Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Replicação do Active Directory através de Firewalls

Por Danilo Bordini, MVP

Introdução

Já se perguntou: Que portas devo liberar em meu firewall para habilitar a replicação e o tráfego do Active Directory entre dois controladores de domínio ?

Na maioria das vezes quando falamos de Active Directory, falamos de máquinas (servidores, estações de trabalho, etc) que estão em uma rede INTERNA (LAN) e, muitas vezes, não existe nenhuma preocupação ou configurações especiais de firewalls.

Porém, em alguns casos específicos, quando sua floresta de Windows Server é distribuida através de redes internas, DMZs e redes externas (um parceiro por exemplo, através da Internet) essa configuração pode ser um desafio. Logicamente, você terá um complicador adicional: o firewall, que protege sua empresa do ambiente externo.

Quando falamos de Active Directory através de Firewalls, temos duas dificuldades iniciais:

  • Promoção inicial de um servidor membro a controlador de domínio (DC);

  • Tráfego da replicação entre os controladores de domíno.

Assim, apresentaremos duas configurações possíveis para que se configure a replicação do Active Directory através de Firewalls:

  • Configure o firewall para permitir tráfego RPC de modo dinâmico;

  • Limite e configure o firewall para liberar o tráfego RPC com o uso limitado de portas TCP

Cada opção apresenta prós e contras, por isso descreveremos as duas opções. Existe uma terceira opção que seria encapsular o tráfego utilizando-se o IPSec, porém, foge de nosso escopo. Se você estiver interessado nesta opção, veja mais detalhes em: http://www.microsoft.com/windows2000/security/default.asp

RPC Dinâmico

Prós

Contras

Não é necessário nenhuma configuração especial nos servidores

Muitas portas liberadas no firewall

Fácil de implementar

Conexões randômicas utilizando-se portas altas

 

Configuração insegura do firewall

Essa opção se mostra a mais fácil de implementar, porém, possui alguns problemas de segurança, já que é necessário permitir o tráfego de muitas portas conhecidas através do firewall.

Para habilitar tal configuração, você deve configurar o seu firewall seguindo a tabela abaixo:

Serviço

Porta/Protocolo

RPC endpoint mapper

135/tcp, 135/udp

NetBIOS name service

137/tcp, 137/udp

NetBIOS datagram service

138/udp

NetBIOS session service

139/tcp

RPC dynamic assignment

1024-65535/tcp

SMB over IP (Microsoft-DS)

445/tcp, 445/udp

LDAP

389/tcp

LDAP over SSL

636/tcp

Global catalog LDAP

3268/tcp

Global catalog LDAP over SSL

3269/tcp

Kerberos

88/tcp, 88/udp

DNS

53/tcp, 53/udp

WINS resolution (if required)

1512/tcp, 1512/udp

WINS replication (if required)

42/tcp, 42/udp

Network time protocol (NTP)

123/udp

É a regra "RPC dynamic assignment" que torna esse cenário inseguro. Conhecido como "Portas TCP Altas", essa regra permite tráfego em qualquer porta a acima da 1023. Se seu firewall permite isso, muito provavelmente você não precisaria de um...

Se você não deseja permitir o tráfego de DNS ou WINS, você pode usar os arquivos HOSTS (para DNS) e LMHOSTS (para WINS) para resolução de nomes. Estes arquivos são encontrados em %SystemRoot%\system32\drivers\etc.

Como o RPC Funciona

Um serviço RPC se auto configura no registro com um UUID (Identificador Único Universal), algo similar ao GUID (Identificador Único Global). UUIDs são identificadores bem-conhecidos, únicos para cada serviço e comuns em várias plataformas. Quando um serviço RPC inicia, ele obtém uma porta TCP alta que esteja livre e registra esta porta com o UUID. Alguns serviços usam portas altas randômicas; outros, tentam usar sempre as mesmas portas altas, se estiverem disponíveis.

