服务器端口映射器服务(在 135 上)的连接,并利用该服务的 UUID 请求所需服务。端口映射器会将相应的端口号返回给客户端,然后关闭连接。最后,客户端利用端口映射器提供的端口号,新建一个到该服务器的连接。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章