T@I Tech Net

Solutions Informatiques

Permettre la jonction au domaine a travers la bonne configuration du firewall de windows serveur 2003 R

Afin de pouvoir joindre un nouveau contrôleur de domaine a notre domaine windows serveur 2003 R2, il devient impératif de configurer votre pare-feu. Il est évidement strictement déconseillé de désactiver ce dernier et nombre d'entre nous ce sont déjà énerves dessus.
Donc une bonne compréhension est nécéssaire a fin d'autoriser les ports necessaires a la jonction de notre second controleur de domaine.

En premier lieu il est nécessaire d'autoriser le partage de fichiers et d'imprimantes (onglet exceptions :case a cocher). En suite nous allons autoriser deux programmes :

panneau de configuration --> pare-feu windows --> onglet exceptions --> ajouter un programme --> lsass.exe, puis même opération pour ntfrs.exe : ces deux programmes se trouvent %windir%\system32.

Cette méthode permet l'attribution de ports dynamiques qu'utilise NTDS et NTFRS. Il est possible pour des soucis de sécurité de fixer ces ports a travers le registre :
exécuter : regedit :
sur tous contrôleurs de domaine dans la forêt ajoute deux les valeur de Registre suivantes avec regedit ou utilise un fichier .reg avec les références suivantes
1. Port HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\TCP/IP
- DWORD contenant le nombre TCP sélectionné pour la réplication (53211 cfdb (hex) par exemple) Active Directory
2. Affectation HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\RPC TCP/IP de ports
- DWORD contenant le nombre TCP sélectionné pour FRS (53212 cfdc (hex) par exemple)

cette méthode fixe les ports a utiliser ces derniers sont donc respectivement a ouvrir dans le pare-feu. Mais dans cet exemple nous allons prendre la première solution qui semble la plus simple a réaliser, le tableau ci-dessous est donc édité en conséquence.

En suite il y a certains ports a ajouter aux exeptions du pare feu. Pour cela procédez comme suit :
panneau de configuration --> pare-feu windows --> onglet exceptions --> ajouter un port : nommé l'exception et assigner un port en TCP et/ou UDP.

Le tableau suivant vous donne les ports a ouvrire leur protocole et le descriptif de leur activité :

 

n° de port Protocole désignation
53 TCP et UDP Serveur DNS
88 TCP et UDP centre de distribution de clé kerberos
123 UDP NTP (Temps windows)
135 TCP RPC ( Remote procedure call)
137 TCP Résolution de noms netbios
389 UDP Localisation de contrôleurs de domaine
464 TCP et UDP Mot de passe kerberos V5
636 TCP LDAP SSL ( autorité de sécurité locale)
3268 TCP Serveur de catalogue global