Сегодняшняя статья о том, как правильно настраивать межсетевой экран между контроллерами домена и рабочими станциями пользователей. И как не сломать вообще все.
С чего все начиналось
Однажды, в ходе настройки межсетевого экрана (далее – МСЭ) между серверным VLAN-ом и VLAN-ами пользовательских рабочих станций я допустил ошибку, которая по сути заключалась в том, что я следовал одной из многочисленных статей, найденных на просторах интернета, о том, какие порты нужно открыть между компьютером и контроллером домена.
Из всех статей, что я нашел в интернете, следовало, что необходимо открыть следующие порты:
- UDP порт 88 для Kerberos авторизации.
- UDP и TCP порт 135 для операций взаимодействия контроллер-контроллер и контроллер-клиент.
- TCP порт 139 и UDP 138 для File Replication Service между контроллерами домена.
- UDP порт 389 для LDAP запросов от клиента к серверу.
- TCP и UDP порт 445 для File Replication Service
- TCP и UDP порт 464 для смены пароля Kerberos
- TCP порт 3268 и 3269 для доступа к Global Catalog от клиента к контроллеру.
- TCP и UDP порт 53 для DNS запросов
И именно так я и настроил свой МСЭ (дополнительно разрешив и порт UDP:123 для синхронизации времени). В результате чего у меня перестали обновляться групповые политики, а в журнале событий системы на клиентском компьютере регистрировались ошибки следующего содержания:
“Ошибка при обработке групповой политики. Не удалось разрешить имя компьютера. Возможные причины: a) Ошибка разрешения имен на текущем контроллере домена. b) Запаздывание репликации Active Directory (созданная на другом контроллере домена учетная запись еще не реплицирована на текущий контроллер домена).”
Метод тыка – наше все
По тексту этой ошибки сложно догадаться, что проблема кроется в настройках МСЭ, поэтому убедившись, что с разрешением имен и репликацией между контроллерами домена все в порядке, а папки SYSVOL и NETLOGON доступны с пользовательского компа, дополнительно выполнив на всех контроллерах домена команды ipconfig /flushdns и repadmin /syncall, у меня возникла мысль, что надо посмотреть в логах МСЭ, возможно блочится какой-то порт… И действительно… Логи указывали на то, что пользовательский компьютер обращается последовательно ко всем контроллерам домена по одному из эфемерных портов динамического диапазона RPC.
Итак, я в целях эксперимента разрешил в правилах МСЭ диапазон ТСР портов 49152 – 65535. И этого оказалось достаточно, политики стали обновляться и применяться.
Заключение
Резюмируя, можно придти к выводу, что список портов разрешенных в правилах МСЭ для корректного взаимодействия между контроллером домена и пользовательским компьютером должен быть таким:
- UDP порт 123 для синхронизации времени
- UDP порт 88 для Kerberos авторизации.
- UDP и TCP порт 135 для операций взаимодействия контроллер-контроллер и контроллер-клиент.
- TCP порт 139 и UDP 138 для File Replication Service между контроллерами домена.
- UDP порт 389 для LDAP запросов от клиента к серверу.
- TCP и UDP порт 445 для File Replication Service
- TCP и UDP порт 464 для смены пароля Kerberos
- TCP порт 3268 и 3269 для доступа к Global Catalog от клиента к контроллеру.
- TCP и UDP порт 53 для DNS запросов
- ТСР порты 49152 – 65535 для обработки групповых политик
Источники:
-
Какие порты требуются для работы контроллера домена и клиентов в домене
-
Порты контроллера домена
- Не применяется групповая политика компьютера
- Required ports to communicate with Domain controller
- Обзор служб и требования к сетевым портам в Windows