Usando o Active Directory através de um firewall

Eu tinha uma configuração estranha hoje em dia em que queria ativar o Firewall do Windows em um computador com Windows 2003 R2 SP2 que funcionasse como um controlador de domínio do Active Directory.

Eu não vi um recurso na Internet que listou o que seria necessário para fazer isso, então eu pensei em listá-los aqui e ver se alguém tem algo a acrescentar / vê algo que não seja necessário.

Portas para abrir com o escopo "sub-rede":

• 42 | TCP | WINS (se você usá-lo)
• 53 | TCP | DNS
• 53 | UDP | DNS
• 88 | TCP | Kerberos
• 88 | UDP | Kerberos
• 123 | UDP | NTP
• 135 | TCP | RPC
• 135 | UDP | RPC
• 137 | UDP | NetBIOS
• 138 | UDP | NetBIOS
• 139 | TCP | NetBIOS
• 389 | TCP | LDAP
• 389 | UDP | LDAP
• 445 | TCP | SMB
• 445 | UDP | SMB
• 636 | TCP | LDAPS
• 3268 | TCP | LDAP do GC
• 3269 | TCP | LDAP do GC

Portas a serem abertas com o escopo "Qualquer" (para DHCP)

• 67 | UDP | DHCP
• 2535 | UDP | DHCP

TAMBÉM Você precisa restringir o RPC para usar portas fixas em vez de tudo > 1024. Para isso, você precisa adicionar duas chaves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registry value: TCP/IP Port
Value type: REG_DWORD
Value data:  <-- pick a port like 1600 and put it here

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 
Registry value: DCTcpipPort
Value type: REG_DWORD
Value data: <-- pick another port like 1650 and put it here

... não se esqueça de adicionar entradas no firewall para permitir aquelas em (TCP, escopo de sub-rede).

Depois de fazer tudo isso, consegui adicionar um computador cliente ao domínio do AD (atrás do Firewall do Windows) e fazer login com êxito.