將 RPC 限製到 Active Directory 中的特定埠
我們使用兩台 SonicWall 設備在我們的主辦公室和我們所在位置的生產 Web 伺服器之間建立了站點到站點 VPN 連接。預設情況下,VPN 隧道允許兩個站點之間的所有流量。我想限制這一點,以便我們阻止從配置到辦公室的所有傳入流量,這樣在我們的生產伺服器受到威脅的情況下,我們的專用網路會受到更多保護。
不過,我看到的一個問題是,我們加入域的伺服器仍然需要能夠聯繫我們辦公室的 DC 以獲取組策略、ldap 資訊等。經過一番摸索後AD使用的所有服務和埠,我發現RPC服務使用隨機埠,這使得很難在防火牆上打一個洞使其工作。我發現這篇kb 文章描述瞭如何將其更改為所有域控制器上的特定埠,這將允許我在防火牆上打開單個埠。本文沒有討論的是這樣做的缺點。我想他們將埠隨機化是有原因的……而把它拿走就是消除它提供的任何好處。
將其切換到特定埠會失去什麼?這些說明讓我編輯所有 DC 上的系統資料庫,我希望避免這種情況。此外,這是一個很好的案例,在這種情況下,我們會從我們的 collo 站點擁有 RODC 中受益嗎?
我的經驗是,許多組織為特定應用程序的低埠(例如 389、88 等)創建訪問規則,以及“高埠”防火牆規則。對於 Windows Server 2003,高埠是 1024 - 65535。這顯然不是一個很好的數字,因此對於 Windows Server 2008,這個範圍縮小到 49152 - 65535。
更安全的解決方案是使用 IPSec 隧道方法。許多美國政府機構在受信任域或林根之間進行通信時使用 IPSec。
以下文章詳細介紹了各種優缺點。限制 RPC 需要在所有域控制器上實現,因此您不能只打開一個並查看它是如何工作的。在擁有大量 DC 和站點的大型組織中實施這一點可能需要大量規劃。
防火牆上的 Active Directory 複製