Порты контроллера домена

Сегодняшняя статья о том, как правильно настраивать межсетевой экран между контроллерами домена и рабочими станциями пользователей. И как не сломать вообще все.

С чего все начиналось

Однажды, в ходе настройки межсетевого экрана (далее – МСЭ) между серверным VLAN-ом и VLAN-ами пользовательских рабочих станций я допустил ошибку, которая по сути заключалась в том, что я следовал одной из многочисленных статей, найденных на просторах интернета, о том, какие порты нужно открыть между компьютером и контроллером домена.

Из всех статей, что я нашел в интернете, следовало, что необходимо открыть следующие порты:

  • UDP порт 88 для Kerberos авторизации.
  • UDP и TCP порт 135 для операций взаимодействия контроллер-контроллер и контроллер-клиент.
  • TCP порт 139 и UDP 138 для File Replication Service между контроллерами домена.
  • UDP порт 389 для LDAP запросов от клиента к серверу.
  • TCP и UDP порт 445 для File Replication Service
  • TCP и UDP порт 464 для смены пароля Kerberos
  • TCP порт 3268 и 3269 для доступа к Global Catalog от клиента к контроллеру.
  • TCP и UDP порт 53 для DNS запросов

И именно так я и настроил свой МСЭ (дополнительно разрешив и порт UDP:123 для синхронизации времени). В результате чего у меня перестали обновляться групповые политики, а в журнале событий системы на клиентском компьютере регистрировались ошибки следующего содержания:

“Ошибка при обработке групповой политики. Не удалось разрешить имя компьютера. Возможные причины: a) Ошибка разрешения имен на текущем контроллере домена. b) Запаздывание репликации Active Directory (созданная на другом контроллере домена учетная запись еще не реплицирована на текущий контроллер домена).”

Метод тыка – наше все

По тексту этой ошибки сложно догадаться, что проблема кроется в настройках МСЭ, поэтому убедившись, что с разрешением имен и репликацией между контроллерами домена все в порядке, а папки SYSVOL и NETLOGON доступны с пользовательского компа, дополнительно выполнив на всех контроллерах домена команды ipconfig /flushdns и repadmin /syncall, у меня возникла мысль, что надо посмотреть в логах МСЭ, возможно блочится какой-то порт… И действительно… Логи указывали на то, что пользовательский компьютер обращается последовательно ко всем контроллерам домена по одному из эфемерных портов динамического диапазона RPC.

Итак, я в целях эксперимента разрешил в правилах МСЭ диапазон ТСР портов 49152 – 65535. И этого оказалось достаточно, политики стали обновляться и применяться.

Заключение

Резюмируя, можно придти к выводу, что список портов разрешенных в правилах МСЭ для корректного взаимодействия между контроллером домена и пользовательским компьютером должен быть таким:

  • UDP порт 123 для синхронизации времени
  • UDP порт 88 для Kerberos авторизации.
  • UDP и TCP порт 135 для операций взаимодействия контроллер-контроллер и контроллер-клиент.
  • TCP порт 139 и UDP 138 для File Replication Service между контроллерами домена.
  • UDP порт 389 для LDAP запросов от клиента к серверу.
  • TCP и UDP порт 445 для File Replication Service
  • TCP и UDP порт 464 для смены пароля Kerberos
  • TCP порт 3268 и 3269 для доступа к Global Catalog от клиента к контроллеру.
  • TCP и UDP порт 53 для DNS запросов
  • ТСР порты 49152 – 65535 для обработки групповых политик

Источники:

  1. Какие порты требуются для работы контроллера домена и клиентов в домене

  2. Порты контроллера домена

  3. Не применяется групповая политика компьютера
  4. Required ports to communicate with Domain controller
  5. Обзор служб и требования к сетевым портам в Windows