我们在我们的主办公室和我们的生产networking服务器之间使用两台SonicWall设备进行站点到站点VPN连接。 默认情况下,VPN隧道允许两个站点之间的所有stream量。 我想限制这个,这样我们就可以阻止所有来自configuration到办公室的INCOMINGstream量,这样我们的私有networking在我们的生产服务器被攻破的情况下更受保护。
但是,我所看到的一个问题是,我们join到域的服务器仍然需要能够联系我们办公室的DC来进行组策略,ldap信息等等。所有的服务和AD使用的端口,我发现RPC服务使用随机端口,这使得很难在防火墙上打孔来使其工作。 我发现了这篇 kb文章,它描述了如何将其更改为所有域控制器上的特定端口,然后允许我在防火墙上打开单个端口。 这篇文章不会去的是这样做的缺点。 我想他们有一个随机的端口的原因..并采取了这一切是消除它提供的任何好处。
将这个切换到特定的端口会损失什么? 指示让我编辑我所有的区议会登记册,我很乐意避免。 另外,如果我们能够在我们的胶粘地点拥有一个RODC,这将是一个很好的例子吗?
我的经验是,许多组织为特定应用程序低端口(例如389,88等)和“高端口”防火墙规则创build访问规则。 对于Windows Server 2003,高端端口是1024 – 65535.这显然不是一个很好的数字,所以对于Windows Server 2008,它的范围缩小到49152 – 65535。
更安全的解决scheme是使用IPSec隧道方法。 许多美国政府机构在信任域或林根之间进行通信时使用IPSec。
下面的文章详细介绍了各种优点和缺点。 限制RPC需要在所有的域控制器上实现,所以它不是你可以打开一个,看看它是如何工作的。 在一个拥有大量数据中心和站点的大型组织中实现这一点可能需要大量的计划。
防火墙上的Active Directory复制
https://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx
我只想澄清一下,Windows Server 2003的dynamic端口范围是1025-5000,而不是 1024-65535。 使用修补程序,Windows Server 2003将获得IANA标准49152-65535,Windows Server 2008和更高版本已经开箱即用。
有关来源,请参阅下面的MS支持页面和维基百科文章(及其引用的来源)。
Windows的服务概述和networking端口要求http://support.microsoft.com/kb/832017