Quando um cliente quer se comunicar com um serviço RPC em particular, ele não consegue saber de modo antecipado em que porta aquele serviço está rodando. Ele estabelece a conexão com o servidor utilizando-se o serviço portmapper (porta 135) e solicita o serviço desejado. O portmapper então retorna o número da porta correspondente ao cliente e fecha a conexão. Finalmente, o cliente faz uma nova conexão ao servidor usando o número da porta que ele recebeu do portmapper.

Pelo motivo que é impossível saber de modo antecipado em que porta um serviço RPC irá usar, o firewall necessita permitir tráfego por todas as portas altas.

RPC Limitado

Prós

Contras

Mais seguro que o RPC Dinâmico - utiliza apenas uma porta alta fixa

É necessário uma modificação a nível de registro em todos os servidores

Este cenário proporciona um nível de segurança adicional, mas é necessário fazer uma modificação no registro em todos os controladores de domínio. Modificações no registro podem ser feitas utilizando-se ferramentas do Microsoft Windows Resource Kit, que ajudam a evitar erros de configurações.

É necessário também fixar um número de porta RPC para replicação. Você deve usar a partir da faixa 49152 - 65535 de acordo com o padrão IANA (Internet Assigned Numbers Authority).

Usando o editor do registro, navegue até a chave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\

Adicione um novo valor do tipo DWORD chamado TCP/IP Port (inclua os espaços). Configure o valor para o número da porta que você quer usar - lembre-se de alterar para o modo decimal antes de adicionar o valor. Faça isto em todos os seus Controladores de Domíno. É necessário um reboot após as alterações.

Após isto, configure seu firewall da seguinte maneira:

Serviço

Porta/protocolo

RPC endpoint mapper

135/tcp, 135/udp

NetBIOS name service

137/tcp, 137/udp

NetBIOS datagram service

138/udp

NetBIOS session service

139/tcp

RPC static port for AD replication

<fixed-port>/tcp

SMB over IP (Microsoft-DS)

445/tcp, 445/udp

LDAP

389/tcp

LDAP over SSL

636/tcp

Global catalog LDAP

3268/tcp

Global catalog LDAP over SSL

3269/tcp

Kerberos

88/tcp, 88/udp

   

DNS

53/tcp, 53/udp

WINS resolution (if required)

1512/tcp, 1512/udp

WINS replication (if required)

42/tcp, 42/udp

Network time protocol (NTP)

123/udp

Substitua <fixed-port> pelo número de porta que você configurou no registry.

Como no primeiro exemplo, você pode substituir o tráfego DNS ou WINS pelos arquivos HOSTS e LMHOSTS.

Você ainda precisa do portmapper porque os clientes não saberão que você fixou as portas. O portmapper então sempre retornará o número fixo de porta para as requisições dos clientes.

Segue abaixo um exemplo para que se importe essa chave de registry e se configure para a porta 49152. Copie o texto para um arquivo de Notepad em branco, salve o arquivo com a extensão .reg e dê um duplo clique sobre o arquivo no Windows Explorer. Para usar uma porta diferente, use a Calculadora do Windows em modo Científico para converter o número de decimal para hexadecimal.

Conclusão

Este artigo demonstrou como configurar a replicação do Active Directory através de firewalls e que portas e protocolos são necessários para o funcionamento correto. Assim, demonstrou-se que é possível implementar ao mesmo tempo o Active Directory com segurança.

Danilo Bordini é MCSE e MCSA em Windows 2000 / 2003 e trabalha atualmente coordenando e implementando projetos de infra-estrutura de redes Microsoft e segurança da informação. Trabalha na área de informática desde 1996, nos últimos anos se especializando em ambientes de alta disponibilidade e soluções para Internet, participando de vários projetos de implementações e migrações de redes para o ambiente Microsoft. Danilo é MVP em Windows Server - Directory Services.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft