Задать вопрос
@Vertizo

Порты для работы контроллеров домена вне корпоративной сети?

Есть необходимость максимально прикрыть доступ во вне контроллерам домена. Не подумав наперед вчера настроили фильтрацию, оставив только необходимые порты и url для внешних ресурсов. Перестал работать DNS внутри сети, пока отключили.
Какие порты необходимо оставить открытыми во вне, для корректно работы контроллеров домена помимо следующих портов:
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP/UDP 389/TCP/UDP LDAP

49152-65535/TCP 636/TCP LDAP SSL - ?
49152-65535/TCP 3268/TCP LDAP GC - ?
49152-65535/TCP 3269/TCP LDAP GC SSL - ?
1024-65535/TCP/UDP 88/TCP/UDP Kerberos - ?


Используется синхронизация с внешним сервисом по LDAP и авторизация через AD FS.
  • Вопрос задан
  • 1544 просмотра
Подписаться 2 Простой Комментировать
Решения вопроса 1
hint000
@hint000
у админа три руки
1024-65535/TCP/UDP
Не надо фильтровать по номерам исходящих портов (Client Port). Вернее, такого рода фильтрация требуется в очень редких случаях и при полном понимании, что именно она требуется; у вас не такой случай. Фильтруйте только входящие пакеты по номерам входящих портов (Server Port).
Номера портов перечислены здесь (и они соответствуют написанным вами).
https://docs.microsoft.com/en-US/troubleshoot/wind...
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@TheBigBear
СтарОдмины мы
DNS у Вас работать не перестал. Просто Ваш DNS-сервер КД перестал видеть сервера пересылки.
53 порт можете закрыть оставив доступ только к определенным внешним DNS-серверам (прописанным во вкладке сервера пересылки)
Не знаю что у Вас раздаёт интернет, но думаю несложно будет составить WhiteList IP адресов, и правило разрешающее доступ наружу КД только к этим адресам (в т.ч. нужные внешние DNS сервера)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы