我们使用两台 SonicWall 设备在总部和我们的共置生产 Web 服务器之间建立了站点到站点 VPN 连接。默认情况下,VPN 隧道允许两个站点之间的所有流量。我想对此进行限制,以便我们阻止从共置到办公室的所有传入流量,这样,如果我们的生产服务器受到威胁,我们的专用网络将受到更好的保护。
不过,我发现一个问题,我们加入域的服务器仍然需要能够联系我们办公室的 DC 以获取组策略、ldap 信息等。在仔细研究了 AD 使用的所有服务和端口后,我发现 RPC 服务使用随机端口,这使得很难在防火墙上打个洞让它工作。我发现这kb 文章描述了如何将其更改为所有域控制器上的特定端口,这样我就可以在防火墙上打开单个端口。本文没有讨论这样做的缺点。我想他们出于某种原因将端口随机化……而取消这一点就是取消它所提供的任何好处。
将其切换到特定端口会有什么损失?说明要求我编辑所有 DC 上的注册表,而我非常希望避免这种情况。此外,这是否是一个很好的案例,在我们的协作站点上拥有 RODC 会让我们受益匪浅?
答案1
我的经验是,许多组织为特定应用程序的低端口(如 389、88 等)创建访问规则,并创建“高端口”防火墙规则。对于 Windows Server 2003,高端口为 1024 - 65535。这显然不是一个很好的数字,因此对于 Windows Server 2008,范围缩小到 49152 - 65535。
更安全的解决方案是使用 IPSec 隧道方法。许多美国政府机构在受信任域或林根之间进行通信时使用 IPSec。
以下文章详细描述了各种优缺点。限制 RPC 需要在所有域控制器上实施,因此您不能只在一个域控制器上启动并查看其工作原理。在拥有大量 DC 和站点的大型组织中实施此功能可能需要大量规划。
跨防火墙的 Active Directory 复制
https://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx
答案2
我只是想澄清一下,Windows Server 2003 的默认动态端口范围是 1025-5000,不是1024-65535。通过修补程序,Windows Server 2003 获得了 IANA 标准 49152-65535,Windows Server 2008 及更新版本已具备该标准。
有关来源,请参阅下面的 MS 支持页面和维基百科文章(及其引用的来源)。
Windows 的服务概述和网络端口要求 http://support.microsoft.com/kb/832017