通过防火墙进行 Active Directory复制

    在部署分布式 Active Directory™ 目录服务架构时，防火墙会带来两个困难：

　　最初将服务器升级为域控制器。

　　在域控制器之间复制通信。

　　Active Directory 依靠远程过程调用 (RPC) 进行域控制器之间的复制。（简单邮件传输协议 [SMTP] 虽可用于架构、配置及全局编录复制等环境，但却无法用于域命名上下文，使其用途受到了限制。）在一个目录林分布于内部网络、非军事区 (DMZ)、外部（即面向 Internet）网络的环境中，要使复制顺利进行，并非易事。有三种可能的解决方法：

　　放松防火墙的限制，允许 RPC 的本机动态行为。
　　限制 RPC 使用 TCP 端口，仅略微开放防火墙。
　　将域控制器（DC 到 DC）通信封装在 IP 安全协议 (IPSec) 内，并为此开放防火墙。

　　每种方法各有优缺点。总的来说，列在前面的方法缺点多于优点，而列在后面的则优点多于缺点。因此，尽管本文对这三种方法都会加以介绍，但因 IPSec 优于另外两种方法，所以将着重介绍它。

　　完全动态的 RPC
　　优点：无需特殊的服务器配置
　　缺点：使防火墙变成了“瑞士干酪”（不堪一击），随机引入高端口连接，防火墙配置不安全

　　您当然可以以该方式配置工作环境，但有足够的理由弃之不用，最重要的原因是它会导致网络不安全。不过，这种方法所需的配置工作量最少。

　　若要通过动态 RPC 启动复制，则应配置防火墙，使其允许：
　　服务 端口/协议
　　RPC 终结点映射器 135/TCP, 135/UDP
　　网络基本输入/输出系统 (NetBIOS) 名称服务 137/TCP, 137/UDP
　　NetBIOS 数据文报服务 138/UDP
　　
　　NetBIOS 会话服务 139/TCP
　　
　　RPC 动态分配 1024-65535/TCP
　　
　　IP 上的服务器消息块 (SMB)，即 Microsoft-DS 445/TCP, 445/UDP
　　
　　轻量目录访问协议 (LDAP) 389/TCP
　　
　　SSL 上的 LDAP 636/TCP
　　
　　全局编录 LDAP 3268/TCP
　　
　　SSL 上的全局编录 LDAP 3269/TCP
　　
　　Kerberos 88/TCP, 88/UDP
　　
　　域名服务 (DNS) 53/TCP1 , 53/UDP
　　
　　Windows Internet Naming
　　Service (WINS) 解析（如果需要） 1512/TCP, 1512/UDP
　　
　　WINS 复制（如果需要） 42/TCP, 42/UDP
　　
　　“RPC 动态分配”规则是造成这种方案不安全的原因。该规则有时称为“TCP 高端口”，它要求准许入站通信从任何高于 1023 的端口通过。如果防火墙允许这样做，那这个防火墙也就没有存在的必要了。
　　
　　如果不想让 DNS 或 WINS 通过，则可用 HOSTS（用于 DNS）和 LMHOSTS（用于 WINS）文件进行名称解析。这些文件存储于 %SystemRoot%\system32\drivers\etc。可查看这些文件，以了解如何使用它们。

    RPC 工作原理
　　
　　每项 RPC 服务都会在注册表中为自己配置一个通用的唯一标识符 (UUID)（类似于全局唯一标识符 GUID）。UUID 是一种常用标识符，各项服务都有一个唯一的 UUID，且在所有平台上通用。当一项 RPC 服务启动时，它会获得一个可用的高端口，并以其 UUID 在该端口注册。有些服务随机使用高端口；而有些服务却每次都尽量使用相同的高端口（如果这些高端口可用）。在服务的生存期内，端口的分配是静态的。
　　
　　当一个客户端要与某特定 RPC 服务通讯时，它无法事先确定该服务在哪个端口上运行。该客户端会先建立一个到服务器端口映射器服务（在 135 上）的连接，并利用该服务的 UUID 请求所需服务。端口映射器会将相应的端口号返回给客户端，然后关闭连接。最后，客户端利用端口映射器提供的端口号，新建一个到该服务器的连接。