扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在部署分布式 Active Directory™ 目录服务架构时,防火墙会带来两个困难:
最初将服务器升级为域控制器。
在域控制器之间复制通信。
Active Directory 依靠远程过程调用 (RPC) 进行域控制器之间的复制。(简单邮件传输协议 [SMTP] 虽可用于架构、配置及全局编录复制等环境,但却无法用于域命名上下文,使其用途受到了限制。)在一个目录林分布于内部网络、非军事区 (DMZ)、外部(即面向 Internet)网络的环境中,要使复制顺利进行,并非易事。有三种可能的解决方法:
放松防火墙的限制,允许 RPC 的本机动态行为。
限制 RPC 使用 TCP 端口,仅略微开放防火墙。
将域控制器(DC 到 DC)通信封装在 IP 安全协议 (IPSec) 内,并为此开放防火墙。
每种方法各有优缺点。总的来说,列在前面的方法缺点多于优点,而列在后面的则优点多于缺点。因此,尽管本文对这三种方法都会加以介绍,但因 IPSec 优于另外两种方法,所以将着重介绍它。
完全动态的 RPC
优点:无需特殊的服务器配置
缺点:使防火墙变成了“瑞士干酪”(不堪一击),随机引入高端口连接,防火墙配置不安全
您当然可以以该方式配置工作环境,但有足够的理由弃之不用,最重要的原因是它会导致网络不安全。不过,这种方法所需的配置工作量最少。
若要通过动态 RPC 启动复制,则应配置防火墙,使其允许:
服务 端口/协议
RPC 终结点映射器 135/TCP, 135/UDP
网络基本输入/输出系统 (NetBIOS) 名称服务 137/TCP, 137/UDP
NetBIOS 数据文报服务 138/UDP
NetBIOS 会话服务 139/TCP
RPC 动态分配 1024-65535/TCP
IP 上的服务器消息块 (SMB),即 Microsoft-DS 445/TCP, 445/UDP
轻量目录访问协议 (LDAP) 389/TCP
SSL 上的 LDAP 636/TCP
全局编录 LDAP 3268/TCP
SSL 上的全局编录 LDAP 3269/TCP
Kerberos 88/TCP, 88/UDP
域名服务 (DNS) 53/TCP1 , 53/UDP
Windows Internet Naming
Service (WINS) 解析(如果需要) 1512/TCP, 1512/UDP
WINS 复制(如果需要) 42/TCP, 42/UDP
“RPC 动态分配”规则是造成这种方案不安全的原因。该规则有时称为“TCP 高端口”,它要求准许入站通信从任何高于 1023 的端口通过。如果防火墙允许这样做,那这个防火墙也就没有存在的必要了。
如果不想让 DNS 或 WINS 通过,则可用 HOSTS(用于 DNS)和 LMHOSTS(用于 WINS)文件进行名称解析。这些文件存储于 %SystemRoot%\system32\drivers\etc。可查看这些文件,以了解如何使用它们。
RPC 工作原理
每项 RPC 服务都会在注册表中为自己配置一个通用的唯一标识符 (UUID)(类似于全局唯一标识符 GUID)。UUID 是一种常用标识符,各项服务都有一个唯一的 UUID,且在所有平台上通用。当一项 RPC 服务启动时,它会获得一个可用的高端口,并以其 UUID 在该端口注册。有些服务随机使用高端口;而有些服务却每次都尽量使用相同的高端口(如果这些高端口可用)。在服务的生存期内,端口的分配是静态的。
当一个客户端要与某特定 RPC 服务通讯时,它无法事先确定该服务在哪个端口上运行。该客户端会先建立一个到服务器端口映射器服务(在 135 上)的连接,并利用该服务的 UUID 请求所需服务。端口映射器会将相应的端口号返回给客户端,然后关闭连接。最后,客户端利用端口映射器提供的端口号,新建一个到该服务器的连接。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者