GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

Abrir puertos en Firewall entre MOSS y Directorio Activo


En muchos entornos, nos encontraremos diferentes Dominios de Directorio Activo separados por algún Firewall que requieran comunicarse entre sí (ej: por la existencia de relaciones de confianza), del mismo modo que podemos encontrarnos servidores MOSS que requieran comunicaciones con Controladores de Dominio existentes al otro lado de un Firewall. En ambos casos, es necesario realizar la apertura de los correspondientes puertos en el Firewall de turno, pero ¿Qué puertos son necesarios abrir para la comunicación entre Controladores de Dominio de Directorio Activo y MOSS?

En muchas instalaciones de MOSS, es habitual encontrarnos con una Granja MOSS para el acceso por los usuarios internos, así como una Granja MOSS externa en una DMZ para su publicación a través de Internet. Incluso, puede ser habitual, que cada Granja pertenezca a un dominio de Directorio Activo (ej: un dominio para la Granja Externa con las correspondientes relaciones de confianza con otros dominios, y al margen, todos los dominios internos de nuestra empresa o grupo de empresas).

En este escenario, una Granja interna y otra externa, junto con diferentes dominios de Directorio Activo (un dominio y bosque para la Granja externa con sus Controladores de Dominio también en la DMZ, y sus correspondientes relaciones de confianza unidireccionales con los dominios internos), ¿qué puertos deben abrirse en el Firewall?

Son varios los puertos que tendremos que abrir entre los Controladores de Dominio de la DMZ y los Controladores de Dominio de la red interna. Especialmente, me ha dado guerra descubrir la necesidad de abrir el puerto 1025.  Al abrir el resto de puertos, pero sin abrir el puerto 1025, si teníamos un Grupo Local en el dominio externo cuyos miembros incluía usuarios de los dominios internos (es decir, los que están al otro lado del Firewall en el que no hemos abierto el puerto 1025), al mostrar los miembros de dicho grupo utilizando la herramienta administrativa Active Directory Users and Computers (ADUC), sólo se muestra el churrito del SID y además se muestra el siguiente mensaje de error: Some of the object names cannot be shown in ther user-friendly form. This can happen if the object is from an external domain and that domain is not available to translate the object's name.

Del mismo modo, al intentar conceder permisos en la Granja externa de MOSS a un usuario perteneciente a uno de los dominios internos, no se reconocía a dicho usuario (como si no existiese el usuario o dominio).

Error al conceder permisos en MOSS a un usuario de un Dominio externo, existente tras un Firewall

En ambos casos, ejecutando sobre los Controladores de Dominio de la DMZ el comando netstat -ano | findstr SYN, se podía apreciar la existencia de alguna conexión en estado SYN_SENT al puerto 1025 de algún Controlador de Dominio de los dominios internos, esto es, conexiones TCP que están siendo denegadas por el Firewall (esto es lo que se dice, la prueba del algodón ;-).

Es interesante comentar, que estamos hablando de MOSS 2007 SP2, y de Controladores de Dominio con Sistemas Operativos Windows 2000 Server y Windows Server 2003.

Con todo esto, he llegado a la siguiente definición de puertos para la comunicación con Directorio Activo. Quizás esté abriendo algún puertico de más (ej: creo que es suficiente con abrir el puerto TCP-1025, pero ante la duda y las pocas ganas de meterme en líos, he abierto tanto TCP-1025 como UDP-1025), pero al menos, con esta configuración, doy fé de que funciona (hay clientes en los que es fácil hacer este tipo de pruebas y cambios, y otros, en los que es arduo complicado y escandaloso, cada uno que evalúe por sí mismo ;-).

  • TCP-53 (DNS)
  • UDP-53 (DNS)
  • TCP-88 (Kerberos)
  • UDP-88 (Kerberos)
  • TCP-389 (LDAP)
  • UPP-389 (LDAP)
  • TCP-636 (LDAP SSL)
  • TCP-3268 (LDAP GC)
  • TCP-3269 (LDAP GC SSL)
  • TCP-445 (SMB)
  • TCP-135 (RPC)
  • TCP-137 (NBT)
  • UDP-137 (NBT)
  • TCP-138 (NBT)
  • UDP-138 (NBT)
  • TCP-139 (NBT)
  • UDP-139 (NBT)
  • TCP-1025 (RPC)
  • UDP-1025 (RPC)

En mi caso, he creado dos reglas en el Firewall, en ambas permitiendo los puertos indicados:

  • Una regla con Origen = DCs internos y Destino = DCs DMZ+ Servidores MOSS DMZ.
  • Otra regla con Origen = DCs DMZ + Servidores MOSS DMZ y Destino = DCs internos.

Adicionalmente a la propia apertura de puertos, puede ser necesario realizar alguna configuración adicional en MOSS, para que todo esto funcione. Y digo puede, porque depende de cada escenario. Por ejemplo, con relaciones de confianza unidireccionales, es necesario realizar esta configuración (esto lo he sufrido en mis carnes, que son abundantes) mientras que con relaciones de confianza bidireccionales no sería necesario realizar más configuraciones (esto lo he leído, pero no lo he probado).

Los pasos adicionales que podemos necesitar realizar, son los siguientes:

  • Ejecutar el comando STSADM SETAPPPASSWORD, en cada Frontal Web de MOSS, especificando en todos, la misma clave, la cual se utilizará para cifrar la credenciales de acceso a los diferentes dominios de Directorio Activo que se indicarán en el paso siguiente. La sintaxis es: STSADM.exe -o setapppassword -password key
  • En un único Frontal Web de MOSS, ejecutar un comando STSADM PEOPLEPICKER-SEARCHADFORESTS, teniendo en cuenta que en el mismo comando, es posible especificar las credenciales para distintos Dominios, separándolas por punto y coma. La sintaxis es: STSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv domain:DnsName,user,password -url http:// webapp

Un caso particular a contemplar cuando se realizan este tipo de configuraciones, es el caso de configurar el People-Picker sólo con algunos de los dominios con los que se tiene una relación de confianza unidireccional. También es interesante tener presente algunos comandos STSADM de ayuda a personalizar el funcionamiento del People-Picker.

Adjunto un par de enlaces de TechNet, en los que se puede obtener mayor información y detalle de estos comandos, y de la problemática en cuestión:

Poco más por hoy. Como siempre, espero que os sirva.

 


[Fecha del Artículo (UTC): 19/07/2010]
[Autor: GuilleSQL]



Escribir un Comentario

Para poder escribir un comentario, debe Iniciar Sesión con un usuario.

Si no dispone de un usuario, puede Registrarse y hacerse miembro.

Si dispone de un usuario, pero no recuerda sus credenciales de acceso, puede Restablecer su Contraseña.

Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Esta información se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This information is provided "AS IS" with no warranties, and confers no rights.

Copyright © 2007 GuilleSQL, todos los derechos reservados.
GuilleSQL.com y GuilleSQL.net son también parte de Portal GuilleSQL.

Visitas recibidas (Page Loads) en GuilleSQL (fuente: StatCounter):

screen resolution stats
Visitas