Порты для работы контроллеров домена вне корпоративной сети?

Question

[Vertizo]

Есть необходимость максимально прикрыть доступ во вне контроллерам домена. Не подумав наперед вчера настроили фильтрацию, оставив только необходимые порты и url для внешних ресурсов. Перестал работать DNS внутри сети, пока отключили.
Какие порты необходимо оставить открытыми во вне, для корректно работы контроллеров домена помимо следующих портов:
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP/UDP 389/TCP/UDP LDAP

49152-65535/TCP 636/TCP LDAP SSL - ?
49152-65535/TCP 3268/TCP LDAP GC - ?
49152-65535/TCP 3269/TCP LDAP GC SSL - ?
1024-65535/TCP/UDP 88/TCP/UDP Kerberos - ?


Используется синхронизация с внешним сервисом по LDAP и авторизация через AD FS.

Answer 1

[hint000]

1024-65535/TCP/UDP

Не надо фильтровать по номерам исходящих портов (Client Port). Вернее, такого рода фильтрация требуется в очень редких случаях и при полном понимании, что именно она требуется; у вас не такой случай. Фильтруйте только входящие пакеты по номерам входящих портов (Server Port).
Номера портов перечислены здесь (и они соответствуют написанным вами).
https://docs.microsoft.com/en-US/troubleshoot/wind...

Answer 2

[TheBigBear]

DNS у Вас работать не перестал. Просто Ваш DNS-сервер КД перестал видеть сервера пересылки.
53 порт можете закрыть оставив доступ только к определенным внешним DNS-серверам (прописанным во вкладке сервера пересылки)
Не знаю что у Вас раздаёт интернет, но думаю несложно будет составить WhiteList IP адресов, и правило разрешающее доступ наружу КД только к этим адресам (в т.ч. нужные внешние DNS сервера)