none
Puertos AD RRS feed

  • Pregunta

  • Buenos dias,

    Tengo 2 vlans, servidores (en el que estan los DC), y clientes (windows7, 10, etc)

    Tengo una duda, ya que tengo que configurar el firewall para permitir trafico entre ambas vlans.

    Las dudas son dos, que trafico debo permitir desde vlan clientes --> vlan servidores DC

    Y la otra, ¿es bidireccionar? es decir, necesito abrir puertos desde vlan servidores --> vlan clientes? 

    Saludos.

    martes, 20 de febrero de 2018 16:11

Respuestas

  • Hola Juan Pablo Gonzal, en general no es buena idea tener un "firewall" entre clientes y servidores, básicamente porque se usa mucho RPC que toma puertos en forma aleatoria; además estamos hablando de una red interna donde tanto los servidores como los clientes están bajo control interno

    De todas formas, si quieres ver información sobre el tema dejo dos enlaces

    DC to client communications firewall ports – Ace Fekay
    https://blogs.msmvps.com/acefekay/category/dc-to-client-communications-firewall-ports/

    Active Directory Replication Over Firewalls - TechNet Articles - United States (English) - TechNet Wiki
    https://social.technet.microsoft.com/wiki/contents/articles/584.active-directory-replication-over-firewalls.aspx

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 20 de febrero de 2018 18:03
    Moderador
  • Hay RPC entre clientes y servidores así que los puertos son aleatorios. No le comentes a los auditores de seguridad: se puede fijar el puerto en algunos casos, por ejemplo en la replicación entre DCs, pero justamente eso lo hace más inseguro porque es predecible

    Y algo más, debe ser enrutamiento, no funciona con NAT, cuidado con esto último

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 20 de febrero de 2018 21:57
    Moderador

Todas las respuestas

  • Hola Juan Pablo Gonzal, en general no es buena idea tener un "firewall" entre clientes y servidores, básicamente porque se usa mucho RPC que toma puertos en forma aleatoria; además estamos hablando de una red interna donde tanto los servidores como los clientes están bajo control interno

    De todas formas, si quieres ver información sobre el tema dejo dos enlaces

    DC to client communications firewall ports – Ace Fekay
    https://blogs.msmvps.com/acefekay/category/dc-to-client-communications-firewall-ports/

    Active Directory Replication Over Firewalls - TechNet Articles - United States (English) - TechNet Wiki
    https://social.technet.microsoft.com/wiki/contents/articles/584.active-directory-replication-over-firewalls.aspx

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 20 de febrero de 2018 18:03
    Moderador
  • Buenas tardes Guillermo,

    Soy consciente de esto, pero me exigen desde seguridad informática y ISO 27001 segmentar entre servidores y clientes.

    Por tus comentarios, y recomendaciones, lo que creo que voy hacer es 

    Desde vlan clientes a vlan servidor (especificar los DC), permitiré todo el trafico.

    Lo que no tengo claro, si desde los DC dirección clientes, necesito también dejarlos abiertos.

    Es decir, quedando

    clientes-->DC todo permitido

    DC-->clientes todo permitido.

    saludos

    martes, 20 de febrero de 2018 20:41
  • Hay RPC entre clientes y servidores así que los puertos son aleatorios. No le comentes a los auditores de seguridad: se puede fijar el puerto en algunos casos, por ejemplo en la replicación entre DCs, pero justamente eso lo hace más inseguro porque es predecible

    Y algo más, debe ser enrutamiento, no funciona con NAT, cuidado con esto último

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 20 de febrero de 2018 21:57
    Moderador
  • Asi lo haré

    No hay problema con los servidores dc para su replicacion ya que los dc estan en la misma vlan y no hay firewall fisico de por medio.

    saludos.

    miércoles, 21 de febrero de 2018 8:03