O servidor RPC não está disponível durante a tentativa de promover um controlador de domínio. Abra o firewall

1

Então eu tenho coçado minha cabeça em torno deste problema por alguns dias agora.

Este é um esquema rápido da nossa infraestrutura:

  1. Nosso Controlador de Domínio Primário está sendo executado em um hipervisor, em nosso Centro de dados. Existem duas pilhas de firewalls (Fortigate FG200D e pfSense) antes de correr para a nossa rede MPLS.
  2. O novo controlador de domínio está sendo executado em uma instalação baremetal, em um dos nossos sites, conectados ao MPLS e atrás também duas camadas de firewalls (Fortigate FG100D e pfSense).

Ambos os servidores estão executando o Windows 2012 R2 e estão atualizados. O controlador de domínio existente será chamado DC-AD e o novo será RNS .

Também desabilitei os Firewalls do Windows e fiz uma regra allow all em nossos firewalls entre os dois DC (pelo menos, DC (DC-AD) e i-would-like-to-be -DC (RNS)).

Aqui estão os resultados de uma verificação do nmap:

  • Do RNS ao DC-AD:

  • DoDC-AparaoRNS:

Eu tentei tudo o que posso pensar ou qualquer coisa que eu poderia encontrar na internet, mas a maioria dos problemas são de portas bloqueadas no firewall.

    
por Matthieu ANTOINE 21.04.2016 / 17:30

2 respostas

1

Estas não são todas as portas necessárias do AD.

  • TCP e UDP 389
  • TCP 636
  • TCP 3268
  • TCP 3269
  • TCP e UDP 88
  • TCP e UDP 53
  • TCP e UDP 445
  • TCP 25
  • TCP 135
  • TCP dinâmico
  • TCP 5722
  • UDP 123
  • TCP e UDP 464
  • Dinâmico UDP
  • UDP 138
  • TCP 9389

Eu tenho essa lista aqui ; há uma tabela explicando o que o AD usa cada porta.

Um artigo diferente que eu encontrei sugeriu essas portas apenas para dcpromo:

  • TCP 3269
  • TCP 3268
  • TCP 389
  • UDP 389
  • TCP 636
  • UDP 636
  • UDP 500
  • UDP 4500
  • TCP 135
  • TCP aleatório 1024 - 65535, 49152 - 65535²
por 21.04.2016 / 18:39
0

Ok, então, depois de executar o PortQueryUI, encontrei várias portas a serem filtradas, apesar do fato de eu ter permitido todas as regras entre esses dois hosts.

Eu segui em frente e tcpdump-d tudo e descobri que um firewall tinha uma regra malformada, o que fazia com que algumas portas fossem filtradas.

Depois de consertar esta regra, o dcpromo foi bem.

Muito obrigado a todos que me ajudaram!

    
por 22.04.2016 / 09:37